Créer des signatures d’accès partagé

  • 3 minutes

Une signature d’accès partagé (SAS) est un identificateur URI (Uniform Resource Identifier) qui octroie des droits d’accès restreints aux ressources Stockage Azure. Une signature SAS est un moyen sécurisé de partager vos ressources de stockage sans compromettre vos clés de compte.

Vous pouvez fournir une signature SAS aux clients qui ne doivent pas avoir accès à votre clé de compte de stockage. Quand vous distribuez un URI SAS à ces clients, vous leur accordez l’accès à une ressource pour une période spécifiée.

Informations à connaître sur les signatures d’accès partagé

Examinons quelques caractéristiques d’une signature SAS.

  • Une signature SAS vous offre un contrôle précis sur le type d’accès que vous accordez aux clients qui la possèdent.

  • Une signature SAS au niveau du compte peut déléguer l’accès à plusieurs services de Stockage Azure, comme des objets blob, des fichiers, des files d’attente et des tables.

  • Vous pouvez spécifier l’intervalle de temps pendant lequel une signature SAS est valide, notamment la date et l’heure de début et d’expiration.

  • Vous spécifiez les autorisations accordées par la signature SAS. Une signature SAS pour un objet blob peut accorder des autorisations en lecture et en écriture sur cet objet blob, mais pas d’autorisations de suppression.

  • La signature SAS offre un contrôle au niveau du compte et au niveau du service.

    • La signature SAS au niveau du compte délègue l’accès aux ressources dans un ou plusieurs services Stockage Azure.

    • La signature SAS au niveau du service délègue l’accès à une ressource dans un seul service Stockage Azure.

    Notes

    Une stratégie d’accès stockée peut fournir un autre niveau de contrôle quand vous utilisez une signature SAS au niveau du service côté serveur. Vous pouvez regrouper des signatures SAS et fournir d’autres restrictions à l’aide d’une stratégie d’accès stockée.

  • Il existe des paramètres de configuration SAS facultatifs :

    • Adresses IP. Vous pouvez identifier une adresse IP ou plage d’adresses IP à partir de laquelle le Stockage Azure accepte la signature SAS. Configurez cette option pour spécifier une plage d’adresses IP appartenant à votre organisation.

    • Protocoles. Vous pouvez spécifier le protocole sur lequel Stockage Azure accepte la signature SAS. Configurez cette option pour restreindre l’accès aux clients à l’aide du protocole HTTP.

Configurer une signature d’accès partagé

Dans le portail Azure, vous configurez plusieurs paramètres pour créer une signature SAS. Quand vous passez en revue ces détails, réfléchissez à façon d’implémenter des signatures d’accès partagé dans votre solution de sécurité de stockage.

Screenshot of the Create a shared access signature key page.

  • Méthode de signature : choisissez la méthode de signature : clé de compte ou clé de délégation utilisateur.
  • Clé de signature : sélectionnez la clé de signature dans votre liste de clés.
  • Autorisations : sélectionnez les autorisations accordées par la signature SAS, comme la lecture ou l’écriture.
  • Date/heure de début et d’expiration : spécifiez l’intervalle de temps de validité de la signature SAS. Définissez l’heure de début et l’heure d’expiration.
  • Adresses IP autorisées : (facultatif) identifiez une adresse IP ou une plage d’adresses IP à partir de laquelle le Stockage Azure accepte la signature SAS.
  • Protocoles autorisés : (facultatif) sélectionnez le protocole via lequel le Stockage Azure accepte la signature SAS.