北京
你的應(yīng)用代碼里是不是還硬編碼著存儲賬戶的訪問密鑰?每次部署前都要反復(fù)檢查有沒有不小心把密鑰提交到公開倉庫。Azure提供了一套機制,讓你徹底擺脫這些明文憑證,同時給關(guān)鍵業(yè)務(wù)數(shù)據(jù)加上一道防篡改的護身符。
這套組合拳由三個部件構(gòu)成:托管標(biāo)識負責(zé)身份認證,基于角色的訪問控制劃定操作邊界,不可變存儲策略則確保寫入的數(shù)據(jù)在保護期內(nèi)無法被修改或刪除。三件事指向同一個目標(biāo)——把你的存儲環(huán)境從"誰拿到密鑰誰說了算",變成"只有經(jīng)過授權(quán)的身份才能做被允許的事"。
先弄清楚兩個核心概念。托管標(biāo)識讓Azure資源在請求其他服務(wù)時,不需要在代碼里塞任何憑證。應(yīng)用程序運行時自動獲得一個身份,用這個身份去證明"我是我"。而基于角色的訪問控制回答的是另一個問題:這個身份到底能做什么?它能列出容器里的文件,還是能直接刪除整個存儲賬戶?權(quán)限粒度由你來定。兩者配合,硬編碼的密鑰就可以從代碼庫中消失了,權(quán)限集中管理,符合最小權(quán)限原則。
搭建這樣一套環(huán)境需要幾步準(zhǔn)備工作。你得有一個Azure賬戶和有效的訂閱,能穩(wěn)定聯(lián)網(wǎng),并且能登錄Azure門戶。準(zhǔn)備好之后,我們從創(chuàng)建存儲賬戶開始。
在門戶中搜索并選擇"存儲賬戶",點擊創(chuàng)建。資源組可以新建一個,給個容易識別的名稱。存儲賬戶名必須全局唯一,符合Azure的命名規(guī)范。切到"加密"選項卡時,勾選"啟用基礎(chǔ)設(shè)施加密"。注意那個警告提示——這個選項一旦創(chuàng)建后就無法更改,確認之前想清楚。設(shè)置完成后選擇"審閱并創(chuàng)建",等待部署完成。
接下來創(chuàng)建托管標(biāo)識。搜索"托管標(biāo)識"進入服務(wù)頁面,選擇創(chuàng)建,把標(biāo)識放在剛建好的資源組里,給它起個名字,然后審閱并創(chuàng)建。這個標(biāo)識會分配給Web應(yīng)用使用,應(yīng)用借此獲得身份,不用再手動管理任何密鑰字符串。
標(biāo)識建好了,但它現(xiàn)在什么權(quán)限都沒有。你需要精準(zhǔn)授權(quán):這個標(biāo)識只需要讀取和列出容器與Blob的能力,多一分都不要。進入存儲賬戶的"訪問控制"邊欄選項卡,選擇"添加角色分配"。在作業(yè)函數(shù)角色頁面搜索并選中"存儲Blob數(shù)據(jù)讀取者",這個角色恰好滿足只讀加列表的需求。進入成員頁面,選擇"托管標(biāo)識",在成員篩選下拉框中找到"用戶分配的托管標(biāo)識",選中剛創(chuàng)建的那個標(biāo)識,確認選擇并完成分配。
現(xiàn)在這套環(huán)境的基礎(chǔ)骨架搭好了:存儲賬戶用于存放數(shù)據(jù),托管標(biāo)識提供無密鑰的身份認證,RBAC角色分配把權(quán)限收緊到只讀級別。如果你還需要保護某些記錄不被篡改——比如合規(guī)要求的審計日志——下一步可以配置不可變Blob存儲策略。這項策略在保留期內(nèi)鎖定數(shù)據(jù),任何覆蓋或刪除操作都會被拒絕,等于給關(guān)鍵資產(chǎn)加了一層物理級別的寫保護。
把憑證從代碼里抽走,把權(quán)限關(guān)進角色分配的籠子里,再把核心數(shù)據(jù)鎖進不可變策略的時間窗口——這三步走完,你的存儲環(huán)境就從一個依賴密鑰共享的開放狀態(tài),遷移到了以身份為邊界的受控架構(gòu)。所有操作記錄可追蹤,權(quán)限可隨時回收,密鑰泄露的風(fēng)險也不再成立。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
體育見習(xí)官
