密钥重新生成后,管理存储帐户密钥的 KeyVault 是否会使已提供的 SAS 令牌失效?

Would KeyVault managing Storage Account Keys invalidate already served SAS token after Key regeneration?

我打算使用 keyVault to manage Storage Account Keys

我的问题是,当密钥轮换时,之前由 keyVault 提供的 SAS 令牌是否会失效?

例如,如果我为有效期为 30 天的 blob 请求 SAS,但我设置的密钥轮换周期为 3 天,那么 SAS 的有效期实际上是 3 天或 30 天?

PS:我在 MS 文档中询问了这个问题,但没有得到回复。这就是为什么我要问你们 SO 的好人。

My question is, when the keys get rotated, would the SAS token previously served by the keyVault get invalidated ?

默认情况下,答案是,keyvault 将失效。

如果 SAS 令牌即将过期,我们应该从 keyvault 中重新获取 sasToken 并更新它。

更多关于keyvault和storage account的信息,请参考这里link

For example, if I request a SAS for a blob with 30days validity but the key rotation period I set is 3 days, then effectively the validity of the SAS would be 3 days or 30 days ?

据我所知,如果按照官方的说法,答案是3天。

我们可以使用keyvault来管理Azure存储账户,更新存储账户密钥或者获取存储账户密钥。

例如,我们可以使用此命令Update-AzureKeyVaultManagedStorageAccountKey来更新存储帐户密钥。