use*_*610 8 permissions azure azure-storage azure-storage-blobs
我找不到任何用于撤消blob上创建的共享访问签名访问的代码示例,任何人都可以提供链接或引用来删除之前创建的共享访问签名访问.
Ily*_*sky 12
即使共享访问签名 (SAS) 基于存储访问策略 (SAP),您也只能撤销 SAP,而不能撤销单个 SAS。
Azure 存储安全指南有很好的细节:https : //docs.microsoft.com/en-us/azure/storage/common/storage-security-guide#revocation
SAS 不基于 SAP - 不能撤销:
如果您使用的是临时 URI,则有三个选项。您可以颁发具有短期到期策略的 SAS 令牌并等待 SAS 到期。您可以重命名或删除资源(假设令牌范围为单个对象)。您可以更改存储帐户密钥。最后一个选项可能会产生重大影响,具体取决于使用该存储帐户的服务数量,如果没有一些计划,您可能不想这样做。
基于SAP的SAS——可以通过撤销SAP来撤销:
如果您使用的是从存储访问策略派生的 SAS,您可以通过撤销存储访问策略来删除访问权限 - 您可以更改它使其已经过期,或者您可以完全删除它。这会立即生效,并使使用该存储访问策略创建的每个 SAS 无效。更新或删除存储访问策略可能会影响人们通过 SAS 访问该特定容器、文件共享、表或队列,但如果客户端被写入以便他们在旧的 SAS 失效时请求新的 SAS,这将正常工作。
最佳实践:
因为使用从存储访问策略派生的 SAS 使您能够立即撤销该 SAS,所以建议的最佳做法是尽可能始终使用存储访问策略。
重新生成帐户密钥将导致所有使用该密钥的应用程序组件无法授权,直到它们更新为使用其他有效帐户密钥或新生成的帐户密钥。重新生成帐户密钥是立即撤销临时 SAS 的唯一方法。
除非基于存储的访问策略,否则无法撤消共享访问签名.有关更多信息,请参阅http://msdn.microsoft.com/en-us/library/azure/dn140257.aspx:
要撤消存储的访问策略,您可以删除它,也可以通过更改签名的标识符来重命名它.更改签名标识符会破坏任何现有签名与存储的访问策略之间的关联.删除或重命名存储的访问策略会立即影响与其关联的所有共享访问签名.
| 归档时间: |
|
| 查看次数: |
5698 次 |
| 最近记录: |