Azure RBACベースのストレージアカウントへのアクセス

Question

ストレージアカウントにコントリビュータ役割が付与されているサービスプリンシパルがあります。私はそのアカウント内のコンテナを作成しようとすると

私は、次のエラーメッセージ

One-time registration of Microsoft.Storage failed - The client 'd38eaaca-1429-44ef-8ce2-3c63a62849c9' with object id 'd38eaaca-1429-44ef-8ce2-3c63a62849c9' does not have authorization to perform action 'Microsoft.Storage/register/action' over scope '/subscriptions/********' 

を受け取る私の目標は、サービスプリンシパルは、与えられたストレージアカウント内に含まれたブロブに読み取り専用で作成できるようにすることですそのストレージアカウント内のコンテナ私の原則を構成するために必要なステップは何ですか？

Answer 1

エラーについては、このスレッドをご覧ください：In Azure as a Resource Group contributor why can't I create Storage Accounts and what should be done to prevent this situation?

私の目標は、サービスプリンシパルは、与えられたストレージアカウント内に含まれたブロブ にONLY-READおよびそのストレージアカウント内のコンテナ を作成できるようにすることです。それを行うために私の の原則を設定するために必要なステップは何ですか？

現在のところ、これはできません。 RBACはAPIのコントロールプレーンにのみ適用されるためです。 RBACを使用すると、ストレージアカウントを作成/更新/削除できるユーザーを制御できます。ストレージアカウント内のデータへのアクセスは、引き続きアカウントキーによって制御されます。アカウントキーにアクセスできるユーザーは、そのストレージアカウントを完全に制御できます。