Vytvoření SAS účtu
Od verze 2015-04-05 podporuje Azure Storage vytvoření nového typu sdíleného přístupového podpisu (SAS) na úrovni účtu úložiště. Vytvořením sdíleného přístupového podpisu účtu můžete:
Delegujte přístup k operacím na úrovni služby, které aktuálně nejsou dostupné se sdíleným přístupovým podpisem specifickým pro službu, jako
Get/Set Service Propertiesjsou operace aGet Service Stats.Delegujte přístup k více než jedné službě v účtu úložiště najednou. Můžete například delegovat přístup k prostředkům v Azure Blob Storage i Azure Files pomocí SAS účtu.
Delegujte přístup k operacím zápisu a odstranění pro kontejnery, fronty, tabulky a sdílené složky, které nejsou k dispozici u sdíleného přístupového podpisu (SAS) specifického pro objekt.
Zadejte IP adresu nebo rozsah IP adres, ze kterých chcete přijímat požadavky.
Zadejte protokol HTTP, ze kterého chcete přijímat požadavky (https nebo HTTP/HTTPS).
Sdílený přístupový podpis účtu v současné době nepodporuje uložené zásady přístupu.
Upozornění
Sdílené přístupové podpisy jsou klíče, které udělují oprávnění k prostředkům úložiště, a měli byste je chránit stejně jako klíč účtu. Je důležité chránit sdílený přístupový podpis před škodlivým nebo nezamýšleným použitím. Při distribuci sdíleného přístupového podpisu využijte diskrétnost a vytvořte plán pro odvolání ohroženého sdíleného přístupového podpisu. Operace, které používají sdílené přístupové podpisy, by se měly provádět pouze přes připojení HTTPS a identifikátory URI SAS by se měly distribuovat pouze na zabezpečeném připojení, jako je https.
Autorizace SAS účtu
Sas účtu se zabezpečuje pomocí klíče účtu úložiště. Když vytvoříte SAS účtu, klientská aplikace musí mít klíč účtu.
Pokud chcete použít Microsoft Entra přihlašovací údaje k zabezpečení SAS pro kontejner nebo objekt blob, vytvořte SAS delegování uživatele.
Vytvoření identifikátoru URI SAS účtu
Identifikátor URI SAS účtu se skládá z identifikátoru URI prostředku, ke kterému bude SAS delegovat přístup, následovaného tokenem SAS. Token SAS je řetězec dotazu, který obsahuje všechny informace potřebné k autorizaci požadavku na prostředek. Určuje službu, prostředek a oprávnění, která jsou k dispozici pro přístup, a časové období, během kterého je podpis platný.
Zadání parametrů SAS účtu
Požadované a volitelné parametry pro token SAS jsou popsané v následující tabulce:
| Parametr dotazu SAS | Description |
|---|---|
api-version |
Nepovinný parametr. Určuje verzi služby úložiště, která se má použít ke spuštění požadavku vytvořeného pomocí identifikátoru URI SAS účtu. Další informace najdete v tématu Autorizace požadavků pomocí sdíleného přístupového podpisu. |
SignedVersion (sv) |
Povinná hodnota. Určuje podepsanou verzi služby úložiště, která se má použít k autorizaci požadavků vytvořených pomocí SAS tohoto účtu. Musí být nastavená na verzi 2015-04-05 nebo novější. Další informace najdete v tématu Autorizace požadavků pomocí sdíleného přístupového podpisu. |
SignedServices (ss) |
Povinná hodnota. Určuje podepsané služby, které jsou přístupné pomocí sdíleného přístupového podpisu účtu. Mezi možné hodnoty patří: – Objekt blob ( b)- Fronta ( q)- Tabulka ( t)- Soubor ( f)Kombinací hodnot můžete poskytnout přístup k více než jedné službě. ss=bf Například určuje přístup ke službě Blob Storage a koncovým bodům Azure Files. |
SignedResourceTypes (srt) |
