Autoriser l'accès aux nœuds Azure Storage pour sélectionner des utilisateurs?

Question

Étant donné un fichier stocké sur Azure Storage (blobs, tables ou files d'attente - peu importe), est-il possible d'en autoriser l'accès à tous, mais uniquement en fonction des autorisations? Par exemple, j'ai un grand stockage d'images, et un DB contenant des utilisateurs et des autorisations. Je souhaite que l'utilisateur X puisse uniquement accéder aux images Y et Z. L'URL sera donc généralement inaccessible, à moins que vous ne fournissiez un jeton de sécurité temporaire. Comment est-ce possible? Je sais que je peux fermer le stockage du monde extérieur, et autoriser l'accès uniquement à travers une application vérifiant ce genre de choses, mais cela nécessiterait que l'application soit également sur Azure, et l'application sur site ne pourra pas livrer du contenu à partir d'Azure Storage. D'après ce que j'ai compris, la plupart des CDN offrent une telle capacité, et j'espère bien qu'Azure fournit également une solution pour cela!

Itamar.

Answer 1

Je ne pense pas que vous puissiez atteindre ce niveau de filtrage d'accès. Les seules méthodes que je suis au courant sont décrits dans cet article msdn

Managing Access to Containers and Blobs

et voici un blog qui décrit une petite partie de code pour la mettre en œuvre

Using Container-Level Access Policies in Windows Azure Storage

Je ne suis pas Assurez-vous que cela correspond à votre besoin. Si j'ai bien compris, je le ferais de la façon suivante: 1. Organisez votre contenu dans un conteneur correspondant aux rôles 2. Sur votre application sur site, vérifiez si l'utilisateur a accès et si oui, générez le bon URL pour lui donner un accès temporaire à la ressource.

Bien sûr, cela ne fonctionne que si les utilisateurs doivent passer par un point central pour accéder au contenu de l'objet blob. Si ils mettent en signet le lien généré, il échouera une fois la date d'expiration est passée.

Bonne chance.

Answer 2

Ceci est réellement possible à implémenter avec le stockage Blob. Considérons (a) une interface utilisateur semblable à l'explorateur, et (b) que les utilisateurs sont déjà authentifiés (ils peuvent utiliser le service de contrôle d'accès, mais n'en ont pas besoin).

L'interface utilisateur de type explorateur peut exposer des ressources appropriées pour l'utilisateur authentifié. L'accès sous-jacent à ces ressources serait contrôlé par l'accès partagé à la granularité appropriée pour les objets - par exemple, restreindre seulement voir un dossier dans un dossier, ou le dossier entier, ou créer un dossier dans un dossier, etc. , peuvent tous être exprimés.

Cette interface utilisateur similaire à celle de l'explorateur nécessiterait l'accès à une logique qui présenterait les bons fichiers pour un utilisateur donné, tout en créant les signatures d'accès partagé appropriées selon les besoins. Notez que cette logique n'a pas besoin d'être hébergée dans Azure, mais qu'elle nécessite simplement l'accès à la clé de stockage appropriée (à partir du portail Azure).