导出 (0) 打印
全部展开

使用存储访问策略

更新时间: 2014年4月

存储访问策略额外增加了一层对服务器端共享访问签名的控制。建立存储访问策略可将共享访问签名分组以及对该策略绑定的签名施加其他限制。可使用存储访问策略更改签名的开始时间、到期时间或权限,还可在颁发签名后将其撤消。

通过存储访问策略,可对已颁发的共享访问签名加强控制。可在存储在所共享的 Blob、容器、队列或表上的存储访问策略中指定签名的生存期和权限,而不能在 URL 上指定这些内容。若要为一个或多个签名更改这些参数,可修改存储访问策略而非重新颁发这些签名。还可通过修改存储访问策略,快速撤消签名。

例如,假定已颁发了与存储访问策略关联的共享访问签名。如果已在存储访问策略中指定了到期时间,则可修改访问策略以延长签名的生存期,而不必重新颁发新的签名。

最佳做法建议对于为其颁发共享访问签名的任何已签名资源指定存储访问策略,因为可使用该存储策略在颁发签名后修改或撤消签名。如果未指定存储策略,则建议限制签名的生存期,以使存储帐户资源的风险降至最低。有关更多信息,请参见Creating a Shared Access Signature

存储访问策略包括一个在容器、队列或表中独一无二的名称,它最长为 64 个字符。要将一个共享访问签名与一个存储访问策略关联,请在创建该共享访问签名时指定此标识符。在共享访问签名 URI 上,signedidentifier 字段指定该存储访问策略的标识符。

容器、队列或表最多可包括 5 个存储访问策略。每个策略均可供任意数量的共享访问签名使用。

note备注
建立容器、队列或表的存储访问策略时,它可能最多需要 30 秒才能生效。在此期间,与该存储访问策略关联的共享访问签名将失败,状态代码为 403(禁止访问),直到访问策略成为活动的。

存储访问策略可指定与之关联的签名的以下访问策略参数:

  • 开始时间

  • 到期时间

  • 权限

根据希望如何控制对存储资源的访问,可在存储访问策略中指定所有这些参数,并从共享访问签名的 URL 中忽略这些参数。这样随时均可修改关联签名的行为以及撤消该签名。或者,还可在存储访问策略中指定一个或多个访问策略参数,并在 URL 上指定其他参数。最后,可以在 URL 上指定所有参数。在这种情况下,您可以使用存储访问策略来撤消签名,但不修改其行为。

共享访问签名和存储访问策略一同必须包括对签名进行身份验证所需的所有字段。如果缺少任何必需的字段,则请求将失败,状态代码为 403(已禁止)。同样地,如果在共享访问签名 URL 中和存储访问策略中都指定了字段,则请求将失败,状态代码为 403(错误请求)。有关组成签名的字段的详细信息,请参阅Creating a Shared Access Signature

若要撤消对使用同一存储访问策略的共享访问签名的访问,请通过用不含策略名称的新列表改写存储策略列表,从存储资源中删除该存储策略。若要更改存储访问策略的访问设置,请用包含具有新访问控制详细信息的同名策略的新列表改写存储策略列表。

另请参阅

显示:
© 2014 Microsoft