Membuat AKUN SAS
Penting
Untuk keamanan yang optimal, Microsoft merekomendasikan penggunaan ID Microsoft Entra dengan identitas terkelola untuk mengotorisasi permintaan terhadap data blob, antrean, dan tabel, jika memungkinkan. Otorisasi dengan ID Microsoft Entra dan identitas terkelola memberikan keamanan yang unggul dan kemudahan penggunaan melalui otorisasi Kunci Bersama. Untuk mempelajari selengkapnya, lihat Otorisasi dengan ID Microsoft Entra. Untuk mempelajari selengkapnya tentang identitas terkelola, lihat Apa itu identitas terkelola untuk sumber daya Azure.
Untuk sumber daya yang dihosting di luar Azure, seperti aplikasi lokal, Anda dapat menggunakan identitas terkelola melalui Azure Arc. Misalnya, aplikasi yang berjalan di server dengan dukungan Azure Arc dapat menggunakan identitas terkelola untuk menyambungkan ke layanan Azure. Untuk mempelajari selengkapnya, lihat Mengautentikasi terhadap sumber daya Azure dengan server dengan dukungan Azure Arc.
Untuk skenario di mana tanda tangan akses bersama (SAS) digunakan, Microsoft merekomendasikan penggunaan SAS delegasi pengguna. SAS delegasi pengguna diamankan dengan kredensial Microsoft Entra alih-alih kunci akun. Untuk mempelajari tentang tanda tangan akses bersama, lihat Membuat delegasi pengguna SAS.
Pada versi 2015-04-05, Azure Storage mendukung pembuatan jenis baru tanda tangan akses bersama (SAS) di tingkat akun penyimpanan. Dengan membuat SAS akun, Anda dapat:
Mendelegasikan akses ke operasi tingkat layanan yang saat ini tidak tersedia dengan SAS khusus layanan, seperti operasi
Get/Set Service PropertiesdanGet Service Stats.Mendelegasikan akses ke lebih dari satu layanan di akun penyimpanan pada satu waktu. Misalnya, Anda dapat mendelegasikan akses ke sumber daya di Azure Blob Storage dan Azure Files dengan menggunakan SAS akun.
Mendelegasikan akses untuk menulis dan menghapus operasi untuk kontainer, antrean, tabel, dan berbagi file, yang tidak tersedia dengan SAS khusus objek.
Tentukan alamat IP atau rentang alamat IP tempat menerima permintaan.
Tentukan protokol HTTP tempat menerima permintaan (BAIK HTTPS atau HTTP/HTTPS).
Kebijakan akses tersimpan saat ini tidak didukung untuk AKUN SAS.
Hati
Tanda tangan akses bersama adalah kunci yang memberikan izin ke sumber daya penyimpanan, dan Anda harus melindunginya sama seperti Anda akan melindungi kunci akun. Penting untuk melindungi SAS dari penggunaan berbahaya atau tidak diinginkan. Gunakan kebijaksanaan dalam mendistribusikan SAS, dan memiliki rencana untuk mencabut SAS yang disusupi. Operasi yang menggunakan tanda tangan akses bersama harus dilakukan hanya melalui koneksi HTTPS, dan URI SAS harus didistribusikan hanya pada koneksi yang aman, seperti HTTPS.
Mengotorisasi AKUN SAS
Anda mengamankan SAS akun dengan menggunakan kunci akun penyimpanan. Saat Anda membuat SAS akun, aplikasi klien Anda harus memiliki kunci akun.
Untuk menggunakan kredensial Microsoft Entra untuk mengamankan SAS untuk kontainer atau blob, membuat delegasi pengguna SAS.
Membuat akun SAS URI
Akun SAS URI terdiri dari URI ke sumber daya tempat SAS akan mendelegasikan akses, diikuti dengan token SAS. Token SAS adalah string kueri yang menyertakan semua informasi yang diperlukan untuk mengotorisasi permintaan ke sumber daya. Ini menentukan layanan, sumber daya, dan izin yang tersedia untuk akses, dan periode waktu di mana tanda tangan valid.
