Vytvoření SAS účtu
Důležité
Pro zajištění optimálního zabezpečení Microsoft doporučuje používat Microsoft Entra ID se spravovanými identitami k autorizaci požadavků na data objektů blob, front a tabulek, kdykoli je to možné. Autorizace s Microsoft Entra ID a spravovanými identitami poskytuje vynikající zabezpečení a snadné použití oproti autorizaci sdíleného klíče. Další informace najdete v tématu Autorizace pomocí Microsoft Entra ID. Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure.
Pro prostředky hostované mimo Azure, jako jsou místní aplikace, můžete použít spravované identity prostřednictvím služby Azure Arc. Například aplikace spuštěné na serverech s podporou Azure Arc můžou používat spravované identity pro připojení ke službám Azure. Další informace najdete v tématu Ověřování u prostředků Azure na serverech s podporou Azure Arc.
Ve scénářích, ve kterých se používají sdílené přístupové podpisy (SAS), microsoft doporučuje použít SAS delegování uživatele. SAS delegování uživatele je zabezpečené pomocí přihlašovacích údajů Microsoft Entra místo klíče účtu. Informace o sdílených přístupových podpisech najdete v tématu Create SAS delegování uživatele.
Od verze 2015-04-05 podporuje Azure Storage vytvoření nového typu sdíleného přístupového podpisu (SAS) na úrovni účtu úložiště. Vytvořením sdíleného přístupového podpisu účtu můžete:
Delegujte přístup k operacím na úrovni služby, které aktuálně nejsou dostupné u sdíleného přístupového podpisu specifického pro službu, jako
Get/Set Service Propertiesjsou operace aGet Service Stats.Delegujte přístup k více než jedné službě v účtu úložiště najednou. Můžete například delegovat přístup k prostředkům v Azure Blob Storage i Azure Files pomocí SAS účtu.
Delegování přístupu k operacím zápisu a odstranění pro kontejnery, fronty, tabulky a sdílené složky, které nejsou k dispozici u sas specifického objektu.
Zadejte IP adresu nebo rozsah IP adres, ze kterých chcete přijímat požadavky.
Zadejte protokol HTTP, ze kterého chcete přijímat požadavky (https nebo HTTP/HTTPS).
Uložené zásady přístupu se v současné době nepodporují pro SAS účtu.
Upozornění
Sdílené přístupové podpisy jsou klíče, které udělují oprávnění k prostředkům úložiště, a měli byste je chránit stejně jako klíč účtu. Je důležité chránit SAS před škodlivým nebo neúmyslným použitím. Při distribuci sdíleného přístupového podpisu využijte diskrétnost a vytvořte plán pro odvolání ohroženého sas. Operace, které používají sdílené přístupové podpisy, by se měly provádět pouze přes připojení HTTPS a identifikátory URI SAS by se měly distribuovat pouze na zabezpečeném připojení, jako je https.
Autorizace SAS účtu
Sas účtu můžete zabezpečit pomocí klíče účtu úložiště. Při vytváření SAS účtu musí klientská aplikace obsahovat klíč účtu.
Pokud chcete použít Microsoft Entra přihlašovací údaje k zabezpečení SAS pro kontejner nebo objekt blob, vytvořte SAS delegování uživatele.
Vytvoření identifikátoru URI SAS účtu
Identifikátor URI SAS účtu se skládá z identifikátoru URI prostředku, pro který bude SAS delegovat přístup, a následně z tokenu SAS. Token SAS je řetězec dotazu, který obsahuje všechny informace potřebné k autorizaci požadavku na prostředek. Určuje službu, prostředek a oprávnění, která jsou k dispozici pro přístup, a časové období, během kterého je podpis platný.
