管理存储访问策略

Question

我有一个Azure Storage，其中包含一个blob容器，此容器中有多个文件夹，以及这些文件夹中的文本文件。

我想使用SAS tokens管理访问权限。我找到了很多例子，但我没有得到我需要的所有答案。

我可以设置policies并在我的容器的不同级别生成SAS tokens吗？喜欢：

1. 签署整个容器
2. 仅在该容器中一个文件夹（以及它包含的所有内容）的签名
3. 仅在这些文件夹中一个文件签名

可能有哪些选择？

似乎Azure Portal只允许我在容器级别生成SAS tokens。 policies仅通过代码创建吗？特定SAS tokens（选项2＆amp; 3）也是如此？

谢谢

Answer 1

回答你的问题：

• 策略在容器级别设置。对于每个容器，最多可以有5个访问策略。
• 可以在容器上创建的SAS令牌数量没有限制。要创建SAS令牌，您可以使用访问策略，也可以在不使用访问策略的情况下创建SAS令牌。
• 由于blob存储中没有文件夹的概念（它们只是blob的前缀），因此无法为文件夹创建SAS令牌。
• 您可以为单个blob创建SAS令牌。同样，您可以为blob创建的SAS令牌数量没有限制。您可以使用blob所在的blob容器上的访问策略或不使用访问策略为blob创建SAS令牌。
• 如果在没有访问策略的情况下创建SAS令牌，则只能在其过期之前撤消它以更改帐户密钥。使用访问策略创建SAS令牌时，可以通过更改访问策略标识符的值或更改该访问策略的参数来完成在它过期之前撤消它。

Answer 2

政策似乎也只能包含日期/时间限制和权限。它不能包含IP地址限制（不幸的是）。