Fiók SAS létrehozása
Fontos
Az optimális biztonság érdekében a Microsoft azt javasolja, hogy a Microsoft Entra ID-t felügyelt identitásokkal használva engedélyezze a blob-, üzenetsor- és táblaadatokra vonatkozó kéréseket, amikor csak lehetséges. A Microsoft Entra-azonosítóval és felügyelt identitásokkal való engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. További információ: Engedélyezés a Microsoft Entra-azonosítóval. A felügyelt identitásokról további információt Az Azure-erőforrások felügyelt identitásaicímű témakörben talál.
Az Azure-on kívül üzemeltetett erőforrások, például a helyszíni alkalmazások esetében felügyelt identitásokat használhat az Azure Arcon keresztül. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak az Azure-szolgáltatásokhoz. További információ: Hitelesítés Azure-erőforrásokon az Azure Arc-kompatibilis kiszolgálókon.
Olyan esetekben, amikor közös hozzáférésű jogosultságkódokat (SAS) használnak, a Microsoft egy felhasználói delegálási SAS használatát javasolja. A felhasználói delegálási SAS-t a fiókkulcs helyett a Microsoft Entra hitelesítő adatai védik. A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd: Felhasználói delegálási SAS-létrehozása.
A 2015-04-05-ös verziótól kezdődően az Azure Storage támogatja egy új típusú közös hozzáférésű jogosultságkód (SAS) létrehozását a tárfiók szintjén. Fiók SAS létrehozásával a következőt teheti:
Olyan szolgáltatásszintű műveletekhez való hozzáférés delegálása, amelyek jelenleg nem érhetők el szolgáltatásspecifikus SAS-sel, például a
Get/Set Service PropertiesésGet Service Statsműveletekkel.Egyszerre több szolgáltatáshoz is hozzáférést delegálhat egy tárfiókban. Például az Azure Blob Storage és az Azure Files erőforrásaihoz való hozzáférést is delegálhatja egy fiók SAS használatával.
A tárolók, üzenetsorok, táblák és fájlmegosztások írási és törlési műveleteihez való hozzáférés delegálása, amelyek nem érhetők el objektumspecifikus SAS-vel.
Adja meg azt az IP-címet vagy IP-címtartományt, amelyből a kéréseket fogadni szeretné.
Adja meg azt a HTTP-protokollt, amelytől a kérelmeket fogadni szeretné (HTTPS vagy HTTP/HTTPS).
A tárolt hozzáférési szabályzatok jelenleg nem támogatottak a fiók SAS-hez.
Figyelmeztet
A közös hozzáférésű jogosultságkódok olyan kulcsok, amelyek engedélyeket biztosítanak a tárolási erőforrások számára, és ugyanúgy védenie kell őket, mint egy fiókkulcsot. Fontos, hogy megvédje az SAS-t a rosszindulatú vagy nem szándékos használattól. Használja a diszkréciót egy SAS terjesztéséhez, és rendelkezik egy tervvel a feltört SAS visszavonásához. A közös hozzáférésű jogosultságkódokat használó műveleteket csak HTTPS-kapcsolaton keresztül kell végrehajtani, az SAS URI-kat pedig csak biztonságos kapcsolaton, például HTTPS-en szabad terjeszteni.
Fiók SAS-ének engedélyezése
Tárfiókkulcs használatával biztonságossá teheti a fiók SAS-ét. Fiók SAS létrehozásakor az ügyfélalkalmazásnak rendelkeznie kell a fiókkulcsmal.
Ha a Microsoft Entra hitelesítő adataival szeretne biztonságossá tenni egy SAS-t egy tárolóhoz vagy blobhoz, hozzon létre egy felhasználói delegálási SAS-.
Fiók SAS URI-jének létrehozása
A fiók SAS URI-ja annak az erőforrásnak az URI-ja, amelyhez az SAS hozzáférést delegál, majd egy SAS-jogkivonat. Az SAS-jogkivonat az a lekérdezési sztring, amely tartalmazza az erőforrásra irányuló kérés engedélyezéséhez szükséges összes információt. Meghatározza a hozzáféréshez elérhető szolgáltatást, erőforrást és engedélyeket, valamint azt az időtartamot, amely alatt az aláírás érvényes.
