Я хочу проверить свое понимание azure

#azure

Вопрос:

Я хотел бы проверить свое понимание токена azure sas. мы можем получить доступ к хранилищу больших двоичных объектов с помощью токена SAS вместо сертификации AzureAD. Означает ли это, что человек, у которого нет учетной записи azure, может получить доступ к хранилищу больших двоичных объектов??? Или человек, у которого есть учетная запись azure, может использовать токен SAS и получить доступ к хранилищу больших двоичных объектов.

1. Я бы предложил начать с документации, касающейся Подписей общего доступа, а также Политик сохраненного доступа, чтобы лучше понять различные возможности и области доступа, поскольку существуют разные типы токенов SAS, для каждого из которых предоставляются разные разрешения, а также сроки действия.

Ответ №1:

Да, пользователь или сценарий, у которого есть маркер SAS, может получить доступ к хранилищу больших двоичных объектов в соответствии с разрешениями, установленными в маркере. Этому человеку или сценарию не требуется учетная запись azure. Конечно, этот человек не сможет использовать портал Azure для просмотра контейнера больших двоичных объектов, но он может получить доступ к учетной записи хранилища с помощью программного обеспечения с помощью API Azure. Он также может извлекать большие двоичные объекты с помощью HTTP-запросов GET.

В качестве примера у меня есть сценарий сборки, который перемещается в хранилище, и сценарий развертывания для чтения из хранилища. Эти сценарии содержат маркер доступа, поэтому они могут запускаться с любой машины.

Если бы я хотел отозвать привилегии этого токена доступа, мне нужно было бы заменить ключ, который я использовал для создания токена.

1. «Если бы я хотел отозвать привилегии этого токена доступа, мне нужно было бы заменить ключ, который я использовал для создания токена.» — в этом нет необходимости. Отзыв токенов SAS не должен быть необходимым, если вы используете короткий срок действия токена. Вы также можете использовать «Политику доступа» для определения общих разрешений и пакетного отзыва токенов SAS без необходимости сброса первичного и вторичного ключей вашей учетной записи хранения. Политики доступа могут быть заданы из командной строки или любым HTTP-клиентом, использующим ключи pri/sec (но, очевидно, не SAS).

2. @Dai Спасибо за разъяснение. Они добавили сущности Политики доступа с тех пор, как я изучал ее в последний раз.

3. Чтобы уточнить: дело не только в том, что нет необходимости отзывать токен SAS: Вы не можете отозвать токен SAS. Кроме того, что касается возможности доступа к учетной записи хранения: только SAS уровня обслуживания имеет какие-либо возможности уровня обслуживания, и только если эти возможности включены. Это очень необычный (и опасный) случай, когда общим случаем является SAS уровня контейнера или большого двоичного объекта, который не предоставляет доступа за пределами этой области.