アカウント SAS を作成する
バージョン 2015-04-05 以降、Azure Storage では、ストレージ アカウントのレベルで新しい種類の共有アクセス署名 (SAS) の作成がサポートされています。 アカウント SAS を作成すると、以下のことができます。
や 操作など、サービス固有の SAS では現在使用できないサービス レベルの操作へのアクセスを
Get/Set Service Properties
Get Service Stats
委任します。ストレージ アカウント内の複数のサービスへのアクセスを一度に委任します。 たとえば、アカウント SAS を使用して、Azure Blob Storage と Azure Files 両方のリソースへのアクセスを委任できます。
オブジェクト固有の SAS では使用できないコンテナー、キュー、テーブル、ファイル共有の書き込みおよび削除操作へのアクセスを委任します。
要求を受け入れる IP アドレスまたは IP アドレスの範囲を指定します。
要求を受け入れる HTTP プロトコル (HTTPS または HTTP/HTTPS) を指定します。
保存されているアクセス ポリシーは、現在、アカウント SAS ではサポートされていません。
注意事項
共有アクセス署名はストレージ リソースにアクセス許可を付与するキーであり、アカウント キーを保護するのと同じように保護する必要があります。 SAS を悪意のある、または意図しない用途から保護することが重要です。 SAS の配布は慎重に行い、侵害された SAS を失効させるための計画を用意しておいてください。 共有アクセス署名を使用する操作は HTTPS 接続経由でのみ実行する必要があり、SAS URI は HTTPS などのセキュリティで保護された接続でのみ配布する必要があります。
アカウント SAS を承認する
ストレージ アカウント キーを使用してアカウント SAS をセキュリティで保護します。 アカウント SAS を作成する場合、クライアント アプリケーションはアカウント キーを持っている必要があります。
Azure Active Directory (Azure AD) 資格情報を使用してコンテナーまたは BLOB の SAS をセキュリティで保護するには、 ユーザー委任 SAS を作成します。
アカウント SAS URI を構築する
アカウント SAS URI は、SAS がアクセスを委任するリソースへの URI と、SAS トークンで構成されます。 SAS トークンは、リソースへの要求を承認するために必要なすべての情報を含むクエリ文字列です。 アクセスに使用できるサービス、リソース、およびアクセス許可、および署名が有効な期間を指定します。
アカウント SAS パラメーターを指定する
SAS トークンの必須パラメーターと省略可能なパラメーターを次の表に示します。
SAS クエリ パラメーター | 説明 |
---|---|
api-version |
省略可能。 アカウント SAS URI を使用して行われた要求の実行に使用するストレージ サービスのバージョンを指定します。 詳細については、「 Shared Access Signature を使用して要求を承認する」を参照してください。 |
SignedVersion (sv) |
必須。 このアカウント SAS で行われた要求を承認するために使用する署名付きストレージ サービスのバージョンを指定します。 バージョン 2015-04-05 以降に設定する必要があります。 詳細については、「 Shared Access Signature を使用して要求を承認する」を参照してください。 |
SignedServices (ss) |
必須。 アカウント SAS でアクセスできる署名済みサービスを指定します。 次の値を指定できます。 - BLOB ( b )- キュー ( q )- テーブル ( t )- ファイル ( f )値を組み合わせて、複数のサービスへのアクセスを提供できます。 たとえば、 ss=bf Blob Storage と Azure Files エンドポイントへのアクセスを指定します。 |
SignedResourceTypes (srt) |
必須。 アカウント SAS でアクセスできる署名付きリソース タイプを指定します。 - サービス ( s ): サービス レベル API へのアクセス (たとえば、Get/Set Service Properties、Get Service Stats、List Containers/Queues/Tables/Shares)。- コンテナー ( c ): コンテナー レベルの API へのアクセス (コンテナーの作成/削除、キューの作成/削除、テーブルの作成/削除、共有の作成/削除、BLOB/ファイルとディレクトリの一覧表示など)。- オブジェクト ( o ): BLOB、キュー メッセージ、テーブル エンティティ、ファイル (Put Blob、Query Entity、Get Messages、Create File など) のオブジェクト レベル API へのアクセス。値を組み合わせて、複数のリソース タイプへのアクセスを提供できます。 たとえば、 srt=sc は、サービス リソースとコンテナー リソースへのアクセスを指定します。 |
SignedPermissions (sp) |
必須。 アカウント SAS の署名付きアクセス許可を指定します。 アクセス許可は、指定された署名付きリソースの種類と一致する場合にのみ有効です。 一致しない場合は無視されます。 - 読み取り ( r ): すべての署名付きリソースの種類 (サービス、コンテナー、オブジェクト) に有効です。 指定されたリソース タイプに対する読み取りアクセス許可を付与します。- 書き込み ( w ): すべての署名付きリソース タイプ (サービス、コンテナー、オブジェクト) に有効です。 指定したリソースの種類に対して書き込みアクセスを許可し、ユーザーがリソースを作成および更新できるようにします。- 削除 ( d ): キュー メッセージを除く、コンテナーおよびオブジェクト リソース タイプに有効です。- 永久削除 ( y ): BLOB オブジェクト リソース タイプに対してのみ有効です。- リスト ( l ): サービスおよびコンテナー リソース タイプに対してのみ有効です。- 追加 ( a ): 次のオブジェクト リソース タイプに対してのみ有効です: キュー メッセージ、テーブル エンティティ、追加 BLOB。- 作成 ( c ): コンテナー リソースの種類と、次のオブジェクト リソースの種類に対して有効: BLOB とファイル。 ユーザーは新しいリソースを作成できますが、既存のリソースを上書きすることはできません。- 更新 ( u ): 次のオブジェクト リソース タイプに対してのみ有効です: キュー メッセージとテーブル エンティティ。- プロセス ( p ): 次のオブジェクト リソース タイプに対してのみ有効です: キュー メッセージ。- タグ ( t ): 次のオブジェクト リソース タイプに対してのみ有効です: BLOB。 BLOB タグ操作を許可します。- フィルター ( f ): 次のオブジェクト リソース タイプに対してのみ有効です: BLOB。 BLOB タグによるフィルター処理を許可します。- 不変ポリシーの設定 ( i ): 次のオブジェクト リソース タイプに対してのみ有効です: BLOB。 BLOB の不変性ポリシーと訴訟ホールドの設定/削除を許可します。 |
SignedStart (st) |
省略可能。 SAS が有効になる時刻。受け入れ可能な ISO 8601 UTC 形式のいずれかで表されます。 省略すると、開始時刻はストレージ サービスが要求を受信した時刻と見なされます。 受け入れられる UTC 形式の詳細については、「 DateTime 値の書式設定」を参照してください。 |
SignedExpiry (se) |
必須。 共有アクセス署名が無効になる時刻。受け入れられる ISO 8601 UTC 形式のいずれかで表されます。 受け入れられる UTC 形式の詳細については、「 DateTime 値の書式設定」を参照してください。 |
SignedIP (sip) |
省略可能。 要求を受け入れる IP アドレスまたは IP アドレスの範囲を指定します。 範囲を指定する場合は、範囲が包括的であることに注意してください。 サポートされているのは、IPv4 アドレスのみです。 たとえば、 sip=168.1.5.65 または sip=168.1.5.60-168.1.5.70 です。 |
SignedProtocol (spr) |
省略可能。 アカウント SAS で行われた要求に対して許可されるプロトコルを指定します。 使用可能な値は、HTTPS と HTTP の両方 (https,http ) または HTTPS のみ (https ) です。 既定値は https,http です。HTTP のみの値は許可されていないことに注意してください。 |
SignedEncryptionScope (ses) |
省略可能。 要求の内容を暗号化するために使用する暗号化スコープを示します。 このフィールドは、バージョン 2020-12-06 以降でサポートされています。 |
Signature (sig) |
必須。 URI の署名部分は、共有アクセス署名で行われた要求を承認するために使用されます。 string-to-sign は、要求を承認するために検証する必要があるフィールドから構築された一意の文字列です。 署名はハッシュベースのメッセージ認証コード (HMAC) であり、SHA256 アルゴリズムを使用して文字列から署名とキーを使用して計算され、Base64 エンコードを使用してエンコードされます。 |