Adja meg a fiók SAS-paramétereit
Az SAS-jogkivonat szükséges és nem kötelező paramétereit az alábbi táblázat ismerteti:
| SAS lekérdezési paraméter | Leírás |
|---|---|
api-version |
Szabadon választható. Megadja a társzolgáltatás azon verzióját, amellyel végrehajthatja a fiók SAS URI-jával végrehajtott kérést. További információ: Kérelmek engedélyezése közös hozzáférésű jogosultságkódhasználatával. |
SignedVersion (sv) |
Szükséges. Megadja a társzolgáltatás aláírt verzióját, amellyel engedélyezheti a fiók SAS-jével érkező kéréseket. A 2015-04-05-ös vagy újabb verzióra kell állítani. További információ: Kérelmek engedélyezése közös hozzáférésű jogosultságkódhasználatával. |
SignedServices (ss) |
Szükséges. Megadja a fiók SAS-jével elérhető aláírt szolgáltatásokat. A lehetséges értékek a következők: - Blob ( b)- Üzenetsor ( q)- Táblázat ( t)- Fájl ( f)Az értékeket kombinálva több szolgáltatáshoz is hozzáférést biztosíthat. A ss=bf például a Blob Storage- és az Azure Files-végpontokhoz való hozzáférést adja meg. |
SignedResourceTypes (srt) |
Szükséges. Megadja a fiók SAS-jével elérhető aláírt erőforrástípusokat. - Szolgáltatás ( s): Hozzáférés a szolgáltatásszintű API-khoz (például szolgáltatástulajdonságok lekérése/beállítása, szolgáltatásstatisztikák lekérése, tárolók/üzenetsorok/táblák/megosztások listázása).- Tároló ( c): Hozzáférés tárolószintű API-khoz (például Tároló létrehozása/törlése, Üzenetsor létrehozása/törlése, Tábla létrehozása/törlése, Megosztás létrehozása/törlése, Blobok/fájlok és könyvtárak listázása).- Objektum ( o): Hozzáférés az objektumszintű API-khoz blobokhoz, üzenetsor-üzenetekhez, táblaentitásokhoz és fájlokhoz (például Blob elhelyezése, Lekérdezési entitás, Üzenetek lekérése, Fájl létrehozása).Az értékeket kombinálva több erőforrástípushoz is hozzáférést biztosíthat. A srt=sc például a szolgáltatás- és tárolóerőforrásokhoz való hozzáférést adja meg. |
SignedPermissions (sp) |
Szükséges. Megadja a fiók SAS-azonosítójához tartozó aláírt engedélyeket. Az engedélyek csak akkor érvényesek, ha megfelelnek a megadott aláírt erőforrástípusnak. Ha nem egyeznek, a rendszer figyelmen kívül hagyja őket. - Olvasás ( r): Érvényes az összes aláírt erőforrástípusra (szolgáltatás, tároló és objektum). Engedélyezi az olvasási engedélyeket a megadott erőforrástípushoz.- Írás ( w): Az összes aláírt erőforrástípusra (Szolgáltatás, Tároló és Objektum) érvényes. Engedélyezi az írási hozzáférést a megadott erőforrástípushoz, lehetővé téve a felhasználó számára az erőforrások létrehozását és frissítését.- Delete ( d): Tároló- és objektumerőforrás-típusok esetén érvényes, kivéve az üzenetsor-üzeneteket.- Verzió törlése ( x): Csak a Blob objektumerőforrás-típusára érvényes.- Állandó törlés ( y): Csak a Blob objektumerőforrás-típusára érvényes.- List ( l): Csak szolgáltatás- és tárolóerőforrás-típusokra érvényes.- Hozzáadás ( a): Csak a következő objektumerőforrás-típusokra érvényes: üzenetsor-üzenetek, táblaentitások és hozzáfűző blobok.- Létrehozás ( c): Tárolóerőforrás-típusok és a következő objektumerőforrás-típusok esetén érvényes: blobok és fájlok. A felhasználók új erőforrásokat hozhatnak létre, de nem írhatják felül a meglévő erőforrásokat.- Update ( u): Csak a következő objektumerőforrás-típusokra érvényes: üzenetsor-üzenetek és táblaentitások.- Folyamat ( p): Csak a következő objektum típusú erőforrásra érvényes: üzenetsor-üzenetek.- Címke ( t): Csak a következő objektumerőforrás-típusra érvényes: blobok. Engedélyezi a blobcímkék műveleteit.- Filter ( f): Csak a következő objektumerőforrás-típusra érvényes: blob. Engedélyezi a blobcímke szerinti szűrést.- Nem módosíthatósági szabályzat beállítása ( i): Csak a következő objektumerőforrás-típusra érvényes: blob. Engedélyezi a nem módosíthatósági szabályzat beállítását és törlését, valamint a blobok jogi visszatartást. |
