Ошибка авторизации Hazure Blob Blob -Blob ⇐ C#

[Anonymous]

Вот подробный и хорошо структурированный пост Stackoverflow для использования:

azure blob horage. Постоянные Проблемы авторизации при попытке загрузить файлы в azure Blob Blob Storage . Несмотря на попытки нескольких методов аутентификации (управляемая идентификация и токены SAS) , мы продолжаем получать авторизацию failure ошибки. /> [*] Backend: .NET CORE API (размещен на службе Azure App) />Managed Identity Authentication (Preferred)
[*]SAS Token Authentication (Fallback)




Our Goal
Мы должны позволить Frontend (React app) для загрузки файлов в azure Blob Blob Storage , через наш бэкэнд API надежно.

• React> Plound . Загрузка .
• backend должен Authenticate с хранилищем Blob и загрузкой от имени от имени фронта. Аутентификация идентификации , но также и попытка sas tokens из -за постоянных неудач.

Что мы пробовали
1⃣. />We enabled System-Assigned Managed Identity for our BackendAPI (Azure App Service) and assigned it the following IAM roles:

IAM Role Assignments for Managed Identity

role < /th>
scope < /th>
< /tr>
< /thead>


horeble blob blob blob < /td>

хранения < /td>

хранения < /td>

хранения>

хранение>


хранение>


хранения>

Код: Выделить всё

/subscriptions/{subscriptionId}/resourceGroups/OmegaWrap< /code> < /td>
< /tr>

 Владелец данных Blob Blob < /td>
/subscriptions/{subscriptionId}/resourceGroups/OmegaWrap/providers/Microsoft.Storage/storageAccounts/omegawrapstorage

Вот реализация backend Code , включающая в себя управляемый идентификатор , а также ссылка на документацию presense:
press>
press>
press>
press press>
Press> />

Backend Code (с использованием управляемой идентификации)

Мы изначально следовали официальной документации Microsoft (ссылка) и попытки Два разных учетных подхода

Source < /strong> < /h4>
Мы следили за документацией Microsoft < /strong> на аутентификации с помощью System-Assigned Managed Identity < /strong>:

Microsoft Docs-Assigned-Assigned in. Pr />
Microsoft Docs-System-Assigned. /> Несмотря на реализацию оба подхода , мы продолжаем получать одинаковую авторизацию failure (403) [/code] ошибка , когда наш бэкэнд пытается аутентифицировать и загружать файлы в azure blob storage .
rupt

strong>

strong>

. - AuthorizationFailure)

Код: Выделить всё

AuthorizationFailure

This request is not authorized to perform this operation.


Даже после часов ожидания для распространения роли IAM ошибка сохраняется .

Отладка, предпринятые шаги:

• Проверка Назначения.

  Код: Выделить всё

  curl -H "Metadata: true" "http://169.254.169.254/metadata/identity/oauth2/token?resource=https://storage.azure.com&api-version=2019-08-01"
  < /code>
  
   Выдается токен  < /strong>, но запросы  blob storage не сбои с AuthorizationFailure < /strong>. < /li>
  < /ul>
  
    2⃣, переход на аутентификацию sas token < /> < />   2⃣, переходя на аутентификацию SAS Token < /> < />   2⃣. Борьба с  управляемой идентичностью [/b], мы [b] сгенерировали токен SAS [/b] и попытались аутентифицировать бэкэнд таким образом. 
  [h4] [b] 📌 SAS-токен-генерация [/b] [/h4]
  
  
  
   [b] 💡 Вопросы < /strong> < /h2>
  
    Почему управляемая аутентификация идентичности провала, даже если правильные роли IAM упущены? Хранение? На уровне счета хранения (например, брандмаулл, частные конечные точки)? < /strong> < /li>
  < /ol>
  
    🛠 Дополнительная отладка < /strong> < /h2>
  
    Проверка IAM Permiss < /ress> 
   . Аутентификация.
  [*]  сгенерированные токены и подтвердили их претензии [/b] с использованием jwt.ms .
  [*] [b] подтвержденная политика доступа к учетной записи [/b], которая в настоящее время допускает доступ общедоступной сети. Изменение).
  [*] [b] Пробое явное определение DefaultaUrecredential  [/b], гарантируя, что он использует [b] Managed Identity [/b].
  [/list]
  
   [b] ❗ Запрос о помощи   
  
  Подробнее здесь: [url]https://stackoverflow.com/questions/79464480/azure-blob-storage-authorization-failure-tried-managed-identity-sas-token-wi[/url]