Povinná hodnota. Určuje podepsané typy prostředků, které jsou přístupné pomocí SAS účtu. – Služba ( s): Přístup k rozhraním API na úrovni služby (například Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).– Kontejner ( c): Přístup k rozhraním API na úrovni kontejneru (například vytvoření/odstranění kontejneru, vytvoření/odstranění fronty, vytvoření/odstranění tabulky, vytvoření/odstranění sdílené složky, výpis objektů blob/souborů a adresářů).– Object ( o): Přístup k rozhraním API na úrovni objektu pro objekty blob, zprávy fronty, entity tabulek a soubory (například Put Blob, Query Entity, Get Messages, Create File).Kombinací hodnot můžete poskytnout přístup k více typům prostředků. srt=sc Například určuje přístup k prostředkům služby a kontejneru. |
SignedPermissions (sp) |
Povinná hodnota. Určuje podepsaná oprávnění pro SAS účtu. Oprávnění jsou platná jenom v případě, že odpovídají zadanému podepsanému typu prostředku. Pokud se neshodují, budou ignorovány. – Read ( r): Platné pro všechny podepsané typy prostředků (Služba, Kontejner a Objekt). Povoluje oprávnění ke čtení pro zadaný typ prostředku.– Write ( w): Platné pro všechny podepsané typy prostředků (Služba, Kontejner a Objekt). Povoluje přístup k zápisu pro zadaný typ prostředku a umožňuje uživateli vytvářet a aktualizovat prostředky.- Delete ( d): Platné pro typy prostředků kontejneru a objektu s výjimkou zpráv ve frontě.– Trvalé odstranění ( y): Platí pouze pro typ prostředku objektu blob.- List ( l): Platné pouze pro typy prostředků služby a kontejneru.– Přidat ( a): Platné pouze pro následující typy prostředků objektu: zprávy fronty, entity tabulky a doplňovací objekty blob.– Create ( c): Platí pro typy prostředků kontejneru a následující typy prostředků objektu: objekty blob a soubory. Uživatelé můžou vytvářet nové prostředky, ale nemusí přepsat stávající prostředky.- Update ( u): Platí pouze pro následující typy prostředků objektu: zprávy fronty a entity tabulek.- Proces ( p): Platné pouze pro následující typ prostředku objektu: zprávy fronty.- Značka ( t): Platí pouze pro následující typ prostředku objektu: objekty blob. Povoluje operace se značkami objektů blob.- Filter ( f): Platí pouze pro následující typ prostředku objektu: blob. Umožňuje filtrování podle značky objektu blob.– Nastavit zásady neměnnosti ( i): Platí pouze pro následující typ prostředku objektu: objekt blob. Umožňuje nastavit/odstranit zásady neměnnosti a blokování objektu blob z právních důvodů. |
SignedStart (st) |
Nepovinný parametr. Čas, kdy sas začne platit, vyjádřený v jednom z přijatých formátů ISO 8601 UTC. Pokud je vynechán, předpokládá se, že čas spuštění je čas, kdy služba úložiště přijme požadavek. Další informace o akceptovaných formátech UTC najdete v tématu Formátování hodnot data a času. |
SignedExpiry (se) |
Povinná hodnota. Čas, kdy sdílený přístupový podpis přestane být platný, vyjádřený v jednom z přijatých formátů ISO 8601 UTC. Další informace o akceptovaných formátech UTC najdete v tématu Formátování hodnot data a času. |
SignedIP (sip) |
Nepovinný parametr. Určuje IP adresu nebo rozsah IP adres, ze kterých se mají požadavky přijímat. Když zadáte oblast, mějte na paměti, že rozsah je inkluzivní. Podporují se jenom adresy IPv4. Příkladem je sip=168.1.5.65 nebo sip=168.1.5.60-168.1.5.70. |
SignedProtocol (spr) |
Nepovinný parametr. Určuje protokol, který je povolený pro žádost provedenou se SAS účtu. Možné hodnoty jsou HTTPS a HTTP (https,http) nebo pouze HTTPS (https). Výchozí hodnota je https,http.Všimněte si, že pouze HTTP není povolená hodnota. |
SignedEncryptionScope (ses) |
Nepovinný parametr. Určuje obor šifrování, který se má použít k zašifrování obsahu požadavku. Toto pole je podporováno ve verzi 2020-12-06 a novější. |