SignedStart (st) |
Szabadon választható. Az SAS érvényességének időpontja, az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Ha nincs megadva, a rendszer feltételezi, hogy a kezdési időpont az az időpont, amikor a tárolási szolgáltatás megkapja a kérést. Az elfogadott UTC-formátumokról további információt Dátum/idő értékek formázásacímű témakörben talál. |
SignedExpiry (se) |
Szükséges. A közös hozzáférésű jogosultságkód érvénytelenné válásának időpontja az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Az elfogadott UTC-formátumokról további információt Dátum/idő értékek formázásacímű témakörben talál. |
SignedIP (sip) |
Szabadon választható. Olyan IP-címet vagy IP-címtartományt ad meg, amelyből a kéréseket fogadni szeretné. Amikor megad egy tartományt, vegye figyelembe, hogy a tartomány befogadó. Csak az IPv4-címek támogatottak. Például sip=198.51.100.0 vagy sip=198.51.100.10-198.51.100.20. |
SignedProtocol (spr) |
Szabadon választható. Megadja az SAS-fiókkal küldött kérésekhez engedélyezett protokollt. A lehetséges értékek a HTTPS és a HTTP (https,http) vagy a HTTPS (https). Az alapértelmezett érték a https,http.Vegye figyelembe, hogy a HTTP csak nem engedélyezett érték. |
SignedEncryptionScope (ses) |
Szabadon választható. A kérelem tartalmának titkosításához használandó titkosítási hatókört jelzi. Ezt a mezőt a 2020-12-06-os és újabb verziók támogatják. |
Signature (sig) |
Szükséges. Az URI aláírási része a közös hozzáférésű jogosultságkóddal küldött kérés engedélyezésére szolgál. A sztring–aláírás egy egyedi sztring, amely azon mezőkből épül fel, amelyeket ellenőrizni kell a kérés engedélyezéséhez. Az aláírás egy kivonatalapú üzenethitelesítési kód (HMAC), amelyet az SHA256 algoritmussal a sztring-aláírás és a kulcs alapján számítunk ki, majd Base64 kódolással kódolunk. |
A signedVersion mező megadása
A signedVersion (sv) mező tartalmazza a megosztott hozzáférésű jogosultságkód szolgáltatásverzióját. Ez az érték a megosztott kulcs engedélyezésének azon verzióját adja meg, amelyet ez a közös hozzáférésű jogosultságkód használ (a signature mezőben). Az érték a megosztott hozzáférési aláírással küldött kérések szolgáltatásverzióit is megadja.
Arról, hogy melyik verziót használja a rendszer a kérelmek közös hozzáférésű jogosultságkódon keresztüli végrehajtásakor, tekintse meg Az Azure Storage-szolgáltatások verziószámozásacímű témakört.
Ha tudnia kell, hogy ez a paraméter hogyan befolyásolja a közös hozzáférésű jogosultságkóddal küldött kérelmek engedélyezését, olvassa el Hozzáférés delegálása közös hozzáférésű jogosultságkóddalcímű témakört.
| Mező neve | Lekérdezési paraméter | Leírás |
|---|---|---|
signedVersion |
sv |
Szükséges. A 2015-04-05-ös és újabb verzió támogatott. A társzolgáltatás azon verziója, amellyel engedélyezheti és kezelheti a megosztott hozzáférésű jogosultságkóddal kapcsolatos kéréseket. További információ: Azure Storage-szolgáltatások verziószámozása. |
IP-cím vagy IP-tartomány megadása
A 2015-04-05-ös verziótól kezdődően az opcionális signedIp (sip) mező egy nyilvános IP-címet vagy egy nyilvános IP-címtartományt határoz meg, amelyből a kéréseket el lehet fogadni. Ha a kérés forrásaként szolgáló IP-cím nem egyezik meg az SAS-jogkivonaton megadott IP-címmel vagy címtartománynal, a kérés nincs engedélyezve. Csak az IPv4-címek támogatottak.