Zadání parametrů SAS účtu
Požadované a volitelné parametry tokenu SAS jsou popsané v následující tabulce:
| Parametr dotazu SAS | Description |
|---|---|
api-version |
Nepovinný parametr. Určuje verzi služby úložiště, která se má použít ke spuštění požadavku vytvořeného pomocí identifikátoru URI SAS účtu. Další informace najdete v tématu Autorizace požadavků pomocí sdíleného přístupového podpisu. |
SignedVersion (sv) |
Povinná hodnota. Určuje podepsanou verzi služby úložiště, která se má použít k autorizaci požadavků vytvořených pomocí sas tohoto účtu. Musí být nastavená na verzi 2015-04-05 nebo novější. Další informace najdete v tématu Autorizace požadavků pomocí sdíleného přístupového podpisu. |
SignedServices (ss) |
Povinná hodnota. Určuje podepsané služby, které jsou přístupné pomocí SAS účtu. Mezi možné hodnoty patří: – Objekt blob ( b)- Fronta ( q)- Tabulka ( t)- Soubor ( f)Kombinací hodnot můžete poskytnout přístup k více než jedné službě. ss=bf Například určuje přístup ke službě Blob Storage a koncovým bodům Azure Files. |
SignedResourceTypes (srt) |
Povinná hodnota. Určuje typy podepsaných prostředků, které jsou přístupné pomocí SAS účtu. – Služba ( s): Přístup k rozhraním API na úrovni služby (například Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).- Kontejner ( c): Přístup k rozhraním API na úrovni kontejneru (například Create/Odstranit kontejner, Create/Odstranit frontu, Create/Odstranit tabulku, Create/Odstranit sdílenou složku, vypsat objekty blob/soubory a adresáře).– Objekt ( o): Přístup k rozhraním API na úrovni objektů pro objekty blob, zprávy ve frontě, entity tabulky a soubory (například Put Blob, Query Entity, Get Messages Create File).Kombinací hodnot můžete poskytnout přístup k více typům prostředků. srt=sc Například určuje přístup k prostředkům služby a kontejneru. |
SignedPermissions (sp) |
Povinná hodnota. Určuje podepsaná oprávnění pro sas účtu. Oprávnění jsou platná jenom v případě, že odpovídají zadanému podepsanému typu prostředku. Pokud se neshodují, budou ignorovány. - Read ( r): Platí pro všechny podepsané typy prostředků (Service, Container a Object). Povolí oprávnění ke čtení zadaného typu prostředku.- Write ( w): Platí pro všechny podepsané typy prostředků (Service, Container a Object). Povoluje přístup k zápisu pro zadaný typ prostředku a umožňuje uživateli vytvářet a aktualizovat prostředky.- Delete ( d): Platí pro typy prostředků kontejneru a objektu s výjimkou zpráv ve frontě.– Trvalé odstranění ( y): Platí pouze pro typ prostředku objektu blob.- List ( l): Platí jenom pro typy prostředků service a container.- Přidat ( a): Platí pouze pro následující typy prostředků objektu: zprávy ve frontě, entity tabulky a doplňovací objekty blob.– Create ( c): Platí pro typy prostředků kontejneru a následující typy prostředků objektů: objekty blob a soubory. Uživatelé můžou vytvářet nové prostředky, ale nesmí přepsat stávající prostředky.- Update ( u): Platí pouze pro následující typy prostředků objektu: zprávy ve frontě a entity tabulek.- Process ( p): Platí pouze pro následující typ prostředku objektu: zprávy fronty.- Značka ( t): Platí pouze pro následující typ prostředku objektu: objekty blob. Povoluje operace se značkami objektů blob.- Filter ( f): Platí pouze pro následující typ prostředku objektu: objekt blob. Umožňuje filtrování podle značky objektu blob.– Nastavte zásadu neměnnosti ( i): Platí pouze pro následující typ prostředku objektu: objekt blob. Umožňuje nastavit nebo odstranit zásady neměnnosti a blokování z právních důvodů u objektu blob. |
