CA5375: 계정 공유 액세스 서명을 사용하지 마세요.

속성	값
규칙 ID	CA5375
타이틀	계정 공유 액세스 시그니처를 사용하지 마세요.
범주	보안
수정 사항이 주요 변경인지 여부	주요 변경 아님
.NET 8에서 기본적으로 사용	아니요

원인

Microsoft.WindowsAzure.Storage 네임스페이스의 GetSharedAccessSignature 메서드를 사용하여 계정 SAS(공유 액세스 서명)를 생성합니다.

규칙 설명

계정 SAS는 서비스 SAS에서 허용되지 않는 Blob 컨테이너, 테이블, 큐, 파일 공유에서 읽기, 쓰기, 삭제 작업에 대한 액세스 권한을 위임할 수 있습니다. 그러나 컨테이너 수준 정책을 지원하지 않으며 유연성이 적고 부여된 사용 권한에 대한 제어 수준이 낮습니다. 가능하면 세분화된 액세스 제어를 위해 서비스 SAS를 사용하세요. 자세한 내용은 공유 액세스 서명을 사용하여 액세스 위임을 참조하세요.

위반 문제를 해결하는 방법

세분화된 액세스 제어 및 컨테이너 수준 액세스 정책을 위해 계정 SAS가 아닌 서비스 SAS를 사용합니다.

경고를 표시하지 않는 경우

모든 리소스의 사용 권한이 최대한으로 제한되어 있으면 이 규칙을 표시하지 않아도 됩니다.

경고 표시 안 함

단일 위반만 표시하지 않으려면 원본 파일에 전처리기 지시문을 추가하여 규칙을 사용하지 않도록 설정한 후 다시 사용하도록 설정합니다.

#pragma warning disable CA5375
// The code that's violating the rule is on this line.
#pragma warning restore CA5375

파일, 폴더 또는 프로젝트에 대한 규칙을 사용하지 않도록 설정하려면 구성 파일에서 심각도를 none으로 설정합니다.

[*.{cs,vb}]
dotnet_diagnostic.CA5375.severity = none

자세한 내용은 방법: 코드 분석 경고 표시 안 함을 참조하세요.

의사 코드 예제

위반

다음 의사 코드 샘플에서는 이 규칙에 의해 탐지되는 패턴을 보여 줍니다.

using System;
using Microsoft.WindowsAzure.Storage;

class ExampleClass
{
    public void ExampleMethod(SharedAccessAccountPolicy policy)
    {
        CloudStorageAccount cloudStorageAccount = new CloudStorageAccount();
        cloudStorageAccount.GetSharedAccessSignature(policy);
    }
}

솔루션

계정 SAS 대신 서비스 SAS를 사용합니다.

using System;
using Microsoft.WindowsAzure.Storage;
using Microsoft.WindowsAzure.Storage.File;

class ExampleClass
{
    public void ExampleMethod(StorageCredentials storageCredentials, SharedAccessFilePolicy policy, SharedAccessFileHeaders headers, string groupPolicyIdentifier, IPAddressOrRange ipAddressOrRange)
    {
        CloudFile cloudFile = new CloudFile(storageCredentials);
        SharedAccessProtocol protocols = SharedAccessProtocol.HttpsOnly;
        cloudFile.GetSharedAccessSignature(policy, headers, groupPolicyIdentifier, protocols, ipAddressOrRange);
    }
}

관련 규칙

CA5376: SharedAccessProtocol HttpsOnly 사용

CA5377: 컨테이너 수준 액세스 정책 사용