セゾン情報システムズ Advent Calendar 2021 19日目の記事です。
特定のBlob Storageのみに閲覧権限を付与する方法です。
設定内容
- ストレージアカウントのIAMで「ストレージ BLOB データ閲覧者」と「閲覧者」の2つのロールを付与する必要があります。
- 一見「ストレージ BLOB データ閲覧者」のみでよさそうですが、「閲覧者」ロールがないとポータル上で表示できないため注意が必要です。このあたりは 公式ドキュメント にも書かれています。
やってみます
該当のストレージアカウントのIAMから[ロールの割り当ての追加]を選択します。
まずは[閲覧者]ロールを選んで次へを選択します。
ロールを付与するユーザーを選択し権限を割り当てます。
同じように「ストレージ BLOB データ閲覧者」ロールも付与します。
ポータルからどう見えてくるか
ポータルにログインして[すべてのリソース]を見てみると、先ほど権限付与したストレージアカウントだけが表示されていることが分かります。
オブジェクトが表示できてますね。ダウンロードもできます。
コンテナーにオブジェクトをアップロードしようとすると403エラーになります。
「ストレージ BLOB データ閲覧者」だけだとAzure Portalにリスト表示する権限を持たないところが注意が必要ですね。
以上