我正尝试在Azure前门使用托管身份来访问(读取)Azure存储Blob。作为先决条件,我将“存储Blob数据读取器”RBAC分配给存储帐户IAM中的托管身份,但我一直收到授权错误。似乎前门正在以匿名身份发送请求!
我的期望是,我不应该在请求中传递Authorization头,因为使用了托管身份。我可以使用前门的托管身份连接到Azure Key Vault,但在存储帐户上无法使用!
存储帐户没有网络限制。它被设置为从所有网络启用(用于POC)。
为了测试,我将blob访问级别设置为Blob(匿名访问),并且我能够使用前门端点读取blob,但出于安全原因,我不能将blob设置为公共。
如何安全地从Azure Front Door访问私有Blob?
1条答案
按热度按时间11dmarpk1#
我将blob访问级别设置为Blob(匿名访问),并且能够使用front door端点读取blob,但出于安全原因,我不能将blob设置为公共。
要使用前门的托管身份连接到Azure Key Vault,您可以使用此MsDoc
使用创建的Azure前门Premium,创建私有链接服务和WAF策略,并选择自定义来源类型并启用私有链接服务,如下所示:
的数据
的
在Azure存储帐户中创建了一个私有端点以安全地访问,并从Azure Front Door Premium中选择挂起的私有端点请求,然后选择“批准”,如下所示:
的
的
一旦使用主机名存储帐户blob创建的Azure前门将安全地访问私有blob:
的
Connect Azure Front Door Premium to a storage account origin with Private Link - Azure Private Link | Microsoft Learn的
Secure your Origin with Private Link in Azure Front Door Premium | Microsoft Learn的