Расширенные списки ACL с хранилищем Azure - делегирование в AD?

Как создать многофункциональную систему политик ACL хранилища с помощью хранилища Azure?

Я хочу иметь контейнер больших двоичных объектов, в котором есть следующие пользователи:

  • общедоступный - только для чтения для некоторого набора BLOB-объектов
  • Загрузчик - чтение-запись для некоторого подмножества имен больших двоичных объектов, эти ключи передаются полу-доверенным машинам сборки
  • общий администратор - полные возможности для этого подмножества больших двоичных объектов

В идеале эти пользователи - это учетные записи, управляемые через Azure AD, поэтому я могу использовать с ними все возможности службы каталогов ... :)

Я понимаю, что ключи общего доступа (1) ограничены по времени и (2) должны быть созданы вручную с помощью кода. Я хочу, чтобы я мог сделать что-то похожее на политики AWS IAM на S3 ... :-)


azure azure-storage
person Paul Nathan    schedule 01.03.2015    source источник
comment
Можно ли использовать для этой цели сторонние инструменты?   -  person Gaurav Mantri    schedule 01.03.2015
comment
@GauravMantri - зависит от сложности и стоимости. Я создаю эту инфраструктуру самостоятельно для будущего профессионального использования.   -  person Paul Nathan    schedule 02.03.2015

Ответы (2)


arrow_upward
3
arrow_downward

В настоящее время для хранилища BLOB-объектов Azure не существует ничего подобного AWS IAM Policies for S3. Azure недавно запустила Role Based Access Control (RBAC) и доступна для службы хранилища Azure, но она ограничена только выполнением действий по управлению, например созданием учетных записей хранения и т. Д. Она пока недоступна для выполнения действий по управлению данными, таких как загрузка больших двоичных объектов и т. Д.

Вы можете посмотреть Azure Rights Management Service (Azure RMS) и убедиться, что это правильное решение. для ваших нужд. Если вы выполните поиск по запросу Azure RMS Blob, вы найдете в одной из результатов поиска ссылку на файл PDF, в котором говорится о защите хранилища BLOB-объектов с помощью этой службы (ссылка непосредственно загружает файл PDF, и поэтому я не мог включить его здесь).

Если вы ищете сторонний сервис для этого, обратите внимание на "Team Edition" of Cloud Portam (услуга, которую я создаю в настоящее время). Недавно мы выпустили Team Edition. Короче говоря, Cloud Portam - это обозреватель Azure Explorer на основе браузера, который поддерживает управление учетными записями хранилища Azure, службы поиска и DocumentDB. Team Edition использует ваш Azure AD для аутентификации пользователей, и вы можете предоставлять разрешения («Нет», «Только чтение», «Чтение-запись» и «Чтение-запись-удаление») для ресурсов Azure, которыми вы управляете с помощью этого приложения.

person Gaurav Mantri    schedule 03.03.2015
comment
Интересно. Это разочаровывает, я думал, что Azure более зрелый. Спасибо за ваш ответ. - person Paul Nathan; 04.03.2015

arrow_upward
3
arrow_downward

Павел,

Хотя Гаурав прав в том, что в службе хранилища Azure сегодня нет интеграции с AD, я хотел бы указать на пару моментов о подписях общего доступа из вашего сообщения:

Насколько я понимаю, общие ключи доступа таковы, что они (1) ограничены по времени и (2) должны быть созданы вручную с помощью кода.

1) Маркер sas / uri не обязательно должен иметь дату истечения срока действия (это необязательное поле), поэтому в этом смысле они не ограничены по времени и не нуждаются в повторном создании, если вы не измените общий ключ, с помощью которого вы сгенерировали токен 2) Для этого можно использовать командлеты PS, например: https://msdn.microsoft.com/en-us/library/dn806416.aspx. Некоторые исследователи хранилища также поддерживают статическое создание токенов sas / uris без необходимости писать для этого код.

person Vamshi Kommineni - MSFT    schedule 04.03.2015
comment
Спасибо за ваш ответ! Приятно получать авторитетный ответ. Последующий вопрос: есть ли инструменты, которые можно использовать в Linux / OSX для создания этих URL-адресов? (Я могу написать сам, но приятно, когда для этой цели есть заранее запеченные инструменты). Наконец, я действительно надеюсь, что интеграция с AD находится на пути к службе хранилища Azure. - person Paul Nathan; 05.03.2015