Signature (sig) |
Povinná hodnota. Část podpisu identifikátoru URI slouží k autorizaci požadavku vytvořeného pomocí sdíleného přístupového podpisu. Řetězec k podepsání je jedinečný řetězec vytvořený z polí, která se musí ověřit, aby bylo možné žádost autorizovat. Podpis je ověřovací kód zpráv založený na hodnotě hash (HMAC), který se vypočítává pomocí řetězce k podepsání a klíče pomocí algoritmu SHA256 a následně kóduje pomocí kódování Base64. |
signedVersion Zadání pole
Pole signedVersion (sv) obsahuje verzi služby sdíleného přístupového podpisu. Tato hodnota určuje verzi autorizace sdíleného klíče, kterou tento sdílený přístupový podpis používá (v signature poli). Hodnota také určuje verzi služby pro požadavky, které jsou provedeny s tímto sdíleným přístupovým podpisem.
Informace o tom, která verze se používá při spouštění požadavků prostřednictvím sdíleného přístupového podpisu, najdete v tématu Správa verzí pro služby Azure Storage.
Informace o tom, jak tento parametr ovlivňuje autorizaci požadavků provedených pomocí sdíleného přístupového podpisu, najdete v tématu Delegování přístupu pomocí sdíleného přístupového podpisu.
| Název pole | Parametr dotazu | Popis |
|---|---|---|
signedVersion |
sv |
Povinná hodnota. Podporováno ve verzi 2015-04-05 a novější. Verze služby úložiště, která se má použít k autorizaci a zpracování požadavků, které vytvoříte pomocí tohoto sdíleného přístupového podpisu. Další informace najdete v tématu Správa verzí pro služby Azure Storage. |
Zadání IP adresy nebo rozsahu IP adres
Od verze 2015-04-05 určuje volitelné signedIp pole (sip) veřejnou IP adresu nebo rozsah veřejných IP adres, ze kterých se mají přijímat požadavky. Pokud IP adresa, ze které požadavek pochází, neodpovídá IP adrese nebo rozsahu adres zadaným v tokenu SAS, požadavek není autorizovaný. Podporují se jenom adresy IPv4.
Když zadáváte rozsah IP adres, mějte na paměti, že rozsah je inkluzivní. Například zadáním sip=168.1.5.65 nebo sip=168.1.5.60-168.1.5.70 v SAS se požadavek omezí na tyto IP adresy.
Následující tabulka popisuje, jestli se má zahrnout signedIp pole do tokenu SAS pro zadaný scénář v závislosti na prostředí klienta a umístění účtu úložiště.
| Klientské prostředí | Umístění účtu úložiště | Doporučení |
|---|---|---|
| Klient spuštěný v Azure | Ve stejné oblasti jako klient | Sas poskytnutý klientovi v tomto scénáři by neměl obsahovat odchozí IP adresu pole signedIp . Požadavky vytvořené ze stejné oblasti, které používají SAS se zadanou odchozí IP adresou, selžou.Místo toho použijte virtuální síť Azure ke správě omezení zabezpečení sítě. Požadavky na Azure Storage ze stejné oblasti vždy probíhají přes privátní IP adresu. Další informace najdete v tématu Konfigurace virtuálních sítí a bran firewall Azure Storage. |
| Klient spuštěný v Azure | V jiné oblasti než klient | Sas poskytnutý klientovi v tomto scénáři může obsahovat veřejnou IP adresu nebo rozsah adres pro pole signedIp . Požadavek vytvořený pomocí SAS musí pocházet ze zadané IP adresy nebo rozsahu adres. |
| Klient spuštěný místně nebo v jiném cloudovém prostředí | V libovolné oblasti Azure | Sas poskytnutý klientovi v tomto scénáři může obsahovat veřejnou IP adresu nebo rozsah adres pro pole signedIp . Požadavek vytvořený pomocí SAS musí pocházet ze zadané IP adresy nebo rozsahu adres.Pokud požadavek prochází přes proxy server nebo bránu, zadejte pro pole veřejnou odchozí IP adresu tohoto proxy serveru nebo brány signedIp . |
Zadejte protokol HTTP.