Tentukan parameter SAS akun
Parameter yang diperlukan dan opsional untuk token SAS dijelaskan dalam tabel berikut:
| Parameter kueri SAS | Deskripsi |
|---|---|
api-version |
Fakultatif. Menentukan versi layanan penyimpanan yang akan digunakan untuk menjalankan permintaan yang dibuat menggunakan akun SAS URI. Untuk informasi selengkapnya, lihat Mengotorisasi permintaan dengan menggunakan tanda tangan akses bersama. |
SignedVersion (sv) |
Diperlukan. Menentukan versi layanan penyimpanan yang ditandatangani untuk digunakan untuk mengotorisasi permintaan yang dibuat dengan SAS akun ini. Ini harus diatur ke versi 2015-04-05 atau yang lebih baru. Untuk informasi selengkapnya, lihat Mengotorisasi permintaan dengan menggunakan tanda tangan akses bersama. |
SignedServices (ss) |
Diperlukan. Menentukan layanan yang ditandatangani yang dapat diakses dengan SAS akun. Nilai yang mungkin meliputi: - Blob ( b)- Antrean ( q)- Tabel ( t)- File ( f)Anda dapat menggabungkan nilai untuk menyediakan akses ke lebih dari satu layanan. Misalnya, ss=bf menentukan akses ke titik akhir Blob Storage dan Azure Files. |
SignedResourceTypes (srt) |
Diperlukan. Menentukan jenis sumber daya yang ditandatangani yang dapat diakses dengan SAS akun. - Layanan ( s): Akses ke API tingkat layanan (misalnya, Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).- Kontainer ( c): Akses ke API tingkat kontainer (misalnya, Buat/Hapus Kontainer, Buat/Hapus Antrean, Buat/Hapus Tabel, Buat/Hapus Berbagi, Cantumkan Blob/File dan Direktori).- Objek ( o): Akses ke API tingkat objek untuk blob, pesan antrean, entitas tabel, dan file (misalnya, Letakkan Blob, Entitas Kueri, Dapatkan Pesan, Buat File).Anda dapat menggabungkan nilai untuk menyediakan akses ke lebih dari satu jenis sumber daya. Misalnya, srt=sc menentukan akses ke sumber daya layanan dan kontainer. |
SignedPermissions (sp) |
Diperlukan. Menentukan izin yang ditandatangani untuk akun SAS. Izin hanya valid jika cocok dengan jenis sumber daya yang ditandatangani yang ditentukan. Jika tidak cocok, mereka akan diabaikan. - Baca ( r): Valid untuk semua jenis sumber daya yang ditandatangani (Layanan, Kontainer, dan Objek). Mengizinkan izin baca ke jenis sumber daya yang ditentukan.- Tulis ( w): Valid untuk semua jenis sumber daya yang ditandatangani (Layanan, Kontainer, dan Objek). Mengizinkan akses tulis untuk jenis sumber daya yang ditentukan, memungkinkan pengguna untuk membuat dan memperbarui sumber daya.- Hapus ( d): Valid untuk jenis sumber daya Kontainer dan Objek, kecuali untuk pesan antrean.- Hapus Versi ( x): Valid hanya untuk jenis sumber daya Objek Blob.- Penghapusan Permanen ( y): Valid untuk Jenis sumber daya Objek blob saja.- Daftar ( l): Hanya berlaku untuk jenis sumber daya Layanan dan Kontainer.- Tambahkan ( a): Hanya berlaku untuk jenis sumber daya Objek berikut: pesan antrean, entitas tabel, dan blob penambahan.- Buat ( c): Valid untuk jenis sumber daya Kontainer dan jenis sumber daya Objek berikut: blob dan file. Pengguna dapat membuat sumber daya baru, tetapi mungkin tidak menimpa sumber daya yang ada.- Perbarui ( u): Hanya berlaku untuk jenis sumber daya Objek berikut: pesan antrean dan entitas tabel.- Proses ( p): Valid hanya untuk jenis sumber daya Objek berikut: pesan antrean.- Tag ( t): Valid hanya untuk jenis sumber daya Objek berikut: blob. Mengizinkan operasi tag blob.- Filter ( f): Valid hanya untuk jenis sumber daya Objek berikut: blob. Mengizinkan pemfilteran menurut tag blob.- Atur Kebijakan Kekekalan ( i): Valid hanya untuk jenis sumber daya Objek berikut: blob. Mengizinkan kebijakan set/delete immutability dan penahanan legal pada blob. |