Ha IP-címtartományt ad meg, vegye figyelembe, hogy a tartomány befogadó. Ha például sip=198.51.100.0 vagy sip=198.51.100.10-198.51.100.20 a SAS-en, az azokra az IP-címekre korlátozza a kérést.
Az alábbi táblázat azt ismerteti, hogy a signedIp mező szerepel-e egy SAS-jogkivonaton egy adott forgatókönyvhöz az ügyfélkörnyezet és a tárfiók helye alapján.
| Ügyfélkörnyezet | Tárfiók helye | Ajánlás |
|---|---|---|
| Az Azure-ban futó ügyfél | Ugyanabban a régióban, mint az ügyfél | Az ügyfélnek ebben a forgatókönyvben megadott SAS-nek nem szabad kimenő IP-címet tartalmaznia a signedIp mezőhöz. A megadott kimenő IP-címmel rendelkező SAS-t használó régión belülről érkező kérések sikertelenek lesznek.Ehelyett használjon azure-beli virtuális hálózatot a hálózati biztonsági korlátozások kezeléséhez. Az egyazon régión belülről érkező Azure Storage-kérelmek mindig magánhálózati IP-címen keresztül történnek. További információ: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása. |
| Az Azure-ban futó ügyfél | Az ügyféltől eltérő régióban | Az ügyfélnek ebben a forgatókönyvben biztosított SAS tartalmazhat nyilvános IP-címet vagy címtartományt a signedIp mezőhöz. Az SAS-vel küldött kérésnek a megadott IP-címről vagy címtartományból kell származnia. |
| Helyszíni vagy más felhőkörnyezetben futó ügyfél | Bármely Azure-régióban | Az ügyfélnek ebben a forgatókönyvben biztosított SAS tartalmazhat nyilvános IP-címet vagy címtartományt a signedIp mezőhöz. Az SAS-vel küldött kérésnek a megadott IP-címről vagy címtartományból kell származnia.Ha a kérelem proxyn vagy átjárón halad át, adja meg a proxy vagy átjáró nyilvános kimenő IP-címét a signedIp mezőhöz. |
A HTTP protokoll megadása
A 2015-04-05-ös verziótól a választható signedProtocol (spr) mező határozza meg az SAS-vel végzett kérésekhez engedélyezett protokollt. A lehetséges értékek a HTTPS és a HTTP (https,http) vagy a HTTPS (https). Az alapértelmezett érték a https,http. Vegye figyelembe, hogy a HTTP csak nem engedélyezett érték.
A titkosítási hatókör megadása
Az URI signedEncryptionScope mezőjének használatával megadhatja az ügyfélalkalmazás által használható titkosítási hatókört. A kiszolgálóoldali titkosítást a megadott titkosítási hatókörrel kényszeríti ki, amikor blobokat (PUT) tölt fel az SAS-jogkivonattal. A GET és a HEAD nem lesz korlátozva, és a korábbiakhoz hasonlóan lesz végrehajtva.
Az alábbi táblázat bemutatja, hogyan hivatkozhat aláírt titkosítási hatókörre az URI-n:
| Mező neve | Lekérdezési paraméter | Leírás |
|---|---|---|
signedEncryptionScope |
ses |
Szabadon választható. A kérelem tartalmának titkosításához használandó titkosítási hatókört jelzi. |
Ezt a mezőt a 2020-12-06-os vagy újabb verzió támogatja. Ha a támogatott verzió előtt adja hozzá a ses, a szolgáltatás a 403-at (Tiltott) hibaüzenetet adja vissza.
Ha beállítja a tároló vagy fájlrendszer alapértelmezett titkosítási hatókörét, a ses lekérdezési paraméter tiszteletben tartja a tárolótitkosítási szabályzatot. Ha a ses lekérdezési paraméter és x-ms-default-encryption-scope fejléce nem egyezik, és a x-ms-deny-encryption-scope-override fejléc trueértékre van állítva, a szolgáltatás a 403-at (Tiltott) hibaválaszkódot adja vissza.
Ha megadja a x-ms-encryption-scope fejlécet és a ses lekérdezési paramétert a PUT-kérelemben, a szolgáltatás a 400-ás hibakódot (hibás kérést) adja vissza, ha eltérés van.
Az aláírási sztring létrehozása
A fiók SAS-hez tartozó aláírási sztring létrehozásához először a kérést alkotó mezőkből hozza létre a sztringet, majd kódolja a sztringet UTF-8-ként, és számítsa ki az aláírást a HMAC-SHA256 algoritmussal.
Jegyzet
A sztring-jel mezőinek URL-dekódolva kell lenniük.
A fiók SAS sztring-aláírásának létrehozásához használja a következő formátumot:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
A 2020-12-06-os verzió támogatja az aláírt titkosítási hatókör mezőt. A fiók SAS sztring-aláírásának létrehozásához használja a következő formátumot:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Fiók SAS-engedélyei művelet szerint
A következő szakaszok táblázatai felsorolják az egyes szolgáltatások különböző API-jait, valamint az egyes műveletekhez támogatott aláírt erőforrástípusokat és aláírt engedélyeket.
Blob szolgáltatás
Az alábbi táblázat a Blob szolgáltatás műveleteit sorolja fel, és azt jelzi, hogy melyik aláírt erőforrástípust és aláírt engedélyeket adja meg az adott műveletekhez való hozzáférés delegálásához.
| Művelet | Aláírt szolgáltatás | Aláírt erőforrástípus | Aláírt engedély |
|---|---|---|---|
| Tárolók listázása | Blob (b) | Szolgáltatás (ok) | Lista (l) |
| Blob szolgáltatás tulajdonságainak lekérése | Blob (b) | Szolgáltatás (ok) | Olvasás (r) |
| Blob szolgáltatás tulajdonságainak beállítása | Blob (b) | Szolgáltatás (ok) | Írás (w) |
| Blob service-statisztikák lekérése | Blob (b) | Szolgáltatás (ok) | Olvasás (r) |
| Tároló létrehozása | Blob (b) | Tároló (c) | Létrehozás(c) vagy írás (w) |
| Tároló tulajdonságainak lekérése | Blob (b) | Tároló (c) | Olvasás (r) |
| Tároló metaadatainak lekérése | Blob (b) | Tároló (c) | Olvasás (r) |
| Tároló metaadatainak beállítása | Blob (b) | Tároló (c) | Írás (w) |
| Tároló bérlete | Blob (b) | Tároló (c) | Írás (w) vagy törlés (d)1 |
| Tároló törlése | Blob (b) | Tároló (c) | Törlés (d)1 |
| Blobok keresése címkék szerint a tárolóban | Blob (b) | Tároló (c) | Szűrő (f) |
| Blobok listázása | Blob (b) | Tároló (c) | Lista (l) |
| Blob elhelyezése (új blokkblob létrehozása) | Blob (b) | Objektum (o) | Létrehozás (c) vagy írás (w) |
| Blob elhelyezése (meglévő blokkblob felülírása) | Blob (b) | Objektum (o) | Írás (w) |
| Blob elhelyezése (új lapblob létrehozása) | Blob (b) | Objektum (o) | Létrehozás (c) vagy írás (w) |
| Blob elhelyezése (meglévő lapblob felülírása) | Blob (b) | Objektum (o) | Írás (w) |
| Blob lekérése | Blob (b) | Objektum (o) | Olvasás (r) |
| Blobtulajdonságok lekérése | Blob (b) | Objektum (o) | Olvasás (r) |
| Blobtulajdonságok beállítása | Blob (b) | Objektum (o) | Írás (w) |
| Blob-metaadatok lekérése | Blob (b) | Objektum (o) | Olvasás (r) |
| Blob metaadatainak beállítása | Blob (b) | Objektum (o) | Írás (w) |
| Blobcímkék lekérése | Blob (b) | Objektum (o) | Címkék (t) |
