アカウント SAS を作成する
重要
最適なセキュリティを確保するために、Microsoft では、可能な限り、マネージド ID で Microsoft Entra ID を使用して、BLOB、キュー、テーブル データに対する要求を承認することをお勧めします。 Microsoft Entra ID とマネージド ID を使用した承認は、共有キーの承認よりも優れたセキュリティと使いやすさを提供します。 詳細については、Microsoft Entra IDを使用した承認
オンプレミス アプリケーションなど、Azure の外部でホストされているリソースの場合は、Azure Arc を介してマネージド ID を使用できます。たとえば、Azure Arc 対応サーバーで実行されているアプリでは、マネージド ID を使用して Azure サービスに接続できます。 詳細については、「Azure Arc 対応サーバーを使用した Azure リソースに対する認証」を参照してください。
Shared Access Signature (SAS) が使用されるシナリオでは、ユーザー委任 SAS を使用することをお勧めします。 ユーザー委任 SAS は、アカウント キーではなく Microsoft Entra 資格情報で保護されます。 Shared Access Signature の詳細については、「ユーザー委任 SASの作成」を参照してください。
バージョン 2015-04-05 以降、Azure Storage では、ストレージ アカウントのレベルでの新しい種類の Shared Access Signature (SAS) の作成がサポートされています。 アカウント SAS を作成すると、次のことができます。
Get/Set Service Properties操作やGet Service Stats操作など、サービス固有の SAS では現在使用できないサービス レベルの操作へのアクセスを委任します。ストレージ アカウント内の複数のサービスへのアクセスを一度に委任します。 たとえば、アカウント SAS を使用して、Azure Blob Storage と Azure Files の両方のリソースへのアクセスを委任できます。
オブジェクト固有の SAS では使用できないコンテナー、キュー、テーブル、ファイル共有の書き込み操作と削除操作へのアクセスを委任します。
要求を受け入れる IP アドレスまたは IP アドレスの範囲を指定します。
要求を受け入れる HTTP プロトコル (HTTPS または HTTP/HTTPS) を指定します。
保存されているアクセス ポリシーは、アカウント SAS では現在サポートされていません。
注意事項
Shared Access Signature はストレージ リソースへのアクセス許可を付与するキーであり、アカウント キーを保護する場合と同様に保護する必要があります。 悪意のある、または意図しない使用から SAS を保護することが重要です。 SAS の配布には裁量を使用し、侵害された SAS を取り消す計画を立てます。 Shared Access Signature を使用する操作は HTTPS 接続経由でのみ実行し、SAS URI は HTTPS などのセキュリティで保護された接続でのみ配布する必要があります。
アカウント SAS を承認する
ストレージ アカウント キーを使用してアカウント SAS をセキュリティで保護します。 アカウント SAS を作成するときは、クライアント アプリケーションがアカウント キーを持っている必要があります。
Microsoft Entra 資格情報を使用してコンテナーまたは BLOB の SAS をセキュリティで保護するには、ユーザー委任 SASを作成
アカウント SAS URI を構築する
アカウント SAS URI は、SAS がアクセスを委任するリソースへの URI と、SAS トークンで構成されます。 SAS トークンは、リソースへの要求を承認するために必要なすべての情報を含むクエリ文字列です。 アクセスに使用できるサービス、リソース、アクセス許可、および署名が有効な期間を指定します。
アカウント SAS パラメーターを指定する
SAS トークンの必須パラメーターと省略可能なパラメーターを次の表に示します。
| SAS クエリ パラメーター | 説明 |
|---|---|
api-version |
省略可能。 アカウント SAS URI を使用して行われた要求の実行に使用するストレージ サービスのバージョンを指定します。 詳細については、「Shared Access Signatureを使用して要求を承認する」を参照してください。 |
SignedVersion (sv) |
必須。 このアカウント SAS で行われた要求を承認するために使用する署名付きストレージ サービスのバージョンを指定します。 バージョン 2015-04-05 以降に設定する必要があります。 詳細については、「Shared Access Signatureを使用して要求を承認する」を参照してください。 |
