我正在尝试使用Azure托管存储帐户密钥。我成功地设置了一个托管存储帐户,其中包含1天的再生期以进行测试。我的问题是
我是否可以从任何其他应用程序访问此存储帐户,例如Storage Explorer,Cloud Explorer,Power BI Desktop等。如果是,如何获取密钥?
我仍然在azure portal中看到此存储帐户的密钥。它们无效吗?或者每次keyvault重新生成此存储帐户的密钥时它们会更改吗?
我设置了-ActiveKeyName Key2。每次重新生成密钥Key1时都会重新生成。如果Key1重新生成,那么Key2即使在1天后仍然有效吗?这个活跃的密钥概念在文档中并不那么清晰。有人可以解释一下吗。
Sas token是获取存储帐户资源的唯一途径。我只想在再生期间拥有存储帐户的完全访问权限。是否可以不使用Sas token?
我从powershell创建了SAS Definition,并在我想访问存储帐户时创建了SAS token。我认为SAS Token会失效但不会SAS Definion。我假设我不必处理代码中的到期,因为我总是得到新的SAS Token。我这样做了吗?
答案 0 :(得分:1)
我知道已经11个月了,您要么放弃这个,要么自己解决。万一有人发现这个问题,我会回答你的。
是的!您使用的任何应用程序都应与KeyVault对话以获取SAS令牌。避免使用存储帐户密钥,因为它们仍然有效,但是可能随时更改。如果您只需要一次访问,则可以使用powershell获取可以使用的sas令牌。
它们是有效的,但是只要KeyVault旋转它们,它们就会更改,因此请不要使用它们,也不要自己更改它们。
任何时候都有两个有效键。任一时刻仅使用一个密钥来发行SAS令牌。这是 active 键。该旋转时,KeyVault会重新生成未激活的密钥,然后将新创建的密钥设置为活动的。
让我们举个例子。假设这些键称为key1和key2。 key1等于“ A”,key2等于“ b”。设key1为活动密钥。
现在,键已经旋转,但是key1仍然有效。下次旋转按键时,它将更改。这样,只要轮换周期长于令牌的生存期,就不会在令牌到期之前使令牌失效。
没有键仍然有效,因此它们也可以使用,但是您不知道它们何时会更改。
在SAS定义中声明令牌的生存期。创建密码时,会在KeyVault中创建一个密码。每当您获得该秘密时,您都会获得一个新令牌。如果您不存储令牌,但是每次都要求输入新令牌,则总会得到一个有效令牌。但是您可能想缓存令牌,因为每次访问KeyVault的速度都很慢。