我意识到,当您创建共享访问签名(SAS)时,您可以将SAS限制为仅在某些IP范围内可行。
但我需要的是,为了保护Azure存储帐户,即使您拥有访问密钥,您也无法访问该帐户上的任何内容,除非该请求来自一组列入白名单的IP范围。这有可能吗?
答案 0 :(得分:0)
据我所知,Azure不支持访问密钥的IP限制。
您应该知道Azure存储帐户&访问密钥与管理平面安全性有关。它授予完全访问权限,这不是分享存储帐户和访问其他人密钥的好选择。
根据您的需求,使用具有IP限制的SAS是您的最佳选择。它们对于向不应具有帐户密钥的客户端提供存储帐户的有限权限非常有用。因此,对于使用Azure存储的任何应用程序,它们都是安全模型的重要组成部分。
答案 1 :(得分:0)
不确定何时开始,但现在有一个选择
https://docs.microsoft.com/en-us/azure/storage/common/storage-network-security
您基本上可以将与存储帐户的所有通信阻止到一组IP,CIDR块或Azure VNet
转到您的存储帐户>防火墙和虚拟网络>选择“选定的网络” 然后指定IP,CIDR块或Azure VNet。
注意::打开该按钮后,它实际上会阻止任何连接,无论它们是否提供SAS令牌,包括通过 Azure Portal 进行的访问(您将获得访问权限在显示您的容器的刀片上被拒绝。)和 Storage Explorer 。如果您正在运行使用该帐户的应用,请在按保存之前确保您的限制包括这些限制。
如果您配置了静态站点托管,则它们也会受到影响。这不仅会影响整个帐户,还会影响整个帐户。因此,如果您有应用程序访问帐户中的表或文件,请确保将它们添加到列表中。
如果要从存储帐户上载,编辑或下载内容,并且不在指定的网络中,则必须添加当前IP。