3
이제 Azure를 사용하기 시작했으며 일부 보안 문제를 처리하려고합니다.Azure 공유 액세스 서명을 통해 액세스 제한
우리는 주로 자바 스크립트 인 웹 앱을 개발 중입니다. 우리는 blob 저장소/CDN에 자바 스크립트를 저장하려고합니다. 그러나 우리가 그것을 공개하기 전에는 우리 사무실에 접근하기를 원합니다. Azure BLOB에 대한 방화벽 규칙을 만들 수 없으므로 사무실 IP에 대한 액세스를 제한하고 있습니다.
공유 액세스 서명을 읽은 것부터 시작하는 방법 일 수 있습니다. 누군가 이것이 이것이 올바른 방향인지 확인할 수 있습니까? 또한 누군가가 이러한 컨테이너에 대한 액세스를 제한하기 위해 어떤 메커니즘을 사용해야하는지 지적 할 수 있습니까? 즉 토큰을 devs에만 한정하는 방법입니다.
나는 이것이 약하다는 것을 알지만, 나는 MS가 순전히 * nix 세계에서 오는 일을 어떻게하는지 전혀 모른다. 모든 자습서에는 SAS를 사용하여 물건에 액세스하는 방법을 설명하는 몇 줄의 코드가 있지만 처음에는 정책을 설정하는 데별로 도움이되지 않습니다. 또한이 접근 방식은 CDN에서 작동합니까?
튜토리얼이 정말 도움이되었습니다. 감사합니다. 이제 SAS 토큰을 검색 할 수 있도록 'blob 저장소'에 저장된 자산을 필요로하는 앱용 서비스를 만들어야한다고 가정합니다. 저장소에 있어야 할 필요가 없기 때문에 방화벽이나 자격 증명을 사용하여 액세스를 제한 할 수 있습니다. 이 부분은 보통 어떻게 이루어 집니까? 또한 유효 기간이없는 SAS 토큰을 만드는 방법이 있는지 알고 있습니까? 지금까지 도움을 주셔서 감사합니다. – BillR
앱이 blob을 검색하는'source '인 경우 SAS가 필요하지 않습니다. 단순히 저장소 이름 + 키와 연결됩니다. 실제로 저장소 REST API를 래핑하는 모든 단일 언어 SDK는 네임 스페이스 + 키로 구성된 연결 문자열을 사용합니다 (이 키는 개인에게 제공되므로 결코 포기할 수 없으며 항상 다시 생성 할 수 있습니다. 그것을 버리지 마라). 유효 기간이 만료되지 않는 SAS의 경우 '끝'날짜를 1/1/2030과 같이 설정하고 Y2.3K 버그가 없기를 바랍니다. :) –
당신이 누군가에게 blob URI를 제공하고 blob이 * private * 일 때만 SAS가 필요합니다. 예를 들어 월별 명세서 PDF를 BLOB 저장소에 저장하는 경우 효과적입니다. 사용자가 자신의 페이지를보고 있고 월별 명세서를보고 싶어합니다. VM에 blob을 다운로드하고 사용자의 브라우저로 스트리밍 할 수 있습니다. 또는 ...예를 들어 10 분 동안 유효한 pdf 용 SAS를 생성하고 ''태그에 URI를 삽입 한 다음 사용자가 검색하도록 클릭하고 (대신 VM의 대역폭을 사용하지 말고 스토리지 서비스로 곧장 가게합니다). –