SignedStart (st) |
Nepovinný parametr. Čas, kdy se SAS stane platným, vyjádřený v jednom z přijatých formátů ISO 8601 UTC. Pokud je vynechán, předpokládá se, že čas spuštění je čas, kdy služba úložiště přijme požadavek. Další informace o přijatých formátech UTC najdete v tématu Formátování hodnot DateTime. |
SignedExpiry (se) |
Povinná hodnota. Čas, kdy se sdílený přístupový podpis stane neplatným, vyjádřený v jednom z přijatých formátů ISO 8601 UTC. Další informace o přijatých formátech UTC najdete v tématu Formátování hodnot DateTime. |
SignedIP (sip) |
Nepovinný parametr. Určuje IP adresu nebo rozsah IP adres, ze kterých se mají přijímat požadavky. Když zadáte oblast, mějte na paměti, že oblast je zahrnutá. Podporují se jenom adresy IPv4. Příkladem je sip=168.1.5.65 nebo sip=168.1.5.60-168.1.5.70. |
SignedProtocol (spr) |
Nepovinný parametr. Určuje protokol, který je povolený pro požadavek vytvořený pomocí SAS účtu. Možné hodnoty jsou HTTPS a HTTP (https,http) nebo pouze HTTPS (https). Výchozí hodnota je https,http.Všimněte si, že pouze HTTP není povolená hodnota. |
SignedEncryptionScope (ses) |
Nepovinný parametr. Určuje obor šifrování, který se má použít k zašifrování obsahu požadavku. Toto pole je podporováno ve verzi 2020-12-06 a novější. |
Signature (sig) |
Povinná hodnota. Část podpisu identifikátoru URI slouží k autorizaci požadavku vytvořeného pomocí sdíleného přístupového podpisu. Řetězec k podepsání je jedinečný řetězec vytvořený z polí, která se musí ověřit, aby bylo možné žádost autorizovat. Podpis je ověřovací kód zpráv založený na hodnotě hash (HMAC), který se vypočítává pomocí řetězce k podepsání a klíče pomocí algoritmu SHA256 a následně kóduje pomocí kódování Base64. |
signedVersion Zadání pole
Pole signedVersion (sv) obsahuje verzi služby sdíleného přístupového podpisu. Tato hodnota určuje verzi autorizace sdíleného klíče, kterou tento sdílený přístupový podpis používá (v signature poli ). Hodnota také určuje verzi služby pro požadavky, které jsou provedeny pomocí tohoto sdíleného přístupového podpisu.
Informace o tom, která verze se používá při spouštění požadavků prostřednictvím sdíleného přístupového podpisu, najdete v tématu Správa verzí pro služby Azure Storage.
Informace o tom, jak tento parametr ovlivňuje autorizaci požadavků provedených pomocí sdíleného přístupového podpisu, najdete v tématu Delegování přístupu pomocí sdíleného přístupového podpisu.
| Název pole | Parametr dotazu | Popis |
|---|---|---|
signedVersion |
sv |
Povinná hodnota. Podporováno ve verzi 2015-04-05 a novějších. Verze služby úložiště, která se použije k autorizaci a zpracování požadavků, které vytvoříte pomocí tohoto sdíleného přístupového podpisu. Další informace najdete v tématu Správa verzí pro služby Azure Storage. |
Zadání IP adresy nebo rozsahu IP adres
Od verze 2015-04-05 určuje pole volitelné signedIp (sip) veřejnou IP adresu nebo rozsah veřejných IP adres, ze kterých se mají požadavky přijímat. Pokud IP adresa, ze které požadavek pochází, neodpovídá IP adrese nebo rozsahu adres zadaným v tokenu SAS, požadavek se neautorizuje. Podporují se jenom adresy IPv4.
Když zadáváte rozsah IP adres, mějte na paměti, že rozsah je inkluzivní. Pokud například v SAS zadáte sip=168.1.5.65 nebo sip=168.1.5.60-168.1.5.70 , omezíte požadavek na tyto IP adresy.
Následující tabulka popisuje, jestli se má zahrnout signedIp pole do tokenu SAS pro zadaný scénář v závislosti na prostředí klienta a umístění účtu úložiště.
