Hozzáférés delegálása közös hozzáférésű jogosultságkód használatával
Fontos
Az optimális biztonság érdekében a Microsoft a Microsoft Entra ID felügyelt identitásokkal való használatát javasolja a blob-, üzenetsor- és táblaadatokra irányuló kérések engedélyezéséhez, amikor csak lehetséges. A Microsoft Entra ID és felügyelt identitásokkal való engedélyezés kiemelkedő biztonságot és egyszerű használatot biztosít a megosztott kulcsos hitelesítéssel szemben. További információ: Engedélyezés Microsoft Entra ID. A felügyelt identitásokkal kapcsolatos további információkért lásd: Mik azok az Azure-erőforrások felügyelt identitásai.
Az Azure-on kívül üzemeltetett erőforrások, például a helyszíni alkalmazások esetében felügyelt identitásokat használhat az Azure Arcon keresztül. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak az Azure-szolgáltatásokhoz. További információ: Hitelesítés Azure-erőforrásokon Azure Arc-kompatibilis kiszolgálókkal.
Olyan forgatókönyvek esetén, ahol közös hozzáférésű jogosultságkódokat (SAS) használnak, a Microsoft felhasználódelegálási SAS használatát javasolja. A felhasználói delegálási SAS-t a fiókkulcs helyett Microsoft Entra hitelesítő adatok védik. A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd: Létrehozás a felhasználódelegálási SAS-t.
Egy közös hozzáférésű jogosultságkód (SAS) olyan URI amely az Azure Storage erőforrásainak korlátozott hozzáférési jogosultságát biztosítja. Közös hozzáférésű jogosultságkódokat adhat meg azoknak az ügyfeleknek, akiknek nem kellene megbízhatónak lenniük a tárfiók kulcsával, de akiknek hozzáférésre van szükségük bizonyos tárfiók-erőforrásokhoz. Ha sas URI-t oszt ki ezeknek az ügyfeleknek, hozzáférést adhat nekik egy adott időtartamig egy adott engedélykészlettel rendelkező erőforráshoz.
Az SAS-jogkivonatot alkotó URI-lekérdezési paraméterek tartalmazzák a tárolóerőforráshoz való szabályozott hozzáférés biztosításához szükséges összes információt. Az SAS-t használó ügyfelek csak az SAS URI használatával kérhetnek kérést az Azure Storage-ra. Az SAS-jogkivonatban található információk a kérés engedélyezésére szolgálnak.
A közös hozzáférésű jogosultságkódok típusai
Az Azure Storage a következő típusú közös hozzáférésű jogosultságkódokat támogatja:
A 2015-04-05-ös verzióval bevezetett fiók SAS. Az ilyen típusú SAS egy vagy több tárolási szolgáltatás erőforrásaihoz delegálja a hozzáférést. A szolgáltatás SAS-en keresztül elérhető összes művelet fiók SAS-en keresztül is elérhető.
A fiók SAS-jével delegálhatja a hozzáférést a szolgáltatásra vonatkozó műveletekhez, például
Get/Set Service Propertiesa ésGet Service Statsa műveletekhez. A blobtárolók, táblák, üzenetsorok és fájlmegosztások olvasási, írási és törlési műveleteihez is hozzáférést biztosíthat, amelyeket a szolgáltatásalapú SAS nem engedélyez.További információ: fiók SAS-Létrehozás.
Egy szolgáltatási SAS. Az ilyen típusú SAS csak az egyik tárolási szolgáltatásban delegálja az erőforráshoz való hozzáférést: Azure Blob Storage, Azure Queue Storage, Azure Table Storage vagy Azure Files. További információ: Létrehozás a szolgáltatás SAS és a szolgáltatás SAS-példái.
A 2018-11-09-es verzióval bevezetett felhasználódelegálási SAS. Az ilyen típusú SAS-t Microsoft Entra hitelesítő adatok védik. Csak a Blob Storage esetében támogatott, és használatával hozzáférést adhat a tárolókhoz és blobokhoz. További információ: Létrehozás a felhasználódelegálási SAS-t.
Emellett a szolgáltatási SAS hivatkozhat egy tárolt hozzáférési szabályzatra, amely egy másik szintű vezérlést biztosít egy aláíráskészlet felett. Ez a vezérlő lehetővé teszi az erőforráshoz való hozzáférés szükség esetén történő módosítását vagy visszavonását. További információ: Tárolt hozzáférési szabályzat definiálása.
Megjegyzés
A tárolt hozzáférési szabályzatok jelenleg nem támogatottak fiók SAS-hez vagy felhasználódelegálási SAS-hez.