我意识到,当您创建共享访问签名(SAS)时,您可以将SAS限制为仅在某些IP范围内可行。
但我需要的是,为了保护Azure存储帐户,即使您拥有访问密钥,您也无法访问该帐户上的任何内容,除非该请求来自一组列入白名单的IP范围。这是可能吗?
据我所知,Azure不支持访问密钥的IP限制。
您应该知道Azure存储帐户和访问密钥是关于管理平面安全性的。它授予完全访问权限,这不是共享存储帐户和访问其他人密钥的好选择。
根据您的需求,使用具有IP限制的SAS是您的最佳选择。它们对于向不应具有帐户密钥的客户端提供存储帐户的有限权限非常有用。因此,对于使用Azure存储的任何应用程序,它们都是安全模型的重要组成部分。
不知道什么时候开始,但现在有一个选项
https://docs.microsoft.com/en-us/azure/storage/common/storage-network-security
您实际上可以阻止与存储帐户的所有通信到一组IP,CIDR块或Azure VNets
转到存储帐户>防火墙和虚拟网络>选择“选定的网络”然后指定IP,CIDR块或Azure VNets。
注意:启用此功能的那一刻,它实际上会阻止任何连接,无论它们出现的是哪个SAS令牌,包括通过Azure门户访问(您将在显示容器的刀片上获得拒绝访问权限。)和存储资源管理器。如果您运行的应用程序使用此帐户,请在按“保存”之前确保您的限制包含它们。
如果您配置了静态站点托管,它们也会受到影响。这会影响整个帐户,而不仅仅是blob。因此,如果您有应用程序访问帐户中的表或文件,请确保将它们添加到列表中。
如果您要从存储帐户上传,编辑,下载内容并且您不在指定的网络中,则必须添加当前的IP。