受媒体服务信任的存储

创建媒体服务帐户时,必须将其与存储帐户相关联。 媒体服务可以使用系统身份验证或来托管标识身份验证访问该存储帐户。 媒体服务会验证添加关联的用户是否可以使用 Azure 资源管理器 RBAC 访问存储帐户。

跨订阅存储帐户的用法

注意

当媒体服务配置为使用托管标识访问存储时,媒体服务可以使用该托管标识能够访问的任何存储帐户。

对存储使用系统身份验证时,存储帐户必须与媒体服务帐户位于同一个订阅中。 在与媒体服务帐户相同的区域使用存储帐户以避免额外的数据流出量成本。

对于这两种身份验证类型,创建或更新媒体服务帐户的主体必须对存储帐户拥有“Microsoft.Storage/storageAccounts/listkeys/action”权限。

注意

受信任的存储仅在 API 中可用,并且当前在 Azure 门户中未启用。

带有防火墙的受信任存储

但是,如果你想要使用防火墙来保护存储帐户并启用受信任的存储,则首选托管标识身份验证。 这使媒体服务可通过受信任的存储访问权限访问配置有防火墙或 VNet 限制的存储帐户。

教程

可以通过媒体服务受信任存储教程来了解有关启用受信任存储的详细信息。

注意

需要授予 AMS 托管标识存储 Blob 数据参与者访问权限,以便媒体服务能够读取和写入存储帐户。 授予通用参与者角色将不起作用,因为它不会对数据平面启用正确的权限。

延伸阅读

若要了解用托管标识创建受信任存储的方法,请阅读托管标识和媒体服务

若要详细了解受信任的 Microsoft 服务,请参阅配置 Azure 存储防火墙和虚拟网络