使用SAS保護(hù)Azure Storage的安全性

通過(guò)前面的文章，相信大家都知道共享訪問(wèn)簽名（SAS）是一種限制訪問(wèn)Azure存儲(chǔ)的機(jī)制。這是提供對(duì)我們的存儲(chǔ)帳戶的訪問(wèn)的更安全的方法之一。無(wú)需訪問(wèn)密鑰即可訪問(wèn)對(duì)應(yīng)的Azure存儲(chǔ)帳戶。

常用的SAS有如下兩種類型：

• 服務(wù)級(jí)別：僅允許訪問(wèn)以下存儲(chǔ)服務(wù)之一中的資源：Blob，隊(duì)列，表和文件

• 帳戶級(jí)別：允許訪問(wèn)一項(xiàng)或多項(xiàng)存儲(chǔ)服務(wù)中的資源。通過(guò)服務(wù)級(jí)別SAS可用的所有操作也可以通過(guò)帳戶級(jí)別SAS進(jìn)行

接下來(lái)我們就一起看下如何使用SAS來(lái)爆出Azure Storage的安全性
我準(zhǔn)備了一個(gè)名稱為“sql12bak“的存儲(chǔ)賬戶：

在存儲(chǔ)賬戶中，準(zhǔn)備了一個(gè)名稱為“test“的container并且上傳了一些測(cè)試使用的文件：

有了上述的準(zhǔn)備工作以后，我們可以返回到存儲(chǔ)賬戶的主頁(yè)面下，可以看到有Shared access signature選項(xiàng)卡：

點(diǎn)擊進(jìn)入Shared access signature以后，我們可以看到有如下幾種類型的設(shè)置：

• 允許的服務(wù)：我們可以選擇可以為用戶提供的服務(wù)。

• 允許的權(quán)限：我們可以選擇要授予用戶哪種權(quán)限。

• 開始和結(jié)束：我們可以設(shè)置可用性時(shí)間段。

• 允許的IP地址：我們可以將對(duì)存儲(chǔ)帳戶的IP訪問(wèn)列入白名單。

• 允許的協(xié)議：僅允許HTTPS還是允許http和https

在本次示例中我們將配置如下權(quán)限：
讀取，列出：以便于用戶讀取并列出賬戶下的文件，但是不能刪除，寫入，添加貨創(chuàng)建資源到存儲(chǔ)賬戶中

同時(shí)我們配置僅允許HTTPS協(xié)議進(jìn)行訪問(wèn)，然后點(diǎn)擊生成連接字符串：

在生成SAS和連接字符串后，復(fù)制“ Blob服務(wù)SAS URL”：

打開Microsoft Azure Storage Explorer，然后單擊“ 添加帳戶”：

在“連接到Azure存儲(chǔ)”中，選擇“ 使用共享訪問(wèn)簽名（SAS）URI ”，然后單擊“下一步”：

粘貼復(fù)制的URL。粘貼URL時(shí)，它將自動(dòng)更新其他文本框，然后單擊Next。

確認(rèn)無(wú)誤，點(diǎn)擊連接：

在我們準(zhǔn)備的存儲(chǔ)帳戶中，我們可以找到“test”容器。在容器內(nèi)，我們可以看到有多個(gè)測(cè)試文件：

雙擊test.txt時(shí)我可以讀取文件，因?yàn)槲覀冎耙呀?jīng)授予了讀取權(quán)限：

但是當(dāng)我嘗試刪除或上傳文件時(shí)，則會(huì)提示我們沒有權(quán)限：