SignedServices (ss) |
必須。 アカウント SAS でアクセスできる署名済みサービスを指定します。 次の値を指定できます。 - BLOB ( b)- Queue ( q)- Table ( t)- File ( f)値を組み合わせて、複数のサービスへのアクセスを提供できます。 たとえば、 ss=bf では、Blob Storage エンドポイントと Azure Files エンドポイントへのアクセスを指定します。 |
SignedResourceTypes (srt) |
必須。 アカウント SAS でアクセスできる署名付きリソースの種類を指定します。 - サービス ( s): サービス レベルの API へのアクセス (サービス プロパティの取得/設定、サービス統計の取得、コンテナー/キュー/テーブル/共有の一覧表示など)。- コンテナー ( c): コンテナー レベルの API へのアクセス (コンテナーの作成/削除、キューの作成/削除、テーブルの作成/削除、共有の作成/削除、BLOB/ファイルとディレクトリの一覧表示など)。- オブジェクト ( o): BLOB、キュー メッセージ、テーブル エンティティ、ファイル (PUT BLOB、クエリ エンティティ、メッセージの取得、ファイルの作成など) のオブジェクト レベル API へのアクセス。値を組み合わせて、複数のリソースの種類へのアクセスを提供できます。 たとえば、 srt=sc はサービス リソースとコンテナー リソースへのアクセスを指定します。 |
SignedPermissions (sp) |
必須。 アカウント SAS の署名済みアクセス許可を指定します。 アクセス許可は、指定された署名付きリソースの種類と一致する場合にのみ有効です。 一致しない場合は無視されます。 - 読み取り ( r): 署名されたすべてのリソースの種類 (サービス、コンテナー、およびオブジェクト) に対して有効です。 指定したリソースの種類に対する読み取りアクセス許可を許可します。- 書き込み ( w): 署名されたすべてのリソースの種類 (サービス、コンテナー、およびオブジェクト) に対して有効です。 指定したリソースの種類に対する書き込みアクセスを許可し、ユーザーがリソースを作成および更新できるようにします。- 削除 ( d): キュー メッセージを除き、コンテナーとオブジェクトのリソースの種類に対して有効です。- バージョンの削除 ( x): BLOB のオブジェクト リソースの種類に対してのみ有効です。- 永続的な削除 ( y): BLOB のオブジェクト リソースの種類に対してのみ有効です。- リスト ( l): サービスとコンテナーのリソースの種類に対してのみ有効です。- 追加 ( a): キュー メッセージ、テーブル エンティティ、および追加 BLOB のオブジェクト リソースの種類にのみ有効です。- 作成 ( c): コンテナー リソースの種類と次のオブジェクト リソースの種類に対して有効: BLOB とファイル。 ユーザーは新しいリソースを作成できますが、既存のリソースを上書きすることはできません。- 更新 ( u): 次のオブジェクト リソースの種類に対してのみ有効: キュー メッセージとテーブル エンティティ。- プロセス ( p): 次のオブジェクト リソースの種類に対してのみ有効: キュー メッセージ。- タグ ( t): 次のオブジェクト リソースの種類に対してのみ有効: BLOB。 BLOB タグ操作を許可します。- フィルター ( f): 次のオブジェクト リソースの種類に対してのみ有効: BLOB。 BLOB タグによるフィルター処理を許可します。- 不変ポリシーの設定 ( i): 次のオブジェクト リソースの種類に対してのみ有効: BLOB。 BLOB の不変ポリシーと訴訟ホールドの設定/削除を許可します。 |
SignedStart (st) |
省略可能。 SAS が有効になる時刻 。受け入れ可能な ISO 8601 UTC 形式のいずれかで表されます。 省略した場合、開始時刻はストレージ サービスが要求を受信した時刻と見なされます。 受け入れ可能な UTC 形式の詳細については、「DateTime 値の書式設定 |
SignedExpiry (se) |
必須。 共有アクセス署名が無効になった時刻 。受け入れ可能な ISO 8601 UTC 形式のいずれかで表されます。 受け入れ可能な UTC 形式の詳細については、「DateTime 値の書式設定 |
SignedIP (sip) |
省略可能。 要求を受け入れる IP アドレスまたは IP アドレスの範囲を指定します。 範囲を指定する場合は、その範囲が包括的であることに注意してください。 IPv4 アドレスのみがサポートされています。 たとえば、 sip=198.51.100.0 または sip=198.51.100.10-198.51.100.20 です。 |
