私はAzureストレージアカウントを持ち、同僚に読み取りアクセスを許可します。すべてのアイデンティティは同じAzure Active Directoryにあるため、彼をAzureポータルのAccess Controlブレードの「Reader」ロールに簡単に追加できました。Microsoft Azureストレージエクスプローラーがリーダーロールユーザーのキーを取得できませんでした
Microsoft Azure Storage Explorerを開くと、サブスクリプションアカウントとストレージアカウントは表示されますが、Blobコンテナのノードは展開できません。例外:
ストレージアカウントのキーを取得できませんでした。あなたがこれは正常な動作です 適切な権限
を持っていることを確認してください。基本的にストレージキーを一覧表示するには、ユーザーはlistKeysの操作を許可する役割を持っている必要があります。組み込みのReaderロールには、listKeysの操作を実行する権限がありません。
この決定の背後にある論理的根拠は、ReaderのユーザーはReadにしかなりません。挿入/更新や削除は実行できません。誰かがストレージアカウントのアカウントキーを持っているかどうかを考えれば、これらの操作を行うことができます。したがって、Readerロールのユーザーには、アカウントキーを一覧表示する権限が与えられていません。
あなたができることは、読み取り/リスト権限を持つShared Access Signature (SAS)を作成し、そのSAS URLをあなたの同僚と共有することです。その後、そのストレージアカウントのデータにアクセスできますが、作成/更新/削除操作は実行できなくなります。