使用SAS保護(hù)Azure Storage的安全性

來源: 51CTO
作者:wuyvzhang
時(shí)間:2021-04-10
16838
通過前面的文章,相信大家都知道共享訪問簽名(SAS)是一種限制訪問Azure存儲(chǔ)的機(jī)制。這是提供對我們的存儲(chǔ)帳戶的訪問的更安全的方法之一。無需訪問密鑰即可訪問對應(yīng)的Azure存儲(chǔ)帳戶。

通過前面的文章,相信大家都知道共享訪問簽名(SAS)是一種限制訪問Azure存儲(chǔ)的機(jī)制。這是提供對我們的存儲(chǔ)帳戶的訪問的更安全的方法之一。無需訪問密鑰即可訪問對應(yīng)的Azure存儲(chǔ)帳戶。

常用的SAS有如下兩種類型:

  • 服務(wù)級別:僅允許訪問以下存儲(chǔ)服務(wù)之一中的資源:Blob,隊(duì)列,表和文件

  • 帳戶級別:允許訪問一項(xiàng)或多項(xiàng)存儲(chǔ)服務(wù)中的資源。通過服務(wù)級別SAS可用的所有操作也可以通過帳戶級別SAS進(jìn)行

接下來我們就一起看下如何使用SAS來爆出Azure Storage的安全性
我準(zhǔn)備了一個(gè)名稱為“sql12bak“的存儲(chǔ)賬戶:

665f485df8aa205333044fac0cbb76ad.png

在存儲(chǔ)賬戶中,準(zhǔn)備了一個(gè)名稱為“test“的container并且上傳了一些測試使用的文件:

245c0d61675840ff66ce8173464fc0ff.png

有了上述的準(zhǔn)備工作以后,我們可以返回到存儲(chǔ)賬戶的主頁面下,可以看到有Shared access signature選項(xiàng)卡:

900697f12dcfd287904db157fb100649.png

點(diǎn)擊進(jìn)入Shared access signature以后,我們可以看到有如下幾種類型的設(shè)置:

  • 允許的服務(wù):我們可以選擇可以為用戶提供的服務(wù)。

  • 允許的權(quán)限:我們可以選擇要授予用戶哪種權(quán)限。

  • 開始和結(jié)束:我們可以設(shè)置可用性時(shí)間段。

  • 允許的IP地址:我們可以將對存儲(chǔ)帳戶的IP訪問列入白名單。

  • 允許的協(xié)議:僅允許HTTPS還是允許http和https

9fd848e0d07a8a347de2205e02bff357.png

在本次示例中我們將配置如下權(quán)限:
讀取,列出:以便于用戶讀取并列出賬戶下的文件,但是不能刪除,寫入,添加貨創(chuàng)建資源到存儲(chǔ)賬戶中

02a57b93039ae2736427be408c4b4706.png

同時(shí)我們配置僅允許HTTPS協(xié)議進(jìn)行訪問,然后點(diǎn)擊生成連接字符串:

30e549272ce5197d1a0587fa3aac5bff.png

在生成SAS和連接字符串后,復(fù)制“ Blob服務(wù)SAS URL”:

34ba68ae87391a35dfb4ec7d422d81a4.png

打開Microsoft Azure Storage Explorer,然后單擊“ 添加帳戶”:

0a9b3d66818e2162f978a5fb029fdd2b.png

在“連接到Azure存儲(chǔ)”中,選擇“ 使用共享訪問簽名(SAS)URI ”,然后單擊“下一步”:

ff0a265b90933d65f4d72a118e3dfee7.png

粘貼復(fù)制的URL。粘貼URL時(shí),它將自動(dòng)更新其他文本框,然后單擊Next。

01eaa8098b8146f19092b88f2c1980ec.png

確認(rèn)無誤,點(diǎn)擊連接:

3e4ffb6504bf49bfa5ca03663e31874a.png

在我們準(zhǔn)備的存儲(chǔ)帳戶中,我們可以找到“test”容器。在容器內(nèi),我們可以看到有多個(gè)測試文件:

e03bdab79814ea8f5dbd4629eb1dd928.png

雙擊test.txt時(shí)我可以讀取文件,因?yàn)槲覀冎耙呀?jīng)授予了讀取權(quán)限:

3619d43e36f71efdeefd6ddd817f8442.png

但是當(dāng)我嘗試刪除或上傳文件時(shí),則會(huì)提示我們沒有權(quán)限:

3f2037ec59632cc6f363e5bd3ed8d1eb.png


立即登錄,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于51CTO,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn),不代表快出海對觀點(diǎn)贊同或支持。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除!
掃碼登錄
打開掃一掃, 關(guān)注公眾號后即可登錄/注冊
加載中
二維碼已失效 請重試
刷新
賬號登錄/注冊
個(gè)人VIP
小程序
快出海小程序
公眾號
快出海公眾號
商務(wù)合作
商務(wù)合作
投稿采訪
投稿采訪
出海管家
出海管家