使用SAS保護Azure Storage的安全性

經過前面的文章，相信你們都知道共享訪問簽名（SAS）是一種限制訪問Azure存儲的機制。這是提供對咱們的存儲賬戶的訪問的更安全的方法之一。無需訪問密鑰便可訪問對應的Azure存儲賬戶。

經常使用的SAS有以下兩種類型：

• 服務級別：僅容許訪問如下存儲服務之一中的資源：Blob，隊列，表和文件
• 賬戶級別：容許訪問一項或多項存儲服務中的資源。經過服務級別SAS可用的全部操做也能夠經過賬戶級別SAS進行

接下來咱們就一塊兒看下如何使用SAS來爆出Azure Storage的安全性
我準備了一個名稱爲「sql12bak「的存儲帳戶：

在存儲帳戶中，準備了一個名稱爲「test「的container而且上傳了一些測試使用的文件：

有了上述的準備工做之後，咱們能夠返回到存儲帳戶的主頁面下，能夠看到有Shared access signature選項卡：

點擊進入Shared access signature之後，咱們能夠看到有以下幾種類型的設置：

• 容許的服務：咱們能夠選擇能夠爲用戶提供的服務。
• 容許的權限：咱們能夠選擇要授予用戶哪一種權限。
• 開始和結束：咱們能夠設置可用性時間段。
• 容許的IP地址：咱們能夠將對存儲賬戶的IP訪問列入白名單。
• 容許的協議：僅容許HTTPS仍是容許http和https

在本次示例中咱們將配置以下權限：
讀取，列出：以便於用戶讀取並列出帳戶下的文件，可是不能刪除，寫入，添加貨建立資源到存儲帳戶中

同時咱們配置僅容許HTTPS協議進行訪問，而後點擊生成鏈接字符串：

在生成SAS和鏈接字符串後，複製「 Blob服務SAS URL」：

打開Microsoft Azure Storage Explorer，而後單擊「 添加賬戶」：

在「鏈接到Azure存儲」中，選擇「 使用共享訪問簽名（SAS）URI 」，而後單擊「下一步」：

粘貼複製的URL。粘貼URL時，它將自動更新其餘文本框，而後單擊Next。

確認無誤，點擊鏈接：

在咱們準備的存儲賬戶中，咱們能夠找到「test」容器。在容器內，咱們能夠看到有多個測試文件：

雙擊test.txt時我能夠讀取文件，由於咱們以前已經授予了讀取權限：

可是當我嘗試刪除或上傳文件時，則會提示咱們沒有權限：