フィールドを指定するsignedVersion
signedVersion
(sv
) フィールドには、共有アクセス署名のサービス バージョンが含まれています。 この値は、この共有アクセス署名 (フィールド内) で使用される共有キー承認のバージョンを signature
指定します。 この値は、この共有アクセス署名で行われる要求のサービス バージョンも指定します。
共有アクセス署名を使用して要求を実行するときに使用されるバージョンについては、「 Azure Storage サービスのバージョン管理」を参照してください。
このパラメーターが共有アクセス署名を使用して行われた要求の承認にどのように影響するかについては、「共有アクセス署名 を使用してアクセスを委任する」を参照してください。
フィールド名 | Query parameter (クエリ パラメーター) | 説明 |
---|---|---|
signedVersion |
sv |
必須。 バージョン 2015-04-05 以降でサポートされています。 この共有アクセス署名で行った要求の承認と処理に使用するストレージ サービスのバージョン。 詳細については、「 Azure Storage サービスのバージョン管理」を参照してください。 |
IP アドレスまたは IP 範囲を指定する
バージョン 2015-04-05 の時点で、省略可能な signedIp
(sip
) フィールドは、要求を受け入れるパブリック IP アドレスまたはパブリック IP アドレスの範囲を指定します。 要求の発信元の IP アドレスが、SAS トークンで指定された IP アドレスまたはアドレス範囲と一致しない場合、要求は承認されません。 サポートされているのは、IPv4 アドレスのみです。
IP アドレスの範囲を指定する場合は、範囲が包括的であることに注意してください。たとえば、SAS で または sip=168.1.5.60-168.1.5.70
を指定するとsip=168.1.5.65
、それらの IP アドレスに要求が制限されます。
次の表では、クライアント環境とストレージ アカウントの signedIp
場所に基づいて、指定したシナリオの SAS トークンに フィールドを含めるかどうかを示します。
クライアント環境 | ストレージ アカウントの場所 | 推奨 |
---|---|---|
Azure で実行されているクライアント | クライアントと同じリージョン内 | このシナリオでクライアントに提供される SAS には、フィールドの送信 IP アドレスを signedIp 含めてはいけません。 指定した送信 IP アドレスを持つ SAS を使用する同じリージョン内から行われた要求は失敗します。代わりに、Azure 仮想ネットワークを使用してネットワーク セキュリティ制限を管理します。 同じリージョン内からの Azure Storage への要求は、常にプライベート IP アドレスを介して行われます。 詳細については、Azure Storage ファイアウォールおよび仮想ネットワークの構成に関する記事を参照してください。 |
Azure で実行されているクライアント | クライアントとは異なるリージョン内 | このシナリオでクライアントに提供される SAS には、パブリック IP アドレスまたはフィールドのアドレス範囲が signedIp 含まれる場合があります。 SAS で行われた要求は、指定された IP アドレスまたはアドレス範囲から送信される必要があります。 |
オンプレミスまたは別のクラウド環境で実行されているクライアント | 任意の Azure リージョン | このシナリオでクライアントに提供される SAS には、パブリック IP アドレスまたはフィールドのアドレス範囲が signedIp 含まれる場合があります。 SAS で行われた要求は、指定された IP アドレスまたはアドレス範囲から送信される必要があります。要求がプロキシまたはゲートウェイを通過する場合は、そのプロキシまたはゲートウェイのパブリック送信 IP アドレスを フィールドに signedIp 指定します。 |
HTTP プロトコルを指定する
バージョン 2015-04-05 の時点で、省略可能な signedProtocol
(spr
) フィールドは、SAS で行われた要求に対して許可されるプロトコルを指定します。 使用可能な値は、HTTPS と HTTP の両方 (https,http
) または HTTPS のみ (https
) です。 既定値は https,http
です。 「HTTP のみ」は、値として許可されていないので注意してください。
暗号化スコープを指定する
URI の フィールドを signedEncryptionScope
使用すると、クライアント アプリケーションで使用できる暗号化スコープを指定できます。 SAS トークンを使用して BLOB (PUT) をアップロードするときに、指定した暗号化スコープを使用してサーバー側の暗号化を適用します。 GET とHEADは、以前と同様に制限および実行されません。
次の表では、URI で署名された暗号化スコープを参照する方法について説明します。
フィールド名 | Query parameter (クエリ パラメーター) | 説明 |
---|---|---|
signedEncryptionScope |
ses |
省略可能。 要求の内容を暗号化するために使用する暗号化スコープを示します。 |
このフィールドは、バージョン 2020-12-06 以降でサポートされています。 サポートされているバージョンの前に を追加 ses
すると、サービスはエラー応答コード 403 (禁止) を返します。
コンテナーまたはファイル システムの既定の暗号化スコープを設定した場合、クエリ パラメーターは ses
コンテナー暗号化ポリシーを考慮します。 クエリ パラメーターとx-ms-default-encryption-scope
ヘッダーの間にses
不一致があり、ヘッダーが にtrue
設定されている場合、x-ms-deny-encryption-scope-override
サービスはエラー応答コード 403 (Forbidden) を返します。
PUT 要求で x-ms-encryption-scope
ヘッダーとクエリ パラメーターを ses
指定すると、不一致がある場合、サービスはエラー応答コード 400 (Bad Request) を返します。
署名文字列の作成
アカウント SAS の署名文字列を作成するには、まず要求を構成するフィールドから文字列対署名を作成し、その文字列を UTF-8 としてエンコードし、HMAC-SHA256 アルゴリズムを使用して署名を計算します。
Note
文字列から署名に含まれるフィールドは、URL デコードされている必要があります。
アカウント SAS の文字列対符号を作成するには、次の形式を使用します。
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
バージョン 2020-12-06 では、署名された暗号化スコープ フィールドのサポートが追加されています。 アカウント SAS の文字列対符号を作成するには、次の形式を使用します。
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
操作別のアカウント SAS アクセス許可
次のセクションの表に、各サービスのさまざまな API と、各操作でサポートされている署名付きリソースの種類と署名付きアクセス許可を示します。
Blob service
次の表に、BLOB サービス操作の一覧を示し、これらの操作にアクセスを委任するタイミングを指定する署名付きリソースの種類と署名付きアクセス許可を示します。
操作 | 署名済みサービス | 署名されたリソースの種類 | 署名されたアクセス許可 |
---|---|---|---|
List Containers | BLOB (b) | サービス (s) | リスト (l) |
Get Blob Service Properties | BLOB (b) | サービス (s) | 読み取り (r) |
Set Blob Service Properties | BLOB (b) | サービス (s) | 書き込み (w) |
Get Blob Service Stats | BLOB (b) | サービス (s) | 読み取り (r) |
コンテナーの作成 | BLOB (b) | コンテナー (c) | Create(c) または Write (w) |
コンテナーのプロパティの取得 | BLOB (b) | コンテナー (c) | 読み取り (r) |
Get Container Metadata | BLOB (b) | コンテナー (c) | 読み取り (r) |
Set Container Metadata | BLOB (b) | コンテナー (c) | 書き込み (w) |
Lease Container | BLOB (b) | コンテナー (c) | Write (w) または Delete (d)1 |
Delete Container | BLOB (b) | コンテナー (c) | Delete (d) |
コンテナーでタグ別に BLOB を検索する | BLOB (b) | コンテナー (c) | フィルター (f) |
BLOBs の一覧 | BLOB (b) | コンテナー (c) | リスト (l) |
PUT BLOB (新しいブロック BLOB の作成) | BLOB (b) | オブジェクト (o) | 作成 (c) または書き込み (w) |
