Azure Storage access policy 應用

此次來談的主要是關於azure storage受權的一些話題，若是想要讓用戶或者應用拿到受權來訪問storage的話有不少種方法，每種方法針對的場景也不盡相同，總的來講有這麼幾種

1. Shared Key - 最簡單粗暴的方法，至關於把密碼直接給你

2. SAS - 做爲應用或者腳原本說比較合適的方法，能夠自由控制權限的發送和收回，也能夠控制受權的範圍

3. Azure AD - 用Azure AD的帳號來受權，比較折中，也好管理

詳細的介紹能夠看看微軟的官方網站

https://docs.microsoft.com/en-us/azure/storage/common/storage-auth?toc=/azure/storage/blobs/toc.json?WT.mc_id=AZ-MVP-5001235

Azure AD實際上是以後纔出現的受權方式，在這以前SAS算是最經常使用的受權方法了，在實際環境不多會推薦直接把storage key分享出去，由於權限太大了，一旦泄露也不可控

而SAS實際上如今也分不少種，有興趣的能夠看看官網

https://docs.microsoft.com/en-us/azure/storage/common/storage-sas-overview?toc=/azure/storage/blobs/toc.json?WT.mc_id=AZ-MVP-5001235

之前用的最多見的方式實際上是ad-hoc SAS，算是那種特定的場景吧，除了這種方式以外，其實還有一種生成SAS的方式是經過access policy來作

這種方式相比於ad-hoc有一些優點，好比說能夠自由控制訪問策略，而不須要從新生成Token，用戶拿到的URI也不須要有變化，還能夠由管理員統一管理SAS的策略，相比較零散的AD HOC SAS，更適合企業使用

生成的方法也很簡單，不比ad-hoc複雜多少

首先在container裏能夠找到access policy這個選項，直接添加便可，能夠看到這個界面和生成SAS的時候有一些相似，也是配置權限和起始結束的時間

肯定以後就生成好了

可是光這樣其實並不算生成了SAS，接下來的操做須要在storage explorer裏進行

在storage explorer裏獲取共享訪問簽名的時候能夠選擇access policy

選擇以後，會發現時間和權限都是access policy定義好的，沒辦法修改

點擊建立後，會生成URI

在URI裏添加想要訪問的文件名，便可直接訪問文件

https://mxyarmtemplate.blob.core.windows.net/template/Linuxvmdeploy.json?sv=2019-12-12&si=testpolicy&sr=c&sig=yWhdJBjO5tsO2%2FnmQ9o2AoLaEGiIPFvpoUfZoF9h4qo%3D

嘗試修改access policy，把有效時間改爲一個過去的時間，也就是說讓這個access policy失效

等一段時間以後會發現以前的連接沒辦法訪問了，在這個過程當中你的URI是不須要有任何修改的，由於URI裏自己也不包含起始和結束時間，這點比ad-hoc SAS要好多了，若是還想繼續訪問的話，還能夠再修改access policy