Od verze 2015-04-05 určuje volitelné signedProtocol pole (spr) protokol, který je povolený pro požadavek provedený pomocí SAS. Možné hodnoty jsou HTTPS a HTTP (https,http) nebo pouze HTTPS (https). Výchozí hodnota je https,http. Všimněte si, že pouze HTTP není povolená hodnota.
Určení rozsahu šifrování
Pomocí signedEncryptionScope pole v identifikátoru URI můžete zadat obor šifrování, který může klientská aplikace používat. Při nahrávání objektů blob (PUT) pomocí tokenu SAS vynucuje šifrování na straně serveru se zadaným oborem šifrování. Operace GET a HEAD nebudou omezeny a provedeny jako předtím.
Následující tabulka popisuje, jak odkazovat na podepsaný obor šifrování na identifikátoru URI:
| Název pole | Parametr dotazu | Popis |
|---|---|---|
signedEncryptionScope |
ses |
Nepovinný parametr. Označuje rozsah šifrování, který se má použít k šifrování obsahu požadavku. |
Toto pole je podporováno ve verzi 2020-12-06 nebo novější. Pokud přidáte před podporovanou ses verzi, vrátí služba kód odpovědi na chybu 403 (Zakázáno).
Pokud nastavíte výchozí obor šifrování pro kontejner nebo systém souborů, ses parametr dotazu respektuje zásady šifrování kontejneru. Pokud dojde k neshodě mezi parametrem ses dotazu a x-ms-default-encryption-scope hlavičkou x-ms-deny-encryption-scope-override a hlavička je nastavená na true, vrátí služba kód odpovědi na chybu 403 (Zakázáno).
Když v požadavku PUT zadáte x-ms-encryption-scope hlavičku ses a parametr dotazu, vrátí služba kód odpovědi na chybu 400 (Chybný požadavek), pokud dojde k neshodě.
Vytvoření řetězce podpisu
Pokud chcete vytvořit řetězec podpisu pro SAS účtu, nejprve z polí, která tvoří požadavek, vytvořte řetězec k sign a pak řetězec zakódujte jako UTF-8 a vypočítáte podpis pomocí algoritmu HMAC-SHA256.
Poznámka
Pole, která jsou zahrnutá v řetězci k podpisu, musí být dekódována adresou URL.
K vytvoření řetězce k sign pro sas účtu použijte následující formát:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
Verze 2020-12-06 přidává podporu pro pole podepsaného oboru šifrování. K vytvoření řetězce k sign pro sas účtu použijte následující formát:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Oprávnění SAS účtu podle operace
Tabulky v následujících částech obsahují různá rozhraní API pro každou službu a podepsané typy prostředků a podepsaná oprávnění podporovaná pro každou operaci.
Blob service
Následující tabulka uvádí operace služby Blob Service a uvádí, který podepsaný typ prostředku a podepsaná oprávnění se mají určit, když delegujete přístup k těmto operacím.
