Déléguer l’accès à l’aide d’une signature d’accès partagé

Une signature d’accès partagé est un URI qui octroie des droits d’accès restreints aux ressources Stockage Azure. Vous pouvez fournir une signature d’accès partagé aux clients qui ne doivent pas être approuvés avec votre clé de compte de stockage, mais qui ont besoin d’accéder à certaines ressources de compte de stockage. En distribuant un URI de signature d’accès partagé à ces clients, vous leur accordez l’accès à une ressource pour une période spécifiée, avec un ensemble spécifié d’autorisations.

Les paramètres de requête URI qui composent le jeton SAP incorporent toutes les informations nécessaires pour accorder un accès contrôlé à une ressource de stockage. Un client disposant de la SAP peut effectuer une requête sur stockage Azure à l’aide de l’URI SAP. Les informations contenues dans le jeton SAP sont utilisées pour autoriser la demande.

Types de signatures d’accès partagé

Stockage Azure prend en charge les types suivants de signatures d’accès partagé :

  • Une SAP de compte, introduite avec la version 2015-04-05. Ce type de SAP délègue l’accès aux ressources dans un ou plusieurs des services de stockage. Toutes les opérations disponibles via une SAP de service sont également disponibles via une SAP de compte.

    Avec la SAP de compte, vous pouvez déléguer l’accès aux opérations qui s’appliquent à un service, par Get/Set Service PropertiesGet Service Statsexemple . Vous pouvez également déléguer l'accès aux opérations de lecture, d’écriture et de suppression sur les conteneurs d'objets blob, les tables, les files d'attente et les partages de fichiers qui ne sont pas autorisées avec une SAP de service.

    Pour plus d’informations, consultez Créer une signature d’accès partagé de compte.

  • SAP de service. Ce type de SAP délègue l’accès à une ressource dans un seul des services de stockage : Stockage Blob Azure, Stockage File d’attente Azure, Stockage Table Azure ou Azure Files. Pour plus d’informations, consultez Créer une SAP de service et desexemples SAP de service.

  • Une SAS de délégation d’utilisateur, introduite avec la version 2018-11-09. Ce type de SAP est sécurisé avec les informations d’identification Azure Active Directory. Il est pris en charge uniquement pour le stockage d’objets blob et vous pouvez l’utiliser pour accorder l’accès aux conteneurs et aux objets blob. Pour en savoir plus, consultez Créer une SAP de délégation d’utilisateur.

En outre, une SAP de service peut référencer une stratégie d’accès stockée qui fournit un autre niveau de contrôle sur un ensemble de signatures. Ce contrôle inclut la possibilité de modifier ou de révoquer l’accès à la ressource si nécessaire. Pour plus d’informations, consultez Définir une stratégie d’accès stockée.

Notes

Les stratégies d’accès stockées ne sont actuellement pas prises en charge pour une SAP de compte ou une SAP de délégation d’utilisateurs.

Voir aussi