| Klientské prostředí | Umístění účtu úložiště | Doporučení |
|---|---|---|
| Klient spuštěný v Azure | Ve stejné oblasti jako klient | Sas, který je v tomto scénáři poskytnutý klientovi, by neměl obsahovat odchozí IP adresu pole signedIp . Požadavky vytvořené ze stejné oblasti, které používají SAS se zadanou odchozí IP adresou, selžou.Místo toho použijte virtuální síť Azure ke správě omezení zabezpečení sítě. Požadavky na službu Azure Storage ze stejné oblasti se vždy provádí přes privátní IP adresu. Další informace najdete v tématu Konfigurace virtuálních sítí a bran firewall Azure Storage. |
| Klient spuštěný v Azure | V jiné oblasti než klient | Sas, který je v tomto scénáři poskytnutý klientovi, může obsahovat veřejnou IP adresu nebo rozsah adres pro dané signedIp pole. Požadavek vytvořený pomocí sdíleného přístupového podpisu musí pocházet ze zadané IP adresy nebo rozsahu adres. |
| Klient spuštěný místně nebo v jiném cloudovém prostředí | V libovolné oblasti Azure | Sas, který je v tomto scénáři poskytnutý klientovi, může obsahovat veřejnou IP adresu nebo rozsah adres pro dané signedIp pole. Požadavek vytvořený pomocí sdíleného přístupového podpisu musí pocházet ze zadané IP adresy nebo rozsahu adres.Pokud požadavek prochází přes proxy server nebo bránu, zadejte do signedIp pole veřejnou odchozí IP adresu tohoto proxy serveru nebo brány. |
Zadání protokolu HTTP
Od verze 2015-04-05 určuje volitelné signedProtocol pole (spr) protokol, který je povolený pro požadavek provedený pomocí SAS. Možné hodnoty jsou HTTPS a HTTP (https,http) nebo pouze HTTPS (https). Výchozí hodnota je https,http. Upozorňujeme, že pouze HTTP není povolená hodnota.
Určení oboru šifrování
Pomocí signedEncryptionScope pole v identifikátoru URI můžete určit obor šifrování, který může klientská aplikace používat. Při nahrávání objektů blob (PUT) s tokenem SAS vynucuje šifrování na straně serveru se zadaným oborem šifrování. Operace GET a HEAD nebudou omezeny a provedeny jako dříve.
Následující tabulka popisuje, jak odkazovat na podepsaný obor šifrování u identifikátoru URI:
| Název pole | Parametr dotazu | Popis |
|---|---|---|
signedEncryptionScope |
ses |
Nepovinný parametr. Určuje obor šifrování, který se má použít k zašifrování obsahu požadavku. |
Toto pole je podporováno ve verzi 2020-12-06 nebo novější. Pokud přidáte před podporovanou ses verzi, vrátí služba kód odpovědi na chybu 403 (Zakázáno).
Pokud nastavíte výchozí obor šifrování pro kontejner nebo systém souborů, ses parametr dotazu respektuje zásady šifrování kontejneru. Pokud dojde k neshodě mezi parametrem ses dotazu a x-ms-default-encryption-scope hlavičkou a x-ms-deny-encryption-scope-override hlavička je nastavená na true, vrátí služba kód odpovědi na chybu 403 (Zakázáno).
Když v požadavku PUT zadáte x-ms-encryption-scope hlavičku ses a parametr dotazu, vrátí služba kód odpovědi na chybu 400 (Chybný požadavek), pokud dojde k neshodě.
Vytvoření řetězce podpisu
Pokud chcete vytvořit řetězec podpisu pro SAS účtu, nejprve z polí, která tvoří požadavek, sestavte řetězec k podpisu a pak řetězec zakódujte jako UTF-8 a vypočítáte podpis pomocí algoritmu HMAC-SHA256.
Poznámka
Pole, která jsou součástí řetězce k podpisu, musí být dekódovaná adresa URL.
K vytvoření řetězce k podepsání pro SAS účtu použijte následující formát:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
Verze 2020-12-06 přidává podporu pro pole podepsaného oboru šifrování. K vytvoření řetězce k podepsání pro SAS účtu použijte následující formát:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Oprávnění SAS účtu podle operace
Tabulky v následujících částech obsahují různá rozhraní API pro každou službu, podepsané typy prostředků a podepsaná oprávnění podporovaná pro jednotlivé operace.
