Mendelegasikan akses dengan menggunakan tanda tangan akses bersama
Penting
Untuk keamanan yang optimal, Microsoft merekomendasikan penggunaan Microsoft Entra ID dengan identitas terkelola untuk mengotorisasi permintaan terhadap data blob, antrean, dan tabel, jika memungkinkan. Otorisasi dengan identitas Microsoft Entra ID dan terkelola memberikan keamanan yang unggul dan kemudahan penggunaan melalui otorisasi Kunci Bersama. Untuk mempelajari selengkapnya, lihat Mengotorisasi dengan Microsoft Entra ID. Untuk mempelajari selengkapnya tentang identitas terkelola, lihat Apa itu identitas terkelola untuk sumber daya Azure.
Untuk sumber daya yang dihosting di luar Azure, seperti aplikasi lokal, Anda dapat menggunakan identitas terkelola melalui Azure Arc. Misalnya, aplikasi yang berjalan di server dengan dukungan Azure Arc dapat menggunakan identitas terkelola untuk menyambungkan ke layanan Azure. Untuk mempelajari selengkapnya, lihat Mengautentikasi terhadap sumber daya Azure dengan server dengan dukungan Azure Arc.
Untuk skenario di mana tanda tangan akses bersama (SAS) digunakan, Microsoft merekomendasikan penggunaan SAS delegasi pengguna. DELEGASI pengguna SAS diamankan dengan kredensial Microsoft Entra alih-alih kunci akun. Untuk mempelajari tentang tanda tangan akses bersama, lihat Create SAS delegasi pengguna.
Tanda tangan akses bersama (SAS) adalah URI yang memberikan hak akses terbatas ke sumber daya Azure Storage. Anda dapat memberikan tanda tangan akses bersama kepada klien yang seharusnya tidak dipercaya dengan kunci akun penyimpanan Anda tetapi yang memerlukan akses ke sumber daya akun penyimpanan tertentu. Dengan mendistribusikan URI SAS ke klien ini, Anda dapat memberi mereka akses ke sumber daya selama jangka waktu tertentu, dengan serangkaian izin tertentu.
Parameter kueri URI yang menyusun token SAS menggabungkan semua informasi yang diperlukan untuk memberikan akses terkontrol ke sumber daya penyimpanan. Klien yang memiliki SAS dapat membuat permintaan terhadap Azure Storage hanya dengan menggunakan SAS URI. Informasi dalam token SAS digunakan untuk mengotorisasi permintaan.
Jenis tanda tangan akses bersama
Azure Storage mendukung jenis tanda tangan akses bersama berikut:
Akun SAS, diperkenalkan dengan versi 2015-04-05. Jenis SAS ini mendelegasikan akses ke sumber daya di satu atau beberapa layanan penyimpanan. Semua operasi yang tersedia melalui layanan atau delegasi pengguna SAS juga tersedia melalui akun SAS.
Dengan SAS akun, Anda dapat mendelegasikan akses ke operasi yang berlaku untuk layanan, seperti
Get/Set Service PropertiesdanGet Service Stats. Anda juga dapat mendelegasikan akses untuk membaca, menulis, dan menghapus operasi pada kontainer blob, tabel, antrean, dan berbagi file yang tidak diizinkan dengan LAYANAN SAS.Untuk informasi selengkapnya, lihat Membuat akun SAS.
LAYANAN SAS. Jenis SAS ini mendelegasikan akses ke sumber daya hanya di salah satu layanan penyimpanan: Azure Blob Storage, Azure Queue Storage, Azure Table Storage, atau Azure Files. Untuk informasi selengkapnya, lihat Create contoh SAS layanan dan SAS Layanan.
Delegasi pengguna SAS, diperkenalkan dengan versi 2018-11-09. Jenis SAS ini diamankan dengan kredensial Microsoft Entra. Ini hanya didukung untuk Blob Storage, dan Anda dapat menggunakannya untuk memberikan akses ke kontainer dan blob. Untuk informasi selengkapnya, lihat Membuat delegasi pengguna SAS.
Selain itu, SAS layanan dapat mereferensikan kebijakan akses tersimpan yang memberikan tingkat kontrol lain atas sekumpulan tanda tangan. Kontrol ini mencakup kemampuan untuk memodifikasi atau mencabut akses ke sumber daya jika perlu. Untuk informasi selengkapnya, lihat Menentukan kebijakan akses tersimpan.
Catatan
Kebijakan akses tersimpan saat ini tidak didukung untuk SAS akun atau SAS delegasi pengguna.