Azure 共享访问签名是否意味着任何人都可以访问我的 blob？

Question

我正在编写一个备份服务来备份 SQL 数据库并将其保存在云存储中。我实际上已经使用 Amazon S3 实现了这一点，但由于应用程序将分发给客户，我无法将 API 密钥与应用程序一起存储。我考虑过使用网络服务来提供密钥，但这不是我目前最好的选择（因为它仍然存在密钥被盗的可能性。）

所以我研究了 Windows Azure，Blob 服务，发现他们有这些共享访问签名，可用于提供对云中资源的访问。您还可以使用签名将 blob 放入云中。但是通过MSDN docs 阅读，我不禁认为这是一个不安全的系统。任何知道 1. 我帐户的容器的确切名称和 2. 如何形成签名的人都可以访问这些对象。使用此签名时，您不需要密钥。至少这是我阅读文档的印象。

所以最后我的问题。我对与 Azure 的共享访问签名的评估是否正确，如果不正确，为什么？任何人都可以提出另一种方法来做我想要完成的事情。

Answer 1

共享访问签名的范围可以是特定容器或特定 blob。然后，他们可以指定他们授予的权限（读取、写入、列出 blob），并且可以指定它们的有效期。

创建 SAS 的唯一方法是拥有存储密钥，但任何拥有 SAS 的人都可以使用它来做它允许他们做的事情。

听起来您想让所有客户写入 blob 但不读取它们？如果是这样，只指定写入权限的 SAS 应该可以解决问题。

但我假设您还想限制（或计量）单个客户的使用量？如果是这样，您可能需要在服务器上启用一些活动（Web 服务？），以授权每次使用并生成特定的短期 SAS 以允许该操作。然后，您可以跟踪每次使用并计费。