| Operace | Podepsaná služba | Typ podepsaného prostředku | Podepsané oprávnění |
|---|---|---|---|
| Vypsat kontejnery | Objekt blob (b) | Služby | Seznam (l) |
| Získání vlastností služby Blob Service | Objekt blob (b) | Služby | Čtení (r) |
| Nastavení vlastností služby Blob Service | Objekt blob (b) | Služby | Zápis (w) |
| Získání statistik služby Blob Service | Objekt blob (b) | Služby | Čtení (r) |
| Vytvoření kontejneru | Objekt blob (b) | Kontejner (c) | Create(c) nebo Write (w) |
| Získání vlastností kontejneru | Objekt blob (b) | Kontejner (c) | Čtení (r) |
| Získání metadat kontejneru | Objekt blob (b) | Kontejner (c) | Čtení (r) |
| Nastavení metadat kontejneru | Objekt blob (b) | Kontejner (c) | Zápis (w) |
| Zapůjčení kontejneru | Objekt blob (b) | Kontejner (c) | Zápis (w) nebo odstranění (d)1 |
| Odstranění kontejneru | Objekt blob (b) | Kontejner (c) | Odstranit (d)1 |
| Hledání objektů blob podle značek v kontejneru | Objekt blob (b) | Kontejner (c) | Filtr (f) |
| Výpis objektů blob | Objekt blob (b) | Kontejner (c) | Seznam (l) |
| Vložení objektu blob (vytvoření nového objektu blob bloku) | Objekt blob (b) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Vložení objektu blob (přepsání existujícího objektu blob bloku) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Vložení objektu blob (vytvoření nového objektu blob stránky) | Objekt blob (b) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Vložení objektu blob (přepsání existujícího objektu blob stránky) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získání objektu blob | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Získání vlastností objektu blob | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Nastavení vlastností objektu blob | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získání metadat objektu blob | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Nastavení metadat objektu blob | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získání značek objektů blob | Objekt blob (b) | Objekt (o) | Značky (t) |
| Nastavení značek objektů blob | Objekt blob (b) | Objekt (o) | Značky (t) |
| Hledání objektů blob podle značek | Objekt blob (b) | Objekt (o) | Filtr (f) |
| Odstranění objektu blob | Objekt blob (b) | Objekt (o) | Odstranit (d)1 |
| Trvalé odstranění snímku nebo verze | Objekt blob (b) | Objekt (o) | Trvalé odstranění (y) |
| Operace Lease Blob | Objekt blob (b) | Objekt (o) | Zápis (w) nebo odstranění (d)1 |
| Pořízení snímku objektu blob | Objekt blob (b) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Kopírování objektu blob (cíl je nový objekt blob) | Objekt blob (b) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Kopírování objektu blob (cíl je existující objekt blob) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Přírůstkové kopírování | Objekt blob (b) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Přerušení kopírování objektu blob | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Vložit blok | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Vložení seznamu bloků (vytvoření nového objektu blob) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Vložení seznamu blokovaných objektů (aktualizace existujícího objektu blob) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získat seznam blokovaných položek | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Vložit stránku | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získání rozsahů stránek | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Připojit blok | Objekt blob (b) | Objekt (o) | Přidat (a) nebo Zapisovat (w) |
| Vymazat stránku | Objekt blob (b) | Objekt (o) | Zápis (w) |
1 Oprávnění Delete umožňuje rozbít zapůjčení objektu blob nebo kontejneru s verzí 2017-07-29 a novější.
Služba front
V následující tabulce jsou uvedeny operace frontové služby a uvádí, který typ podepsaného prostředku a podepsaná oprávnění se mají určit, kdy delegujete přístup k těmto operacím.
