共享访问签名

共享访问签名 (SAS) 初学者指南

共享访问签名 (Shared Access Signature, SAS) 是一种安全的方式，允许授予对存储资源（例如 Azure Blob 存储、Azure 文件存储或 Azure 队列存储) 的有限访问权限，而无需共享帐户密钥。SAS 对于构建安全且可扩展的应用程序至关重要，尤其是在需要将访问权限授予客户端应用程序或最终用户，而无需将敏感凭据暴露给他们的情况下。本文旨在为初学者提供对 SAS 的全面理解，包括其工作原理、类型、安全性考虑以及实际应用。

SAS 是什么？

在深入了解 SAS 之前，先了解传统的访问控制机制至关重要。通常，访问存储资源需要使用存储帐户密钥。然而，共享帐户密钥存在重大风险：

**安全风险：** 如果帐户密钥泄露，攻击者可以完全控制您的存储帐户。
**权限控制不足：** 帐户密钥提供对所有资源的完全访问权限，无法进行细粒度的权限控制。
**审计困难：** 难以跟踪使用帐户密钥的访问行为。

SAS 解决了这些问题。它是一种基于 URI 的约束，包含签名，并指定了客户端可以对资源执行的操作以及访问资源的时间段。本质上，SAS 允许您创建具有特定权限和有限生命周期的“临时通行证”。

SAS 的工作原理

SAS 的创建过程涉及以下几个关键步骤：

1. **资源选择：** 确定要授予访问权限的存储资源（例如，一个特定的 Blob、容器或文件共享）。 2. **权限定义：** 定义客户端可以执行的操作，例如读取、写入、删除或列出。 3. **有效期限设置：** 指定 SAS 的有效期限。可以是绝对时间（例如，从 2024 年 10 月 26 日 10:00 UTC 到 2024 年 10 月 27 日 10:00 UTC）或相对时间（例如，自生成 SAS 之日起 1 小时）。 4. **签名生成：** 使用存储帐户密钥对 SAS URI 进行签名。此签名验证 SAS 的真实性，并确保未经授权的客户端无法伪造访问权限。 5. **SAS URI 分发：** 将生成的 SAS URI 分发给需要访问资源的客户端。

客户端使用 SAS URI 访问资源，而无需提供存储帐户密钥。存储服务验证 SAS 签名和约束，如果有效，则允许访问。

SAS 的类型

SAS 分为三种主要类型：

**帐户 SAS：** 帐户 SAS 适用于整个存储帐户。它允许访问帐户中的所有资源，但仍然可以根据权限和有效期限进行约束。通常不推荐使用帐户 SAS，因为它授予了过多的权限。
**服务 SAS：** 服务 SAS 适用于一个特定的服务（例如，Blob 服务、文件服务或队列服务）。它允许访问该服务中的所有资源，但仍然可以根据权限和有效期限进行约束。比帐户 SAS 更安全，但仍然需要谨慎使用。
**资源 SAS：** 资源 SAS 适用于一个特定的资源（例如，一个 Blob 或文件）。它提供最细粒度的权限控制，并且通常是首选的 SAS 类型。

SAS 类型对比
类型	适用范围	权限控制	安全性		帐户 SAS	整个存储帐户	有限	低		服务 SAS	特定服务	有限	中		资源 SAS	特定资源	高	高

SAS 的安全考虑

虽然 SAS 比共享帐户密钥更安全，但仍然需要采取一些安全措施：

**最小权限原则：** 仅授予客户端完成任务所需的最低权限。例如，如果客户端只需要读取数据，则不要授予写入权限。
**短暂的有效期限：** 尽可能缩短 SAS 的有效期限。这最大限度地减少了 SAS 在泄露后被滥用的风险。
**使用 HTTPS：** 始终通过 HTTPS 连接传递 SAS URI，以防止中间人攻击。
**定期轮换：** 定期轮换 SAS URI，即使它们尚未过期。
**监控和审计：** 监控 SAS 使用情况并审计访问日志，以检测和响应潜在的安全事件。
**考虑使用 Azure Active Directory (Azure AD) 集成：** 对于更高级的访问控制，可以考虑使用 Azure AD 集成，允许您使用基于角色的访问控制 (RBAC) 管理访问权限。

SAS 的实际应用

SAS 在许多场景中都有用，包括：

**安全地共享文件：** 允许用户安全地下载或上传文件，而无需共享存储帐户密钥。
**构建无服务器应用程序：** 允许无服务器函数安全地访问存储资源。例如，一个 Azure 函数可以使用 SAS URI 访问 Blob 存储中的图像进行处理。
**简化内容分发：** 允许客户端安全地从 CDN 访问内容。
**启用临时访问权限：** 为特定用户或应用程序提供临时访问权限，例如用于调试或故障排除。
**支持移动应用程序：** 允许移动应用程序安全地访问存储资源，而无需将敏感凭据存储在设备上。
**集成第三方服务：** 允许第三方服务安全地访问您的存储资源。例如，一个数据分析服务可以使用 SAS URI 访问 Blob 存储中的日志文件。

