0

Azure Storage $logsをアクセス ポリシーと組み合わせて使用​​して、エンド ユーザー クォータを作成および適用できるかどうかを調査しています。アクセス ポリシーを使用すると、何らかの理由で無効な新しいセッションを終了できます。

この質問は主にアクティブな接続に関するものです。非ストリーミング データには問題やリスクがないと確信しているためです。

私が $logs を積極的に読んでいて、しきい値に達したら Shared Access Signature を無効にすると仮定すると、どのような「不足しているデータ」が悪用されるのでしょうか?

例えば:

  • 開いている/進行中のアップロードまたはダウンロードはログに記録されますか? (まだ見えないものは監査できない)

  • ポリシーが取り消されると、関連するセッションは終了しますか? (ストリーム内でアップロード、ダウンロード、またはおそらくシークできます)

  • Azure ログ サービスによって "開かれている" ログを読み取って、ある程度最新のメトリックを維持することはできますか?

私の推測では、このようなことは起こらないと思います。また、アクセス ポリシーがあったとしても、悪用の経路がいくつかあります。

4

1 に答える 1

1

開いている/進行中のアップロードまたはダウンロードはログに記録されますか? (まだ見えないものは監査できない)

ご存じのように、Azure Storage Service に対する操作は、Storage Service REST API に基づいています。以下は、対応するストレージ サービスについてログに記録される詳細な操作です。この公式ドキュメントを参照できます。

ポリシーが取り消されると、関連するセッションは終了しますか? (ストリーム内でアップロード、ダウンロード、またはおそらくシークできます)

SAS とアクセス ポリシーを使用して大きなファイルを Azure Blob にアップロードしようとしましたが、ポリシーを取り消すと、後続のアップロード要求が中断され、次のように 403 が返されます。

サイズの大きなファイルをダウンロードするため、Azure Storage Service にリクエストが届いて認証が通れば、ポリシーを取り消しました。この時点で、事前認証されたダウンロード要求が続行され、ファイルが正常にダウンロードされます。私のすべてのテストは、Gaurav Mantri のコメントと完全に一致しています。

Azure ログ サービスによって "開かれている" ログを読み取って、ある程度最新のメトリックを維持することはできますか?

私の理解では、Microsoft Azure Storage Explorerを利用して、ストレージ分析ログ ファイルを簡単な方法で取得できます。ログ ファイルをダウンロードして、詳細なリクエストを確認できます。私が知っているように、ストレージ分析ログを読み取って、開いているログの内容をある程度最新の状態に保つことができるビルド内の機能やツールはありません。

于 2017-01-05T01:29:30.577 に答える