Будет ли KeyVault, управляющий ключами учетной записи хранения, лишать законной силы уже обслуживаемый токен SAS после регенерации ключа?
Я планирую использовать keyVault для управления ключами учетной записи хранения.
Мой вопрос: когда ключи повернуты, будет ли токен SAS, ранее обслуживаемый keyVault, признан недействительным?
Например, если я запрашиваю SAS для большого двоичного объекта со сроком действия 30 дней, но установленный мною период смены ключей составляет 3 дня, то фактически срок действия SAS составит 3 дня или 30 дней?
PS: я задал этот запрос в документе MS, но не получил ответа на это. Вот почему я прошу вас, хорошие люди из SO.
2 ответа
Мой вопрос: когда ключи повернуты, будет ли токен SAS, ранее обслуживаемый keyVault, признан недействительным?
По умолчанию ответ - да, keyvault будет признан недействительным.
Если срок действия токена SAS истекает, мы должны снова получить sasToken из keyvault и обновить его.
Более подробную информацию о keyvault и учетной записи хранения можно найти по этой ссылке.
Например, если я запрашиваю SAS для большого двоичного объекта со сроком действия 30 дней, но установленный мною период смены ключей составляет 3 дня, то фактически срок действия SAS составит 3 дня или 30 дней?
Насколько я знаю, если мы будем следовать официальной статье, ответ будет 3 дня.
Мы можем использовать keyvault для управления учетной записью хранилища Azure, обновления ключа учетной записи хранения или получения ключа учетной записи хранения.
Например, мы можем использовать эту команду Update-AzureKeyVaultManagedStorageAccountKey обновить ключ учетной записи хранения.
На самом деле это немного сложнее, чем представляет другой ответ. Во-первых, учетные записи хранения имеют два ключа учетной записи хранения, каждый из которых дает доступ к этой учетной записи.
Маркеры SAS являются производными от любого из этих ключей. Они будут продолжать работать до тех пор, пока не истечет срок их действия ИЛИ до тех пор, пока их ключи, из которых они получены, не будут заменены (в зависимости от того, что произойдет раньше).
У учетных записей хранения, управляемых хранилищем ключей, есть понятие «активный ключ». Всякий раз, когда вы запрашиваете токен SAS у KV, он будет использовать текущий активный ключ для создания возвращаемого им токена SAS.
Всякий раз, когда происходит автоповорот, KV будет вращать ключ, который в данный момент НЕ активен, и сделает его активным ключом. Ранее активный ключ станет «неактивным», но останется до следующей автоматической ротации, что означает, что любые токены SAS, сгенерированные до ротации, будут продолжать работать, пока не истечет срок их действия или не произойдет другая ротация.
Все это не имеет значения, конечно, если вы используетеUpdate-AzureKeyVaultManagedStorageAccountKeyи поверните текущую активную клавишу. В этом случае все ранее выпущенные токены SAS немедленно станут недействительными.
Таким образом, пока вы придерживаетесь только автоматической ротации И продолжительность ваших токенов SAS меньше, чем период автоматической ротации, токены SAS не должны стать недействительными из-за изменения ключа хранилища.