Blob service
Následující tabulka uvádí seznam operací služby Blob Service a uvádí, který podepsaný typ prostředku a podepsaná oprávnění se mají určit při delegování přístupu k těmto operacím.
| Operace | Podepsaná služba | Podepsaný typ prostředku | Podepsané oprávnění |
|---|---|---|---|
| Výpis kontejnerů | Objekt blob (b) | Služby | Seznam (l) |
| Získání vlastností služby Blob Service | Objekt blob (b) | Služby | Čtení (r) |
| Nastavení vlastností služby Blob Service | Objekt blob (b) | Služby | Zápis (w) |
| Získání statistik služby Blob Service | Objekt blob (b) | Služby | Čtení (r) |
| Vytvoření kontejneru | Objekt blob (b) | Kontejner (c) | Create(c) nebo Zápis (w) |
| Získání vlastností kontejneru | Objekt blob (b) | Kontejner (c) | Čtení (r) |
| Získání metadat kontejneru | Objekt blob (b) | Kontejner (c) | Čtení (r) |
| Nastavení metadat kontejneru | Objekt blob (b) | Kontejner (c) | Zápis (w) |
| Zapůjčení kontejneru | Objekt blob (b) | Kontejner (c) | Zápis (w) nebo odstranění (d)1 |
| Odstranění kontejneru | Objekt blob (b) | Kontejner (c) | Odstranit (d)1 |
| Hledání objektů blob podle značek v kontejneru | Objekt blob (b) | Kontejner (c) | Filtr (f) |
| Výpis objektů blob | Objekt blob (b) | Kontejner (c) | Seznam (l) |
| Vložení objektu blob (vytvoření nového objektu blob bloku) | Objekt blob (b) | Objekt (o) | Create (c) nebo Zápis (w) |
| Vložení objektu blob (přepsání existujícího objektu blob bloku) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Vložení objektu blob (vytvoření nového objektu blob stránky) | Objekt blob (b) | Objekt (o) | Create (c) nebo Zápis (w) |
| Vložení objektu blob (přepsání existujícího objektu blob stránky) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získání objektu blob | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Získání vlastností objektu blob | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Nastavení vlastností objektu blob | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získání metadat objektu blob | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Nastavení metadat objektu blob | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získání značek objektů blob | Objekt blob (b) | Objekt (o) | Značky (t) |
| Nastavení značek objektů blob | Objekt blob (b) | Objekt (o) | Značky (t) |
| Hledání objektů blob podle značek | Objekt blob (b) | Objekt (o) | Filtr (f) |
| Odstranění objektu blob | Objekt blob (b) | Objekt (o) | Odstranit (d)1 |
| Trvalé odstranění snímku nebo verze | Objekt blob (b) | Objekt (o) | Trvalé odstranění (y) |
| Operace Lease Blob | Objekt blob (b) | Objekt (o) | Zápis (w) nebo odstranění (d)1 |
| Pořízení snímku objektu blob | Objekt blob (b) | Objekt (o) | Create (c) nebo Zápis (w) |
| Kopírování objektu blob (cíl je nový objekt blob) | Objekt blob (b) | Objekt (o) | Create (c) nebo Zápis (w) |
| Kopírování objektu blob (cíl je existující objekt blob) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Přírůstkové kopírování | Objekt blob (b) | Objekt (o) | Create (c) nebo Zápis (w) |
| Přerušení kopírování objektu blob | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Vložit blok | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Vložení seznamu bloků (vytvoření nového objektu blob) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Vložení seznamu blokovaných objektů (aktualizace existujícího objektu blob) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získat seznam blokovaných položek | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Vložit stránku | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získání rozsahů stránek | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Připojit blok | Objekt blob (b) | Objekt (o) | Přidat (a) nebo Zapisovat (w) |
| Vymazat stránku | Objekt blob (b) | Objekt (o) | Zápis (w) |
1 Oprávnění Delete umožňuje rozbít zapůjčení objektu blob nebo kontejneru s verzí 2017-07-29 a novější.
Služba front
V následující tabulce jsou uvedeny operace frontové služby a uvádí, který typ podepsaného prostředku a podepsaná oprávnění se mají určit, kdy delegujete přístup k těmto operacím.
