前言

前面我們簡單介紹各種儲存體,包含適合那些用途、建立儲存體與如何操作。對於儲存體而言,存取控管與安全性相當重要。這一篇我們將簡單介紹儲存體的安全機制與存取控管,讓您對儲存體的使用更得心應手。本篇文章若有錯誤或任何建議,請各位先進不吝指教。

關鍵字儲存體存取控制安全存取機制傳輸安全資料加密


介紹

儲存體存取控制
透過 Azure Resource Manager Model,您可以將您的儲存體帳戶放入資源群組進行管理,並透過 Azure Activity Directory 進行管理。如此一來,您可以指定某些使用者可以存取儲存體密鑰權限,而其他使用者只能瀏覽檢視此儲存體資訊。儲存體帳戶的密鑰應該定期重新生成,您可以參考 Azure Key Vault(https://azure.microsoft.com/en-us/services/key-vault/)。下面我們簡單介紹如何透過群組進行管理。

Step 1. 在儲存體帳戶 → 存取控制 → 角色

Step 2. 你可發現儲存體參與者這個角色,只能瀏覽儲存體帳戶資訊而不能存取

Step 3. 回到儲存體帳戶,存取控制 → 新增

 Step 4.我們透過 儲存體帳戶參與者 + Azure AD 使用者、群組或應用程式,給予特定使用者瀏覽而不能存取權限


安全存取機制
儲存體的存取方式有兩種:
1. 儲存體密鑰 (Storage keys):控制資料存取
Step 1. 儲存體帳戶 → 存取金鑰


2. 共享存取簽章 (Shared Access Signatures):特定時間特定對象給予特定權限
Step 1. 儲存體帳戶 → 共享存取簽章 → 設定您要允許存取的服務、類型、權限、時間,並產生相對應的 SAS URL

Step 2. 您能透過 Azure Storage Explorer 進行測試。開啟 Azure Storage Explorer → 連結 → Use a connection string or a shared access signature URI → 點選 Next

Step 3. 選擇 Use a SAS URI

Step 4. 從 Azure Portal 上,複製剛剛產生的 URI,貼在 Azure Storage Explorer  → 點選 Next

Step 5.顯示連線詳細資訊 → 點選 Connect

Step 6.即可看見 Storage 詳細內容 (圖片為 Azure File Storage)


傳輸安全
您可以使用 HTTPS 進行加密傳輸(建議完全使用 HTTPS)


資料加密
Stroage Service Encrtption, SSE: 儲存體階層使用,自動進行加解密資料
Azure Disk Encryption (預覽): 虛擬機器使用,加密作業系統與資料磁碟,在 Windows 時透過 BitLocker 方式進行加密;而在 Linux 時透過 DM-Crypt 方式進行加密。


參考資料



相關文章