Fazer upload do arquivo para o armazenamento de blobs do Azure - CRL-290029 Proibido

Last update: Tue Apr 21 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

Este artigo aborda o problema do Campaign v7 em que você só pode ler arquivos, mas não pode gravar arquivos no armazenamento de blobs. Para resolver isso, entre em contato com a Azure para verificar as permissões de leitura/gravação, que são determinadas pela identidade/autorização (RBAC ou SAS).

Descrição description

Ambiente

Adobe Campaign

Problema/Sintomas

Você está integrando o Adobe Campaign v7 com o Adobe Experience Platform e criou um fluxo de trabalho conforme descrito em Criar um fluxo de trabalho de exportação no Campaign Classic na Documentação do Campaign Classic v7. Isso é para exportar dados do ACC para o local de armazenamento de blobs do Azure.
Você tenta adicionar uma atividade de transferência de arquivos (upload de arquivo de ação) ao Azure Blob. Nos logs da Trilha de Auditoria, você vê um erro semelhante a:

Erro CRL-290182 ao carregar 'https://xxxx002.blob.core.windows.net/campaign/xxxAEP/Feedback/envioCDP.csv' para o Azure Blob Storage (código CRL-290029 Proibido - o servidor entendeu a solicitação, mas se recusa a atendê-la)

O resultado é que você pode ler arquivos do armazenamento de blobs (download), mas não pode gravar arquivos lá (upload).

Resolução resolution

Para resolver problemas como esse, entre em contato com a Azure para verificar as permissões de leitura/gravação, que são determinadas pela identidade/autorização (RBAC ou SAS).

O acesso de leitura vs. gravação no Azure Blob Storage não é definido pelo IP do chamador que está na lista de permissões.

IP ➡ incluir na lista de permissões é uma porta de rede (que pode se comunicar com a conta de armazenamento), enquanto as permissões de leitura/gravação são determinadas pela identidade/autorização (RBAC ou SAS).

Como o acesso é realmente determinado

Autorização: funções e permissões SAS
O Azure Blob Storage é compatível com vários mecanismos de autorização:

Azure AD + RBAC (recomendado)

Você concede funções como:
- Storage Blob Data Reader → somente leitura
- Storage Blob Data Contributor → ler/gravar/excluir
Essas funções são o que define permissões de leitura vs. gravação em blobs e contêineres.
Consulte as operações e o mapeamento RBAC para armazenamento em: documentação de controle de acesso baseado em função do Azure

Assinaturas de Acesso Compartilhado (SAS)

Um token SAS codifica:
- Permissões via sp (Por exemplo: sp=r para leitura, sp=rw para leitura+gravação, sp=rwdl para CRUD + lista completa).
- Restrição de IP opcional via sip (IP ou intervalo de IP permitido para usar esse token).

O Microsoft Azure Essentials: fundamentos do Azure mostra um exemplo de SAS:

code language-none
`&sp=r # read permission &sip=168.1.5.60-168.1.5.70 # allowed IP range`

O parâmetro sp controla leitura/gravação; sip restringe apenas de onde a solicitação pode se originar.

Chaves da conta (chave compartilhada)
- Leitura/gravação completa em nível de conta, se usada diretamente; não recomendado para acesso refinado e geralmente desencorajado em ambientes Adobe.

Controles de rede/IP: firewalls e SAS sip

Estes controlam se uma solicitação pode acessar a conta, não o que ela pode fazer:
- Firewall de conta de armazenamento / regras de rede virtual
  - Você pode permitir que intervalos IP públicos específicos ou VPNs acessem a conta de armazenamento.
  - Isso se aplica independentemente de o chamador estar fazendo leituras ou gravações; as permissões ainda vêm de RBAC ou SAS.
  - Documentação do Microsoft: Segurança de rede da conta de armazenamento
- SAS sip(intervalo IP)
  - Parâmetro opcional em um token SAS que restringe os IPs dos quais esse token pode ser usado.
  - Ainda assim, as operações permitidas são definidas por sp (permissões); o IP apenas restringe quem pode exercer essas permissões.

Documentação relevante do Azure Blob Storage

Principais referências do Microsoft Learn:

Serviço geral de armazenamento de blobs e conceitos de segurança

Documentação de armazenamento de blobs
Operações RBAC para armazenamento (ações de plano de dados como leitura/gravação/exclusão)

Documentação de controle de acesso baseado em função do Azure
Regras de rede/firewall para contas de armazenamento e IP em incluir na lista de permissões

Segurança de rede da conta de armazenamento
SAS e SAS de delegação de usuário (permissões codificadas no token)

Criar SAS de delegação de usuário

Juntos, esses documentos deixam claro que a autorização (RBAC/SAS) define leitura/gravação, enquanto as configurações de IP (firewalls ou SAS sip) apenas restringem de onde essas chamadas autorizadas podem vir.

recommendation-more-help

3d58f420-19b5-47a0-a122-5c9dab55ec7f