我将数据存储在 Azure 表存储中,并希望保护它,以便只有我的 API(函数应用)可以读取和写入数据。
什么是最佳做法,我该如何做到这一点?我认为将网络规则上的--default-action 设置为存储的Deny,再加上添加--bypass Logging Metrics AzureServices 会关闭访问但启用我的Azure 服务,但这不起作用。
然后,我查看了为函数应用创建托管服务标识 (MSI) 并将 RBAC 添加到存储帐户,但这也不起作用。表存储 Access Azure Table Storage with Azure MSI 似乎不支持 MSI
我是否遗漏或误解了什么?如何保护存储帐户中表中的数据,这甚至可能吗?
【问题讨论】:
标签: security authentication authorization azure-functions azure-table-storage
由于您提供的link,Azure 表存储不支持Azure MSI,它只支持Shared Key (storage account key) 和Shared access signature (SAS)。
如果您的服务使用 REST API 发出请求,您必须使用 Shared Key authorization 来授权对表服务发出的请求。
要对使用 REST API 发出的针对表服务的请求的签名字符串进行编码,请使用以下格式:
StringToSign = VERB + "\n" +
Content-MD5 + "\n" +
Content-Type + "\n" +
Date + "\n" +
CanonicalizedResource;
您可以使用Shared Key Lite authorization 授权针对任何版本的表服务发出的请求。
StringToSign = Date + "\n"
CanonicalizedResource
更多详情可以参考这个article。
【讨论】:
Firewalls and virtual networks 。那么您的表存储将只能由您的 azure 函数访问。
为了保护 Azure 表存储数据,您可以在网络配置下执行 -
【讨论】: