Felhasználódelegálási SAS létrehozása
Fontos
Az optimális biztonság érdekében a Microsoft azt javasolja, hogy a Microsoft Entra ID-t felügyelt identitásokkal használva engedélyezze a blob-, üzenetsor- és táblaadatokra vonatkozó kéréseket, amikor csak lehetséges. A Microsoft Entra-azonosítóval és felügyelt identitásokkal való engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. További információ: Engedélyezés a Microsoft Entra-azonosítóval. A felügyelt identitásokról további információt Az Azure-erőforrások felügyelt identitásaicímű témakörben talál.
Az Azure-on kívül üzemeltetett erőforrások, például a helyszíni alkalmazások esetében felügyelt identitásokat használhat az Azure Arcon keresztül. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak az Azure-szolgáltatásokhoz. További információ: Hitelesítés Azure-erőforrásokon az Azure Arc-kompatibilis kiszolgálókon.
A tárolókhoz, címtárakhoz vagy blobokhoz való hozzáféréshez biztosíthatja a közös hozzáférésű jogosultságkód (SAS) jogkivonatot a Microsoft Entra hitelesítő adataival vagy egy fiókkulcs használatával. A Microsoft Entra hitelesítő adataival védett SAS-t felhasználói delegálásnak nevezzük SAS-t. Ajánlott biztonsági eljárásként javasoljuk, hogy a fiókkulcs helyett a Microsoft Entra hitelesítő adatait használja, amely könnyebben feltörhető. Ha az alkalmazás tervezése közös hozzáférésű jogosultságkódokat igényel, a Microsoft Entra hitelesítő adataival hozzon létre egy felhasználói delegálási SAS-t a nagyobb biztonság érdekében.
Minden SAS egy kulccsal van aláírva. Felhasználói delegálási SAS létrehozásához először felhasználódelegálási kulcsot kell kérnie, amelyet aztán az SAS aláírásához használ. A felhasználói delegálási kulcs hasonló a szolgáltatás SAS vagy fiók SAS aláírásához használt fiókkulcshoz, azzal a kivétellel, hogy az a Microsoft Entra hitelesítő adataira támaszkodik. A felhasználói delegálási kulcs lekéréséhez hívja meg a Felhasználódelegálási kulcs lekérése műveletet. Ezután a felhasználói delegálási kulccsal hozhatja létre az SAS-t.
A felhasználói delegálási SAS az Azure Blob Storage és az Azure Data Lake Storage esetében támogatott. A tárolt hozzáférési szabályzatok nem támogatottak a felhasználói delegálási SAS-hez.
Figyelemfelhívás
A közös hozzáférésű jogosultságkódok olyan kulcsok, amelyek engedélyeket biztosítanak a tárolási erőforrások számára, és ugyanúgy védenie kell őket, mint egy fiókkulcsot. Fontos, hogy megvédje az SAS-t a rosszindulatú vagy nem szándékos használattól. Használja a diszkréciót egy SAS terjesztéséhez, és rendelkezik egy tervvel a feltört SAS visszavonásához. A közös hozzáférésű jogosultságkódokat használó műveleteket csak HTTPS-kapcsolaton keresztül kell végrehajtani, a közös hozzáférésű jogosultságkód URI-jait pedig csak biztonságos kapcsolaton, például HTTPS-en szabad terjeszteni.
További információ a fiókkulcs SAS-védelemhez való használatáról: Szolgáltatás SAS- létrehozása és Fiók SAS-létrehozása.
A felhasználói delegálási SAS akkor támogatja a címtár hatókörét (sr=d), ha az engedélyezési verzió (sv) 2020-02-10 vagy újabb, és engedélyezve van egy hierarchikus névtér (HNS). A címtár hatókörének (sr=d) szemantikája hasonló a tároló hatóköréhez (sr=c), azzal a kivételrel, hogy a hozzáférés egy könyvtárra és a benne lévő fájlokra és alkönyvtárakra korlátozódik. Ha sr=d van megadva, a sdd lekérdezési paraméterre is szükség van.
A 2020-02-10 engedélyezési verzió sztring–aláírás formátuma változatlan.
A felhasználói delegálási SAS támogatja a saoid vagy suoid paraméterben 2020-02-10-es vagy újabb engedélyezési verziójú (sv) felhasználói objektumazonosítót (OID). A saoid és suoid paraméterek megfelelnek az SAS-t használó végfelhasználó biztonsági tagjának, és továbbfejlesztett engedélyezési modellt biztosítanak a többfelhasználós fürt számítási feladataihoz, például a Hadoophoz és a Sparkhoz.
Az SAS-jogkivonatok egy adott fájlrendszerműveletre és felhasználóra korlátozhatók, ami kevésbé sebezhető hozzáférési jogkivonatot biztosít, amely biztonságosabban terjeszthető többfelhasználós fürtök között. Ezeknek a funkcióknak az egyik felhasználási esete a Hadoop ABFS-illesztő és az Apache Ranger integrációja.
Az opcionális saoid és suoid paraméterekkel kapcsolatos további információkért lásd: Aláírt felhasználói objektumazonosító megadása.
Amikor egy ügyfél egy felhasználói delegálási SAS-vel rendelkező Blob Storage-erőforráshoz fér hozzá, az Azure Storage-ba irányuló kérés a Sas létrehozásához használt Microsoft Entra hitelesítő adatokkal lesz engedélyezve. Az ügyfél erőforráshoz való hozzáférését a következő engedélyek határozzák meg:
- A szerepköralapú hozzáférés-vezérlési (RBAC) engedélyek, amelyeket a Felhasználódelegálási kulcsot kérő Microsoft Entra biztonsági tag kap.
- A POSIX hozzáférés-vezérlési lista (ACL) engedélyei, amelyek a felhasználódelegálási kulcsot kérő biztonsági tagnak vannak megadva. Ez a további ellenőrzés csak akkor történik, ha az RBAC-engedélyek nem tudnak hozzáférést biztosítani, és csak akkor, ha a tárfiókban engedélyezve van a hierarchikus névtér.
- Az SAS-jogkivonaton explicit módon megadott engedélyek.
Ez a megközelítés további biztonsági szintet biztosít, és segít elkerülni, hogy a fiók hozzáférési kulcsát az alkalmazáskóddal kelljen tárolnia. Ezen okokból az SAS microsoft Entra-hitelesítő adatokkal történő létrehozása ajánlott biztonsági eljárás.
Az SAS-t használó ügyfél számára megadott engedélyek a felhasználói delegálási kulcsot kérő biztonsági tagnak adott engedélyek és az erőforrásnak az SAS-jogkivonaton a signedPermissions (sp) mező használatával megadott engedélyek metszetei. Ha az RBAC-n vagy POSIX ACL-en keresztül a rendszer nem ad engedélyt a biztonsági tagnak az SAS-jogkivonaton, akkor ez az engedély nem adható meg annak az ügyfélnek, aki az SAS használatával próbál hozzáférni az erőforráshoz. Ha felhasználói delegálási SAS-t hoz létre, győződjön meg arról, hogy az RBAC és POSIX ACL-ek által megadott engedélyek, valamint az SAS-jogkivonaton keresztül megadott engedélyek egyaránt igazodnak az ügyfél által megkövetelt hozzáférési szinthez.
Felhasználói delegálási SAS létrehozásához tegye a következőket:
- RBAC- vagy POSIX-ACL-ekkel adja meg a kívánt engedélyeket a felhasználódelegálási kulcsot kérő biztonsági tagnak.
- OAuth 2.0-jogkivonat beszerzése a Microsoft Entra-azonosítóból.
- A jogkivonat használatával kérje le a felhasználói delegálási kulcsot a Felhasználódelegálási kulcs lekérése művelet meghívásával.
- A felhasználói delegálási kulccsal hozza létre az SAS-jogkivonatot a megfelelő mezőkkel.
A felhasználódelegálási kulcsot kérő biztonsági tagnak rendelkeznie kell a megfelelő engedélyekkel. A Microsoft Entra ID biztonsági tag lehet felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás.
A felhasználói delegálási kulcs lekéréséhez egy biztonsági taghoz kell hozzárendelnie a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey műveletet. A következő beépített RBAC-szerepkörök közé tartozik a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey művelet, akár explicit módon, akár egy helyettesítő karakter definíciójának részeként:
- Közreműködő
- Tárfiók-közreműködő
- Storage blobadat-közreműködő
- Storage-blobadatok tulajdonosa
- Storage-blobadatok olvasója
- Storage Blob Delegator
Mivel a Felhasználódelegálási kulcs lekérése művelet a tárfiók szintjén működik, a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey műveletet a tárfiók, az erőforráscsoport vagy az előfizetés szintjén kell hatókörbe venni. Ha a biztonsági taghoz a korábban felsorolt, beépített szerepkörök vagy egyéni szerepkörök tartoznak, amelyek tartalmazzák a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey műveletet, a tárfiók, az erőforráscsoport vagy az előfizetés szintjén, a biztonsági tag ezután kérheti a felhasználó delegálási kulcsát.
Ha a biztonsági taghoz olyan szerepkör van hozzárendelve, amely lehetővé teszi az adathozzáférést, de a tároló szintjére van korlátozva, a Storage Blob Delegator szerepkört a tárfiók, az erőforráscsoport vagy az előfizetés szintjén rendelheti hozzá a biztonsági taghoz. A Storage Blob Delegator szerepkör engedélyezi a felhasználó delegálási kulcsának lekéréséhez szükséges egyszerű biztonsági engedélyeket.
További információ az Azure Storage RBAC-szerepköreiről: Engedélyezés a Microsoft Entra.
A felhasználói delegálási kulcs lekéréséhez először kérjen egy OAuth 2.0-jogkivonatot a Microsoft Entra-azonosítóból. Adja meg a jogkivonatot a Tulajdonosi sémával a Felhasználódelegálási kulcs lekérése művelet meghívásának engedélyezéséhez. További információ az OAuth-jogkivonat Microsoft Entra-azonosítóról való lekéréséről: Hitelesítési folyamatok és alkalmazásforgatókönyvek.
A Felhasználódelegálási kulcs lekérése művelet hívása a felhasználódelegálási SAS-jogkivonat paramétereiként használt értékek halmazaként adja vissza a kulcsot. Ezeket a paramétereket a Felhasználódelegálási kulcs lekérése hivatkozás, a következő szakaszban pedig a "Felhasználói delegálási SAS-létrehozása" című szakaszban találja.
Ha egy ügyfél OAuth 2.0-jogkivonat használatával kér felhasználói delegálási kulcsot, az Azure Storage a biztonsági tag nevében adja vissza a felhasználódelegálási kulcsot. A felhasználói delegálási kulccsal létrehozott SAS megkapja a biztonsági tagnak adott engedélyeket.
Miután rendelkezik a felhasználódelegálási kulccsal, a kulcs élettartama alatt tetszőleges számú felhasználói delegálási megosztott hozzáférési aláírást hozhat létre. A felhasználói delegálási kulcs független a beszerzéshez használt OAuth 2.0-jogkivonattól, így a jogkivonatot nem kell megújítani, amíg a kulcs érvényes. Megadhatja, hogy a kulcs legfeljebb hét napig érvényes legyen.
Az alábbi táblázat összefoglalja a felhasználói delegálási SAS-jogkivonatok által támogatott mezőket. A következő szakaszok további részleteket nyújtanak ezeknek a paramétereknek a megadásáról.
| SAS-mező neve | SAS-jogkivonat paramétere | Kötelező vagy választható | Verziótámogatás | Leírás |
|---|---|---|---|---|
signedVersion |
sv |
Kötelező | 2018-11-09 és újabb verziók | Az aláírási mező létrehozásához használt szolgáltatás verzióját jelzi. Meghatározza azt a szolgáltatásverziót is, amely az sassal végrehajtott kérelmeket kezeli. |
signedResource |
sr |
Kötelező | Mind | Meghatározza, hogy mely bloberőforrások érhetők el a közös hozzáférésű jogosultságkódon keresztül. |
signedStart |
st |
Választható | Mind | Opcionális. A közös hozzáférésű jogosultságkód érvényességének időpontja az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Ha ez az érték nincs megadva, a rendszer az aktuális UTC-időpontot használja a kezdési időpontként. Az elfogadott UTC-formátumokról további információt DateTime-értékek formázásacímű témakörben talál. |
signedExpiry |
se |
Kötelező | Mind | A közös hozzáférésű jogosultságkód érvénytelenné válásának időpontja az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Az elfogadott UTC-formátumokról további információt DateTime-értékek formázásacímű témakörben talál. |
signedPermissions |
sp |
Kötelező | Mind | Azt jelzi, hogy az SAS-t használó ügyfél mely műveleteket hajthatja végre az erőforráson. Az engedélyek kombinálhatók. |
signedIp |
sip |
Választható | 2015-04-05 és újabb verziók | Egy IP-címet vagy egy olyan IP-címtartományt határoz meg, amelyből fogadja a kéréseket. Amikor megad egy tartományt, vegye figyelembe, hogy a tartomány befogadó. Csak az IPv4-címek támogatottak. Például, sip=198.51.100.0 vagy sip=198.51.100.10-198.51.100.20. |
signedProtocol |
spr |
Választható | 2015-04-05 és újabb verziók | Megadja az SAS-vel küldött kérésekhez engedélyezett protokollt. Adja meg ezt a mezőt, hogy megkövetelje, hogy az SAS-jogkivonattal küldött kérések HTTPS-t használjanak. |
signedObjectId |
skoid |
Kötelező | 2018-11-09 és újabb verziók | Egy Microsoft Entra biztonsági tag objektumazonosítóját adja meg. Ez az objektumazonosító a felhasználó delegálási kulcsát kérő biztonsági tagnak felel meg. A művelet engedélyezése előtt az Azure Storage ellenőrzi az RBAC-engedélyeket az objektumazonosítón. Ha az RBAC-engedélyek nem tudnak hozzáférést biztosítani, akkor az Azure Storage ellenőrzi a POSIX ACL-engedélyeket az objektumazonosítón. |
signedTenantId |
sktid |
Kötelező | 2018-11-09 és újabb verziók | Megadja azt a Microsoft Entra-bérlőt, amelyben a rendszerbiztonsági tag definiálva van. |
signedKeyStartTime |
skt |
Szükséges. | 2018-11-09 és újabb verziók | Az értéket a Felhasználódelegálási kulcs lekérése művelet adja vissza. A felhasználói delegálási kulcs élettartamának kezdetét jelzi az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Az elfogadott UTC-formátumokról további információt DateTime-értékek formázásacímű témakörben talál. |
signedKeyExpiryTime |
ske |
Kötelező | 2018-11-09 és újabb verziók | Az értéket a Felhasználódelegálási kulcs lekérése művelet adja vissza. A felhasználói delegálási kulcs élettartamának végét jelzi az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Az elfogadott UTC-formátumokról további információt DateTime-értékek formázásacímű témakörben talál. |
signedKeyVersion |
skv |
Kötelező | 2018-11-09 és újabb verziók | Az értéket a Felhasználódelegálási kulcs lekérése művelet adja vissza. Megadja a felhasználói delegálási kulcs lekéréséhez használt tárolási szolgáltatás verzióját. Ennek a mezőnek meg kell adnia a 2018-11-09-es vagy újabb verziót. |
signedKeyService |
sks |
Kötelező | 2018-11-09 és újabb verziók | Azt a szolgáltatást jelzi, amelyre érvényes a felhasználói delegálási kulcs. Jelenleg csak a Blob Storage támogatott. |
signedAuthorizedObjectId |
saoid |
Választható | 2020-02-10 és újabb verziók | Megadja egy Microsoft Entra biztonsági tag objektumazonosítóját, amelyet a felhasználódelegálási kulcs tulajdonosa engedélyezett az SAS-jogkivonat által megadott művelet végrehajtásához. Ez az objektumazonosító az SAS végfelhasználójának biztonsági tagjának felel meg. Nincs további engedélyellenőrzés a POSIX-hozzáférés-vezérlési listákon (ACL-eken). |
signedUnauthorizedObjectId |
suoid |
Választható | 2020-02-10 és újabb verziók | A Microsoft Entra biztonsági tag objektumazonosítóját adja meg, ha engedélyezve van egy hierarchikus névtér. Ez az objektumazonosító az SAS végfelhasználójának biztonsági tagjának felel meg. Az Azure Storage POSIX ACL-ellenőrzést végez az objektumazonosítón, mielőtt engedélyezi a műveletet. |
signedCorrelationId |
scid |
Választható | 2020-02-10 és újabb verziók | Korrelálja a tárnaplókat az sast létrehozó és terjesztő rendszerbiztonsági tag által használt naplókkal. |
signedDirectoryDepth |
sdd |
Kötelező sr=d |
2020-02-10 és újabb verziók | A karakterlánc-jel canonicalizedResource mezőjében megadott könyvtár gyökérmappájában lévő könyvtárak számát jelzi. |
signedEncryptionScope |
ses |
Választható | 2020.12.06-i és újabb verziók | A kérelem tartalmának titkosításához használandó titkosítási hatókört jelzi. |
signature |
sig |
Kötelező | Mind | Az aláírás egy kivonatalapú üzenethitelesítési kód (HMAC), amelyet az SHA256 algoritmussal a sztring-aláírás és a kulcs alapján számítunk ki, majd Base64 kódolással kódolunk. |
Cache-Control válaszfejléc |
rscc |
Választható | 2013-08-15 és újabb verziók | Az Azure Storage a Cache-Control válaszfejlécet az SAS-jogkivonaton megadott értékre állítja. |
Content-Disposition válaszfejléc |
rscd |
Választható | 2013-08-15 és újabb verziók | Az Azure Storage a Content-Disposition válaszfejlécet az SAS-jogkivonaton megadott értékre állítja. |
Content-Encoding válaszfejléc |
rsce |
Választható | 2013-08-15 és újabb verziók | Az Azure Storage a Content-Encoding válaszfejlécet az SAS-jogkivonaton megadott értékre állítja. |
Content-Language válaszfejléc |
rscl |
Választható | 2013-08-15 és újabb verziók | Az Azure Storage a Content-Language válaszfejlécet az SAS-jogkivonaton megadott értékre állítja. |
Content-Type válaszfejléc |
rsct |
Választható | 2013-08-15 és újabb verziók | Az Azure Storage a Content-Type válaszfejlécet az SAS-jogkivonaton megadott értékre állítja. |
A szükséges signedVersion (sv) mező megadja a megosztott hozzáférésű jogosultságkód szolgáltatásverzióját. Ez az érték a signature mező létrehozásához használt szolgáltatás verzióját jelzi, és meghatározza azt a szolgáltatásverziót, amely az ezzel a közös hozzáférésű jogosultságkóddal küldött kéréseket kezeli. A sv mező értékének a 2018-11-09-es vagy újabb verziónak kell lennie.
A szükséges signedResource (sr) mező határozza meg, hogy mely erőforrások érhetők el a közös hozzáférésű jogosultságkódon keresztül. Az alábbi táblázat azt ismerteti, hogyan hivatkozhat blob-, tároló- vagy könyvtárerőforrásra az SAS-jogkivonatban:
| Erőforrás | Paraméter értéke | Támogatott verziók | Leírás |
|---|---|---|---|
| Blob | b | Mind | Hozzáférést biztosít a blob tartalmához és metaadataihoz. |
| Blobverzió | Bv | 2018-11-09 és újabb verziók | Hozzáférést biztosít a blobverzió tartalmához és metaadataihoz, de az alapblobhoz nem. |
| Blob-pillanatkép | Bs | 2018-11-09 és újabb verziók | Hozzáférést biztosít a blob pillanatképének tartalmához és metaadataihoz, de az alapblobhoz nem. |
| Tároló | c | Mind | Hozzáférést biztosít a tárolóban lévő blobok tartalmához és metaadataihoz, valamint a tárolóban lévő blobok listájához. |
| Címtár | d | 2020-02-10 és újabb verziók | Hozzáférést biztosít a címtárban lévő blobok tartalmához és metaadataihoz, valamint a címtárban lévő blobok listájához egy hierarchikus névtérrel rendelkező tárfiókban. Ha egy könyvtár van megadva a signedResource mezőhöz, a signedDirectoryDepth (sdd) paraméterre is szükség van. A címtárak mindig tárolón belül találhatók. |
A signedStart (st) és signedExpiry (se) mezők jelzik az SAS kezdő és lejárati idejét. A signedExpiry mező megadása kötelező. A signedStart mező megadása nem kötelező. Ha nincs megadva, a rendszer az aktuális UTC-időpontot használja a kezdési időpontként.
Felhasználói delegálási SAS esetén az SAS kezdő és lejárati idejének a felhasználói delegálási kulcshoz megadott időközön belül kell lennie. Ha egy ügyfél a felhasználói delegálási kulcs lejárta után próbál SAS-t használni, az SAS engedélyezési hibával fog meghiúsulni, függetlenül attól, hogy maga az SAS továbbra is érvényes-e.
Az elfogadott UTC-formátumokról további információt DateTime-értékek formázásacímű témakörben talál.
Az SAS-jogkivonat signedPermissions (sp) mezőjéhez megadott engedélyek jelzik, hogy az SAS-t birtokló ügyfél mely műveleteket hajthatja végre az erőforráson.
Az engedélyek kombinálhatók, így az ügyfél több műveletet is végrehajthat ugyanazzal az SAS-vel. Az SAS létrehozásakor az engedélyeket a következő sorrendben kell megadnia:
racwdxltmeop
A tároló érvényes engedélybeállításai közé tartoznak például a rw, rd, rl, wd, wlés rl. Érvénytelen beállítások például a következők: wr, dr, lrés dw. Az engedélymegjelölés többszöri megadása nem engedélyezett.
A felhasználói delegálási SAS nem tud hozzáférést biztosítani bizonyos műveletekhez:
- A tárolók nem hozhatók létre, nem törölhetők és nem listázhatók.
- A tároló metaadatai és tulajdonságai nem olvashatók és nem írhatók.
- A tárolók nem adhatók bérbe.
Ha olyan SAS-t szeretne létrehozni, amely hozzáférést biztosít ezekhez a műveletekhez, használjon fiók SAS-t. További információ: Fiók SAS-létrehozása.
Az egyes erőforrástípusokhoz támogatott engedélyeket az alábbi táblázat ismerteti:
| Engedély | URI-szimbólum | Erőforrás | Verziótámogatás | Engedélyezett műveletek |
|---|---|---|---|---|
| Olvasás | r | Tároló Címtár Blob |
Mind | Olvassa el a tárolóban vagy könyvtárban található blobok tartalmát, blokklistát, tulajdonságait és metaadatait. Másolási művelet forrásaként használjon blobot. |
| Hozzáadás | a | Tároló Címtár Blob |
Mind | Blokk hozzáadása hozzáfűző blobhoz. |
| Létrehozás | c | Tároló Címtár Blob |
Mind | Írjon egy új blobot, pillanatképet készítsen egy blobról, vagy másolja a blobot egy új blobba. |
| Írás | w | Tároló Címtár Blob |
Mind | Tartalom, tulajdonságok, metaadatok vagy blokklista létrehozása vagy írása. Pillanatkép vagy a blob bérlete. A blob átméretezése (csak lapblob). Másolási művelet céljaként használja a blobot. |
| Törlés | d | Tároló Címtár Blob |
Mind | Blob törlése. A 2017-07-29-es és újabb verziók esetében a Törlés engedély lehetővé teszi a blobok bérletének megszakítását is. További információ: Bérletblob művelet. |
| Verzió törlése | x | Tároló Blob |
2019-12-12 és újabb verziók | Blobverzió törlése. |
| Végleges törlés | y | Blob | 2020-02-10 és újabb verziók | Blob pillanatképének vagy verziójának végleges törlése. |
| List | l | Tároló Címtár |
Mind | Nem rekurzív blobok listázása. |
| Címkék | t | Blob | 2019-12-12 és újabb verziók | A címkék olvasása vagy írása egy blobon. |
| Áthelyezés | m | Tároló Címtár Blob |
2020-02-10 és újabb verziók | Blob vagy könyvtár és tartalma áthelyezése új helyre. Ez a művelet opcionálisan a gyermek blob, könyvtár vagy szülőkönyvtár tulajdonosára korlátozható, ha a saoid paraméter szerepel az SAS-jogkivonatban, és a ragacsos bit a szülőkönyvtárban van beállítva. |
| Végrehajtás | e | Tároló Címtár Blob |
2020-02-10 és újabb verziók | Kérje le a rendszertulajdonságokat, és ha a hierarchikus névtér engedélyezve van a tárfiókhoz, kérje le egy blob POSIX ACL-ét. Ha a hierarchikus névtér engedélyezve van, és a hívó egy blob tulajdonosa, ez az engedély lehetővé teszi a blob tulajdonoscsoportjának, POSIX-engedélyeinek és POSIX ACL-jének beállítását. Ez nem teszi lehetővé a hívó számára a felhasználó által definiált metaadatok olvasását. |
| Tulajdonjog | o | Tároló Címtár Blob |
2020-02-10 és újabb verziók | Ha a hierarchikus névtér engedélyezve van, ez az engedély lehetővé teszi, hogy a hívó beállítsa a tulajdonost vagy a tulajdonoscsoportot, vagy tulajdonosként működjön, amikor a hívó átnevez vagy töröl egy könyvtárat vagy blobot egy olyan könyvtárban, amely rendelkezik a ragadós bitkészlettel. |
| Engedélyek | p | Tároló Címtár Blob |
2020-02-10 és újabb verziók | Ha a hierarchikus névtér engedélyezve van, ez az engedély lehetővé teszi a hívó számára, hogy engedélyeket és POSIX ACL-eket állítson be könyvtárakon és blobokon. |
| Nem módosíthatósági szabályzat beállítása | i | Tároló Blob |
2020-06-12 és újabb verziók | Állítsa be vagy törölje a blobok módosíthatatlansági szabályzatát vagy jogi célú visszatartási parancsát. |
Az opcionális signedIp (sip) mező egy nyilvános IP-címet vagy egy nyilvános IP-címtartományt határoz meg, amelyből a kéréseket fogadni szeretné. Ha a kérés forrásaként szolgáló IP-cím nem egyezik meg az SAS-jogkivonaton megadott IP-címmel vagy címtartománynal, a kérés nincs engedélyezve. Csak az IPv4-címek támogatottak.
Ha IP-címtartományt ad meg, a tartomány befogadó. Ha például sip=198.51.100.0 vagy sip=198.51.100.10-198.51.100.20 a SAS-en, az azokra az IP-címekre korlátozza a kérést.
Az alábbi táblázat azt ismerteti, hogy a signedIp mező szerepel-e egy SAS-jogkivonaton egy adott forgatókönyvhöz az ügyfélkörnyezet és a tárfiók helye alapján.
| Ügyfélkörnyezet | Tárfiók helye | Ajánlás |
|---|---|---|
| Az Azure-ban futó ügyfél | Ugyanabban a régióban, mint az ügyfél | Az ügyfélnek ebben a forgatókönyvben megadott SAS-nek nem szabad kimenő IP-címet tartalmaznia a signedIp mezőhöz. A megadott kimenő IP-címmel rendelkező SAS használatával egy adott régióból érkező kérések sikertelenek.Ehelyett használjon azure-beli virtuális hálózatot a hálózati biztonsági korlátozások kezeléséhez. Az egyazon régión belülről érkező Azure Storage-kérelmek mindig magánhálózati IP-címen keresztül történnek. További információ: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása. |
| Az Azure-ban futó ügyfél | Az ügyféltől eltérő régióban | Az ebben a forgatókönyvben az ügyfélnek biztosított SAS tartalmazhat nyilvános IP-címet vagy címtartományt a signedIp mezőhöz. Az SAS-vel küldött kéréseknek a megadott IP-címről vagy címtartományból kell származnia. |
| Helyszíni vagy más felhőkörnyezetben futó ügyfél | Bármely Azure-régióban | Az ebben a forgatókönyvben az ügyfélnek biztosított SAS tartalmazhat nyilvános IP-címet vagy címtartományt a signedIp mezőhöz. Az SAS-vel küldött kéréseknek a megadott IP-címről vagy címtartományból kell származnia.Ha a kérelem proxyn vagy átjárón halad át, adja meg a proxy vagy átjáró nyilvános kimenő IP-címét a signedIp mezőhöz. |
Az opcionális signedProtocol (spr) mező megadja az SAS-vel végzett kérelmekhez engedélyezett protokollt. A lehetséges értékek a HTTPS és a HTTP (https,http) vagy a HTTPS (https). Az alapértelmezett érték: https,http.
Megjegyzés
A spr mezőhöz nem lehet HTTP-t megadni.
A signedObjectId (skoid) mező szükséges a felhasználói delegálási SAS-hez. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Az aláírt objektumazonosító egy GUID-érték, amely a Microsoft identitásplatform egyik biztonsági tagjának nem módosítható azonosítóját szolgálja ki.
A signedTenantId (sktid) mező szükséges a felhasználói delegálási SAS-hez. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Az aláírt bérlőazonosító egy GUID-érték, amely azt a Microsoft Entra-bérlőt jelöli, amelyben a rendszerbiztonsági tag definiálva van.
A szükséges signedKeyStartTime (skt) mező a felhasználódelegálási kulcs élettartamának kezdetét jelzi ISO Dátum formátumban. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként.
A signedKeyExpiryTime (ske) mezőre van szükség a felhasználói delegálási SAS-hez ISO Date formátumban. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Az aláírt kulcs lejárati ideje a felhasználói delegálási kulcs élettartamának végét jelzi. A lejárati idő értéke az SAS kezdő időpontjától számított legfeljebb hét nap lehet.
A signedKeyService (sks) mező szükséges a felhasználói delegálási SAS-hez. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Az aláírt kulcs szolgáltatásmezője azt a szolgáltatást jelzi, amelyre érvényes a felhasználói delegálási kulcs. A Blob Storage aláírt kulcs szolgáltatásmezőjének értéke b.
A signedkeyversion (skv) mező szükséges a felhasználói delegálási SAS-hez. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. A signedkeyversion mező a felhasználói delegálási kulcs lekéréséhez használt tárolási szolgáltatás verzióját adja meg. Ennek a mezőnek meg kell adnia a 2018-11-09-es vagy újabb verziót.
Az opcionális signedAuthorizedObjectId (saoid) és signedUnauthorizedObjectId (suoid) mezők lehetővé teszik az Azure Data Lake Storage számítási feladataihoz készült Apache Hadoop és Apache Ranger integrációját. Az SAS-jogkivonat ezen mezőinek egyikével adja meg egy biztonsági tag objektumazonosítóját:
- A
saoidmező megadja a Microsoft Entra biztonsági tag objektumazonosítóját, amelyet a felhasználódelegálási kulcs tulajdonosa engedélyezett az SAS-jogkivonat által megadott művelet végrehajtásához. Az Azure Storage ellenőrzi az SAS-jogkivonatot, és biztosítja, hogy a felhasználói delegálási kulcs tulajdonosa rendelkezik a szükséges engedélyekkel, mielőtt az Azure Storage hozzáférést biztosít. A POSIX ACL-ek nem végeznek további engedélyellenőrzést. - A
suoidmező megadja a Microsoft Entra biztonsági tag objektumazonosítóját, ha egy hierarchikus névtér engedélyezve van egy tárfiókhoz. Asuoidmező csak hierarchikus névtérrel rendelkező fiókokra érvényes. Ha asuoidmező szerepel az SAS-jogkivonatban, az Azure Storage POSIX ACL-ellenőrzést végez az objektumazonosítón, mielőtt engedélyezi a műveletet. Ha ez az ACL-ellenőrzés nem sikerül, a művelet meghiúsul. A tárfiók hierarchikus névterét engedélyezni kell, ha asuoidmező szerepel az SAS-jogkivonatban. Ellenkező esetben az engedélyellenőrzés engedélyezési hibával hiúsul meg.
A felhasználódelegálási kulcsot kérő biztonsági tag objektumazonosítóját a rendszer a szükséges skoid mezőben rögzíti. Ha meg szeretne adni egy objektumazonosítót az SAS-jogkivonaton a saoid vagy suoid mezővel, A skoid mezőben azonosított biztonsági taghoz hozzá kell rendelni egy RBAC-szerepkört, amely tartalmazza a Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action vagy Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action. További információ ezekről a műveletekről: Azure-erőforrás-szolgáltatói műveletek.
Az objektumazonosító saoid vagy suoid mezőben való megadásával a címtár- vagy blobtulajdonlással kapcsolatos műveleteket is korlátozhatja a következő módokon:
- Ha egy művelet létrehoz egy könyvtárat vagy blobot, az Azure Storage a címtár vagy blob tulajdonosát az objektumazonosító által megadott értékre állítja. Ha az objektumazonosító nincs megadva, az Azure Storage a könyvtár vagy blob tulajdonosát a
skoidparaméter által megadott értékre állítja. - Ha a ragacsos bit a szülőkönyvtárban van beállítva, és a művelet töröl vagy átnevez egy könyvtárat vagy blobot, a szülőkönyvtár tulajdonosának vagy az erőforrás tulajdonosának objektumazonosítójának meg kell egyeznie az objektumazonosító által megadott értékkel.
- Ha egy művelet beállítja egy könyvtár vagy blob tulajdonosát, és meg van adva a
x-ms-ownerfejléc, az objektumazonosító által megadott értéknek meg kell egyeznie ax-ms-ownerfejléc által megadott értékkel. - Ha egy művelet beállítja egy könyvtár vagy blob csoportját, és a
x-ms-groupfejléc meg van adva, az objektumazonosító által megadott értéknek ax-ms-groupfejléc által megadott csoport tagjának kell lennie. - Ha egy művelet beállítja egy könyvtár vagy blob engedélyeit vagy ACL-ét, az alábbi két feltétel egyikének is teljesülnie kell:
- Az objektumazonosítóhoz megadott értéknek a könyvtár vagy blob tulajdonosának kell lennie.
- A
signedPermissions(sp) mező értékének tartalmaznia kell aOwnership(o) engedélyt aPermissions(p) engedély mellett.
A saoid vagy suoid mezőben megadott objektumazonosító szerepel a diagnosztikai naplókban, amikor sas-jogkivonat használatával küld kéréseket.
A saoid vagy suoid mező csak akkor támogatott, ha a signedVersion (sv) mező a 2020-02-10-es vagy újabb verzióra van állítva. Az SAS-jogkivonatban csak az egyik mező szerepelhet.
A signedCorrelationId (scid) mező olyan korrelációs azonosítót határoz meg, amely a tárolónaplók és az SAS-t létrehozó és terjesztő rendszerbiztonsági tag által használt naplókkal való korrelációhoz használható. Egy megbízható engedélyezési szolgáltatás például általában egy felügyelt identitással rendelkezik, amely hitelesíti és engedélyezi a felhasználókat, létrehoz egy SAS-t, hozzáad egy bejegyzést a helyi naplóhoz, és visszaadja az SAS-t egy felhasználónak, aki ezután az SAS használatával hozzáférhet az Azure Storage-erőforrásokhoz. Ha a helyi naplóba és a tárnaplóba is beszúr egy korrelációs azonosítót, lehetővé teszi, hogy ezek az események később korreláljanak. Az érték egy kapcsos zárójelek nélküli ÉS kisbetűs GUID.
Ezt a mezőt a 2020-02-10-es és újabb verziók támogatják.
Ha a signedResource mező egy könyvtárat (sr=d) határoz meg, a gyökérkönyvtár alatti alkönyvtárak számának jelzéséhez meg kell adnia a signedDirectoryDepth (sdd) mezőt is. A sdd mező értékének nem negatív egész számnak kell lennie.
A https://{account}.blob.core.windows.net/{container}/ gyökérkönyvtár például 0 mélységű. A gyökérkönyvtár minden alkönyvtára 1-gyel növeli a mélységet. A https://{account}.blob.core.windows.net/{container}/d1/d2 könyvtár mélysége 2.
Ezt a mezőt a 2020-02-10-es és újabb verziók támogatják.
Ha meg szeretné határozni bizonyos válaszfejlécek értékeit, amelyeket a közös hozzáférésű jogosultságkód kérésben való használatakor ad vissza, megadhatja a válaszfejléceket a lekérdezési paraméterekben. A válaszfejlécek és a kapcsolódó lekérdezési paraméterek a következők:
| Válaszfejléc neve | Megfelelő SAS-lekérdezési paraméter |
|---|---|
Cache-Control |
rscc |
Content-Disposition |
rscd |
Content-Encoding |
rsce |
Content-Language |
rscl |
Content-Type |
rsct |
Ha például egy SAS-jogkivonaton adja meg a rsct=binary lekérdezési paramétert, a Content-Type válaszfejléc binary. Ez az érték felülbírálja a blobhoz tárolt Content-Type fejlécértéket egy olyan kéréshez, amely csak ezt a közös hozzáférésű jogosultságkódot használja.
Ha olyan közös hozzáférésű jogosultságkódot hoz létre, amely lekérdezési paraméterekként adja meg a válaszfejléceket, az aláírási sztring létrehozásához használt sztringbe kell foglalnia ezeket a válaszfejléceket. További információ: "Az aláírásimegadása" szakasz.
A signed encryption scope (ses) mező egy titkosítási hatókört határoz meg, amelyet az ügyfélalkalmazás a blobok feltöltésekor használ az SAS-jogkivonat használatával a Blob művelettel. A signed encryption scope mező akkor támogatott, ha az SAS-jogkivonat aláírt verziója (sv) mezője a 2020-12-06-os vagy újabb verzió. Ha az aláírt verzió mező a támogatott verziónál korábbi verziót ad meg, a szolgáltatás a 403-at (Tiltott) hibaüzenetet adja vissza.
Ha a tároló vagy fájlrendszer alapértelmezett titkosítási hatóköre be van állítva, a ses mező tiszteletben tartja a tárolótitkosítási szabályzatot. Ha a ses lekérdezési paraméter és x-ms-default-encryption-scope fejléce nem egyezik, és a x-ms-deny-encryption-scope-override fejléc trueértékre van állítva, a szolgáltatás a 403-at (Tiltott) hibaválaszkódot adja vissza.
Ha a x-ms-encryption-scope fejléc és a ses lekérdezési paraméter is szerepel a PUT-kérelemben, és eltérés van, a szolgáltatás a 400-ás hibakódot (hibás kérés) adja vissza.
A signature (sig) mező a megosztott hozzáférésű jogosultságkóddal rendelkező ügyfél kérésének engedélyezésére szolgál. A sztring–aláírás egy egyedi sztring, amely azon mezőkből épül fel, amelyeket ellenőrizni kell a kérés engedélyezéséhez. Az aláírás egy HMAC, amelyet az SHA256 algoritmussal számítunk ki a sztring-jel és a kulcs alapján, majd Base64 kódolással kódoljuk.
A felhasználói delegálási SAS aláírási sztringjének létrehozásához hozza létre a kérést alkotó mezőkből a sztringet, kódolja a sztringet UTF-8-ként, majd számítsa ki az aláírást a HMAC-SHA256 algoritmussal. A sztring-jel mezőinek URL-dekódolva kell lenniük.
A sztringek közötti aláíráshoz szükséges mezők az engedélyezéshez használt szolgáltatásverziótól (sv mezőtől) függnek. A következő szakaszok a felhasználói delegálási SAS-t támogató verziók sztring–aláírás konfigurációját ismertetik.
A 2020-12-06-os és újabb engedélyezési verzió sztring–aláírása a következő formátummal rendelkezik:
StringToSign = signedPermissions + "\n" +
signedStart + "\n" +
signedExpiry + "\n" +
canonicalizedResource + "\n" +
signedKeyObjectId + "\n" +
signedKeyTenantId + "\n" +
signedKeyStart + "\n" +
signedKeyExpiry + "\n" +
signedKeyService + "\n" +
signedKeyVersion + "\n" +
signedAuthorizedUserObjectId + "\n" +
signedUnauthorizedUserObjectId + "\n" +
signedCorrelationId + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedVersion + "\n" +
signedResource + "\n" +
signedSnapshotTime + "\n" +
signedEncryptionScope + "\n" +
rscc + "\n" +
rscd + "\n" +
rsce + "\n" +
rscl + "\n" +
rsct
A 2020-02-10 engedélyezési verzió sztring–aláírása a következő formátummal rendelkezik:
StringToSign = signedPermissions + "\n" +
signedStart + "\n" +
signedExpiry + "\n" +
canonicalizedResource + "\n" +
signedKeyObjectId + "\n" +
signedKeyTenantId + "\n" +
signedKeyStart + "\n" +
signedKeyExpiry + "\n" +
signedKeyService + "\n" +
signedKeyVersion + "\n" +
signedAuthorizedUserObjectId + "\n" +
signedUnauthorizedUserObjectId + "\n" +
signedCorrelationId + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedVersion + "\n" +
signedResource + "\n" +
signedSnapshotTime + "\n" +
rscc + "\n" +
rscd + "\n" +
rsce + "\n" +
rscl + "\n" +
rsct
A 2020-02-10-nél korábbi engedélyezési verziók sztring–aláírása a következő formátummal rendelkezik:
StringToSign = signedPermissions + "\n" +
signedStart + "\n" +
signedExpiry + "\n" +
canonicalizedResource + "\n" +
signedKeyObjectId + "\n" +
signedKeyTenantId + "\n" +
signedKeyStart + "\n" +
signedKeyExpiry + "\n" +
signedKeyService + "\n" +
signedKeyVersion + "\n" +
signedAuthorizedUserObjectId + "\n" +
signedUnauthorizedUserObjectId + "\n" +
signedCorrelationId + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedVersion + "\n" +
signedResource + "\n" +
rscc + "\n" +
rscd + "\n" +
rsce + "\n" +
rscl + "\n" +
rsct
A sztring canonicalizedResource része az aláírt erőforrás vesszővel ellátott elérési útja. Tartalmaznia kell a Blob Storage-végpontot és az erőforrás nevét, és URL-dekódolva kell lennie. A blob elérési útjának tartalmaznia kell a tárolót. A címtár elérési útjának tartalmaznia kell a sdd paraméternek megfelelő alkönyvtárak számát.