PUT BLOB (既存のブロック BLOB を上書き) | BLOB (b) | オブジェクト (o) | 書き込み (w) |
PUT BLOB (新しいページ BLOB の作成) | BLOB (b) | オブジェクト (o) | 作成 (c) または書き込み (w) |
PUT BLOB (既存のページ BLOB を上書き) | BLOB (b) | オブジェクト (o) | 書き込み (w) |
Get Blob | BLOB (b) | オブジェクト (o) | 読み取り (r) |
BLOB のプロパティの取得 | BLOB (b) | オブジェクト (o) | 読み取り (r) |
Set Blob Properties | BLOB (b) | オブジェクト (o) | 書き込み (w) |
BLOB のメタデータの取得 | BLOB (b) | オブジェクト (o) | 読み取り (r) |
Set Blob Metadata | BLOB (b) | オブジェクト (o) | 書き込み (w) |
BLOB タグの取得 | BLOB (b) | オブジェクト (o) | タグ (t) |
BLOB タグの設定 | BLOB (b) | オブジェクト (o) | タグ (t) |
タグによる BLOB の検索 | BLOB (b) | オブジェクト (o) | フィルター (f) |
Delete Blob | BLOB (b) | オブジェクト (o) | Delete (d) |
スナップショット/バージョンを完全に削除する | BLOB (b) | オブジェクト (o) | 完全削除 (y) |
Lease Blob | BLOB (b) | オブジェクト (o) | Write (w) または Delete (d)1 |
Snapshot Blob | BLOB (b) | オブジェクト (o) | 作成 (c) または書き込み (w) |
BLOB のコピー (コピー先は新しい BLOB) | BLOB (b) | オブジェクト (o) | 作成 (c) または書き込み (w) |
BLOB のコピー (コピー先は既存の BLOB) | BLOB (b) | オブジェクト (o) | 書き込み (w) |
増分コピー | BLOB (b) | オブジェクト (o) | 作成 (c) または書き込み (w) |
Abort Copy Blob | BLOB (b) | オブジェクト (o) | 書き込み (w) |
Put Block | BLOB (b) | オブジェクト (o) | 書き込み (w) |
ブロック リストの配置 (新しい BLOB の作成) | BLOB (b) | オブジェクト (o) | 書き込み (w) |
ブロック リストを配置する (既存の BLOB を更新する) | BLOB (b) | オブジェクト (o) | 書き込み (w) |
Get Block List | BLOB (b) | オブジェクト (o) | 読み取り (r) |
Put Page | BLOB (b) | オブジェクト (o) | 書き込み (w) |
ページ範囲の取得 | BLOB (b) | オブジェクト (o) | 読み取り (r) |
Append Block | BLOB (b) | オブジェクト (o) | 追加 (a) または書き込み (w) |
ページのクリア | BLOB (b) | オブジェクト (o) | 書き込み (w) |
Note
この Delete
アクセス許可により、バージョン 2017-07-29 以降の BLOB またはコンテナーのリースを解除できます。
Queue サービス
次の表に、Queue サービス操作の一覧を示し、これらの操作にアクセスを委任するタイミングを指定する署名付きリソースの種類と署名付きアクセス許可を示します。
操作 | 署名済みサービス | 署名されたリソースの種類 | 署名されたアクセス許可 |
---|---|---|---|
Get Queue Service Properties | Queue (q) | サービス (s) | 読み取り (r) |
Set Queue Service Properties | Queue (q) | サービス (s) | 書き込み (w) |
キューを一覧表示する | Queue (q) | サービス (s) | リスト (l) |
Get Queue Service Stats | Queue (q) | サービス (s) | 読み取り (r) |
キューの作成 | Queue (q) | コンテナー (c) | Create(c) または Write (w) |
キューの削除 | Queue (q) | コンテナー (c) | Delete (d) |