| Operace | Podepsaná služba | Typ podepsaného prostředku | Podepsané oprávnění |
|---|---|---|---|
| Získání vlastností frontové služby | Fronta (q) | Služby | Čtení (r) |
| Nastavení vlastností frontové služby | Fronta (q) | Služby | Zápis (w) |
| Výpis front | Fronta (q) | Služby | Seznam (l) |
| Získání statistik služby front | Fronta (q) | Služby | Čtení (r) |
| Vytvořit frontu | Fronta (q) | Kontejner (c) | Create(c) nebo Write (w) |
| Odstranit frontu | Fronta (q) | Kontejner (c) | Odstranit (d) |
| Získání metadat fronty | Fronta (q) | Kontejner (c) | Čtení (r) |
| Nastavení metadat fronty | Fronta (q) | Kontejner (c) | Zápis (w) |
| Vložit zprávu | Fronta (q) | Objekt (o) | Přidat (a) |
| Získání zpráv | Fronta (q) | Objekt (o) | Proces (p) |
| Náhled zprávy | Fronta (q) | Objekt (o) | Čtení (r) |
| Odstranit zprávu | Fronta (q) | Objekt (o) | Proces (p) |
| Vymazat zprávy | Fronta (q) | Objekt (o) | Odstranit (d) |
| Aktualizace zprávy | Fronta (q) | Objekt (o) | Aktualizovat (u) |
Table service
Následující tabulka uvádí operace služby Table Service a uvádí, který podepsaný typ prostředku a podepsaná oprávnění se mají určit, když delegujete přístup k těmto operacím.
| Operace | Podepsaná služba | Typ podepsaného prostředku | Podepsané oprávnění |
|---|---|---|---|
| Získání vlastností služby Table Service | Tabulka (t) | Služby | Čtení (r) |
| Nastavení vlastností služby Table Service | Tabulka (t) | Služby | Zápis (w) |
| Získání statistik služby Table Service | Tabulka (t) | Služby | Čtení (r) |
| Tabulky dotazů | Tabulka (t) | Kontejner (c) | Seznam (l) |
| Create Table | Tabulka (t) | Kontejner (c) | Vytvoření (c) nebo zápis (w) |
| Odstranit tabulku | Tabulka (t) | Kontejner (c) | Odstranit (d) |
| Dotazování entit | Tabulka (t) | Objekt (o) | Čtení (r) |
| Vložit entitu | Tabulka (t) | Objekt (o) | Přidat (a) |
| Vložit nebo sloučit entitu | Tabulka (t) | Objekt (o) | Přidat (a) a aktualizovat (u)1 |
| Vložit nebo nahradit entitu | Tabulka (t) | Objekt (o) | Přidat (a) a aktualizovat (u)1 |
| Aktualizovat entitu | Tabulka (t) | Objekt (o) | Aktualizovat (u) |
| Sloučit entitu | Tabulka (t) | Objekt (o) | Aktualizovat (u) |
| Odstranit entitu | Tabulka (t) | Objekt (o) | Odstranit (d) |
1 Pro operace upsert ve službě Table jsou vyžadována oprávnění přidat a aktualizovat.
Souborová služba
Následující tabulka uvádí operace souborové služby a určuje, který podepsaný typ prostředku a podepsaná oprávnění se mají určit, když delegujete přístup k těmto operacím.
| Operace | Podepsaná služba | Typ podepsaného prostředku | Podepsané oprávnění |
|---|---|---|---|
| Sdílené složky seznamu | Soubor (f) | Služby | Seznam (l) |
| Získání vlastností souborové služby | Soubor (f) | Služby | Čtení (r) |
| Nastavení vlastností souborové služby | Soubor (f) | Služby | Zápis (w) |
| Získání statistik sdílení | Soubor (f) | Kontejner (c) | Čtení (r) |
| Vytvořit sdílenou složku | Soubor (f) | Kontejner (c) | Vytvoření (c) nebo zápis (w) |
| Sdílená složka snímků | Soubor (f) | Kontejner (c) | Vytvoření (c) nebo zápis (w) |
| Získání vlastností sdílené složky | Soubor (f) | Kontejner (c) | Čtení (r) |
| Nastavení vlastností sdílené složky | Soubor (f) | Kontejner (c) | Zápis (w) |
| Získání metadat sdílené složky | Soubor (f) | Kontejner (c) | Čtení (r) |
| Nastavení metadat sdílené složky | Soubor (f) | Kontejner (c) | Zápis (w) |
