代码之家 › 专栏 › 技术社区 › mark

terraform是否可以使用服务主体凭据而不是访问密钥向azure存储容器进行身份验证?

azure-blob-storage terraform azure

mark · 技术社区 · 2 年前

我有一个服务主体,它是某个存储容器中的数据Blob贡献者。我检查了,可以使用Azure CLI在该容器中上传/下载/删除Blob --auth-mode login 参数,而不传递访问密钥。

然而,当我跑步时 terraform init 对于针对相同存储容器的相同服务主体,我得到的是:

Initializing the backend...
â·
â Error: Failed to get existing workspaces: Error retrieving keys for Storage Account "app541certfremotebackend": storage.AccountsClient#ListKeys: Failure responding to request: StatusCode=403 -- Original Error: autorest/azure: Service returned an error. Status=403 Code="AuthorizationFailed" Message="The client '53bfcd5f-0906-4043-bda0-84cacf6ce9d0' with object id '53bfcd5f-0906-4043-bda0-84cacf6ce9d0' does not have authorization to perform action 'Microsoft.Storage/storageAccounts/listKeys/action' over scope '/subscriptions/4...d/resourceGroups/a...2/providers/Microsoft.Storage/storageAccounts/a...d' or the scope is invalid. If access was recently granted, please refresh your credentials."
â
â
âµ

使用访问密钥需要我们授予服务主体一个包含操作的角色 Microsoft.Storage/storageAccounts/listKeys/action 。最接近的内置角色是 Reader And Data Access 。

我真的不喜欢它,因为有了访问密钥,就不可能访问存储帐户中的所有存储容器了吗?

是否可以通过利用RBAC使其在没有访问密钥的情况下工作?

0 回复 | 直到 2 年前

mark 2 年前

是的,这是经典的RTF M时刻。根据 https://developer.hashicorp.com/terraform/language/settings/backends/azurerm 我可以设置 use_azuread_auth = true 在后端配置中。

我测试了它,它真的很管用。

推荐文章

chetan · 将弹性IP连接到Terraform中的多个EC2实例

2 年前

Heritage Squad · 如何使节点组模块中的每个实例都使用特定的安全组?

2 年前

Christian Townsend · 如何从Terraform中的ElastiCache获取cache_节点地址?

2 年前

Tejesh Avadanam · 如何使用terraform在vpc上运行金丝雀?

2 年前

ismbyc · Terraform aws物联网站点资源

2 年前

hammer89 · Terraform:“解码JSON时出错:JSON:无法将字符串解组到Go struct field ContainerDefinition”aws\u ecs\u task\u definition resource

2 年前

hmt1517 · 我们可以使用terraform在关闭状态下部署azure vm吗?

2 年前

aa-sum · Terraform:如何迭代对象中的多个值

2 年前

vikram · 如何在aws中使用terraform设置多主群集

2 年前

aRTURIUS · Terraform for_每个问题的数据类型

3 年前