Hjem Lab-prosjekter Azure Storage Account

Azure Storage Account

Utforsket de tre viktigste lagringstjenestene i Azure: Blob Storage for objekter, Azure Files for filshares og SAS-tokens for tidsbegrenset tilgang til enkeltressurser.

FullførtAZ-104StorageBlob · Files · SAS
Hva jeg gjorde
Blob Storage og tilgangsstyring

Opprettet en Storage Account med private blob-containere og testet at direkte URL-tilgang ble blokkert. Deretter genererte jeg SAS-tokens med begrenset lesetilgang og utløpstid, og verifiserte at tokenet sluttet å fungere etter utløp.

Viktig distinksjon: tilganger bør styres via RBAC-roller, ikke via Access Keys. Access Keys gir full tilgang til hele kontoen — mister du én er all data eksponert. RBAC lar deg gi granulær tilgang per bruker eller tjeneste.

SAS i produksjon: Bruk User Delegation SAS (basert på Entra ID-identitet) fremfor Service SAS (basert på Access Keys). Da kan du tilbakekalle tilgangen ved å fjerne Entra ID-rollen — en Service SAS kan ikke tilbakekalles etter den er generert.
Azure Files og Cloud Shell

Opprettet en fileshare og monterte den som nettverksstasjon via Cloud Shell. Azure Files oppfører seg som en tradisjonell SMB-filserver, men uten serverdrift. For lab var dette naturlig å koble til Cloud Shell-miljøet, som allerede bruker en fileshare i bakgrunnen.

Port 445 (SMB) er blokkert i mange bedriftsnettverk og hjemmerutere. Fra Azure VM-er og Cloud Shell fungerer det alltid — men fra on-premises kreves VPN eller ExpressRoute.
Ting å huske
Gikk galt
Azure Policy blokkerte opprettelse av fileshare fordi en intern vault-ressurs manglet environment-tag. Løste det med en Policy Exemption på riktig scope — og lærte at scope-valget er kritisk. Feil scope = Exemption har ingen effekt.
Gikk galt
Access Key ble returnert i klartekst i terminal under testing. Roterte nøkkelen umiddelbart. I ettertid: lagre alltid nøkler som variabler ($key = ...) slik at de ikke vises i terminalhistorikken.
Lærte
LRS, ZRS, GRS og GZRS er redundansnivåer med ulik kostnad og beskyttelse. I offentlig sektor med krav til dataintegritet bør du vurdere minst ZRS — tre kopier spredt over ulike tilgjengelighetssoner i samme region.
Husk
Soft delete er aktivert som standard og kan ikke deaktiveres. Slettede blobs og containers beholdes i konfigurerbar periode. I produksjon: sett denne perioden lenger enn standard 7 dager.
Microsoft-dokumentasjon
💾
Storage Account oversikt
Microsoft Learn — AZ-104
📦
Blob Storage introduksjon
Microsoft Learn — AZ-104
🔑
SAS-tokens oversikt
Microsoft Learn — AZ-104
🗂️
Azure Files introduksjon
Microsoft Learn — AZ-104