Datei in den Azure Blob-Speicher hochladen - CRL-290029 verboten

Last update: Tue Apr 21 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

Dieser Artikel behandelt das Campaign v7-Problem, bei dem Sie nur Dateien lesen, aber keine Dateien im Blob-Speicher schreiben können. Um dies zu beheben, wenden Sie sich an Azure, um die Lese-/Schreibberechtigungen zu überprüfen, die durch die Identität/Autorisierung (RBAC oder SAS) bestimmt werden.

Beschreibung description

Umgebung

Adobe Campaign

Problem/Symptome

Sie integrieren Adobe Campaign v7 mit Adobe Experience Platform und haben einen Workflow erstellt, wie in Erstellen eines Export-Workflows in Campaign Classic in der Dokumentation zu Campaign Classic v7 beschrieben. Dies geschieht, um Daten von ACC an den Azure Blob-Speicherort zu exportieren.
Sie versuchen, eine Dateiübertragungsaktivität (Aktions-Datei-Upload) zu Azure Blob hinzuzufügen. In den Audit-Protokoll-Protokollen wird ein Fehler angezeigt, der in etwa folgendermaßen lautet:

CRL-290182 Fehler beim Hochladen von "https://xxxx002.blob.core.windows.net/campaign/xxxAEP/Feedback/envioCDP.csv'" in Azure Blob Storage (Code CRL-290029 Forbidden - Der Server hat die Anfrage verstanden, weigert sich jedoch, sie zu erfüllen)

Das Ergebnis ist, dass Sie Dateien aus dem Blob-Speicher (Download) lesen können, aber dort keine Dateien schreiben können (Upload).

Lösung resolution

Um Probleme wie diese zu beheben, wenden Sie sich an Azure, um die Lese-/Schreibberechtigungen zu überprüfen, die durch die Identität/Autorisierung (RBAC oder SAS) bestimmt werden.

Der Lese- und Schreibzugriff im Blob-Speicher von Azure ist nicht dadurch definiert, welche Anrufer-IP auf die Whitelist gesetzt wird.

Die IP-Zulassungsauflistung ist ein Netzwerk-Gate (das überhaupt mit dem Speicherkonto kommunizieren kann), während Lese-/Schreibberechtigungen durch die Identität/Autorisierung (RBAC oder SAS) bestimmt werden.

Wie der Zugriff tatsächlich bestimmt wird

Autorisierung: Rollen und SAS-Berechtigungen
Azure Blob Storage unterstützt mehrere Autorisierungsmechanismen:

Azure AD + RBAC (empfohlen)

Sie erteilen Funktionen wie:
- Storage Blob Data Reader → schreibgeschützt
- Storage Blob Data Contributor → Lesen/Schreiben/Löschen
Diese Rollen definieren Berechtigungen Lesen oder Schreiben für Blobs und Container.
Weitere Informationen finden Sie in der Dokumentation zu Vorgängen und RBAC-Zuordnung für die Speicherung in: Rollenbasierte Zugriffssteuerung in Azure

Shared Access Signatures (SAS)

Kodiert ein SAS-Token:
- Berechtigungen über sp (z. B.: sp=r zum Lesen, sp=rw für Lese- und Schreibzugriff, sp=rwdl für vollständige CRUD + Liste).
- Optionale IP-Beschränkung über sip (IP oder IP-Bereich, der dieses Token verwenden darf).

Die Microsoft Azure Essentials: Grundlagen von Azure zeigt ein SAS-Beispiel:

code language-none
`&sp=r # read permission &sip=168.1.5.60-168.1.5.70 # allowed IP range`

Der Parameter sp steuert Lese-/Schreibzugriff; sip schränkt nur ein, woher die Anfrage stammen kann.

Kontoschlüssel (freigegebener Schlüssel)
- Vollständiger Lese-/Schreibzugriff auf Kontoebene, wenn direkt verwendet; wird nicht für differenzierten Zugriff empfohlen und wird in Adobe-Umgebungen im Allgemeinen nicht empfohlen.

Netzwerk-/IP-Steuerung: Firewalls und SAS-sip

Diese steuern ob Anfrage das Konto erreichen kann, nicht was sie tun kann:
- Regeln für Speicherkonto-Firewall/virtuelles Netzwerk
  - Sie können bestimmten öffentlichen IP-Bereichen oder VNets den Zugriff auf das Speicherkonto erlauben.
  - Dies gilt unabhängig davon, ob der Aufrufer Lese- oder Schreibvorgänge durchführt; die Berechtigungen stammen weiterhin von RBAC oder SAS.
  - Microsoft-Dokumentation: Netzwerksicherheit des Speicherkontos
- SAS-sip (IP-Bereich)
  - Optionaler Parameter für ein SAS-Token, der einschränkt, von welchen IP(s) dieses Token verwendet werden kann.
  - Die zulässigen Vorgänge werden jedoch durch sp (Berechtigungen) definiert. IP-Adressen grenzen lediglich ein, wer diese Berechtigungen ausüben darf.

Relevante Dokumentation zu Azure Blob Storage

Wichtige Microsoft-Lernverweise:

Allgemeine Blob Storage-Service- und Sicherheitskonzepte

Blob-Speicher-Dokumentation
RBAC-Vorgänge für die Speicherung (Datenebenenaktionen wie Lesen/Schreiben/Löschen)

Dokumentation zur rollenbasierten Zugriffssteuerung in Azure
Netzwerk-/Firewall-Regeln für Speicherkonten und IP-Zulassungsauflistung

Netzwerksicherheit des Speicherkontos
SAS und SAS mit Benutzerdelegierung (im Token codierte Berechtigungen)

Erstellen von Benutzerdelegierungs-SAS

Zusammen stellen diese Dokumente klar, dass die Autorisierung (RBAC/SAS) Lesen/Schreiben definiert, während IP-Einstellungen (Firewalls oder SAS-sip) nur einschränken, woher diese autorisierten Aufrufe kommen können.

recommendation-more-help

3d58f420-19b5-47a0-a122-5c9dab55ec7f