Azure Storage如何使用Access Policy訪(fǎng)問(wèn)Azure Storage

我們?cè)谑褂肁zure Storage的時(shí)候，為了設(shè)置訪(fǎng)問(wèn)權(quán)限，我們會(huì)使用Azure Storage Shared Access Signature(SAS)。

SAS有以下屬性：

一個(gè)標(biāo)準(zhǔn)的SAS Token，如下圖：

https://leizhangstorage.blob.core.chinacloudapi.cn/?sv=2019-10-10&ss=bfqt&srt=o&sp=rwdlacup&se=2020-06-29T14:58:36Z&st=2020-06-29T06:58:36Z&sip=202.96.225.228&spr=https&sig=KLn5mZ8s4YN9ae%2FNKRzzFYRSgu06mtadqy3UOTZ%2FE1E%3D

上圖中：

SAS Token使用起來(lái)非常方便，但是也有一些缺點(diǎn)，比如:

1.如果SAS Token被供應(yīng)商泄漏了，怎么辦？

2.如果SAS Token過(guò)期時(shí)間只有14天，且已經(jīng)在代碼里面hard code了，我們想繼續(xù)使用現(xiàn)有的SAS Token，且過(guò)期時(shí)間為1年

這時(shí)候使用SAS Token的話(huà)，就需要重新生成一個(gè)新的SAS Token，并且需要做很多修改。這時(shí)候就可以考慮使用Access Policy。

什么是Access Policy？

Access Policy可以理解為在服務(wù)器端管理SAS Token，因?yàn)锳ccess Policy保存在服務(wù)器端，所以我們可以修改Access Policy，繼續(xù)使用現(xiàn)有的SAS Token。

如何使用Access Policy，我們以Azure Storage Explorer為例：

1.首先，我們創(chuàng)建1個(gè)新的存儲(chǔ)賬戶(hù)，創(chuàng)建1個(gè)Container，Public Access Level為Private。如下圖：

2.往這個(gè)存儲(chǔ)賬戶(hù)上傳1個(gè)文件，步驟略。

3.然后我們使用Azure Storage Explorer，鏈接這個(gè)存儲(chǔ)賬戶(hù)。步驟略

4.選擇之前創(chuàng)建的container，右鍵Manage Access Policies。如下圖：

5.在彈出的窗口中，創(chuàng)建新的Policy。

訪(fǎng)問(wèn)開(kāi)始時(shí)間為2020年6月29日，下午5點(diǎn)44分。

訪(fǎng)問(wèn)結(jié)束時(shí)間為2020年6月29日，下午5點(diǎn)54分。

訪(fǎng)問(wèn)權(quán)限為Read和List

6.選擇一個(gè)blob，右鍵，Get Shared Access Signature

7.在彈出的窗口中，選擇之前創(chuàng)建的policy1。如下圖：

8.點(diǎn)擊上圖的Create，會(huì)顯示SAS Token的URL。如下圖：

9.我們打開(kāi)新的瀏覽器，就可以通過(guò)SAS Token訪(fǎng)問(wèn)該資源。如下圖：

10.如果我們?cè)跁r(shí)間過(guò)期之后，即(為2020年6月29日，下午5點(diǎn)54分)之后訪(fǎng)問(wèn)，會(huì)顯示訪(fǎng)問(wèn)錯(cuò)誤。如下圖：

11.如果我們不采用Access Policy，則需要重新申請(qǐng)新的SAS Token URL。

而采用Access Policy，我們只需要修改Policy的策略，策略更新后，采用老的SAS Token URL可以繼續(xù)訪(fǎng)問(wèn)該資源。

我們點(diǎn)擊選圖的Manage Access Policies：

12.在彈出的窗口中，將過(guò)期時(shí)間修改的更長(zhǎng)一點(diǎn)：

13.修改完畢后，我們?cè)購(gòu)?fù)用步驟8中的SAS URL，可以繼續(xù)訪(fǎng)問(wèn)原有資源。