| Odstranit sdílenou složku | Soubor (f) | Kontejner (c) | Odstranit (d) |
| Výpis adresářů a souborů | Soubor (f) | Kontejner (c) | Seznam (l) |
| Vytvořit adresář | Soubor (f) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Získání vlastností adresáře | Soubor (f) | Objekt (o) | Čtení (r) |
| Získání metadat adresáře | Soubor (f) | Objekt (o) | Čtení (r) |
| Nastavení metadat adresáře | Soubor (f) | Objekt (o) | Zápis (w) |
| Odstranit adresář | Soubor (f) | Objekt (o) | Odstranit (d) |
| Vytvořit soubor (vytvořit nový) | Soubor (f) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Vytvořit soubor (přepsat existující) | Soubor (f) | Objekt (o) | Zápis (w) |
| Získat soubor | Soubor (f) | Objekt (o) | Čtení (r) |
| Získání vlastností souboru | Soubor (f) | Objekt (o) | Čtení (r) |
| Získání metadat souboru | Soubor (f) | Objekt (o) | Čtení (r) |
| Nastavení metadat souboru | Soubor (f) | Objekt (o) | Zápis (w) |
| Odstranit soubor | Soubor (f) | Objekt (o) | Odstranit (d) |
| Přejmenovat soubor | Soubor (f) | Objekt (o) | Odstranit (d) nebo Zapisovat (w) |
| Rozsah umístění | Soubor (f) | Objekt (o) | Zápis (w) |
| Seznam oblastí | Soubor (f) | Objekt (o) | Čtení (r) |
| Přerušit kopírování souboru | Soubor (f) | Objekt (o) | Zápis (w) |
| Kopírovat soubor | Soubor (f) | Objekt (o) | Zápis (w) |
| Vymazat oblast | Soubor (f) | Objekt (o) | Zápis (w) |
Příklad identifikátoru URI SAS účtu
Následující příklad ukazuje identifikátor URI služby Blob Service s připojeným tokenem SAS účtu. Token SAS účtu poskytuje oprávnění ke službě, kontejneru a objektům. V tabulce jsou rozdělené jednotlivé části identifikátoru URI:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Name | Část SAS | Description |
|---|---|---|
| Identifikátor URI prostředku | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Koncový bod služby s parametry pro získání vlastností služby (při zavolání pomocí GET) nebo nastavení vlastností služby (při zavolání pomocí SET). Na základě hodnoty pole podepsaných služeb (ss) je možné tento SAS použít se službou Blob Storage nebo Azure Files. |
| Oddělovač | ? |
Oddělovač, který předchází řetězci dotazu. Oddělovač není součástí tokenu SAS. |
| Verze služeb úložiště | sv=2022-11-02 |
Pro služby Azure Storage verze 2012-02-12 a novější určuje tento parametr verzi, která se má použít. |
| Služby | ss=b |
Sas se vztahuje na služby Blob Services. |
| Typy prostředků | srt=sco |
Sas se vztahuje na operace na úrovni služby, kontejneru a objektu. |
| Oprávnění | sp=rwlc |
Oprávnění uděluje přístup k operacím čtení, zápisu, výpisu a vytváření. |
| Čas spuštění | st=2019-08-01T22%3A18%3A26Z |
Zadané v čase UTC. Pokud chcete, aby byl SAS platný okamžitě, vynechte počáteční čas. |
| Doba vypršení platnosti | se=2019-08-10T02%3A23%3A26Z |
Zadané v čase UTC. |
| Protokol | spr=https |
Povolené jsou jenom požadavky, které používají HTTPS. |
| Podpis | sig=<signature> |
Slouží k autorizaci přístupu k objektu blob. Podpis je HMAC, který se vypočítává přes řetězec k podpisu a klíč pomocí algoritmu SHA256 a pak se kóduje pomocí kódování Base64. |
Vzhledem k tomu, že oprávnění jsou omezená na úroveň služby, přístupné operace s tímto SAS jsou Získání vlastností služby Blob Service (čtení) a Nastavení vlastností služby Blob Service (zápis). S jiným identifikátorem URI prostředku by se ale stejný token SAS dal použít také k delegování přístupu k získání statistik služby Blob Service (čtení).