SignedStart (st) |
Fakultatif. Waktu ketika SAS menjadi valid, dinyatakan dalam salah satu format UTC ISO 8601 yang diterima. Jika dihilangkan, waktu mulai diasumsikan sebagai waktu ketika layanan penyimpanan menerima permintaan. Untuk informasi selengkapnya tentang format UTC yang diterima, lihat nilai DateTime Pemformatan . |
SignedExpiry (se) |
Diperlukan. Waktu ketika tanda tangan akses bersama menjadi tidak valid, dinyatakan dalam salah satu format UTC ISO 8601 yang diterima. Untuk informasi selengkapnya tentang format UTC yang diterima, lihat nilai DateTime Pemformatan . |
SignedIP (sip) |
Fakultatif. Menentukan alamat IP atau rentang alamat IP untuk menerima permintaan. Saat Anda menentukan rentang, perlu diingat bahwa rentang tersebut inklusif. Hanya alamat IPv4 yang didukung. Misalnya, sip=198.51.100.0 atau sip=198.51.100.10-198.51.100.20. |
SignedProtocol (spr) |
Fakultatif. Menentukan protokol yang diizinkan untuk permintaan yang dibuat dengan AKUN SAS. Nilai yang mungkin adalah HTTPS dan HTTP (https,http) atau HTTPS saja (https). Nilai defaultnya adalah https,http.Perhatikan bahwa HTTP saja bukan nilai yang diizinkan. |
SignedEncryptionScope (ses) |
Fakultatif. Menunjukkan cakupan enkripsi yang akan digunakan untuk mengenkripsi konten permintaan. Bidang ini didukung dengan versi 2020-12-06 dan yang lebih baru. |
Signature (sig) |
Diperlukan. Bagian tanda tangan URI digunakan untuk mengotorisasi permintaan yang dibuat dengan tanda tangan akses bersama. String-to-sign adalah string unik yang dibangun dari bidang yang harus diverifikasi untuk mengotorisasi permintaan. Tanda tangan adalah kode autentikasi pesan berbasis hash (HMAC) yang dihitung melalui string-to-sign dan kunci dengan menggunakan algoritma SHA256, lalu dikodekan dengan menggunakan pengodean Base64. |
Tentukan bidang signedVersion
Bidang signedVersion (sv) berisi versi layanan tanda tangan akses bersama. Nilai ini menentukan versi otorisasi Kunci Bersama yang digunakan oleh tanda tangan akses bersama ini (di bidang signature). Nilai juga menentukan versi layanan untuk permintaan yang dibuat dengan tanda tangan akses bersama ini.
Untuk informasi tentang versi mana yang digunakan saat Anda menjalankan permintaan melalui tanda tangan akses bersama, lihat penerapan versi untuk layanan Azure Storage.
Untuk informasi tentang bagaimana parameter ini memengaruhi otorisasi permintaan yang dibuat dengan tanda tangan akses bersama, lihat Mendelegasikan akses dengan tanda tangan akses bersama.
| Nama bidang | Parameter kueri | Deskripsi |
|---|---|---|
signedVersion |
sv |
Diperlukan. Didukung dalam versi 2015-04-05 dan yang lebih baru. Versi layanan penyimpanan yang digunakan untuk mengotorisasi dan menangani permintaan yang Anda buat dengan tanda tangan akses bersama ini. Untuk informasi selengkapnya, lihat Penerapan Versi untuk layanan Azure Storage. |
Tentukan alamat IP atau rentang IP
Pada versi 2015-04-05, bidang signedIp opsional (sip) menentukan alamat IP publik atau berbagai alamat IP publik tempat menerima permintaan. Jika alamat IP tempat permintaan berasal tidak cocok dengan alamat IP atau rentang alamat yang ditentukan pada token SAS, permintaan tidak diotorisasi. Hanya alamat IPv4 yang didukung.