| Operace | Podepsaná služba | Typ podepsaného prostředku | Podepsané oprávnění |
|---|---|---|---|
| Získání vlastností frontové služby | Fronta (q) | Služby | Čtení (r) |
| Nastavení vlastností frontové služby | Fronta (q) | Služby | Zápis (w) |
| Výpis front | Fronta (q) | Služby | Seznam (l) |
| Získání statistik služby front | Fronta (q) | Služby | Čtení (r) |
| fronta Create | Fronta (q) | Kontejner (c) | Create(c) nebo Zápis (w) |
| Odstranit frontu | Fronta (q) | Kontejner (c) | Odstranit (d) |
| Získání metadat fronty | Fronta (q) | Kontejner (c) | Čtení (r) |
| Nastavení metadat fronty | Fronta (q) | Kontejner (c) | Zápis (w) |
| Vložit zprávu | Fronta (q) | Objekt (o) | Přidat (a) |
| Získání zpráv | Fronta (q) | Objekt (o) | Proces (p) |
| Náhled zprávy | Fronta (q) | Objekt (o) | Čtení (r) |
| Odstranit zprávu | Fronta (q) | Objekt (o) | Proces (p) |
| Vymazat zprávy | Fronta (q) | Objekt (o) | Odstranit (d) |
| Aktualizace zprávy | Fronta (q) | Objekt (o) | Aktualizovat (u) |
Table service
Následující tabulka uvádí operace služby Table Service a uvádí, který podepsaný typ prostředku a podepsaná oprávnění se mají určit, když delegujete přístup k těmto operacím.
| Operace | Podepsaná služba | Typ podepsaného prostředku | Podepsané oprávnění |
|---|---|---|---|
| Získání vlastností služby Table Service | Tabulka (t) | Služby | Čtení (r) |
| Nastavení vlastností služby Table Service | Tabulka (t) | Služby | Zápis (w) |
| Získání statistik služby Table Service | Tabulka (t) | Služby | Čtení (r) |
| Tabulky dotazů | Tabulka (t) | Kontejner (c) | Seznam (l) |
| Create Table | Tabulka (t) | Kontejner (c) | Create (c) nebo Zápis (w) |
| Odstranit tabulku | Tabulka (t) | Kontejner (c) | Odstranit (d) |
| Dotazování entit | Tabulka (t) | Objekt (o) | Čtení (r) |
| Vložit entitu | Tabulka (t) | Objekt (o) | Přidat (a) |
| Vložit nebo sloučit entitu | Tabulka (t) | Objekt (o) | Přidat (a) a aktualizovat (u)1 |
| Vložit nebo nahradit entitu | Tabulka (t) | Objekt (o) | Přidat (a) a aktualizovat (u)1 |
| Aktualizovat entitu | Tabulka (t) | Objekt (o) | Aktualizovat (u) |
| Sloučit entitu | Tabulka (t) | Objekt (o) | Aktualizovat (u) |
| Odstranit entitu | Tabulka (t) | Objekt (o) | Odstranit (d) |
1 Pro operace upsert ve službě Table jsou vyžadována oprávnění přidat a aktualizovat.
Souborová služba
Následující tabulka uvádí operace souborové služby a určuje, který podepsaný typ prostředku a podepsaná oprávnění se mají určit, když delegujete přístup k těmto operacím.
| Operace | Podepsaná služba | Typ podepsaného prostředku | Podepsané oprávnění |
|---|---|---|---|
| Sdílené složky seznamu | Soubor (f) | Služby | Seznam (l) |
| Získání vlastností souborové služby | Soubor (f) | Služby | Čtení (r) |
| Nastavení vlastností souborové služby | Soubor (f) | Služby | Zápis (w) |
| Získání statistik sdílení | Soubor (f) | Kontejner (c) | Čtení (r) |
| Create Sdílet | Soubor (f) | Kontejner (c) | Create (c) nebo Zápis (w) |
| Sdílená složka snímků | Soubor (f) | Kontejner (c) | Create (c) nebo Zápis (w) |
| Získání vlastností sdílené složky | Soubor (f) | Kontejner (c) | Čtení (r) |
| Nastavení vlastností sdílené složky | Soubor (f) | Kontejner (c) | Zápis (w) |
| Získání metadat sdílené složky | Soubor (f) | Kontejner (c) | Čtení (r) |
| Nastavení metadat sdílené složky | Soubor (f) | Kontejner (c) | Zápis (w) |
| Odstranit sdílenou složku | Soubor (f) | Kontejner (c) | Odstranit (d) |
