Télécharger le fichier vers le stockage blob d’Azure - CRL-290029 Interdit
Cet article traite du problème de Campaign v7, où vous pouvez uniquement lire les fichiers, mais ne pouvez pas écrire de fichiers dans l’espace de stockage Blob. Pour résoudre ce problème, contactez Azure pour vérifier les autorisations de lecture/écriture, qui sont déterminées par l’identité/autorisation (RBAC ou SAS).
Description description
Environnement
Adobe Campaign
Problème/Symptômes
- Vous intégrez Adobe Campaign v7 à Adobe Experience Platform et vous avez créé un workflow comme décrit dans la section Création d’un workflow d’exportation dans Campaign Classic dans la documentation de Campaign Classic v7. Cela permet d’exporter des données d’ACC vers l’emplacement de stockage d’objets blob d’Azure.
- Vous essayez d’ajouter une activité Transfert de fichier (chargement de fichier d’action) à Azure Blob. Une erreur similaire à celle-ci s’affiche dans les journaux Journal d’audit :
Erreur CRL-290182 lors du chargement de 'https://xxxx002.blob.core.windows.net/campaign/xxxAEP/Feedback/envioCDP.csv' sur Azure Blob Storage (code CRL-290029 Interdit - Le serveur a compris la demande, mais refuse de la satisfaire)
Par conséquent, vous pouvez lire des fichiers à partir de l’espace de stockage Blob (téléchargement), mais vous ne pouvez pas y écrire de fichiers (téléchargement).
Résolution resolution
Pour résoudre des problèmes de ce type, contactez Azure pour vérifier les autorisations de lecture/écriture, qui sont déterminées par identité/autorisation (RBAC ou SAS).
L’accès en lecture et écriture dans Azure Blob Storage n’est pas défini par quelle adresse IP de l’appelant est whitelistée.
La liste autorisée d’adresses IP est une porte réseau (qui peut tout simplement communiquer avec le compte de stockage), tandis que les autorisations de lecture/écriture sont déterminées par l’identité/l’autorisation (RBAC ou SAS).
Comment l’accès est réellement déterminé
-
Autorisation : rôles et autorisations SAS
Le stockage Blob d’Azure prend en charge plusieurs mécanismes d’autorisation :-
Azure AD + RBAC (recommandé)
-
Vous accordez des rôles tels que :
Storage Blob Data Reader→ lecture seuleStorage Blob Data Contributor→ lecture/écriture/suppression
-
Ces rôles définissent les autorisations lecture et écriture sur les objets Blob et les conteneurs.
-
Consultez les opérations et le mappage RBAC pour le stockage dans : Documentation sur le contrôle d’accès en fonction du rôle
Signatures d'accès partagé (SAS)
-
Un jeton SAS encode :
- Autorisations via
sp(par exemple :sp=rpour la lecture,sp=rwpour la lecture et l’écriture,sp=rwdlpour la liste CRUD + complète). - Restriction IP facultative via
sip(adresse IP ou plage d’adresses IP autorisée à utiliser ce jeton).
- Autorisations via
-
L’exemple SAS Microsoft Azure Essentials: Fundamentals of Azure illustre :
code language-none &sp=r # read permission &sip=168.1.5.60-168.1.5.70 # allowed IP range- Le paramètre
spcontrôle la lecture/écriture ;siplimite uniquement l’origine de la requête.
- Le paramètre
-
-
Clés de compte (clé partagée)
- Lecture/écriture complète au niveau du compte si elle est utilisée directement ; déconseillé pour un accès affiné et généralement déconseillé dans les environnements Adobe.
-
-
Contrôles réseau/IP : pare-feu et
sipSASCeux-ci contrôlent si une requête peut atteindre le compte, et non ce qu’elle peut faire :
-
Règles de pare-feu/réseau virtuel du compte de stockage
- Vous pouvez autoriser des plages d'adresses IP publiques ou des réseaux virtuels spécifiques à accéder au compte de stockage.
- Cela s’applique que l’appelant effectue des lectures ou des écritures ; les autorisations proviennent toujours de RBAC ou de SAS.
- Documentation de Microsoft : sécurité réseau du compte de stockage
-
SAS
sip(plage d’adresses IP)- Paramètre facultatif sur un jeton SAS qui limite la ou les adresses IP à partir desquelles ce jeton peut être utilisé.
- Néanmoins, les opérations autorisées sont définies par des
sp(autorisations) ; l’adresse IP limite simplement les utilisateurs autorisés à exercer ces autorisations.
-
Documentation pertinente sur le stockage Blob Azure
Principales références d’apprentissage de Microsoft :
-
Concepts généraux du service et de la sécurité Blob Storage
-
Opérations RBAC pour le stockage (actions de plan de données telles que lecture/écriture/suppression)
-
Règles de réseau/pare-feu pour les comptes de stockage et la liste autorisée IP
-
SAS et SAS de délégation utilisateur (autorisations codées dans le jeton)
Ensemble, ces documents indiquent clairement que l’autorisation (RBAC/SAS) définit la lecture/écriture, tandis que les paramètres IP (pare-feu ou sip SAS) limitent simplement d’où peuvent provenir ces appels autorisés.