Carica file nell’archiviazione BLOB di Azure - CRL-290029 non consentito

Last update: Tue Apr 21 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

Questo articolo tratta il problema di Campaign v7, in cui puoi leggere solo i file ma non scrivere i file nell’archiviazione BLOB. Per risolvere questo problema, contatta Azure per verificare le autorizzazioni di lettura/scrittura, determinate dall’identità/autorizzazione (RBAC o SAS).

Descrizione description

Ambiente

Adobe Campaign

Problema/Sintomi

Si sta integrando Adobe Campaign v7 con Adobe Experience Platform e si è creato un flusso di lavoro come descritto in Creare un flusso di lavoro di esportazione in Campaign Classic nella documentazione di Campaign Classic v7. Questo per esportare i dati da ACC nel percorso di archiviazione BLOB di Azure.
Tenti di aggiungere un’attività di trasferimento file (Action-File upload) ad Azure Blob. Nei registri di Audit Trail viene visualizzato un errore simile al seguente:

Errore CRL-290182 durante il caricamento di 'https://xxxx002.blob.core.windows.net/campaign/xxxAEP/Feedback/envioCDP.csv' nell'archiviazione BLOB di Azure (codice CRL-290029 non consentito - Il server ha compreso la richiesta, ma si rifiuta di soddisfarla)

Il risultato è che è possibile leggere i file dall’archiviazione BLOB (download), ma non scrivere i file in tale archivio (caricamento).

Risoluzione resolution

Per risolvere problemi di questo tipo, contatta Azure per verificare le autorizzazioni di lettura/scrittura, determinate da identità/autorizzazione (RBAC o SAS).

L’accesso in lettura e scrittura nell’archiviazione BLOB di Azure non è definito da quale IP chiamante è inserito nella whitelist.

L'IP è un gate di rete (che può parlare con l'account di archiviazione), mentre le autorizzazioni di lettura/scrittura sono determinate dall'identità/autorizzazione (RBAC o SAS).

Come viene effettivamente determinato l’accesso

Autorizzazione: ruoli e autorizzazioni SAS
L’archiviazione BLOB di Azure supporta più meccanismi di autorizzazione:

Azure AD + RBAC (consigliato)

Assegni ruoli quali:
- Storage Blob Data Reader → sola lettura
- Storage Blob Data Contributor → lettura/scrittura/eliminazione
Questi ruoli definiscono le autorizzazioni di lettura e scrittura per BLOB e contenitori.
Consulta le operazioni e il mapping RBAC per l'archiviazione in: Documentazione di controllo degli accessi basata sul ruolo di Azure

Firme di accesso condiviso (SAS)

Un token SAS codifica:
- Autorizzazioni tramite sp (ad esempio: sp=r per lettura, sp=rw per lettura e scrittura, sp=rwdl per elenco CRUD + completo).
- Restrizione IP opzionale tramite sip (IP o intervallo IP consentiti per l'utilizzo di tale token).

Le Microsoft Azure Essentials: Fundamentals of Azure mostrano un esempio SAS:

code language-none
`&sp=r # read permission &sip=168.1.5.60-168.1.5.70 # allowed IP range`

Il parametro sp controlla la lettura/scrittura; sip limita solo l'origine della richiesta.

Chiavi account (chiave condivisa)
- Lettura/scrittura completa a livello di account se utilizzata direttamente; sconsigliata per un accesso dettagliato e generalmente sconsigliata negli ambienti Adobe.

Controlli di rete/IP: firewall e SAS sip

Questi controllano se una richiesta può raggiungere l'account, non cosa può fare:
- Firewall account di archiviazione/regole di rete virtuale
  - È possibile consentire a intervalli IP pubblici o set VNet specifici di accedere all’account di archiviazione.
  - Ciò vale indipendentemente dal fatto che il chiamante esegua operazioni di lettura o scrittura; le autorizzazioni provengono ancora da RBAC o SAS.
  - Documentazione di Microsoft: Sicurezza di rete dell'account di archiviazione
- SAS sip(intervallo IP)
  - Parametro facoltativo su un token SAS che limita gli IP da cui è possibile utilizzare il token.
  - Tuttavia, le operazioni consentite sono definite da sp (autorizzazioni); l'IP si limita a limitare gli utenti che possono esercitare tali autorizzazioni.

Documentazione pertinente sull’archiviazione BLOB di Azure

Riferimenti principali per l’apprendimento di Microsoft:

Concetti generali del servizio di archiviazione BLOB e della sicurezza

Documentazione Archiviazione Blob
Operazioni RBAC per l'archiviazione (azioni del piano dati come lettura/scrittura/eliminazione)

Documentazione sul controllo degli accessi basato sul ruolo di Azure
Regole di rete/firewall per gli account di archiviazione e la inserire nell'elenco Consentiti di IP

Protezione di rete dell'account di archiviazione
SAS e SAS di delega utente (autorizzazioni codificate nel token)

Crea SAS di delega utente

Insieme, questi documenti chiariscono che l'autorizzazione (RBAC/SAS) definisce la modalità di lettura/scrittura, mentre le impostazioni IP (firewall o SAS sip) limitano la provenienza delle chiamate autorizzate.

recommendation-more-help

3d58f420-19b5-47a0-a122-5c9dab55ec7f