Можно ли использовать подписи общего доступа + политики + данные журнала $ для принудительного применения квот хранилища?

Я изучаю, могу ли я использовать Azure Storage $ logs в сочетании с Политика доступа для создания и обеспечения соблюдения квот для конечных пользователей. Политика доступа позволит мне завершить новые сеансы, которые по какой-либо причине недействительны.

Этот вопрос в первую очередь касается активных подключений, так как я почти уверен, что нет никаких проблем или рисков с данными, не связанными с потоковой передачей.

Если предположить, что я активно читаю журналы $ logs и отключаю подписи общего доступа по достижении порогового значения, какие «недостающие данные» могут быть использованы для эксплуатации?

Например:

  • Записываются ли открытые / незавершенные загрузки или загрузки? (Я не могу проверить то, что еще не вижу)

  • Завершаются ли связанные сеансы после отзыва политики? (Они могут загружать, скачивать или, возможно, искать в потоке)

  • Могу ли я читать журнал, который «открыт» службой ведения журналов Azure, и поддерживать в некоторой степени актуальные метрики?

Я предполагаю, что ничего из этого не происходит, и даже с политикой доступа есть несколько возможностей для злоупотреблений.


azure security azure-storage-blobs azure-storage azcopy
person halfbit    schedule 03.01.2017    source источник
comment
Можете ли вы описать, что вы имеете в виду под эксплуатацией? Вы имеете в виду, может ли пользователь продолжать получать данные даже после того, как вы отключили SAS?   -  person Gaurav Mantri    schedule 03.01.2017
comment
@GauravMantri В этом сценарии предположим, что это большая загрузка, когда пользователь поделился ключом с несколькими сотнями / тысячами человек. Этот выход оплачивается и свидетельствует о нарушении Условий использования (авторское право или другой термин, относящийся к имеющимся данным).   -  person halfbit    schedule 03.01.2017
comment
Итак, как только вы аннулируете SAS, любая операция, выполненная с использованием этого SAS, с этого момента приведет к ошибке 403. Предполагая, что загрузка осуществляется по частям, в этом случае пользователи получат частичные данные. Отвечает ли это на ваш вопрос?   -  person Gaurav Mantri    schedule 03.01.2017
comment
@GauravMantri Это отвечает на второй пункт. Но я не уверен, получаю ли я данные в полете ... или могу ли я потребовать, чтобы все данные загружались порциями.   -  person halfbit    schedule 03.01.2017
comment
Я думаю, что SAS больше похож на привратника. Он проверяется, когда запрос достигает хранилища Azure. Предположим, у вас есть запрос, на обработку которого уходит, скажем, 15 секунд. Когда запрос достигает хранилища Azure, SAS проверяется. Если он действителен, сервис начинает обработку данных. Теперь, когда служба все еще обрабатывает данные, вы аннулируете SAS. В этом случае запрос будет успешным.   -  person Gaurav Mantri    schedule 03.01.2017

Ответы (1)


arrow_upward
1
arrow_downward

Записываются ли открытые / незавершенные загрузки или загрузки? (Я не могу проверить то, что еще не вижу)

Как мне известно, операции со службой хранилища Azure основаны на REST API службы хранилища. Вот подробные операции, которые регистрируются для соответствующей службы хранения, вы можете обратиться к этому официальному документ.

Завершаются ли связанные сеансы после отзыва политики? (Они могут загружать, скачивать или, возможно, искать в потоке)

Я попытался загрузить свой большой файл в Azure Blob с помощью политик SAS и доступа, когда я отозвал политику, последующий запрос на загрузку был прерван и вернул 403 следующим образом:

Для загрузки большого файла, если запрос достигает службы хранилища Azure и проверка подлинности прошла, я отозвал политику. На этом этапе запрос загрузки с предварительной аутентификацией будет продолжен, и файл будет успешно загружен. Все мои тесты полностью соответствуют комментариям Гаурав Мантри.

Могу ли я читать журнал, который «открыт» службой ведения журналов Azure, и поддерживать в некоторой степени актуальные метрики?

Насколько я понимаю, мы могли бы использовать Microsoft Azure Storage Explorer для простого получения файлов журнала аналитики хранилища. Мы могли скачать файл журнала и проверить подробные запросы. Насколько мне известно, нет никаких встроенных функций или инструментов, которые могли бы читать журнал аналитики хранилища и поддерживать содержимое открытого журнала в некоторой степени актуальным.

person Bruce Chen    schedule 05.01.2017
comment
Спасибо, знаете ли вы, какой минимум регистрации необходим для получения информации? (есть 3 настройки, которые я не помню: базовые, отладочные или что-то в этом роде) - person halfbit; 05.01.2017
comment
Как мне известно, для учетной записи хранения (современная) вы можете включить опцию Журналы BLOB-объектов в разделе МОНИТОРИНГ ›Диагностика, чтобы регистрировать подробные запросы для хранилища BLOB-объектов. Для учетной записи хранения (классическая) вы можете регистрировать запросы на чтение, запросы на запись или удаление запросов для служб хранения в разделе «Настроить› ведение журнала »вашей учетной записи хранения на старом портале. Если я неправильно понимаю вашу идею, проиллюстрируйте свои сомнения. - person Bruce Chen; 05.01.2017