Delegieren des Zugriffs mithilfe einer Shared Access Signature

Eine Shared Access Signature (SAS) ist ein URI, der eingeschränkte Zugriffsrechte auf Azure Storage-Ressourcen erteilt. Sie können eine Shared Access Signature für Clients bereitstellen, denen Ihr Speicherkontoschlüssel nicht vertrauenswürdig sein sollte, die jedoch Zugriff auf bestimmte Speicherkontoressourcen benötigen. Durch das Bereitstellen eines SAS-URI für diese Clients wird ihnen für einen bestimmten Zeitraum mit eingeschränkten Berechtigungen Zugriff auf eine Ressource gewährt.

Die URI-Abfrageparameter, aus denen das SAS-Token besteht, enthalten alle Informationen, die zum Gewähren des kontrollierten Zugriffs auf eine Speicherressource erforderlich sind. Ein Client, der über die SAS verfügt, kann eine Anforderung an Azure Storage senden, indem er nur den SAS-URI verwendet. Die Informationen im SAS-Token werden verwendet, um die Anforderung zu autorisieren.

Arten von Shared Access Signatures

Azure Storage unterstützt die folgenden Arten von Shared Access Signatures:

• Eine Konto-SAS, eingeführt mit Version 2015-04-05. Dieser Sas-Typ delegiert den Zugriff auf Ressourcen in mindestens einem der Speicherdienste. Alle Vorgänge, die über eine Dienst-SAS verfügbar sind, sind auch über eine Konto-SAS verfügbar.

  Mit der Konto-SAS können Sie den Zugriff auf Vorgänge delegieren, die für einen Dienst gelten, z Get/Set Service Properties . B. und Get Service Stats. Sie können auch den Zugriff auf Lese-, Schreib- und Löschvorgänge in Blob-Containern, Tabellen, Warteschlangen und Dateifreigaben delegieren, die mit einer Dienst-SAS nicht zulässig sind.

  Weitere Informationen finden Sie unter Erstellen einer SAS für ein Konto.

• Eine Dienst-SAS. Dieser Sas-Typ delegiert den Zugriff auf eine Ressource nur in einem der Speicherdienste: Azure Blob Storage, Azure Queue Storage, Azure Table Storage oder Azure Files. Weitere Informationen finden Sie unter Erstellen einer Dienst-SAS und Dienst-SAS-Beispiele.

• Eine SAS für die Benutzerdelegierung wurde mit Version 2018-11-09 eingeführt. Dieser SAS-Typ wird mit Azure Active Directory-Anmeldeinformationen geschützt. Es wird nur für Blob Storage unterstützt, und Sie können es verwenden, um Zugriff auf Container und Blobs zu gewähren. Weitere Informationen finden Sie unter Erstellen einer SAS für die Benutzerdelegierung.

Darüber hinaus kann eine Dienst-SAS auf eine gespeicherte Zugriffsrichtlinie verweisen, die eine weitere Steuerungsebene für eine Reihe von Signaturen bietet. Dieses Steuerelement umfasst die Möglichkeit, den Zugriff auf die Ressource bei Bedarf zu ändern oder zu widerrufen. Weitere Informationen finden Sie unter Definieren einer gespeicherten Zugriffsrichtlinie.

Hinweis

Gespeicherte Zugriffsrichtlinien werden derzeit für eine Konto-SAS oder eine Benutzerdelegierungs-SAS nicht unterstützt.

Weitere Informationen

• Gewähren von eingeschränktem Zugriff auf Azure Storage-Ressourcen mithilfe von Shared Access Signatures