Get Queue Metadata | Queue (q) | コンテナー (c) | 読み取り (r) |
Set Queue Metadata | Queue (q) | コンテナー (c) | 書き込み (w) |
Put Message | Queue (q) | オブジェクト (o) | 追加 (a) |
メッセージの取得 | Queue (q) | オブジェクト (o) | プロセス (p) |
Peek Messages | Queue (q) | オブジェクト (o) | 読み取り (r) |
メッセージの削除 | Queue (q) | オブジェクト (o) | プロセス (p) |
Clear Messages | Queue (q) | オブジェクト (o) | Delete (d) |
更新メッセージ | Queue (q) | オブジェクト (o) | Update (u) |
Table service
次の表に、Table service 操作の一覧を示し、これらの操作にアクセスを委任するタイミングを指定する署名付きリソースの種類と署名付きアクセス許可を示します。
操作 | 署名済みサービス | 署名付きリソースの種類 | 署名されたアクセス許可 |
---|---|---|---|
Get Table Service Properties | テーブル (t) | サービス (s) | 読み取り (r) |
Set Table Service Properties | テーブル (t) | サービス (s) | 書き込み (w) |
Table Service の統計情報を取得する | テーブル (t) | サービス (s) | 読み取り (r) |
テーブルの照会 | テーブル (t) | コンテナー (c) | リスト (l) |
テーブルの作成 | テーブル (t) | コンテナー (c) | 作成 (c) または書き込み (w) |
[テーブルの削除] | テーブル (t) | コンテナー (c) | Delete (d) |
エンティティのクエリ | テーブル (t) | オブジェクト (o) | 読み取り (r) |
エンティティの挿入 | テーブル (t) | オブジェクト (o) | 追加 (a) |
Insert Or Merge Entity | テーブル (t) | オブジェクト (o) | 追加 (a) と更新 (u)1 |
Insert Or Replace Entity | テーブル (t) | オブジェクト (o) | 追加 (a) と更新 (u)1 |
エンティティの更新 | テーブル (t) | オブジェクト (o) | 更新 (u) |
エンティティの統合 | テーブル (t) | オブジェクト (o) | 更新 (u) |
エンティティの削除 | テーブル (t) | オブジェクト (o) | Delete (d) |
1 テーブル サービスに対するアップサート操作には、追加と更新のアクセス許可が必要です。
File service
次の表に、ファイル サービス操作の一覧を示し、これらの操作へのアクセスを委任するときに指定する署名付きリソースの種類と署名付きアクセス許可を示します。
操作 | 署名済みサービス | 署名付きリソースの種類 | 署名されたアクセス許可 |
---|---|---|---|
共有のリスト | ファイル (f) | サービス (s) | リスト (l) |
ファイル サービスのプロパティの取得 | ファイル (f) | サービス (s) | 読み取り (r) |
Set File Service Properties | ファイル (f) | サービス (s) | 書き込み (w) |
共有の統計の取得 | ファイル (f) | コンテナー (c) | 読み取り (r) |
共有を作成する | ファイル (f) | コンテナー (c) | 作成 (c) または書き込み (w) |
スナップショット共有 (Snapshot Share) | ファイル (f) | コンテナー (c) | 作成 (c) または書き込み (w) |
共有のプロパティの取得 | ファイル (f) | コンテナー (c) | 読み取り (r) |
共有のプロパティの設定 | ファイル (f) | コンテナー (c) | 書き込み (w) |
共有メタデータの取得 | ファイル (f) | コンテナー (c) | 読み取り (r) |
共有メタデータの設定 | ファイル (f) | コンテナー (c) | 書き込み (w) |
共有の削除 | ファイル (f) | コンテナー (c) | Delete (d) |
ディレクトリとファイルのリスト | ファイル (f) | コンテナー (c) | リスト (l) |
Create Directory | ファイル (f) | オブジェクト (o) | 作成 (c) または書き込み (w) |