A tároló canonicalizált erőforrás-sztringjének ki kell hagynia a tárolóhoz hozzáférést biztosító SAS záró perjelét (/).
Az alábbi példák bemutatják, hogyan hozhatja létre a sztring canonicalizedResource részét az erőforrás típusától függően.
URL = https://myaccount.blob.core.windows.net/music
canonicalizedResource = "/blob/myaccount/music"
URL = https://myaccount.blob.core.windows.net/music/intro.mp3
canonicalizedResource = "/blob/myaccount/music/intro.mp3"
URL = https://myaccount.dfs.core.windows.net/music
canonicalizedResource = "/blob/myaccount/music"
URL = https://myaccount.dfs.core.windows.net/music/instruments/guitar/
canonicalizedResource = "/blob/myaccount/music/instruments/guitar/"
URL = https://myaccount.dfs.core.windows.net/music/intro.mp3
canonicalizedResource = "/blob/myaccount/music/intro.mp3"
Ha egy mező nem kötelező, és nem szerepel az SAS-jogkivonatban, adjon meg egy üres sztringet a mezőhöz. Ügyeljen arra, hogy az üres sztring után az új vonal karaktert (\n) is tartalmazza.
Az alábbi példában egy blob URI-ja látható, amelyhez hozzá van fűzve egy felhasználódelegálási SAS-jogkivonat. A felhasználói delegálási SAS-jogkivonat olvasási és írási engedélyeket biztosít a blob számára.
https://myaccount.blob.core.windows.net/sascontainer/blob1.txt?sp=rw&st=2023-05-24T01:13:55Z&se=2023-05-24T09:13:55Z&skoid=<object-id>&sktid=<tenant-id>&skt=2023-05-24T01:13:55Z&ske=2023-05-24T09:13:55Z&sks=b&skv=2022-11-02&sip=198.51.100.10-198.51.100.20&spr=https&sv=2022-11-02&sr=b&sig=<signature>
Az URI egyes részeit a következő táblázat ismerteti:
| Név | SAS-rész | Leírás |
|---|---|---|
| Erőforrás URI-ja | https://myaccount.blob.core.windows.net/sascontainer/blob1.txt |
A blob címe. Erősen javasoljuk, hogy HTTPS-t használjon. |
| Határoló | ? |
A lekérdezési sztringet megelőző elválasztó. A határoló nem része az SAS-jogkivonatnak. |
| Engedélyek | sp=rw |
Az SAS által megadott engedélyek közé tartozik az Olvasás (r) és az Írás (w). |
| Kezdési idő | st=2023-05-24T01:13:55Z |
Utc idő szerint megadva. Ha azt szeretné, hogy az SAS azonnal érvényes legyen, hagyja ki a kezdési időpontot. |
| Lejárati idő | se=2023-05-24T09:13:55Z |
Utc idő szerint megadva. |
| Objektumazonosító | skoid=<object-id> |
Egy Microsoft Entra biztonsági tag. |
| Bérlőazonosító | sktid=<tenant-id> |
A Microsoft Entra-bérlő, ahol a biztonsági tag regisztrálva van. |
| Kulcs kezdési ideje | skt=2023-05-24T01:13:55Z |
A felhasználói delegálási kulcs élettartamának kezdete. |
| Kulcs lejárati ideje | ske=2023-05-24T09:13:55Z |
A felhasználói delegálási kulcs élettartamának vége. |
| Kulcsszolgáltatás | sks=b |
A szolgáltatásérték csak a Blob szolgáltatást támogatja. |
| Kulcsverzió | skv=2022-11-02 |
A felhasználói delegálási kulcs lekéréséhez használt tárolási szolgáltatás verziója. |
| IP-címtartomány | sip=198.51.100.10-198.51.100.20 |
Az IP-címek tartománya, amelyből a kérést elfogadják. |
| Protokoll | spr=https |
Csak a HTTPS-t használó kérések engedélyezettek. |
| A Blob szolgáltatás verziója | sv=2022-11-02 |
Az Azure Storage 2012-02-12-es és újabb verziói esetében ez a paraméter a használni kívánt verziót jelzi. |
| Erőforrás | sr=b |
Az erőforrás egy blob. |
| Aláírás | sig=<signature> |
A blobhoz való hozzáférés engedélyezésére szolgál. Az aláírás egy HMAC, amelyet az SHA256 algoritmussal egy sztring-jel és kulcs alapján számítunk ki, majd Base64 kódolással kódolunk. |
Ha úgy véli, hogy egy SAS sérült, akkor vissza kell vonnia. A felhasználói delegálási SAS-t visszavonhatja a felhasználói delegálási kulcs visszavonásával, vagy az SAS létrehozásához használt biztonsági tag RBAC-szerepkör-hozzárendeléseinek és POSIX ACL-jeinek módosításával vagy eltávolításával.
Fontos
A felhasználói delegálási kulcsot és az RBAC-szerepkör-hozzárendeléseket az Azure Storage gyorsítótárazza, így a visszavonási folyamat kezdeményezése és a meglévő felhasználói delegálási SAS érvénytelenné válása között késés léphet fel.
A felhasználói delegálási kulcsot a Felhasználói delegálási kulcsok visszavonása művelet meghívásával vonhatja vissza. A felhasználói delegálási kulcs visszavonásakor az adott kulcsra támaszkodó közös hozzáférésű jogosultságkódok érvénytelenek lesznek. Ezután újra meghívhatja a Felhasználódelegálási kulcs lekérése műveletet, és a kulccsal új közös hozzáférésű jogosultságkódokat hozhat létre. Ez a leggyorsabb módja a felhasználói delegálási SAS visszavonásának.
Módosíthatja vagy eltávolíthatja az RBAC-szerepkör-hozzárendelést és a POSIX ACL-eket az SAS létrehozásához használt biztonsági taghoz. Amikor egy ügyfél az SAS használatával ér el egy erőforrást, az Azure Storage ellenőrzi, hogy az a biztonsági tag, akinek a hitelesítő adatait az SAS védelméhez használták, rendelkezik-e az erőforráshoz szükséges engedélyekkel.