代码之家 › 专栏 › 技术社区 › mark

terraform是否可以使用服务主体凭据而不是访问密钥向azure存储容器进行身份验证?

azure-blob-storage terraform azure

mark · 技术社区 · 2 年前

我有一个服务主体,它是某个存储容器中的数据Blob贡献者。我检查了,可以使用Azure CLI在该容器中上传/下载/删除Blob --auth-mode login 参数,而不传递访问密钥。

然而,当我跑步时 terraform init 对于针对相同存储容器的相同服务主体,我得到的是:

Initializing the backend...
â·
â Error: Failed to get existing workspaces: Error retrieving keys for Storage Account "app541certfremotebackend": storage.AccountsClient#ListKeys: Failure responding to request: StatusCode=403 -- Original Error: autorest/azure: Service returned an error. Status=403 Code="AuthorizationFailed" Message="The client '53bfcd5f-0906-4043-bda0-84cacf6ce9d0' with object id '53bfcd5f-0906-4043-bda0-84cacf6ce9d0' does not have authorization to perform action 'Microsoft.Storage/storageAccounts/listKeys/action' over scope '/subscriptions/4...d/resourceGroups/a...2/providers/Microsoft.Storage/storageAccounts/a...d' or the scope is invalid. If access was recently granted, please refresh your credentials."
â
â
âµ

使用访问密钥需要我们授予服务主体一个包含操作的角色 Microsoft.Storage/storageAccounts/listKeys/action 。最接近的内置角色是 Reader And Data Access 。

我真的不喜欢它,因为有了访问密钥,就不可能访问存储帐户中的所有存储容器了吗?

是否可以通过利用RBAC使其在没有访问密钥的情况下工作?

0 回复 | 直到 2 年前

mark 2 年前

是的,这是经典的RTF M时刻。根据 https://developer.hashicorp.com/terraform/language/settings/backends/azurerm 我可以设置 use_azuread_auth = true 在后端配置中。

我测试了它,它真的很管用。

推荐文章

BPengu · 发现运算符-eq的操作数无效

10 月前

Scott · Terraform Azure包含带有子网部署的NSG

11 月前

akaparadox · 使用Microsoft Entra(Azure AD)获取SPA应用程序的刷新令牌

11 月前

nop · 如何在本地环境中加载secrets.json而不是在ASP。NET核心?

11 月前

Amit Kanala · 我尝试在microsoft outlook日历中创建事件,但出现错误,访问令牌验证失败。无效受众

11 月前

Adnane Bady Soussi · 我试图更新我在代码中通过graphapi创建的一个现有用户,但我从azure graphapi返回了403错误

11 月前

Luca · 问题/如何使用GRAPH API获取我的SharePoint网站的文档库

11 月前

VivekAnandChakravarthy · 在azure逻辑应用程序标准vs代码中以设计器身份打开工作流时出错

1 年前

Romeo · 密钥保管库机密问题-防火墙已打开,您的客户端IP地址无权访问此密钥保管库

1 年前

T McKeown · 您是否可以使用Azure API/M调用基于WCF SOAP的端点?

1 年前