我正在尝试使用Azure托管存储帐户密钥 . 我成功地设置了一个托管存储帐户,其中包含1天的再生期以进行测试 . 我的问题是
-
我是否可以从任何其他应用程序访问此存储帐户,例如Storage Explorer,Cloud Explorer,Power BI Desktop等 . 如果是,如何获取密钥?
-
我仍然在azure portal中看到此存储帐户的密钥 . 它们无效吗?或者每次keyvault重新生成此存储帐户的密钥时它们会更改吗?
-
我设置了
-ActiveKeyName Key2. 每次重新生成密钥Key1正在重新生成 . 如果重新生成Key1,那么即使在1天后_2415710仍然有效?这个活跃的密钥概念在文档中并不那么清晰 . 有人可以解释一下吗 . -
是
Sas token是获取存储帐户资源的唯一途径 . 我只想在再生期间拥有存储帐户的完全访问权限 . 是否可以不使用Sas token? -
我在powershell中创建了
SAS Definition,并且只要我想访问存储帐户,就会创建SAS token. 我认为SAS Token会失效但不会SAS Definion. 我假设我不必处理代码中的到期,因为我总是得到新的SAS Token. 我做得对吗?
1 回答
我知道已经有11个月了,你要么放弃了,要么为自己想出来 . 如果有人发现这个问题,我会回答你的问题 .
是的!您使用的任何应用程序都应与KeyVault通信以获取SAS令牌 . 避免使用存储帐户密钥,它们仍然有效,但可能随时更改 . 如果您只需要一次访问,则可以使用powershell获取可以使用的sas令牌 .
它们是有效的,但只要KeyVault旋转它们就会改变,所以不要使用它们,也不要自己更改它们 .
任何时候都有两个有效密钥 . 在任何时候,只有一个密钥用于发布SAS令牌 . 这是活动密钥 . 当需要旋转时,KeyVault会重新生成未激活的密钥,然后将新创建的密钥设置为活动密钥 .
让我们举个例子 . 让我们说这些键叫做key1和key2 . key1等于'A',key2等于'b' . 让key1成为活动密钥 .
重新生成key2 . key2现在等于'c'
将key2设置为活动状态 . 现在使用key2生成新的sas标记 .
现在键已旋转,但key1仍然有效 . 下次旋转键时将更改它 . 这样,只要旋转周期长于令牌的生命周期,任何令牌在到期之前都不会变为无效 .
没有密钥仍然有效,因此它们也可以使用,但您不知道它们何时会发生变化 .
SAS定义是声明令牌生命周期的地方 . 创建它时,在KeyVault中创建了一个秘密 . 每次你得到这个秘密,你都会得到一个新的令牌 . 如果您不存储令牌,但每次总是获得有效的令牌时请求新的令牌 . 但是你可能想要缓存令牌,因为每次进入KeyVault都很慢 .
How to create the managed storage account
How create the SAS definition