我们有云服务扩展支持(辅助角色),用于处理存储 Blob 中的数据(读/写/追加/列表等)。 当网络/公共网络访问设置为“从所有网络启用”时,一切正常,但更改为 “从选定的虚拟网络和 IP 地址启用”我们收到错误 “Microsoft.Azure.Storage.StorageException 此请求无权执行此操作” 所有 CloudBlockBlob 方法(ExistsAsync、UploadFromByteArrayAsync、DownloadToStreamAsync 等)
云服务使用应用程序注册 xxx 访问存储,该应用程序注册 xxx 创建令牌以从 Key Vault 获取存储访问密钥 应用程序注册 xxx 具有存储帐户贡献者和存储 Blob 数据贡献者角色
在容器上添加了存储 Blob 数据所有者: storageaccount -> 容器 -> 访问控制规则 -> 添加角色分配 -> 存储 Blob 数据所有者 -> 选定的应用程序注册 xxx
添加了云服务IP和本地(VPN)IP。
本地工作正常,云服务仍然出现身份验证错误。
感谢您与
x-ms-requestID
分享详细的错误消息。 403错误失败是由于IP授权失败。我们可以看到一个 ipv6 地址到达存储 FE 层。这通常在 VNET 启用服务端点时发生。您可以关注this博客并检查是否有帮助吗?另请确保您已在存储帐户中添加该 VNET 的子网,如下所示?