Azure Blob 存储上传文件失败：权限问题排查与解决方案

本文旨在帮助开发者解决在使用 Azure Blob 存储上传文件时遇到的“AuthorizationFailure”错误。通过分析错误信息，明确权限不足是导致问题的主要原因。文章将详细介绍如何通过配置 Azure 存储账户的网络设置，特别是添加客户端 IP 地址到防火墙白名单，来解决上传权限问题，从而顺利完成文件上传操作。

在使用 Azure Blob 存储进行文件上传时，可能会遇到 AuthorizationFailure 错误，错误信息通常会提示“This request is not authorized to perform this operation.” 这表明您的客户端没有足够的权限执行上传操作。本文将重点介绍如何通过配置 Azure 存储账户的网络设置来解决此问题，特别是针对客户端 IP 地址的访问控制。

问题分析

AuthorizationFailure 错误通常意味着以下几种情况：

• 权限不足： 您的 Azure 账户或使用的 SAS (Shared Access Signature) 令牌没有上传文件的权限。
• 网络限制： 存储账户的网络设置限制了您的客户端 IP 地址的访问。
• SAS 令牌过期或无效： 如果使用 SAS 令牌，令牌可能已经过期或配置不正确。

本文主要针对网络限制导致的权限问题进行讲解，即客户端 IP 地址未被添加到存储账户的防火墙白名单中。

解决方案：配置存储账户网络设置

要解决此问题，您需要将客户端 IP 地址添加到 Azure 存储账户的防火墙白名单中。以下是具体步骤：

Cardify卡片工坊

使用Markdown一键生成精美的小红书知识卡片

下载

1. 登录 Azure 门户： 使用您的 Azure 账户登录到 Azure 门户 (portal.azure.com)。
2. 找到存储账户： 在搜索栏中输入您的存储账户名称，然后从搜索结果中选择您的存储账户。
3. 导航到“网络”设置： 在存储账户的左侧菜单中，找到“安全性 + 网络”部分，然后选择“网络”。
4. 配置防火墙： 在“防火墙”部分，您会看到一个名为“网络访问”的选项。根据您的需求选择适当的访问级别：
   • 所有网络： 允许来自任何网络的访问。这通常不推荐，因为它会降低安全性。
   • 选定的网络： 允许来自特定网络（包括虚拟网络和 IP 地址范围）的访问。这是推荐的选项，因为它允许您更精细地控制访问权限。
5. 添加客户端 IP 地址： 如果您选择了“选定的网络”，您会看到一个“防火墙”部分。在此部分，您可以添加您的客户端 IP 地址。
   • 添加您的客户端 IP 地址： Azure 门户通常会提供一个“添加您的客户端 IP 地址”的选项。选中此复选框，Azure 会自动检测您的客户端 IP 地址并将其添加到防火墙规则中。
   • 手动添加 IP 地址范围： 您也可以手动输入 IP 地址范围。这对于需要允许来自多个 IP 地址或整个子网的访问非常有用。
6. 保存更改： 完成配置后，单击页面底部的“保存”按钮。

示例代码（可选）

虽然上述步骤主要在 Azure 门户中完成，但您也可以使用 Azure CLI 或 PowerShell 来配置存储账户的网络设置。以下是一个使用 Azure CLI 的示例：

az storage account update \
    --name <your_storage_account_name> \
    --resource-group <your_resource_group_name> \
    --default-action Deny \
    --bypass AzureServices \
    --ip-rules <your_client_ip_address>

请将 <your_storage_account_name>、<your_resource_group_name> 和 <your_client_ip_address> 替换为您的实际值。

注意事项

• IP 地址变化： 如果您的客户端 IP 地址是动态分配的，您需要定期更新防火墙规则，以确保您的客户端始终具有访问权限。
• 安全性： 仅允许必要的 IP 地址访问您的存储账户。不要随意允许所有网络访问，以降低安全风险。
• 虚拟网络集成： 如果您的应用程序运行在 Azure 虚拟网络中，建议使用虚拟网络集成来控制对存储账户的访问，而不是直接使用 IP 地址。
• SAS 令牌： 如果您使用的是 SAS 令牌，请确保令牌具有足够的权限，并且没有过期。同时，验证 SAS 令牌的 IP 地址限制是否与您的客户端 IP 地址匹配。

总结

AuthorizationFailure 错误通常是由于权限不足或网络限制引起的。通过配置 Azure 存储账户的网络设置，特别是添加客户端 IP 地址到防火墙白名单中，可以有效地解决上传权限问题。在配置网络设置时，请务必考虑安全性，并仅允许必要的 IP 地址访问您的存储账户。 如果问题仍然存在，请检查您的 SAS 令牌是否有效，并确保您的账户具有足够的权限。