Memahami tanda tangan akses bersama

  • 5 menit

Sebagai praktik terbaik, Anda tidak boleh membagikan kunci akun penyimpanan dengan aplikasi pihak ketiga eksternal. Jika aplikasi ini memerlukan akses ke data Anda, Anda harus mengamankan koneksi mereka tanpa menggunakan kunci akun penyimpanan.

Untuk klien yang tidak tepercaya, gunakan tanda tangan akses bersama (SAS). SAS adalah untai (karakter) yang berisi token keamanan yang dapat dilampirkan ke URI. Anda dapat menggunakan SAS untuk memberikan akses ke objek penyimpanan dan menentukan batasan, seperti izin dan rentang waktu akses.

Misalnya, Anda dapat memberikan token SAS kepada pelanggan agar dapat mengunggah gambar ke sistem file di penyimpanan Blob. Secara terpisah, Anda dapat memberikan izin pada aplikasi web untuk membaca gambar tersebut. Dalam kedua kasus itu, Anda hanya mengizinkan akses yang dibutuhkan aplikasi untuk melakukan tugas tersebut.

Jenis tanda tangan akses bersama

Anda dapat menggunakan SAS tingkat layanan untuk memberikan akses ke sumber daya tertentu di akun penyimpanan. Anda akan menggunakan jenis SAS ini, misalnya, untuk mengizinkan aplikasi mengambil daftar file dalam sistem file, atau mengunduh file.

Gunakan SAS tingkat akun untuk memberikan akses ke apa pun yang dapat diberikan menggunakan SAS tingkat layanan, ditambah sumber daya dan kemampuan tambahan. Misalnya, Anda dapat menggunakan SAS tingkat akun untuk mendapatkan kemampuan membuat sistem file.

Anda biasanya akan menggunakan SAS untuk layanan yang memungkinkan pengguna membaca dan menulis datanya ke akun penyimpanan Anda. Akun yang menyimpan data pengguna memiliki dua desain khas:

  • Klien mengunggah dan mengunduh data melalui layanan proksi ujung depan, yang melakukan autentikasi. Layanan proksi ujung depan ini memiliki keuntungan yang memungkinkan validasi aturan bisnis. Tetapi, jika layanan harus menangani sejumlah besar data atau transaksi volume tinggi, Anda mungkin menganggap bahwa penskalaan layanan ini agar sesuai dengan permintaan akan rumit dan mahal.

Diagram showing a client-side front-end proxy service operation.

  • Layanan ringan mengautentikasi klien, sesuai kebutuhan. Selanjutnya, layanan menghasilkan SAS. Setelah menerima SAS, klien dapat mengakses sumber daya akun penyimpanan secara langsung. SAS menentukan izin dan interval akses klien. Penentuan ini mengurangi kebutuhan untuk merutekan semua data melalui layanan proksi ujung depan.

Diagram showing a server-side SAS operation.