| Blobcímkék beállítása | Blob (b) | Objektum (o) | Címkék (t) |
| Blobok keresése címkék szerint | Blob (b) | Objektum (o) | Szűrő (f) |
| Blob törlése | Blob (b) | Objektum (o) | Törlés (d)1 |
| Blobverzió törlése | Blob (b) | Objektum (o) | 2. verzió (x) törlése |
| Pillanatkép/verzió végleges törlése | Blob (b) | Objektum (o) | Végleges törlés (y)3 |
| Blob bérlete | Blob (b) | Objektum (o) | Írás (w) vagy törlés (d)1 |
| Pillanatkép-blob | Blob (b) | Objektum (o) | Létrehozás (c) vagy írás (w) |
| Blob másolása (a cél az új blob) | Blob (b) | Objektum (o) | Létrehozás (c) vagy írás (w) |
| Blob másolása (a cél egy meglévő blob) | Blob (b) | Objektum (o) | Írás (w) |
| Növekményes másolás | Blob (b) | Objektum (o) | Létrehozás (c) vagy írás (w) |
| Blob másolásának megszakítása | Blob (b) | Objektum (o) | Írás (w) |
| Blokk elhelyezése | Blob (b) | Objektum (o) | Írás (w) |
| Blokklista elhelyezése (új blob létrehozása) | Blob (b) | Objektum (o) | Írás (w) |
| Blokklista elhelyezése (meglévő blob frissítése) | Blob (b) | Objektum (o) | Írás (w) |
| Blokklista lekérése | Blob (b) | Objektum (o) | Olvasás (r) |
| Lap elhelyezése | Blob (b) | Objektum (o) | Írás (w) |
| Oldaltartományok lekérése | Blob (b) | Objektum (o) | Olvasás (r) |
| Hozzáfűzési blokk | Blob (b) | Objektum (o) | Hozzáadás (a) vagy írás (w) |
| Oldal törlése | Blob (b) | Objektum (o) | Írás (w) |
1 A Delete engedély lehetővé teszi a 2017-07-29-es és újabb verziójú blobok vagy tárolók bérletének megszakítását.
2 A Delete Version engedély lehetővé teszi a blobverziók törlését a 2019-12-12-es és újabb verzióval.
3 A Permanent Delete engedély lehetővé teszi a blob pillanatképének vagy 2020-02-10-es vagy újabb verziójának végleges törlését.
Üzenetsor-szolgáltatás
Az alábbi táblázat felsorolja a Várólista szolgáltatás műveleteit, és azt jelzi, hogy melyik aláírt erőforrástípust és aláírt engedélyeket adja meg, amikor ön delegálja az adott műveletekhez való hozzáférést.
| Művelet | Aláírt szolgáltatás | Aláírt erőforrástípus | Aláírt engedély |
|---|---|---|---|
| Üzenetsor-szolgáltatás tulajdonságainak lekérése | Üzenetsor (q) | Szolgáltatás (ok) | Olvasás (r) |
| Üzenetsor-szolgáltatás tulajdonságainak beállítása | Üzenetsor (q) | Szolgáltatás (ok) | Írás (w) |
| Üzenetsorok listázása | Üzenetsor (q) | Szolgáltatás (ok) | Lista (l) |
| Üzenetsor-szolgáltatás statisztikáinak lekérése | Üzenetsor (q) | Szolgáltatás (ok) | Olvasás (r) |
| Üzenetsor létrehozása | Üzenetsor (q) | Tároló (c) | Létrehozás(c) vagy írás (w) |
| Üzenetsor törlése | Üzenetsor (q) | Tároló (c) | Törlés (d) |
| Üzenetsor metaadatainak lekérése | Üzenetsor (q) | Tároló (c) | Olvasás (r) |
| Üzenetsor metaadatainak beállítása | Üzenetsor (q) | Tároló (c) | Írás (w) |
| Üzenet elhelyezése | Üzenetsor (q) | Objektum (o) | Hozzáadás (a) |
| Üzenetek lekérése | Üzenetsor (q) | Objektum (o) | Folyamat (p) |
| Üzenetek betekintője | Üzenetsor (q) | Objektum (o) | Olvasás (r) |
| Üzenet törlése | Üzenetsor (q) | Objektum (o) | Folyamat (p) |
| Üzenetek törlése | Üzenetsor (q) | Objektum (o) | Törlés (d) |
| Üzenet frissítése | Üzenetsor (q) | Objektum (o) | Frissítés (u) |
Table service
Az alábbi táblázat felsorolja a Table Service műveleteit, és azt jelzi, hogy melyik aláírt erőforrástípust és aláírt engedélyeket adja meg, amikor ön delegálja az adott műveletekhez való hozzáférést.
