问题描述
想要限制分配给用户的托管标识(Managed Identity)只能在存储帐户中读取和写入表。在门户中的IAM界面上分配角色时,用户发现没有与表相关的角色选项。用户想知道为什么没有这些角色选项,并且不想使用SAS(Shared Access Signature)。
解决方案
请注意以下操作注意版本差异及修改前做好备份。
方案1
目前,Azure Table Storage不支持使用托管标识访问。在官方文档中列出了支持托管标识的服务,但Azure Table Storage并不在其中。
根据文档,Azure Table Storage只允许使用帐户密钥进行身份验证,因此SAS身份验证在这里也不适用。
一个可能的解决方案如下:
1. 创建Azure Key Vault,并将帐户密钥存储为一个秘密。
2. 将权限分配给托管标识,使其能够访问密钥保管库。
3. 在运行时使用托管标识从密钥保管库获取密钥。
4. 使用密钥访问Azure Table Storage。
作为额外的步骤,您可以创建一个单独的存储帐户,仅用于存储表。通过这种方法,您应该能够正确限制对表服务的访问。
方案2
使用脚本或工具来管理容器的启动顺序可能会增加复杂性,并且需要确保容器A和容器B之间的依赖关系正确设置。
另一种方法是编写脚本或使用工具来控制容器的运行顺序。您可以使用docker run命令来手动控制容器的启动顺序,或者使用一些第三方工具来管理容器的依赖关系。
示例:
以下是一个简单的bash脚本示例,可以在容器A启动后启动容器B:
#!/bin/bash
# 启动容器A
docker run -d --name container_a your_image_a
# 等待容器A完全启动
while ! docker exec container_a echo "Container A is ready"; do
sleep 1
done
# 启动容器B
docker run -d --name container_b your_image_b
在这个示例中,我们首先使用docker run命令启动容器A,并将其命名为container_a。然后,使用一个循环来等待容器A完全启动(这里是通过在容器内运行echo命令来测试)。一旦容器A就绪,我们再使用docker run命令启动容器B,并将其命名为container_b。