ディレクトリ プロパティの取得 | ファイル (f) | オブジェクト (o) | 読み取り (r) |
ディレクトリ メタデータの設定 | ファイル (f) | オブジェクト (o) | 読み取り (r) |
ディレクトリのメタデータの設定 | ファイル (f) | オブジェクト (o) | 書き込み (w) |
ディレクトリの削除 | ファイル (f) | オブジェクト (o) | Delete (d) |
ファイルの作成 (新規作成) | ファイル (f) | オブジェクト (o) | 作成 (c) または書き込み (w) |
ファイルの作成 (既存のものを上書き) | ファイル (f) | オブジェクト (o) | 書き込み (w) |
Get File | ファイル (f) | オブジェクト (o) | 読み取り (r) |
ファイル プロパティの取得 | ファイル (f) | オブジェクト (o) | 読み取り (r) |
ファイルのメタデータを取得する | ファイル (f) | オブジェクト (o) | 読み取り (r) |
Set File Metadata | ファイル (f) | オブジェクト (o) | 書き込み (w) |
ファイルの削除 | ファイル (f) | オブジェクト (o) | Delete (d) |
Put Range | ファイル (f) | オブジェクト (o) | 書き込み (w) |
List Ranges | ファイル (f) | オブジェクト (o) | 読み取り (r) |
Abort Copy File | ファイル (f) | オブジェクト (o) | 書き込み (w) |
ファイルのコピー | ファイル (f) | オブジェクト (o) | 書き込み (w) |
範囲のクリア | ファイル (f) | オブジェクト (o) | 書き込み (w) |
アカウント SAS URI の例
次の例は、アカウント SAS トークンが追加された BLOB サービス URI を示しています。 アカウント SAS トークンは、サービス、コンテナー、およびオブジェクトに対するアクセス許可を提供します。 次の表では、URI の各部分を分解します。
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
名前 | SAS の部分 | 説明 |
---|---|---|
リソース URI | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
サービス エンドポイント。サービス プロパティを取得するためのパラメーター (GET で呼び出された場合) またはサービス プロパティの設定 (SET で呼び出された場合)。 署名されたサービス フィールド (ss ) の値に基づいて、この SAS は Blob Storage または Azure Filesのいずれかで使用できます。 |
区切り記号 | ? |
クエリ文字列の前にある区切り記号。 区切り記号は SAS トークンの一部ではありません。 |
ストレージ サービスのバージョン | sv=2022-11-02 |
Azure Storage サービス バージョン 2012-02-12 以降の場合、このパラメーターは使用するバージョンを示します。 |
サービス | ss=b |
SAS は BLOB サービスに適用されます。 |
リソースの種類 | srt=sco |
SAS は、サービス レベル、コンテナー レベル、およびオブジェクト レベルの操作に適用されます。 |
アクセス許可 | sp=rwlc |
アクセス許可は、読み取り、書き込み、一覧表示、および作成操作へのアクセスを許可します。 |
開始時刻 | st=2019-08-01T22%3A18%3A26Z |
UTC 時間で指定。 SAS をすぐに有効にする場合は、開始時刻を省略します。 |
有効期限 | se=2019-08-10T02%3A23%3A26Z |
UTC 時間で指定。 |
Protocol | spr=https |
HTTPS を使用する要求のみが許可されます。 |
署名 | sig=<signature> |
BLOB へのアクセスを承認するために使用します。 署名は、SHA256 アルゴリズムを使用して文字列から署名とキーを使用して計算され、Base64 エンコードを使用してエンコードされる HMAC です。 |
アクセス許可はサービス レベルに制限されるため、この SAS を使用したアクセス可能な操作は、 Blob Service のプロパティの取得 (読み取り) と Blob Service プロパティの設定 (書き込み) です。 ただし、別のリソース URI に同じ SAS トークンを使用し、 Get BLOB Service Stats (読み取り) へのアクセスを委任することもできます。