可以使用共享访问签名+策略+ $日志数据来强制实施存储配额吗?

时间:2017-01-03 16:59:37

标签: security azure azure-storage azure-storage-blobs azcopy

我正在探索是否可以将Azure Storage $logsAccess Policy结合使用来创建和强制执行最终用户配额。 Access策略将允许我终止因任何原因无效的新会话。

这个问题主要是关于活动连接,因为我非常确定非流数据没有问题或风险。

假设我正在积极地阅读$ logs,并在达到阈值时禁用共享访问签名,那么“漏掉的数据”会被利用吗?

例如:

  • 是否记录了打开/正在进行的上传或下载? (我无法审核我还看不到的内容)

  • 撤销某个政策后,关联的会话是否已终止? (他们可以在流中上传,下载或寻找)

  • 我可以阅读Azure日志服务“开放”的日志并保留一些最新的指标吗?

我的假设是没有发生这种情况,即使使用访问政策,也有几种滥用途径。

1 个答案:

答案 0 :(得分:1)

  

是否记录了打开/正在进行的上传或下载? (我无法审核我能看到的内容)

众所周知,Azure Storage Service的操作基于Storage Service REST API。以下是为相应存储服务记录的详细操作,您可以参考此官方document

  

一旦政策被撤销,关联的会话是否会被终止? (他们可以上传,下载或者在流中寻找)

我尝试将我的大文件上传到Azure Blob,使用SAS&访问策略,当我撤销策略时,后续的上传请求将被中断并返回403,如下所示:

对于下载大文件,如果请求到达Azure存储服务并且传递了身份验证,则我撤消了该策略。此时,预先认证的下载请求将继续,并且文件将被成功下载。我的所有测试都完全符合Gaurav Mantri的评论。

  

我可以阅读"打开"通过Azure日志记录服务并保持一些最新的指标?

根据我的理解,我们可以利用Microsoft Azure Storage Explorer以简单的方式检索存储分析日志文件。我们可以下载日志文件并验证详细请求。据我所知,没有任何内置功能或工具可以读取存储分析日志并使您打开的日志内容保持最新。

相关问题
最新问题