Delegieren des Zugriffs mithilfe einer freigegebenen Zugriffssignatur
Wichtig
Für optimale Sicherheit empfiehlt Microsoft die Verwendung Microsoft Entra ID mit verwalteten Identitäten, um Anforderungen für Blob-, Warteschlangen- und Tabellendaten nach Möglichkeit zu autorisieren. Die Autorisierung mit Microsoft Entra ID und verwalteten Identitäten bietet eine überlegene Sicherheit und Benutzerfreundlichkeit gegenüber der Freigabeschlüsselautorisierung. Weitere Informationen finden Sie unter Autorisieren mit Microsoft Entra ID. Weitere Informationen zu verwalteten Identitäten finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?
Für Ressourcen, die außerhalb von Azure gehostet werden, z. B. lokale Anwendungen, können Sie verwaltete Identitäten über Azure Arc verwenden. Beispielsweise können Apps, die auf Azure Arc-fähigen Servern ausgeführt werden, verwaltete Identitäten verwenden, um eine Verbindung mit Azure-Diensten herzustellen. Weitere Informationen finden Sie unter Authentifizieren bei Azure-Ressourcen mit Azure Arc-fähigen Servern.
Für Szenarien, in denen SAS (Shared Access Signatures) verwendet werden, empfiehlt Microsoft die Verwendung einer SAS für die Benutzerdelegierung. Eine Benutzerdelegierungs-SAS wird mit Microsoft Entra Anmeldeinformationen anstelle des Kontoschlüssels gesichert. Informationen zu Shared Access Signatures finden Sie unter Create einer Benutzerdelegierungs-SAS.
Eine Shared Access Signature (SAS) ist ein URI, der eingeschränkte Zugriffsrechte auf Azure Storage-Ressourcen erteilt. Sie können eine Shared Access Signature für Clients bereitstellen, denen Ihr Speicherkontoschlüssel nicht vertrauenswürdig sein sollte, die jedoch Zugriff auf bestimmte Speicherkontoressourcen benötigen. Durch das Bereitstellen eines SAS-URI für diese Clients wird ihnen für einen bestimmten Zeitraum mit eingeschränkten Berechtigungen Zugriff auf eine Ressource gewährt.
Die URI-Abfrageparameter, aus denen das SAS-Token besteht, enthalten alle Informationen, die zum Gewähren des kontrollierten Zugriffs auf eine Speicherressource erforderlich sind. Ein Client, der über die SAS verfügt, kann eine Anforderung für Azure Storage stellen, indem er nur den SAS-URI verwendet. Die Informationen im SAS-Token werden verwendet, um die Anforderung zu autorisieren.
Arten von Shared Access Signatures
Azure Storage unterstützt die folgenden Arten von Shared Access Signaturen:
Eine Konto-SAS, die mit Version 2015-04-05 eingeführt wurde. Dieser SAS-Typ delegiert den Zugriff auf Ressourcen in einem oder mehreren Speicherdiensten. Alle Vorgänge, die über eine Dienst-SAS verfügbar sind, sind auch über eine Konto-SAS verfügbar.
Mit der Konto-SAS können Sie den Zugriff auf Vorgänge delegieren, die für einen Dienst gelten, z. B
Get/Set Service Properties. undGet Service Stats. Sie können auch den Zugriff auf Lese-, Schreib- und Löschvorgänge in Blob-Containern, Tabellen, Warteschlangen und Dateifreigaben delegieren, die mit einer Dienst-SAS nicht zulässig sind.Weitere Informationen finden Sie unter Erstellen einer SAS für ein Konto.
Eine Dienst-SAS. Dieser SAS-Typ delegiert den Zugriff auf eine Ressource nur in einem der Speicherdienste: Azure Blob Storage, Azure Queue Storage, Azure Table Storage oder Azure Files. Weitere Informationen finden Sie unter Create Beispielen für eine Dienst-SAS und Eine Dienst-SAS.
Eine SAS für die Benutzerdelegierung wurde mit Version 2018-11-09 eingeführt. Dieser SAS-Typ wird mit Microsoft Entra Anmeldeinformationen geschützt. Es wird nur für Blob Storage unterstützt, und Sie können es verwenden, um Zugriff auf Container und Blobs zu gewähren. Weitere Informationen finden Sie unter Erstellen einer SAS für die Benutzerdelegierung.
Darüber hinaus kann eine Dienst-SAS auf eine gespeicherte Zugriffsrichtlinie verweisen, die eine weitere Steuerungsebene für eine Reihe von Signaturen bietet. Dieses Steuerelement umfasst die Möglichkeit, den Zugriff auf die Ressource bei Bedarf zu ändern oder zu widerrufen. Weitere Informationen finden Sie unter Definieren einer gespeicherten Zugriffsrichtlinie.
Hinweis
Gespeicherte Zugriffsrichtlinien werden derzeit nicht für eine Konto-SAS oder eine Benutzerdelegierungs-SAS unterstützt.