是否有限制访问Azure blob到单个IP？

Question

我试图限制对Azure blob的访问.我目前可以使用共享访问签名提供时间限制为5分钟的链接.然而,只是想知道是否有任何机制需要更多的安全性,如IP地址？

如果不是,我认为我只需要让客户通过网络角色,然后检查那里？

Answer 1

更新:现在支持此功能!以上详细介绍最佳答案.剩下的仍然是有趣的,所以留下来.

没有IP过滤器直接支持̶-̶你当然可以这样做在自己的Web角色,你̶s̶u̶g̶g̶e̶s̶t̶.̶ 但是,这就是为什么你应该有信心与共享访问令牌*:

SAS blob URL可以在5分钟内获得大量发布和攻击的唯一方法是,如果收件人有恶意意图.因此,无论采用何种方法保护它(例如IP限制),您都会受到攻击,因为您已经授予攻击者访问权限.如果是IP限制,他们可以只下载数据并发布.

共享访问令牌与超时相结合确实可以防止暴力攻击猜测URL或任何粗心大意让它随着时间的推移留在不安全的位置.

因此,只要您信任与您共享的人并以安全的方式将其传送给他们,您就可以了.

*在大多数情况下

Answer 2

看起来 Azure 存储服务有一个新功能（共享访问签名），允许将 IP 地址列入白名单。

SAS 使您能够精细控制授予拥有 SAS 的客户的访问类型，包括：

• SAS的有效时间间隔，包括开始时间和到期时间。
• SAS 授予的权限。例如，Blob 的 SAS 可能会向该 Blob 授予读取和写入权限，但不会授予删除权限。
• Azure 存储将接受 SAS 的可选 IP 地址或 IP 地址范围。例如，您可以指定属于您组织的 IP 地址范围。
• Azure 存储接受 SAS 所使用的协议。您可以使用此可选参数来限制对使用 HTTPS 的客户端的访问。

来源：MSDN