Saat Anda menentukan rentang alamat IP, perlu diingat bahwa rentang tersebut inklusif. Misalnya, menentukan sip=198.51.100.0 atau sip=198.51.100.10-198.51.100.20 pada SAS membatasi permintaan ke alamat IP tersebut.
Tabel berikut menjelaskan apakah akan menyertakan bidang signedIp pada token SAS untuk skenario tertentu, berdasarkan lingkungan klien dan lokasi akun penyimpanan.
| Lingkungan klien | Lokasi akun penyimpanan | Rekomendasi |
|---|---|---|
| Klien yang berjalan di Azure | Di wilayah yang sama dengan klien | SAS yang diberikan kepada klien dalam skenario ini tidak boleh menyertakan alamat IP keluar untuk bidang signedIp. Permintaan yang dibuat dari dalam wilayah yang sama yang menggunakan SAS dengan alamat IP keluar tertentu akan gagal.Sebagai gantinya, gunakan jaringan virtual Azure untuk mengelola pembatasan keamanan jaringan. Permintaan ke Azure Storage dari dalam wilayah yang sama selalu terjadi melalui alamat IP privat. Untuk informasi selengkapnya, lihat Mengonfigurasi firewall Azure Storage dan jaringan virtual. |
| Klien yang berjalan di Azure | Di wilayah yang berbeda dari klien | SAS yang diberikan kepada klien dalam skenario ini dapat mencakup alamat IP publik atau rentang alamat untuk bidang signedIp. Permintaan yang dibuat dengan SAS harus berasal dari alamat IP atau rentang alamat yang ditentukan. |
| Klien yang berjalan di tempat atau di lingkungan cloud yang berbeda | Di wilayah Azure mana pun | SAS yang diberikan kepada klien dalam skenario ini dapat mencakup alamat IP publik atau rentang alamat untuk bidang signedIp. Permintaan yang dibuat dengan SAS harus berasal dari alamat IP atau rentang alamat yang ditentukan.Jika permintaan melewati proksi atau gateway, berikan alamat IP keluar publik proksi atau gateway tersebut untuk bidang signedIp. |
Tentukan protokol HTTP
Pada versi 2015-04-05, bidang signedProtocol opsional (spr) menentukan protokol yang diizinkan untuk permintaan yang dibuat dengan SAS. Nilai yang mungkin adalah HTTPS dan HTTP (https,http) atau HTTPS saja (https). Nilai defaultnya adalah https,http. Perhatikan bahwa HTTP saja bukan nilai yang diizinkan.
Tentukan cakupan enkripsi
Dengan menggunakan bidang signedEncryptionScope pada URI, Anda dapat menentukan cakupan enkripsi yang dapat digunakan aplikasi klien. Ini memberlakukan enkripsi sisi server dengan cakupan enkripsi yang ditentukan saat Anda mengunggah blob (PUT) dengan token SAS. GET dan HEAD tidak akan dibatasi dan dilakukan seperti sebelumnya.
Tabel berikut ini menjelaskan cara merujuk ke cakupan enkripsi yang ditandatangani pada URI:
| Nama bidang | Parameter kueri | Deskripsi |
|---|---|---|
signedEncryptionScope |
ses |
Fakultatif. Menunjukkan cakupan enkripsi yang akan digunakan untuk mengenkripsi konten permintaan. |
Bidang ini didukung dengan versi 2020-12-06 atau yang lebih baru. Jika Anda menambahkan ses sebelum versi yang didukung, layanan mengembalikan kode respons kesalahan 403 (Terlarang).
