Delegación del acceso mediante una firma de acceso compartido

Una Firma de acceso compartido (SAS) es un URI que concede derechos de acceso restringidos a recursos de Azure Storage. Puede proporcionar una firma de acceso compartido a los clientes que no deben ser de confianza con la clave de la cuenta de almacenamiento, pero que necesitan acceso a determinados recursos de la cuenta de almacenamiento. Mediante la distribución de un URI de firma de acceso compartido a estos clientes, puede concederles acceso a un recurso durante un período de tiempo especificado y con un conjunto de permisos concreto.

Los parámetros de consulta de URI que componen el token de SAS incorporan toda la información necesaria para conceder acceso controlado a un recurso de almacenamiento. Un cliente que tenga la SAS puede realizar una solicitud en Azure Storage mediante solo el URI de SAS. La información del token de SAS se usa para autorizar la solicitud.

Tipos de firmas de acceso compartido

Azure Storage admite los siguientes tipos de firmas de acceso compartido:

• Una SAS de cuenta, introducida con la versión 2015-04-05. Este tipo de SAS delega el acceso a los recursos de uno o varios de los servicios de almacenamiento. Todas las operaciones disponibles con una SAS de servicio están también disponibles con una SAS de cuenta.

  Con la SAS de la cuenta, puede delegar el acceso a las operaciones que se aplican a un servicio, como Get/Set Service Properties y Get Service Stats. También puede delegar el acceso para leer, escribir y eliminar operaciones en contenedores de blobs, tablas, colas y recursos compartidos de archivos que no están permitidos con SAS de servicio.

  Para obtener más información, consulte Creación de una SAS de cuenta.

• Una SAS de servicio. Este tipo de SAS delega el acceso a un recurso en solo uno de los servicios de almacenamiento: Azure Blob Storage, Azure Queue Storage, Azure Table Storage o Azure Files. Para obtener más información, consulte Creación de una SAS de servicio y ejemplos de SAS de servicio.

• Una SAS de delegación de usuarios, introducida con la versión 2018-11-09. Este tipo de SAS está protegido con credenciales de Azure Active Directory. Solo se admite para Blob Storage y se puede usar para conceder acceso a contenedores y blobs. Para más información, vea Creación de SAS de delegación de usuarios.

Además, una SAS de servicio puede hacer referencia a una directiva de acceso almacenada que proporciona otro nivel de control sobre un conjunto de firmas. Este control incluye la capacidad de modificar o revocar el acceso al recurso si es necesario. Para obtener más información, consulte Definición de una directiva de acceso almacenada.

Nota:

Actualmente, las directivas de acceso almacenadas no se admiten para una SAS de cuenta o una SAS de delegación de usuarios.

Consulte también

• Concesión de acceso limitado a los recursos de Azure Storage mediante firmas de acceso compartido