SAS 与其他访问控制机制的比较

SAS 不是唯一的访问控制机制。以下是一些常见的替代方案：

**存储帐户密钥：** 如前所述，共享帐户密钥存在安全风险。
**Azure Active Directory (Azure AD)：** Azure AD 提供了基于角色的访问控制 (RBAC)，可以更精细地控制对存储资源的访问权限。但 Azure AD 集成需要更复杂的配置。
**托管标识：** 托管标识允许 Azure 服务安全地访问其他 Azure 资源，而无需管理凭据。
**共享密钥身份验证：** 用于应用程序之间的身份验证，但通常不如 SAS 安全。

选择哪种访问控制机制取决于您的具体需求和安全要求。

使用示例 (Azure CLI)

以下是使用 Azure CLI 创建资源 SAS 的示例：

```bash az storage blob sas create --account-name <存储帐户名称> --container-name <容器名称> --name <Blob 名称> --permissions r --expiry <到期时间> --https-only true --output tsv ```

`<存储帐户名称>`: 您的存储帐户的名称。
`<容器名称>`: 包含 Blob 的容器的名称。
`<Blob 名称>`: Blob 的名称。
`--permissions r`: 指定读取权限。
`--expiry`: 指定 SAS 的到期时间（例如，2024-10-27T10:00:00Z）。
`--https-only true`: 强制使用 HTTPS 连接。

理解 SAS URI 的结构

一个典型的 SAS URI 如下所示：

`https://<storage account name>.blob.core.windows.net/<container name>/<blob name>?sv=2023-01-03&ss=bfqt&srt=sco&sp=rwdlacupiytfx&se=2024-10-27T10:00:00Z&st=2024-10-26T10:00:00Z&spr=https&sig=<signature>`

以下是一些关键参数：

`sv`: 服务版本。
`ss`: 服务签名。
`srt`: 服务请求超时。
`sp`: 权限。
`se`: 到期时间。
`st`: 开始时间。
`spr`: 协议。
`sig`: 签名。

了解这些参数可以帮助您更好地理解 SAS URI 的功能和安全性。

监控和日志记录

监控和日志记录对于确保 SAS 的安全性和有效性至关重要。 Azure Monitor 可以用于收集 SAS 使用情况数据，并将其与安全信息和事件管理 (SIEM) 系统集成。

交易量分析与 SAS 安全

虽然 SAS 本身不直接影响交易量分析，但监控 SAS 的使用模式可以帮助识别异常活动，例如未经授权的访问尝试或数据泄露。异常的交易量突增可能表明存在安全漏洞。可以将 SAS 日志与技术分析数据结合使用，以识别潜在的威胁。例如，如果 SAS 被用于大量下载，而通常的下载量很低，则可能需要进行调查。分析 SAS 的访问时间戳还可以帮助识别恶意行为，例如在非工作时间进行的访问。回测可以帮助评估不同 SAS 策略的安全性。

策略建议

始终使用最低权限原则。
设置适当的到期时间。
使用 HTTPS。
监控 SAS 使用情况。
定期轮换 SAS URI。
考虑使用 Azure AD 集成。
实施风险管理策略来评估和减轻与 SAS 相关的风险。
使用威胁情报来了解最新的安全威胁。
实施事件响应计划以应对潜在的安全事件。
定期进行渗透测试以识别安全漏洞。
确保所有相关人员接受关于 SAS 安全性的培训。
使用数据加密来保护存储在 Blob 存储中的数据。
实施访问控制列表 (ACL) 来进一步限制对资源的访问。
采用 DevSecOps 实践将安全性集成到开发生命周期中。
使用机器学习识别异常 SAS 使用模式。

总结

共享访问签名 (SAS) 是一种强大的工具，可以安全地授予对存储资源的访问权限。通过理解 SAS 的工作原理、类型、安全考虑和实际应用，您可以构建更安全且可扩展的应用程序。始终遵循最佳实践，并定期监控 SAS 使用情况，以确保您的数据安全。

立即开始交易

注册 IQ Option （最低存款 $10）开设 Pocket Option 账户（最低存款 $5）

加入我们的社区

订阅我们的 Telegram 频道 @strategybin 获取： ✓ 每日交易信号 ✓ 独家策略分析 ✓ 市场趋势警报 ✓ 新手教育资源

共享访问签名

Contents