Jika Anda mengatur cakupan enkripsi default untuk kontainer atau sistem file, parameter kueri ses menghormati kebijakan enkripsi kontainer. Jika ada ketidakcocokan antara parameter kueri ses dan header x-ms-default-encryption-scope, dan header x-ms-deny-encryption-scope-override diatur ke true, layanan mengembalikan kode respons kesalahan 403 (Terlarang).
Saat Anda memberikan header x-ms-encryption-scope dan parameter kueri ses dalam permintaan PUT, layanan mengembalikan kode respons kesalahan 400 (Permintaan Buruk) jika ada ketidakcocokan.
Membuat string tanda tangan
Untuk membuat string tanda tangan untuk SAS akun, pertama-tama buat string-to-sign dari bidang yang menyusun permintaan, lalu enkode string sebagai UTF-8 dan komputasi tanda tangan dengan menggunakan algoritma HMAC-SHA256.
Nota
Bidang yang disertakan dalam string-to-sign harus didekodekan URL.
Untuk membuat string-to-sign untuk SAS akun, gunakan format berikut:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
Versi 2020-12-06 menambahkan dukungan untuk bidang cakupan enkripsi yang ditandatangani. Untuk membuat string-to-sign untuk SAS akun, gunakan format berikut:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Izin SAS akun berdasarkan operasi
Tabel di bagian berikut mencantumkan berbagai API untuk setiap layanan dan jenis sumber daya yang ditandatangani dan izin yang ditandatangani yang didukung untuk setiap operasi.
Layanan blob
Tabel berikut mencantumkan operasi layanan Blob dan menunjukkan jenis sumber daya yang ditandatangani dan izin yang ditandatangani untuk ditentukan saat Anda mendelegasikan akses ke operasi tersebut.
| Operasi | Layanan yang ditandatangani | Jenis sumber daya yang ditandatangani | Izin bertanda tangan |
|---|---|---|---|
| Daftar Kontainer | Blob (b) | Layanan (s) | Daftar (l) |
| Mendapatkan Properti Blob Service | Blob (b) | Layanan (s) | Baca (r) |
| Mengatur Properti Blob Service | Blob (b) | Layanan (s) | Tulis (w) |
| Dapatkan Statistik Blob Service | Blob (b) | Layanan (s) | Baca (r) |
| Buat Kontainer | Blob (b) | Kontainer (c) | Create(c) atau Write (w) |
| Mendapatkan Properti Kontainer | Blob (b) | Kontainer (c) | Baca (r) |
| Dapatkan Metadata Kontainer | Blob (b) | Kontainer (c) | Baca (r) |
| Atur Metadata Kontainer | Blob (b) | Kontainer (c) | Tulis (w) |
| Sewa Kontainer | Blob (b) | Kontainer (c) | Tulis (w) atau Hapus (d)1 |
| Hapus Kontainer | Blob (b) | Kontainer (c) | Hapus (d)1 |
| Temukan Blob menurut Tag di Kontainer | Blob (b) | Kontainer (c) | Filter (f) |
| Cantumkan Blob | Blob (b) | Kontainer (c) | Daftar (l) |
| Letakkan Blob (buat blob blok baru) | Blob (b) | Objek (o) | Buat (c) atau Tulis (w) |
| Letakkan Blob (timpa blob blok yang ada) | Blob (b) | Objek (o) | Tulis (w) |
| Letakkan Blob (buat blob halaman baru) | Blob (b) | Objek (o) | Buat (c) atau Tulis (w) |
| Letakkan Blob (timpa blob halaman yang ada) | Blob (b) | Objek (o) | Tulis (w) |
| Dapatkan Blob | Blob (b) | Objek (o) | Baca (r) |
| Dapatkan Properti Blob | Blob (b) | Objek (o) | Baca (r) |
| Mengatur Properti Blob | Blob (b) | Objek (o) | Tulis (w) |
| Dapatkan Metadata Blob | Blob (b) | Objek (o) | Baca (r) |
