我已经设置了一个包含 1 个容器和 2 个目录(dirA 和 dirB)的数据湖。用户 X 在目录 dirA 上设置了 ACL 的 rwx,用户 Y 在目录 dirB 上设置了 ACL 的 rwx。 目标是授予用户 X 对 dirA 目录的完全访问权限,但不能访问 dirB 目录。同样,用户 Y 可以完全访问 dirB,但无法访问 dirA。从 RBAC 的角度来看,我已为用户 X 和 Y 授予存储帐户上的“读取者”角色。 一切看起来都很好。用户可以上传、下载和删除各自文件夹中的文件。但是,删除文件后,用户无法在“活动和软删除 Blob”下看到已删除的文件。
如果我授予“贡献者”角色,则用户可以查看已删除的 blob,但它破坏了其他权限规则,即用户 X 现在也可以查看 dirB。 设置的最小权限是多少,以便用户可以在自己的目录中工作并能够查看已删除的文件。
我正在使用 Azure 存储资源管理器进行测试。如果需要任何进一步的信息,请告诉我。谢谢。
用户可以上传、下载和删除各自文件夹中的文件。但是,删除文件后,用户无法在“活动和软删除 Blob”下看到已删除的文件。
根据此MS-Document:
Storage Blob Data Reader
或 Storage Blob Data Contributor
角色。您可以参考此MS-Document,通过路径在容器级别分配
Storage Blob Data Reader
角色。
传送门:
上述条件将允许特定用户访问具有特定权限的特定文件夹,例如(X 用户将访问 dirA,Y 用户将访问 dirB)。通过此设置,用户可以在自己的目录中工作并查看已删除的文件。