| Művelet | Aláírt szolgáltatás | Aláírt erőforrástípus | Aláírt engedély |
|---|---|---|---|
| Táblaszolgáltatás tulajdonságainak lekérése | Táblázat (t) | Szolgáltatás (ok) | Olvasás (r) |
| Táblaszolgáltatás tulajdonságainak beállítása | Táblázat (t) | Szolgáltatás (ok) | Írás (w) |
| Table Service-statisztikák lekérése | Táblázat (t) | Szolgáltatás (ok) | Olvasás (r) |
| Lekérdezéstáblák | Táblázat (t) | Tároló (c) | Lista (l) |
| Tábla létrehozása | Táblázat (t) | Tároló (c) | Létrehozás (c) vagy írás (w) |
| Tábla törlése | Táblázat (t) | Tároló (c) | Törlés (d) |
| Lekérdezési entitások | Táblázat (t) | Objektum (o) | Olvasás (r) |
| Entitás beszúrása | Táblázat (t) | Objektum (o) | Hozzáadás (a) |
| Entitás beszúrása vagy egyesítése | Táblázat (t) | Objektum (o) | Add (a) and Update (u)1 |
| Entitás beszúrása vagy cseréje | Táblázat (t) | Objektum (o) | Add (a) and Update (u)1 |
| Entitás frissítése | Táblázat (t) | Objektum (o) | Frissítés (u) |
| Entitás egyesítése | Táblázat (t) | Objektum (o) | Frissítés (u) |
| Entitás törlése | Táblázat (t) | Objektum (o) | Törlés (d) |
1 Add and Update engedélyekre van szükség a Table service upsert műveleteihez.
Fájlszolgáltatás
Az alábbi táblázat a Fájlszolgáltatás műveleteit sorolja fel, és azt jelzi, hogy melyik aláírt erőforrástípust és aláírt engedélyeket adja meg az adott műveletekhez való hozzáférés delegálásához.
| Művelet | Aláírt szolgáltatás | Aláírt erőforrástípus | Aláírt engedély |
|---|---|---|---|
| Megosztások listázása | Fájl (f) | Szolgáltatás (ok) | Lista (l) |
| Fájlszolgáltatás tulajdonságainak lekérése | Fájl (f) | Szolgáltatás (ok) | Olvasás (r) |
| Fájlszolgáltatás tulajdonságainak beállítása | Fájl (f) | Szolgáltatás (ok) | Írás (w) |
| Megosztási statisztikák lekérése | Fájl (f) | Tároló (c) | Olvasás (r) |
| Megosztás létrehozása | Fájl (f) | Tároló (c) | Létrehozás (c) vagy írás (w) |
| Pillanatkép-megosztás | Fájl (f) | Tároló (c) | Létrehozás (c) vagy írás (w) |
| Megosztási tulajdonságok lekérése | Fájl (f) | Tároló (c) | Olvasás (r) |
| Megosztási tulajdonságok beállítása | Fájl (f) | Tároló (c) | Írás (w) |
| Metaadatok megosztása | Fájl (f) | Tároló (c) | Olvasás (r) |
| Metaadatok megosztása | Fájl (f) | Tároló (c) | Írás (w) |
| Megosztás törlése | Fájl (f) | Tároló (c) | Törlés (d) |
| Címtárak és fájlok listázása | Fájl (f) | Tároló (c) | Lista (l) |
| Címtár létrehozása | Fájl (f) | Objektum (o) | Létrehozás (c) vagy írás (w) |
| Címtártulajdonságok lekérése | Fájl (f) | Objektum (o) | Olvasás (r) |
| Címtár metaadatainak lekérése | Fájl (f) | Objektum (o) | Olvasás (r) |
| Címtár metaadatainak beállítása | Fájl (f) | Objektum (o) | Írás (w) |
| Címtár törlése | Fájl (f) | Objektum (o) | Törlés (d) |
| Fájl létrehozása (új létrehozása) | Fájl (f) | Objektum (o) | Létrehozás (c) vagy írás (w) |
| Fájl létrehozása (meglévő felülírása) | Fájl (f) | Objektum (o) | Írás (w) |
