无法在Azure中使用系统分配的托管身份进行blob存储操作。
问题描述 投票:0回答:1
获取 "服务器未能验证该请求。确保授权头的值正确形成,包括签名。" 在尝试使用C#语言在Azure中使用系统分配的托管身份时出现错误。
遵循的步骤是
- 创建了一个新的虚拟机,并启用了身份识别(系统分配)。
- 在IAM中使用存储账户中的角色分配添加了虚拟机。
- 能够使用C#生成令牌
- 但在读取blob时出现异常,以下是异常详情
Server failed to authenticate the request. Make sure the value of Authorization header is formed correctly including the signature.
at Microsoft.Azure.Storage.Core.Executor.Executor.<ExecuteAsync>d__1`1.MoveNext()
--- End of stack trace from previous location where exception was thrown ---
at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
at Microsoft.Azure.Storage.Blob.CloudBlockBlob.<DownloadTextAsync>d__72.MoveNext()
程序类
class Program
{
static void Main(string[] args)
{
try
{
var blob = new AzureCloudBlob();
Console.WriteLine(blob.ReadBlob());
}
catch (Exception ex)
{
Console.WriteLine(ex.Message);
Console.WriteLine(ex.StackTrace);
}
}
}
AzureCloudBlob类,用于使用系统分配的托管身份访问令牌连接和读取blob。
class AzureCloudBlob
{
public CloudBlockBlob CreateConnection()
{
var token = GetToken();
var tokenCredentials = new TokenCredential(token);
var storageCredentials = new StorageCredentials(tokenCredentials);
var serviceUri = new Uri("https://mystorageacc.blob.core.windows.net/practice/blob.txt");
return new CloudBlockBlob(serviceUri, storageCredentials);
}
public string ReadBlob()
{
var client = CreateConnection();
var blobClient = client.DownloadTextAsync();
var data = blobClient.Result;
return data;
}
public string GetToken()
{
var request = (HttpWebRequest)WebRequest.Create("http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/");
request.Headers["Metadata"] = "true";
request.Method = "GET";
try
{
var response = (HttpWebResponse)request.GetResponse();
var streamResponse = new StreamReader(response.GetResponseStream());
string stringResponse = streamResponse.ReadToEnd();
var list = (Dictionary<string, string>)JsonConvert.DeserializeObject(stringResponse, typeof(Dictionary<string, string>));
string accessToken = list["access_token"];
Console.WriteLine(accessToken);
return accessToken;
}
catch (Exception e)
{
string errorText = String.Format("{0} \n\n{1}", e.Message, e.InnerException != null ? e.InnerException.Message : "Acquire token failed");
Console.WriteLine(errorText);
return errorText;
}
}
}
1个回答
1
投票
投票
如果你想使用Azure AD auth访问Azure存储,我们应该使用 resouce=https://storage.azure.com/ 来获取Azure AD访问令牌。但你使用 resource=https://management.azure.com/. 请更换。此外,请注意,您需要为MSI分配正确的角色。角色应该是 储存Blob数据读取器, 存储Blob数据贡献者 或 存储Blob数据所有者.
具体步骤如下
在 Azure 虚拟机上启用系统分配的托管身份。
$vm = Get-AzVM -ResourceGroupName myResourceGroup -Name myVM Update-AzVM -ResourceGroupName myResourceGroup -VM $vm -AssignIdentity:$SystemAssigned在存储账户范围内为MSI分配角色。
$sp =Get-AzADServicePrincipal -displayname "<your VM name>" New-AzRoleAssignment -ObjectId $sp.id ` -RoleDefinitionName "Storage Blob Data Reader" ` -Scope "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>"编码
class Program { static void Main(string[] args) { //get token string accessToken = GetMSIToken("https://storage.azure.com/"); //create token credential TokenCredential tokenCredential = new TokenCredential(accessToken); //create storage credentials StorageCredentials storageCredentials = new StorageCredentials(tokenCredential); Uri blobAddress = new Uri("<URI to blob file>"); //create block blob using storage credentials CloudBlockBlob blob = new CloudBlockBlob(blobAddress, storageCredentials); //retrieve blob contents Console.WriteLine(blob.DownloadText()); Console.ReadLine(); } static string GetMSIToken(string resourceID) { string accessToken = string.Empty; // Build request to acquire MSI token HttpWebRequest request = (HttpWebRequest)WebRequest.Create("http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=" + resourceID); request.Headers["Metadata"] = "true"; request.Method = "GET"; try { // Call /token endpoint HttpWebResponse response = (HttpWebResponse)request.GetResponse(); // Pipe response Stream to a StreamReader, and extract access token StreamReader streamResponse = new StreamReader(response.GetResponseStream()); string stringResponse = streamResponse.ReadToEnd(); JavaScriptSerializer j = new JavaScriptSerializer(); Dictionary<string, string> list = (Dictionary<string, string>)j.Deserialize(stringResponse, typeof(Dictionary<string, string>)); accessToken = list["access_token"]; return accessToken; } catch (Exception e) { string errorText = String.Format("{0} \n\n{1}", e.Message, e.InnerException != null ? e.InnerException.Message : "Acquire token failed"); return accessToken; } } }
最新问题
- 如何在Jpa实体生命周期回调中使用JpaRepository方法?
- 是否有 Perl 模块/一种将对象的方法包装在子例程中的简单方法?
- 如果 2 个不同 CSV 文件中 2 个不同行的元素使用 Bash 脚本匹配,则添加数据
- 如何模拟completionHandler风格的代码,可以立即返回和/或通过async/await异步返回?
- Windows11上Python打包安装,但调用时找不到
- Dask 将 dtype 设置为整数数组
- 使用java使用fabric.io获取当前部署名称
- 使用 VS code 设置本地环境以测试 Azure Function 的问题
- 如何使用 Microsoft Graph API 或 C# SDK 设置密码轮换策略
- AttributeError:模块“sent2vec”没有属性“Sent2VecModel”
- 我无法使用vscode中的选项来完成属性
- Azure Databricks SQL 执行 API
- 将 CSV 文件中的数据存储到二维数组
- 如何在逻辑应用中导出不枚举的查询结果?
- 是否可以根据字母名称在 JSON 响应结构中挑选出一个元素
- 使用 .keyword 进行 Elasticsearch 聚合不会返回结果
- 如何在oracle中创建表
- 我正在尝试在 ADF 中创建管道,并且在记事本中打开的 CSV 文件看起来像这样 ColA、ColB、ColC、ColD、、、、、、、、、、、、、、、、、
- 由于节点以某种方式配置错误(所需组被禁用),kubelet 不健康
- Ansible 正则表达式替换匹配但排除同一行中的其他匹配
© www.soinside.com 2019 - 2024. All rights reserved.