【Azure API Management】实现在API Management服务中使用MI(管理标识 Managed Identity)访问启用防火墙的Storage Account

API,Identity,MI,标识 · 浏览次数 : 64

小编点评

**步骤 1：启用API服务的MI并添加存储帐户 RBAC访问权限** 1. 在API Management的服务管理界面中，导航到“MI（管理标识）”。 2. 点击“添加”。 3. 输入“Storage Account Data Owner”为用户名。 4. 选择“Storage Account Data Contributor”和“Storage Blob Data Reader”权限。 5. 点击“确定”。 **步骤 2：在Storage Account的网络中添加APIM服务的实例** 1. 在Storage Account的网络设置页面中，点击“添加”。 2. 输入“Microsoft.ApiManagement/service”。 3. 选择“APIM 服务”。 4. 在“Instance Name”中输入APIM服务的名称。 **步骤 3：为APIM中的接口添加 authentication-managed-identity Policy** 1. 在API的Inbound策略中，点击“添加”。 2. 输入<authentication-managed-identity resource=\"https://storage.azure.com/\" />。 3. 将资源内容设置为<storage.azure.com>。 **完整 Policy 内容：** ```json { "inbound": { "base": "/", "authentication-managed-identity resource=\"https://storage.azure.com/" } } ``` **测试访问** 1. 在API Management服务管理界面中，选择“测试访问”。 2. 输入 API 的 URL 和凭证。 3. 点击“测试”。 4. 应该成功访问Storage Account中的文件。

正文

问题描述

在Azure的同一数据中心，API Management访问启用了防火墙的Storage Account，并且把APIM的公网IP地址设置在白名单。但访问依旧是403

原因是：

存储帐户部署在同一区域中的服务使用专用的 Azure IP 地址进行通信。因此，不能基于特定的 Azure 服务的公共出站 IP 地址范围来限制对其的访问。

在Storage Account的网络设置页面，有一个功能可以通过管理标识(Managed Identity)的方式访问Storage Account。

Specify resource instances that will have access to your storage account based on their system-assigned managed identity.

根据系统分配的托管标识指定有权访问存储帐户的资源实例。

所以，如上图所示，可以通过管理标识来指定APIM服务的实例来访问Storage Account中的文件。本文就介绍 [在API Management服务中使用MI(管理标识 Managed Identity)访问启用防火墙的Storage Account]

实现步骤

第一步：启用APIM服务的MI，并添加Storage Account 的RBAC访问权限

注意：不是开发者门户部分的Identity，而是APIM 安全部分的 Managed identities

以下权限均可以访问Storage Account：

Storage Account Data Owner
Storage Blob Data Contributor
Storage Blob Data Reader

第二步：在Storage Account的Network中，添加APIM 服务访问实例，以及选择正确的MI

在Resource type中选择 Microsoft.ApiManagement/service
在Instance name中选择APIM服务名称

第三步：为APIM中的接口添加 authentication-managed-identity Policy

在API的Inbound策略中，添加 <authentication-managed-identity resource="https://storage.azure.com/" />， resource内容不变。即使在中国区，也是使用 storage.azure.com域名
访问Storage Account，必须携带 x-ms-version header，为了避免每次手动输入，所以在此处添加 set-header 策略来设置 x-ms-version 的值

完整的Polciy内容：

<policies>
    <inbound>
        <base />
        <authentication-managed-identity resource="https://storage.azure.com/" />
        <set-header name="X-Ms-Version" exists-action="override">
            <value>2022-11-02</value>
        </set-header>
    </inbound>
    <backend>
        <base />
    </backend>
    <outbound>
        <base />
    </outbound>
    <on-error>
        <base />
    </on-error>
</policies>

测试访问，成功！

参考资料

Storage Account允许从 Internet IP 范围进行访问： https://docs.azure.cn/zh-cn/storage/common/storage-network-security?tabs=azure-portal#grant-access-from-an-internet-ip-range

Authenticate with managed identity : https://learn.microsoft.com/en-us/azure/api-management/authentication-managed-identity-policy#examples

【Azure API Management】实现在API Management服务中使用MI(管理标识 Managed Identity)访问启用防火墙的Storage Account

小编点评

正文

问题描述

实现步骤

第一步：启用APIM服务的MI，并添加Storage Account 的RBAC访问权限

第二步：在Storage Account的Network中，添加APIM 服务访问实例，以及选择正确的MI

第三步：为APIM中的接口添加 authentication-managed-identity Policy

测试访问，成功！

参考资料

与【Azure API Management】实现在API Management服务中使用MI(管理标识 Managed Identity)访问启用防火墙的Storage Account相似的内容：

【Azure API Management】实现在API Management服务中使用MI(管理标识 Managed Identity)访问启用防火墙的Storage Account

【Azure API 管理】APIM如何实现对部分固定IP进行访问次数限制呢？如60秒10次请求

【Azure API 管理】Azure APIM服务集成在内部虚拟网络后，在内部环境中打开APIM门户使用APIs中的TEST功能失败

【Azure API 管理】APIM中证书更新问题

【Azure 应用服务】调用Azure REST API来获取 App Service的访问限制信息(Access Restrictions)以及修改

【Azure Developer】如何通过Azure Portal快速获取到对应操作的API并转换为Python代码

【Azure 存储服务】使用REST API操作Azure Storage Table，删除数据(Delete Entity)

【Azure 存储服务】记一次调用Storage Blob API使用 SharedKey Authorization出现的403错误

【Azure Developer】使用 Microsoft Graph API查看用户状态和登录记录

【Azure Developer】使用 Microsoft Graph API 获取 AAD User 操作示例

# 热门排行