| Mengatur Metadata Blob | Blob (b) | Objek (o) | Tulis (w) |
| Dapatkan Tag Blob | Blob (b) | Objek (o) | Tag (t) |
| Mengatur Tag Blob | Blob (b) | Objek (o) | Tag (t) |
| Temukan Blob menurut Tag | Blob (b) | Objek (o) | Filter (f) |
| Hapus Blob | Blob (b) | Objek (o) | Hapus (d)1 |
| Hapus Versi Blob | Blob (b) | Objek (o) | Hapus versi (x)2 |
| Menghapus Rekam Jepret / Versi Secara Permanen | Blob (b) | Objek (o) | Penghapusan Permanen (y)3 |
| Sewa Blob | Blob (b) | Objek (o) | Tulis (w) atau Hapus (d)1 |
| Blob Rekam Jepret | Blob (b) | Objek (o) | Buat (c) atau Tulis (w) |
| Salin Blob (tujuan adalah blob baru) | Blob (b) | Objek (o) | Buat (c) atau Tulis (w) |
| Salin Blob (tujuan adalah blob yang ada) | Blob (b) | Objek (o) | Tulis (w) |
| Salinan Bertahap | Blob (b) | Objek (o) | Buat (c) atau Tulis (w) |
| Batalkan Salin Blob | Blob (b) | Objek (o) | Tulis (w) |
| Blok Put | Blob (b) | Objek (o) | Tulis (w) |
| Put Block List (buat blob baru) | Blob (b) | Objek (o) | Tulis (w) |
| Put Block List (perbarui blob yang ada) | Blob (b) | Objek (o) | Tulis (w) |
| Dapatkan Daftar Blokir | Blob (b) | Objek (o) | Baca (r) |
| Letakkan Halaman | Blob (b) | Objek (o) | Tulis (w) |
| Dapatkan Rentang Halaman | Blob (b) | Objek (o) | Baca (r) |
| Tambahkan Blok | Blob (b) | Objek (o) | Tambahkan (a) atau Tulis (w) |
| Hapus Halaman | Blob (b) | Objek (o) | Tulis (w) |
1 Izin Delete memungkinkan melanggar sewa pada blob atau kontainer dengan versi 2017-07-29 dan yang lebih baru.
2 Izin Delete Version memungkinkan penghapusan versi blob dengan versi 2019-12-12 dan yang lebih baru.
3 Izin Permanent Delete memungkinkan penghapusan permanen rekam jepret atau versi blob dengan versi 2020-02-10 dan yang lebih baru.
Layanan antrean
Tabel berikut mencantumkan operasi layanan Antrean dan menunjukkan jenis sumber daya yang ditandatangani dan izin yang ditandatangani untuk ditentukan saat Anda mendelegasikan akses ke operasi tersebut.
| Operasi | Layanan yang ditandatangani | Jenis sumber daya yang ditandatangani | Izin bertanda tangan |
|---|---|---|---|
| Mendapatkan Properti Layanan Antrean | Antrean (q) | Layanan (s) | Baca (r) |
| Mengatur Properti Layanan Antrean | Antrean (q) | Layanan (s) | Tulis (w) |
| Daftar Antrean | Antrean (q) | Layanan (s) | Daftar (l) |
| Dapatkan Statistik Layanan Antrean | Antrean (q) | Layanan (s) | Baca (r) |
| Buat Antrean | Antrean (q) | Kontainer (c) | Create(c) atau Write (w) |
| Hapus Antrean | Antrean (q) | Kontainer (c) | Hapus (d) |
| Dapatkan Metadata Antrean | Antrean (q) | Kontainer (c) | Baca (r) |
| Atur Metadata Antrean | Antrean (q) | Kontainer (c) | Tulis (w) |
| Letakkan Pesan | Antrean (q) | Objek (o) | Tambahkan (a) |
| Dapatkan Pesan | Antrean (q) | Objek (o) | Proses (p) |
| Mengintip Pesan | Antrean (q) | Objek (o) | Baca (r) |
| Hapus Pesan | Antrean (q) | Objek (o) | Proses (p) |
| Hapus Pesan | Antrean (q) | Objek (o) | Hapus (d) |
| Perbarui Pesan | Antrean (q) | Objek (o) | Pembaruan (u) |
Layanan tabel
Tabel berikut mencantumkan operasi layanan Tabel dan menunjukkan jenis sumber daya yang ditandatangani dan izin yang ditandatangani untuk ditentukan saat Anda mendelegasikan akses ke operasi tersebut.
