Azure Storage access policy 应用

此次来谈的主要是关于azure storage受权的一些话题，若是想要让用户或者应用拿到受权来访问storage的话有不少种方法，每种方法针对的场景也不尽相同，总的来讲有这么几种

1. Shared Key - 最简单粗暴的方法，至关于把密码直接给你

2. SAS - 做为应用或者脚原本说比较合适的方法，能够自由控制权限的发送和收回，也能够控制受权的范围

3. Azure AD - 用Azure AD的帐号来受权，比较折中，也好管理

详细的介绍能够看看微软的官方网站

https://docs.microsoft.com/en-us/azure/storage/common/storage-auth?toc=/azure/storage/blobs/toc.json?WT.mc_id=AZ-MVP-5001235

Azure AD实际上是以后才出现的受权方式，在这以前SAS算是最经常使用的受权方法了，在实际环境不多会推荐直接把storage key分享出去，由于权限太大了，一旦泄露也不可控

而SAS实际上如今也分不少种，有兴趣的能够看看官网

https://docs.microsoft.com/en-us/azure/storage/common/storage-sas-overview?toc=/azure/storage/blobs/toc.json?WT.mc_id=AZ-MVP-5001235

之前用的最多见的方式实际上是ad-hoc SAS，算是那种特定的场景吧，除了这种方式以外，其实还有一种生成SAS的方式是经过access policy来作

这种方式相比于ad-hoc有一些优点，好比说能够自由控制访问策略，而不须要从新生成Token，用户拿到的URI也不须要有变化，还能够由管理员统一管理SAS的策略，相比较零散的AD HOC SAS，更适合企业使用

生成的方法也很简单，不比ad-hoc复杂多少

首先在container里能够找到access policy这个选项，直接添加便可，能够看到这个界面和生成SAS的时候有一些相似，也是配置权限和起始结束的时间

肯定以后就生成好了

可是光这样其实并不算生成了SAS，接下来的操做须要在storage explorer里进行

在storage explorer里获取共享访问签名的时候能够选择access policy

选择以后，会发现时间和权限都是access policy定义好的，没办法修改

点击建立后，会生成URI

在URI里添加想要访问的文件名，便可直接访问文件

https://mxyarmtemplate.blob.core.windows.net/template/Linuxvmdeploy.json?sv=2019-12-12&si=testpolicy&sr=c&sig=yWhdJBjO5tsO2%2FnmQ9o2AoLaEGiIPFvpoUfZoF9h4qo%3D

尝试修改access policy，把有效时间改为一个过去的时间，也就是说让这个access policy失效

等一段时间以后会发现以前的连接没办法访问了，在这个过程当中你的URI是不须要有任何修改的，由于URI里自己也不包含起始和结束时间，这点比ad-hoc SAS要好多了，若是还想继续访问的话，还能够再修改access policy