使用SAS保護(hù)Azure Storage的安全性

通過前面的文章，相信大家都知道共享訪問簽名（SAS）是一種限制訪問Azure存儲的機(jī)制。這是提供對我們的存儲帳戶的訪問的更安全的方法之一。無需訪問密鑰即可訪問對應(yīng)的Azure存儲帳戶。

常用的SAS有如下兩種類型：

• 服務(wù)級別：僅允許訪問以下存儲服務(wù)之一中的資源：Blob，隊列，表和文件
• 帳戶級別：允許訪問一項或多項存儲服務(wù)中的資源。通過服務(wù)級別SAS可用的所有操作也可以通過帳戶級別SAS進(jìn)行

接下來我們就一起看下如何使用SAS來爆出Azure Storage的安全性
我準(zhǔn)備了一個名稱為“sql12bak“的存儲賬戶：

在存儲賬戶中，準(zhǔn)備了一個名稱為“test“的container并且上傳了一些測試使用的文件：

有了上述的準(zhǔn)備工作以后，我們可以返回到存儲賬戶的主頁面下，可以看到有Shared access signature選項卡：

點擊進(jìn)入Shared access signature以后，我們可以看到有如下幾種類型的設(shè)置：

• 允許的服務(wù)：我們可以選擇可以為用戶提供的服務(wù)。
• 允許的權(quán)限：我們可以選擇要授予用戶哪種權(quán)限。
• 開始和結(jié)束：我們可以設(shè)置可用性時間段。
• 允許的IP地址：我們可以將對存儲帳戶的IP訪問列入白名單。
• 允許的協(xié)議：僅允許HTTPS還是允許http和https

在本次示例中我們將配置如下權(quán)限：
讀取，列出：以便于用戶讀取并列出賬戶下的文件，但是不能刪除，寫入，添加貨創(chuàng)建資源到存儲賬戶中

同時我們配置僅允許HTTPS協(xié)議進(jìn)行訪問，然后點擊生成連接字符串：

在生成SAS和連接字符串后，復(fù)制“ Blob服務(wù)SAS URL”：

打開Microsoft Azure Storage Explorer，然后單擊“ 添加帳戶”：

在“連接到Azure存儲”中，選擇“ 使用共享訪問簽名（SAS）URI ”，然后單擊“下一步”：

粘貼復(fù)制的URL。粘貼URL時，它將自動更新其他文本框，然后單擊Next。

確認(rèn)無誤，點擊連接：

在我們準(zhǔn)備的存儲帳戶中，我們可以找到“test”容器。在容器內(nèi)，我們可以看到有多個測試文件：

雙擊test.txt時我可以讀取文件，因為我們之前已經(jīng)授予了讀取權(quán)限：

但是當(dāng)我嘗試刪除或上傳文件時，則會提示我們沒有權(quán)限：