Déléguer l’accès à l’aide d’une signature d’accès partagé

Une signature d’accès partagé est un URI qui octroie des droits d’accès restreints aux ressources Stockage Azure. Vous pouvez fournir une signature d’accès partagé aux clients qui ne doivent pas être approuvés avec votre clé de compte de stockage, mais qui ont besoin d’accéder à certaines ressources de compte de stockage. En distribuant un URI de signature d’accès partagé à ces clients, vous leur accordez l’accès à une ressource pour une période de temps spécifiée, avec un ensemble spécifié d’autorisations.

Les paramètres de requête URI qui composent le jeton SAP incorporent toutes les informations nécessaires pour accorder un accès contrôlé à une ressource de stockage. Un client disposant de la signature d’accès partagé peut effectuer une demande auprès du stockage Azure en utilisant uniquement l’URI SAS. Les informations contenues dans le jeton SAS sont utilisées pour autoriser la demande.

Types de signatures d’accès partagé

Stockage Azure prend en charge les types de signatures d’accès partagé suivants :

• Une SAP de compte, introduite avec la version 2015-04-05. Ce type de SAP délègue l’accès aux ressources dans un ou plusieurs des services de stockage. Toutes les opérations disponibles via une SAP de service sont également disponibles via une SAP de compte.

  Avec la signature d’accès partagé du compte, vous pouvez déléguer l’accès aux opérations qui s’appliquent à un service, telles que Get/Set Service Properties et Get Service Stats. Vous pouvez également déléguer l'accès aux opérations de lecture, d’écriture et de suppression sur les conteneurs d'objets blob, les tables, les files d'attente et les partages de fichiers qui ne sont pas autorisées avec une SAP de service.

  Pour plus d’informations, consultez Créer une signature d’accès partagé de compte.

• Sap de service. Ce type de SAP délègue l’accès à une ressource dans un seul des services de stockage : Stockage Blob Azure, Stockage File d’attente Azure, Stockage Table Azure ou Azure Files. Pour plus d’informations, consultez Créer une SAP de service et Exemples de SAP de service.

• Une SAS de délégation d’utilisateur, introduite avec la version 2018-11-09. Ce type de SAP est sécurisé avec les informations d’identification Azure Active Directory. Il est pris en charge uniquement pour le Stockage Blob, et vous pouvez l’utiliser pour accorder l’accès aux conteneurs et aux objets blob. Pour en savoir plus, consultez Créer une SAP de délégation d’utilisateur.

En outre, une sap de service peut référencer une stratégie d’accès stockée qui fournit un autre niveau de contrôle sur un ensemble de signatures. Ce contrôle inclut la possibilité de modifier ou de révoquer l’accès à la ressource si nécessaire. Pour plus d’informations, consultez Mise en place d’une stratégie d’accès stockée.

Notes

Les stratégies d’accès stockées ne sont actuellement pas prises en charge pour une SAP de compte ou une SAP de délégation d’utilisateur.

Voir aussi

• Accorder un accès limité aux ressources de Stockage Azure à l’aide de signatures d’accès partagé