Ladda upp fil till Azure blob storage - CRL-290029 Forbidden
I den här artikeln behandlas Campaign v7-problemet, där du bara kan läsa filer, men inte skriva filer i blobblagringen. Kontakta Azure för att kontrollera läs- och skrivbehörigheter som bestäms av identitet/auktorisering (RBAC eller SAS).
Beskrivning description
Miljö
Adobe Campaign
Problem/symtom
- Du integrerar Adobe Campaign v7 med Adobe Experience Platform och du har skapat ett arbetsflöde enligt beskrivningen i Skapa ett exportarbetsflöde i Campaign Classic i Campaign Classic v7-dokumentationen. Detta görs för att exportera data från ACC till Azure blob-lagringsplats.
- Du försöker lägga till en filöverföringsaktivitet (Action-File-överföring) i Azure Blob. I loggarna för granskningsspår visas ett fel som liknar:
CRL-290182 Fel uppstod vid överföring av https://xxxx002.blob.core.windows.net/campaign/xxxAEP/Feedback/envioCDP.csv' till Azure Blob Storage (kod CRL-290029 Ej tillåtet - Servern förstod begäran men vägrar att uppfylla den)
Resultatet är att du kan läsa filer från blobblagringen (hämtning), men inte skriva filer där (överföring).
Upplösning resolution
Kontakta Azure för att kontrollera läs- och skrivbehörigheter som bestäms av identitet/auktorisering (RBAC eller SAS) för att lösa problem som detta.
Läs- och skrivåtkomst i Azure Blob Storage definieras inte av vilken anropares-IP vitlistas.
IP-tillåtelselistning är en nätverksport (som kan kommunicera med lagringskontot över huvud taget), medan läs-/skrivbehörigheter bestäms av identitet/auktorisering (RBAC eller SAS).
Hur åtkomsten bestäms
-
Behörighet: roller och SAS-behörigheter
Azure Blob Storage har stöd för flera olika autentiseringsmekanismer:-
Azure AD + RBAC (rekommenderas)
-
Du tilldelar roller som:
Storage Blob Data Reader→ skrivskyddadStorage Blob Data Contributor→ läs/skriv/ta bort
-
De här rollerna definierar läs- och skrivbehörigheter för blober och behållare.
-
Se åtgärderna och RBAC-mappningen för lagring i: Azure rollbaserad dokumentation för åtkomstkontroll
SAS (Shared Access Signatures)
-
En SAS-token kodar:
- Behörigheter via
sp(till exempel:sp=rför läsning,sp=rwför läsning+skrivning,sp=rwdlför fullständig CRUD±lista). - Valfri IP-begränsning via
sip(IP- eller IP-intervall tillåts använda denna token).
- Behörigheter via
-
Microsoft Azure Essentials: Fundamentals of Azure visar ett SAS-exempel:
code language-none &sp=r # read permission &sip=168.1.5.60-168.1.5.70 # allowed IP range- Parametern
spstyr läs- och skrivbehörighet.sipbegränsar bara varifrån begäran kan komma.
- Parametern
-
-
Kontonycklar (delad nyckel)
- Fullständig läsning/skrivning på kontonivå, om den används direkt, rekommenderas inte för finjusterad åtkomst och rekommenderas i allmänhet inte i Adobe-miljöer.
-
-
Nätverks-/IP-kontroller: brandväggar och SAS
sipDessa styr om en begäran kan nå kontot, inte vad den kan göra:
-
Brandvägg för lagringskonto/regler för virtuellt nätverk
- Du kan tillåta specifika offentliga IP-intervall eller VNets att komma åt lagringskontot.
- Detta gäller oavsett om anroparen gör läs- eller skrivåtgärder. Behörigheterna kommer fortfarande från RBAC eller SAS.
- Microsoft-dokumentation: Nätverkssäkerhet för lagringskonto
-
SAS
sip(IP-intervall)- Valfri parameter för en SAS-token som begränsar från vilka IP-adresser denna token kan användas.
- De åtgärder som tillåts definieras fortfarande av
sp(behörigheter). IP-adressen är bara smalare som kan använda dessa behörigheter.
-
Relevant dokumentation för Azure Blob Storage
Viktiga Microsoft Learn-referenser:
-
Generell blogglagringstjänst och säkerhetskoncept
-
RBAC-åtgärder för lagring (dataplan-åtgärder som read/write/delete)
-
Nätverks-/brandväggsregler för lagringskonton och IP-tillåtelselistning
-
SAS och SAS som delegeras av användare (behörigheter kodade i token)
Tillsammans klargör dessa dokument att auktorisering (RBAC/SAS) definierar läs/skrivning, medan IP-inställningar (brandväggar eller SAS sip) bara begränsar varifrån auktoriserade samtal kommer.