| Výpis adresářů a souborů | Soubor (f) | Kontejner (c) | Seznam (l) |
| adresář Create | Soubor (f) | Objekt (o) | Create (c) nebo Zápis (w) |
| Získání vlastností adresáře | Soubor (f) | Objekt (o) | Čtení (r) |
| Získání metadat adresáře | Soubor (f) | Objekt (o) | Čtení (r) |
| Nastavení metadat adresáře | Soubor (f) | Objekt (o) | Zápis (w) |
| Odstranit adresář | Soubor (f) | Objekt (o) | Odstranit (d) |
| Create soubor (vytvořit nový) | Soubor (f) | Objekt (o) | Create (c) nebo Zápis (w) |
| Create soubor (přepsat existující) | Soubor (f) | Objekt (o) | Zápis (w) |
| Získat soubor | Soubor (f) | Objekt (o) | Čtení (r) |
| Získání vlastností souboru | Soubor (f) | Objekt (o) | Čtení (r) |
| Získání metadat souboru | Soubor (f) | Objekt (o) | Čtení (r) |
| Nastavení metadat souboru | Soubor (f) | Objekt (o) | Zápis (w) |
| Odstranit soubor | Soubor (f) | Objekt (o) | Odstranit (d) |
| Přejmenovat soubor | Soubor (f) | Objekt (o) | Odstranit (d) nebo Zapisovat (w) |
| Rozsah umístění | Soubor (f) | Objekt (o) | Zápis (w) |
| Seznam oblastí | Soubor (f) | Objekt (o) | Čtení (r) |
| Přerušit kopírování souboru | Soubor (f) | Objekt (o) | Zápis (w) |
| Kopírovat soubor | Soubor (f) | Objekt (o) | Zápis (w) |
| Vymazat oblast | Soubor (f) | Objekt (o) | Zápis (w) |
Příklad identifikátoru URI SAS účtu
Následující příklad ukazuje identifikátor URI služby Blob Service s připojeným tokenem SAS účtu. Token SAS účtu poskytuje oprávnění ke službě, kontejneru a objektům. V tabulce jsou rozdělené jednotlivé části identifikátoru URI:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Name | Část SAS | Description |
|---|---|---|
| Identifikátor URI prostředku | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Koncový bod služby s parametry pro získání vlastností služby (při zavolání pomocí GET) nebo nastavení vlastností služby (při zavolání pomocí SET). Na základě hodnoty pole podepsaných služeb (ss) je možné tento SAS použít se službou Blob Storage nebo Azure Files. |
| Oddělovač | ? |
Oddělovač, který předchází řetězci dotazu. Oddělovač není součástí tokenu SAS. |
| Verze služeb úložiště | sv=2022-11-02 |
Pro služby Azure Storage verze 2012-02-12 a novější určuje tento parametr verzi, která se má použít. |
| Služby | ss=b |
Sas se vztahuje na služby Blob Services. |
| Typy prostředků | srt=sco |
Sas se vztahuje na operace na úrovni služby, kontejneru a objektu. |
| Oprávnění | sp=rwlc |
Oprávnění uděluje přístup k operacím čtení, zápisu, výpisu a vytváření. |
| Čas spuštění | st=2019-08-01T22%3A18%3A26Z |
Zadané v čase UTC. Pokud chcete, aby sdílený přístupový podpis byl platný okamžitě, vynechte počáteční čas. |
| Čas vypršení platnosti | se=2019-08-10T02%3A23%3A26Z |
Zadané v čase UTC. |
| Protokol | spr=https |
Povolené jsou jenom požadavky, které používají PROTOKOL HTTPS. |
| Podpis | sig=<signature> |
Slouží k autorizaci přístupu k objektu blob. Podpis je HMAC vypočítaný přes řetězec k podepsání a klíč pomocí algoritmu SHA256 a pak kódovaný pomocí kódování Base64. |
Vzhledem k tomu, že oprávnění jsou omezená na úroveň služby, přístupné operace s tímto SAS jsou Získání vlastností služby Blob Service (čtení) a Nastavení vlastností služby Blob Service (zápis). S jiným identifikátorem URI prostředku je ale možné použít stejný token SAS také k delegování přístupu k získání statistik služby Blob Service (čtení).