假设你有一个允许用户上传文件的网站。你可以创建一个API来获取文件并将其放入存储帐户,或者你可以允许客户端直接上传文件到存储帐户。为了做到这一点,api生成并返回一个SAS令牌,允许对存储帐户进行短时间的写访问。这样api就不会“我不需要带宽来满足大文件上传的需要,而且对存储帐户的访问基于principle of least privilege 另一种情况是在有限的时间内方便文件的下载。例如,生成一个费用报告并可供下载。API生成一个指向存储帐户的URL,其中包括一个SAS令牌,该令牌在短时间内授予某个blob读取权限。 应避免使用访问密钥,使用managed identities,这样就不需要必须以某种方式放入配置中并需要保护的访问密钥。 通过将Azure资源的托管标识与Azure AD身份验证结合使用,可以避免将凭据与在云中运行的应用程序一起存储。 现在,如果你有一个API或者azure函数或者任何后端进程需要访问一个存储帐户,你可以使用一个托管的身份,并根据最小特权原则分配身份权限。
1条答案
按热度按时间jmo0nnb31#
假设你有一个允许用户上传文件的网站。你可以创建一个API来获取文件并将其放入存储帐户,或者你可以允许客户端直接上传文件到存储帐户。为了做到这一点,api生成并返回一个SAS令牌,允许对存储帐户进行短时间的写访问。这样api就不会“我不需要带宽来满足大文件上传的需要,而且对存储帐户的访问基于principle of least privilege
另一种情况是在有限的时间内方便文件的下载。例如,生成一个费用报告并可供下载。API生成一个指向存储帐户的URL,其中包括一个SAS令牌,该令牌在短时间内授予某个blob读取权限。
应避免使用访问密钥,使用managed identities,这样就不需要必须以某种方式放入配置中并需要保护的访问密钥。
通过将Azure资源的托管标识与Azure AD身份验证结合使用,可以避免将凭据与在云中运行的应用程序一起存储。
现在,如果你有一个API或者azure函数或者任何后端进程需要访问一个存储帐户,你可以使用一个托管的身份,并根据最小特权原则分配身份权限。