了解共用存取簽章
作為最佳做法,您不應與外部協力廠商應用程式共用儲存體帳戶金鑰。 若這些應用程式需要存取您的資料,您將需要在不使用儲存體帳戶金鑰的情況下保護其連線。
針對未受信任的用戶端,請使用共用存取簽章 (SAS)。 SAS 是一個字串,包含可附加到 URI 的安全性權杖。 您可以使用 SAS 來委派存取權給儲存體物件,並指定條件約束,例如權限和存取的時間範圍。
例如,您可以授與客戶 SAS 權杖,讓他們可以上傳圖片至 Blob 儲存體中的檔案系統。 另外,您也可以授與 Web 應用程式權限,以讀取這些圖片。 在這兩種情況下,您只會允許應用程式執行工作時所需要的存取權限。
共用存取簽章的類型
您可以使用服務層級 SAS,允許存取儲存體帳戶中的特定資源。 例如,您可以使用這種類型的 SAS,允許應用程式擷取檔案系統中的檔案清單,或是下載檔案。
使用帳戶層級 SAS,允許存取服務層級 SAS 的任何事物,以及額外的資源及功能。 例如,您可以使用帳戶層級 SAS,允許建立檔案系統。
您通常會針對使用者讀取及將資料寫入您儲存體帳戶的服務使用 SAS。 儲存使用者資料的帳戶通常會有兩個典型設計:
- 用戶端透過前端 Proxy 服務上傳及下載資料,該服務則會執行驗證。 此前端 Proxy 服務具有允許商務規則驗證的優勢。 但是,若服務必須處理大量的資料或交易,您可能會發現使這種服務符合需求的過程相當複雜或昂貴。
- 輕量服務會視需要驗證用戶端。 接下來,系統會產生 SAS。 在接收到 SAS 後,用戶端便可直接存取儲存體帳戶的資源。 SAS 定義用戶端的權限及存取間隔, 可減少透過前端 Proxy 服務路由所有資料的需求。