| Fájl lekérése | Fájl (f) | Objektum (o) | Olvasás (r) |
| Fájltulajdonságok lekérése | Fájl (f) | Objektum (o) | Olvasás (r) |
| Fájl metaadatainak lekérése | Fájl (f) | Objektum (o) | Olvasás (r) |
| Fájl metaadatainak beállítása | Fájl (f) | Objektum (o) | Írás (w) |
| Fájl törlése | Fájl (f) | Objektum (o) | Törlés (d) |
| Fájl átnevezése | Fájl (f) | Objektum (o) | Törlés (d) vagy írás (w) |
| Tartomány elhelyezése | Fájl (f) | Objektum (o) | Írás (w) |
| Listatartományok | Fájl (f) | Objektum (o) | Olvasás (r) |
| Fájl másolásának megszakítása | Fájl (f) | Objektum (o) | Írás (w) |
| Fájl másolása | Fájl (f) | Objektum (o) | Írás (w) |
| Tartomány törlése | Fájl (f) | Objektum (o) | Írás (w) |
Példa fiók SAS URI-jára
Az alábbi példa egy Blob service URI-t mutat be, amelyhez hozzá van fűzve egy fiók SAS-jogkivonata. A fiók SAS-jogkivonata engedélyeket biztosít a szolgáltatáshoz, a tárolóhoz és az objektumokhoz. A táblázat az URI minden részét lebontja:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Név | SAS-rész | Leírás |
|---|---|---|
| Erőforrás URI-ja | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
A szolgáltatásvégpont, a szolgáltatástulajdonságok lekérésére szolgáló paraméterekkel (get használatával hívva) vagy szolgáltatástulajdonságok beállításával (ha a SET használatával hívják meg). Az aláírt szolgáltatások mező (ss) értéke alapján ez az SAS a Blob Storage-ban vagy az Azure Filesban is használható. |
| Határoló | ? |
A lekérdezési sztringet megelőző elválasztó. A határoló nem része az SAS-jogkivonatnak. |
| Storage-szolgáltatások verziója | sv=2022-11-02 |
Az Azure Storage-szolgáltatások 2012-02-12-es és újabb verziói esetében ez a paraméter jelzi, hogy melyik verziót kell használni. |
| Szolgáltatás | ss=b |
Az SAS a Blob-szolgáltatásokra vonatkozik. |
| Erőforrástípusok | srt=sco |
Az SAS szolgáltatásszintű, tárolószintű és objektumszintű műveletekre vonatkozik. |
| Engedélyek | sp=rwlc |
Az engedélyek hozzáférést biztosítanak az olvasási, írási, listázási és létrehozási műveletekhez. |
| Kezdési időpont | st=2019-08-01T22%3A18%3A26Z |
Utc idő szerint megadva. Ha azt szeretné, hogy az SAS azonnal érvényes legyen, hagyja ki a kezdési időpontot. |
| Lejárati idő | se=2019-08-10T02%3A23%3A26Z |
Utc idő szerint megadva. |
| Protokoll | spr=https |
Csak a HTTPS-t használó kérések engedélyezettek. |
| Aláírás | sig=<signature> |
A blobhoz való hozzáférés engedélyezésére szolgál. Az aláírás egy HMAC, amelyet az SHA256 algoritmussal egy sztring-jel és kulcs alapján számítunk ki, majd Base64 kódolással kódolunk. |
Mivel az engedélyek a szolgáltatásszintre korlátozódnak, az sassal elérhető műveletek Blob-szolgáltatás tulajdonságainak lekérése (olvasás) és Blob-szolgáltatás tulajdonságainak (írás) beállítása. Más erőforrás-URI esetén azonban ugyanez az SAS-jogkivonat használható a blobszolgáltatás-statisztikák