Azure blob 저장소에 파일 업로드 - CRL-290029 금지됨

권한 부여: 역할 및 SAS 권한
Azure Blob 저장소는 여러 인증 메커니즘을 지원합니다.

• Azure AD + RBAC (권장)

  • 다음과 같은 역할을 부여합니다.

    • Storage Blob Data Reader → 읽기 전용
    • Storage Blob Data Contributor → 읽기/쓰기/삭제

  • 이러한 역할은 Blob 및 컨테이너에 대한 읽기 및 쓰기 권한을 정의하는 역할을 합니다.

  • Azure 역할 기반 액세스 제어 설명서에서 저장소에 대한 작업 및 RBAC 매핑을 참조하십시오.

  SAS(공유 액세스 서명)

  • SAS 토큰 인코딩:

    • sp을(를) 통한 권한(예: 읽기는 sp=r, 읽기는 sp=rw, 전체 CRUD + 목록은 sp=rwdl).
    • sip을(를) 통한 선택적 IP 제한(해당 토큰을 사용할 수 있는 IP 또는 IP 범위).

  • Microsoft Azure Essentials: Azure의 기본 사항은 SAS 예를 보여 줍니다.

    code language-none
    &sp=r # read permission &sip=168.1.5.60-168.1.5.70 # allowed IP range

    • sp 매개 변수는 읽기/쓰기를 제어합니다. sip은(는) 요청이 발생할 수 있는 위치만 제한합니다.

• 계정 키(공유 키)

  • 전체 계정 수준 읽기/쓰기(직접 사용하는 경우). 세분화된 액세스에는 권장되지 않으며 일반적으로 Adobe 환경에서는 권장되지 않습니다.

네트워크/IP 컨트롤: 방화벽 및 SAS sip

이러한 컨트롤은 무엇을할 수 있는 것이 아니라 요청이 계정에 도달할 수 있는지 여부를 제어합니다.

• 저장소 계정 방화벽/가상 네트워크 규칙

  • 특정 공개 IP 범위 또는 VNet가 저장소 계정에 액세스하도록 허용할 수 있습니다.
  • 이는 호출자가 읽기 또는 쓰기를 수행하는지 여부에 관계없이 적용됩니다. 권한은 여전히 RBAC 또는 SAS에서 제공됩니다.
  • Microsoft 설명서: 저장소 계정 네트워크 보안

• SAS sip(IP 범위)

  • 해당 토큰을 사용할 수 있는 IP를 제한하는 SAS 토큰의 선택적 매개 변수입니다.
  • 허용되는 작업은 sp(권한)에 의해 정의됩니다. IP는 이러한 권한을 행사할 수 있는 사용자 범위를 좁힐 뿐입니다.