У нас есть учетная запись хранилища Azure, доступ к которой нам необходим в нашей компании, но она также должна быть доступна для одного из наших веб-приложений в той же группе ресурсов. Это приложение доступно только нашей компании и некоторым другим приложениям, которые используют некоторые его части.
Таким образом, путь выглядит примерно так:
Учетная запись хранения (защищена для App1 и нашей компании) <= App1 (Защищена для других приложений и нашей компании)
Мой вопрос: Как защитить/настроить учетную запись хранения, чтобы приложение 1 могло ее использовать, но оно по-прежнему доступно только нашей компании без использования виртуальной сети?
В настоящее время в учетной записи хранения есть только исключение для нашей компании. И "Разрешить службам Azure в списке надежных служб доступ к этой учетной записи хранения". параметр разрешен, который я прочитал в какой-то теме Technet, что он должен разрешать доступ к ресурсам в той же подписке на учетную запись хранения, чего, к сожалению, нет, поскольку веб-приложения, похоже, по какой-то причине не входят в список надежных.
App1-это .NET Framowork 4.8, подключающийся к хранилищу в учетной записи через строку соединения и использующий внутри него контейнер. Когда сетевая безопасность отключена, все работает правильно.
До сих пор я пробовал следующее:
- Разрешение всех исходящих адресов App1 в учетной записи хранения FW
- Присвоение идентификатора App1 и присвоение ему роли Участника данных большого двоичного объекта хранилища по подписке lvl в соответствии с этим руководством https://docs.microsoft.com/en-us/azure/app-service/scenario-secure-app-access-storage?tabs=azure-portal%2Cprogramming-language-csharp
Есть ли какой-нибудь вариант, который мог бы помочь, прежде чем мы начнем возиться с внешними сетями, которые должны работать?