使用SAS保护Azure Storage的安全性

经过前面的文章，相信你们都知道共享访问签名（SAS）是一种限制访问Azure存储的机制。这是提供对咱们的存储账户的访问的更安全的方法之一。无需访问密钥便可访问对应的Azure存储账户。

经常使用的SAS有以下两种类型：

• 服务级别：仅容许访问如下存储服务之一中的资源：Blob，队列，表和文件
• 账户级别：容许访问一项或多项存储服务中的资源。经过服务级别SAS可用的全部操做也能够经过账户级别SAS进行

接下来咱们就一块儿看下如何使用SAS来爆出Azure Storage的安全性
我准备了一个名称为“sql12bak“的存储帐户：

在存储帐户中，准备了一个名称为“test“的container而且上传了一些测试使用的文件：

有了上述的准备工做之后，咱们能够返回到存储帐户的主页面下，能够看到有Shared access signature选项卡：

点击进入Shared access signature之后，咱们能够看到有以下几种类型的设置：

• 容许的服务：咱们能够选择能够为用户提供的服务。
• 容许的权限：咱们能够选择要授予用户哪一种权限。
• 开始和结束：咱们能够设置可用性时间段。
• 容许的IP地址：咱们能够将对存储账户的IP访问列入白名单。
• 容许的协议：仅容许HTTPS仍是容许http和https

在本次示例中咱们将配置以下权限：
读取，列出：以便于用户读取并列出帐户下的文件，可是不能删除，写入，添加货建立资源到存储帐户中

同时咱们配置仅容许HTTPS协议进行访问，而后点击生成链接字符串：

在生成SAS和链接字符串后，复制“ Blob服务SAS URL”：

打开Microsoft Azure Storage Explorer，而后单击“ 添加账户”：

在“链接到Azure存储”中，选择“ 使用共享访问签名（SAS）URI ”，而后单击“下一步”：

粘贴复制的URL。粘贴URL时，它将自动更新其余文本框，而后单击Next。

确认无误，点击链接：

在咱们准备的存储账户中，咱们能够找到“test”容器。在容器内，咱们能够看到有多个测试文件：

双击test.txt时我能够读取文件，由于咱们以前已经授予了读取权限：

可是当我尝试删除或上传文件时，则会提示咱们没有权限：