| Operasi | Layanan yang ditandatangani | Jenis sumber daya yang ditandatangani | Izin bertanda tangan |
|---|---|---|---|
| Mendapatkan Properti Layanan Tabel | Tabel (t) | Layanan (s) | Baca (r) |
| Mengatur Properti Layanan Tabel | Tabel (t) | Layanan (s) | Tulis (w) |
| Dapatkan Statistik Layanan Tabel | Tabel (t) | Layanan (s) | Baca (r) |
| Tabel Kueri | Tabel (t) | Kontainer (c) | Daftar (l) |
| Buat Tabel | Tabel (t) | Kontainer (c) | Buat (c) atau Tulis (w) |
| Hapus Tabel | Tabel (t) | Kontainer (c) | Hapus (d) |
| Entitas Kueri | Tabel (t) | Objek (o) | Baca (r) |
| Sisipkan Entitas | Tabel (t) | Objek (o) | Tambahkan (a) |
| Sisipkan atau Gabungkan Entitas | Tabel (t) | Objek (o) | Tambahkan (a) dan Perbarui (u)1 |
| Sisipkan atau Ganti Entitas | Tabel (t) | Objek (o) | Tambahkan (a) dan Perbarui (u)1 |
| Perbarui Entitas | Tabel (t) | Objek (o) | Pembaruan (u) |
| Gabungkan Entitas | Tabel (t) | Objek (o) | Pembaruan (u) |
| Hapus Entitas | Tabel (t) | Objek (o) | Hapus (d) |
1 izin Tambahkan dan Perbarui diperlukan untuk operasi upsert pada layanan Tabel.
Layanan file
Tabel berikut mencantumkan operasi layanan File dan menunjukkan jenis sumber daya yang ditandatangani dan izin yang ditandatangani untuk ditentukan saat Anda mendelegasikan akses ke operasi tersebut.
| Operasi | Layanan yang ditandatangani | Jenis sumber daya yang ditandatangani | Izin bertanda tangan |
|---|---|---|---|
| Daftar Berbagi | File (f) | Layanan (s) | Daftar (l) |
| Mendapatkan Properti Layanan File | File (f) | Layanan (s) | Baca (r) |
| Atur Properti Layanan File | File (f) | Layanan (s) | Tulis (w) |
| Dapatkan Statistik Berbagi | File (f) | Kontainer (c) | Baca (r) |
| Buat Berbagi | File (f) | Kontainer (c) | Buat (c) atau Tulis (w) |
| Berbagi Rekam Jepret | File (f) | Kontainer (c) | Buat (c) atau Tulis (w) |
| Mendapatkan Properti Berbagi | File (f) | Kontainer (c) | Baca (r) |
| Atur Properti Berbagi | File (f) | Kontainer (c) | Tulis (w) |
| Dapatkan Metadata Berbagi | File (f) | Kontainer (c) | Baca (r) |
| Atur Bagikan Metadata | File (f) | Kontainer (c) | Tulis (w) |
| Hapus Berbagi | File (f) | Kontainer (c) | Hapus (d) |
| Daftar Direktori dan File | File (f) | Kontainer (c) | Daftar (l) |
| Buat Direktori | File (f) | Objek (o) | Buat (c) atau Tulis (w) |
| Dapatkan Properti Direktori | File (f) | Objek (o) | Baca (r) |
| Dapatkan Metadata Direktori | File (f) | Objek (o) | Baca (r) |
| Atur Metadata Direktori | File (f) | Objek (o) | Tulis (w) |
| Hapus Direktori | File (f) | Objek (o) | Hapus (d) |
| Buat File (buat baru) | File (f) | Objek (o) | Buat (c) atau Tulis (w) |
| Buat File (timpa yang sudah ada) | File (f) | Objek (o) | Tulis (w) |
| Dapatkan File | File (f) | Objek (o) | Baca (r) |
