Лекция Облачные технологии
Обеспечение защиты доступа к данным
Download 3.58 Mb. Pdf ko'rish
|
|
Обеспечение защиты доступа к данным
Существует два способа защитить доступ к объектам данных. Первый (управление доступом к ключам учетной записи хранения) мы только что рассмотрели. Второй способ — использование подписанных URL-адресов и хранимых политик доступа [9]. SAS представляет собой строку, содержащую маркер безопасности. Эту строку можно дописать в конец URI-кода ресурса, который поддерживает делегирование доступа к конкретным хранимым объектам, и задавать ограничения, — например, разрешения и интервал времени, в течение которого доступ открыт. Поддерживается предоставление доступа к BLOB-объектам, контейнерам, сообщениям очереди, файлам и таблицам. В рамках таблиц можно предоставлять доступ к конкретным ключам разделов. Если, например, в качестве ключа раздела вы используете название города, то сможете предоставить кому-либо доступ только к информации по Новосибирску. 85 Такой механизм позволяет предоставлять строго тот уровень доступа, который необходим для решения конкретных задач. Например, вы можете предоставить веб-приложению возможность записывать сообщения в очередь, запретив считывать и удалять их. Рабочей роли или веб-задаче Azure можно назначить права на чтение сообщений, их обработку и удаление. Каждому компоненту назначается максимально узкий набор прав, достаточный для выполнения его работы. Существуют SAS уровня учетной записи и уровня службы. SAS уровня учетной записи позволяют получать списки контейнеров, создавать контейнеры, удалять файловые ресурсы общего доступа и т. п. SAS на уровне службы позволяют лишь получить доступ к объектам данных. С их помощью можно, например, загрузить BLOB-объект в контейнер. Также можно создавать хранимые политики доступа для объектов с функциональностью контейнеров, например, для контейнеров BLOB-объектов или файловых ресурсов общего доступа. Это позволит задать значения параметров запроса, которые будут действовать по умолчанию. После этого можно будет создавать SAS-адреса, в которых указывается политика и параметры запроса, которые отличаются от параметров политики. Например, можно создать политику, которая предоставляет доступ на чтение к некоторому контейнеру. Когда кому-нибудь понадобится доступ к этому контейнеру, вы сможете создать SAS на основе политики и воспользоваться им. У хранимых политик доступа есть два преимущества. Во-первых, они позволяют скрыть параметры, которые определены в политике. Если вы настроите политику так, чтобы она открывала доступ на 30 минут, то это значение не будет содержаться в URL-адресе — в нем будет указано только имя политики. Это безопаснее, чем передавать все параметры в открытом виде. Вторая причина использовать хранимые политики доступа заключается в том, что их можно отозвать. Вы можете изменить дату окончания срока действия политики на более раннюю относительно текущего времени или просто удалить политику. Так можно отменить ошибочно предоставленный доступ к объекту. При использовании URL-адресов SAS вам потребовалось бы удалять ресурс или менять ключи учетной записи хранения, чтобы отозвать доступ. Подписанные URL-адреса (SAS) и хранимые политики доступа — два самых надежных способа предоставления доступа к объектам данных. Download 3.58 Mb. Do'stlaringiz bilan baham: 
|