我打算使用keyVault管理存储帐户键。
我的问题是,当钥匙旋转时,SAS代币先前由KeyVault提供了无效?
例如,如果我要求有30天有效性的斑点的SAS,但我设置的关键旋转期为3天,那么SAS的有效性将为3天或30天?
>ps:我在MS Doc中问了此查询,但没有为此得到答复。这就是为什么我问你这样的好人。
我的问题是,当钥匙旋转时,SAS代币会 以前由KeyVault提供了无效的?
默认情况下,答案为是,密钥维护将被无效。
如果SAS令牌即将到期,我们应该从KeyVault再次获得Sastoken并进行更新。
有关KeyVault和Storage帐户的更多信息,请参阅此链接。
据我所知,如果我们遵循官方文章,答案是3天。例如,如果我要求有30天有效性的斑点SAS,但是 我设定的关键旋转期是3天,然后有效的有效性 SAS的时间为3天或30天?
我们可以使用KeyVault管理Azure存储帐户,更新存储帐户密钥或获取存储帐户密钥。
例如,我们可以使用此命令Update-AzureKeyVaultManagedStorageAccountKey
更新存储帐户密钥。
实际上比另一个答案更复杂。对于初学者,存储帐户有两个存储帐户键,这两者都可以访问该帐户。
SAS令牌均来自其中任何一个键。他们将继续工作,直到他们自己到期,或者直到他们派生的键是旋转的(以较早的速度)。
密钥保险箱托管存储帐户的概念是" Active键"。每当您从KV请求SAS令牌时,它将使用当前活动键来生成SAS令牌,它将返回。
每当发生自动旋转时,KV都会旋转当前不活动的键并使其使其成为活动键。先前活跃的密钥将成为"无活动"但是它将一直持续到下一次自动旋转为止,这意味着在旋转之前产生的任何SAS令牌将继续工作直到到期或其他旋转发生。
当然,如果您使用Update-AzureKeyVaultManagedStorageAccountKey
并旋转当前活动键,那么所有这些都不重要。在这种情况下
因此,只要您仅坚持自动旋转并且SAS令牌上的持续时间比自动旋转时期少,SAS令牌就不会因为存储键更改而变得无效。