| Dapatkan Properti File | File (f) | Objek (o) | Baca (r) |
| Dapatkan Metadata File | File (f) | Objek (o) | Baca (r) |
| Atur Metadata File | File (f) | Objek (o) | Tulis (w) |
| Hapus File | File (f) | Objek (o) | Hapus (d) |
| Ganti Nama File | File (f) | Objek (o) | Hapus (d) atau Tulis (w) |
| Letakkan Rentang | File (f) | Objek (o) | Tulis (w) |
| Rentang Daftar | File (f) | Objek (o) | Baca (r) |
| Batalkan Salin File | File (f) | Objek (o) | Tulis (w) |
| Salin File | File (f) | Objek (o) | Tulis (w) |
| Hapus Rentang | File (f) | Objek (o) | Tulis (w) |
Contoh URI SAS Akun
Contoh berikut menunjukkan URI layanan Blob dengan token SAS akun yang ditambahkan ke dalamnya. Token SAS akun menyediakan izin ke layanan, kontainer, dan objek. Tabel memecah setiap bagian URI:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Nama | Bagian SAS | Deskripsi |
|---|---|---|
| URI Sumber Daya | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Titik akhir layanan, dengan parameter untuk mendapatkan properti layanan (saat dipanggil dengan GET) atau mengatur properti layanan (saat dipanggil dengan SET). Berdasarkan nilai bidang layanan yang ditandatangani (ss), SAS ini dapat digunakan dengan Blob Storage atau Azure Files. |
| Pembatas | ? |
Pemisah yang mendahului string kueri. Pemisah bukan bagian dari token SAS. |
| Versi layanan penyimpanan | sv=2022-11-02 |
Untuk layanan Azure Storage versi 2012-02-12 dan yang lebih baru, parameter ini menunjukkan versi mana yang akan digunakan. |
| Layanan | ss=b |
SAS berlaku untuk layanan Blob. |
| Jenis sumber daya | srt=sco |
SAS berlaku untuk operasi tingkat layanan, tingkat kontainer, dan tingkat objek. |
| Izin | sp=rwlc |
Izin memberikan akses untuk membaca, menulis, mencantumkan, dan membuat operasi. |
| Waktu mulai | st=2019-08-01T22%3A18%3A26Z |
Ditentukan dalam waktu UTC. Jika Anda ingin SAS segera valid, hilangkan waktu mulai. |
| Waktu kedaluwarsa | se=2019-08-10T02%3A23%3A26Z |
Ditentukan dalam waktu UTC. |
| Protokol | spr=https |
Hanya permintaan yang menggunakan HTTPS yang diizinkan. |
| Tanda tangan | sig=<signature> |
Digunakan untuk mengotorisasi akses ke blob. Tanda tangan adalah HMAC yang dihitung melalui string-to-sign dan kunci dengan menggunakan algoritma SHA256, lalu dikodekan dengan menggunakan pengodean Base64. |
Karena izin dibatasi untuk tingkat layanan, operasi yang dapat diakses dengan SAS ini Mendapatkan Properti Blob Service (baca) dan Mengatur Properti Blob Service (tulis). Namun, dengan URI sumber daya yang berbeda, token SAS yang sama juga dapat digunakan untuk mendelegasikan akses ke Dapatkan Statistik Layanan Blob (baca).
Lihat juga
- Mendelegasikan akses dengan tanda tangan akses bersama
- Membuat SAS delegasi pengguna
- Membuat SAS layanan
- kode kesalahan SAS