我正在尝试设置Blob触发函数,但我不希望将连接字符串与所述函数共享到我的存储帐户。
理论上,由于Blob存储与Azure Active Directory集成,因此应该可以在我的Blob容器上提供正确的RBAC权限,以便函数的标识(托管服务标识(具有创建触发器和从Blob读取所需的任何权限。
然而,我还没有找到实现这一目标的方法。
我发现的所有选项都涉及使用完整的连接字符串,这将使函数完全控制存储帐户。
有什么方法可以实现我想要的吗?
截至2021-09-06,这现在可以通过以下方式实现:
- 对事件使用事件网格(而不是直接使用blob触发器,它仍然需要与以前相同的ConnectionString(
- 使用此处描述的方法读取blob的内容:https://learn.microsoft.com/en-us/samples/azure-samples/functions-storage-managed-identity/using-managed-identity-between-azure-functions-and-azure-storage/