SignedProtocol (spr) |
省略可能。 アカウント SAS で行われた要求に対して許可されるプロトコルを指定します。 指定できる値は、HTTPS と HTTP (https,http) または HTTPS のみ (https) の両方です。 既定値は https,http です。HTTP のみが許可される値ではないことに注意してください。 |
SignedEncryptionScope (ses) |
省略可能。 要求の内容の暗号化に使用する暗号化スコープを示します。 このフィールドは、バージョン 2020-12-06 以降でサポートされています。 |
Signature (sig) |
必須。 URI の署名部分は、Shared Access Signature で行われた要求を承認するために使用されます。 文字列対署名は、要求を承認するために検証する必要があるフィールドから構築された一意の文字列です。 署名はハッシュベースのメッセージ認証コード (HMAC) であり、SHA256 アルゴリズムを使用して文字列対署名とキーを使用して計算され、Base64 エンコードを使用してエンコードされます。 |
signedVersion フィールドを指定する
signedVersion (sv) フィールドには、Shared Access Signature のサービス バージョンが含まれています。 この値は、この共有アクセス署名 ([signature] フィールド) で使用される共有キー承認のバージョンを指定します。 この値は、この Shared Access Signature で行われる要求のサービス バージョンも指定します。
Shared Access Signature を使用して要求を実行するときに使用されるバージョンについては、「Azure Storage サービスのバージョン管理 」を参照してください。
このパラメーターが Shared Access Signature を使用して行われた要求の承認にどのように影響するかについては、「Shared Access Signatureを使用してアクセスを委任する」を参照してください。
| フィールド名 | Query parameter (クエリ パラメーター) | 説明 |
|---|---|---|
signedVersion |
sv |
必須。 バージョン 2015-04-05 以降でサポートされています。 この Shared Access Signature で行った要求の承認と処理に使用するストレージ サービスのバージョン。 詳細については、「Azure Storage サービスのバージョン管理の |
IP アドレスまたは IP 範囲を指定する
バージョン 2015-04-05 の時点で、オプションの signedIp (sip) フィールドには、要求を受け入れるパブリック IP アドレスまたはパブリック IP アドレスの範囲が指定されています。 要求の発信元の IP アドレスが、SAS トークンで指定された IP アドレスまたはアドレス範囲と一致しない場合、要求は承認されません。 IPv4 アドレスのみがサポートされています。
IP アドレスの範囲を指定する場合は、その範囲が包括的であることに注意してください。 たとえば、SAS で sip=198.51.100.0 または sip=198.51.100.10-198.51.100.20 を指定すると、要求はそれらの IP アドレスに制限されます。
次の表では、クライアント環境とストレージ アカウントの場所に基づいて、指定したシナリオの SAS トークンに signedIp フィールドを含めるかどうかを示します。
| クライアント環境 | ストレージ アカウントの場所 | 推奨 |
|---|---|---|
| Azure で実行されているクライアント | クライアントと同じリージョン内 | このシナリオでクライアントに提供される SAS には、signedIp フィールドの送信 IP アドレスを含めることはできません。 指定された送信 IP アドレスを持つ SAS を使用する同じリージョン内から行われた要求は失敗します。代わりに、Azure 仮想ネットワークを使用してネットワーク セキュリティの制限を管理します。 同じリージョン内からの Azure Storage への要求は、常にプライベート IP アドレスを介して行われます。 詳細については、Azure Storage ファイアウォールおよび仮想ネットワークの構成に関する記事を参照してください。 |
| Azure で実行されているクライアント | クライアントとは異なるリージョン内 | このシナリオでクライアントに提供される SAS には、パブリック IP アドレスまたは signedIp フィールドのアドレス範囲が含まれる場合があります。 SAS で行われた要求は、指定された IP アドレスまたはアドレス範囲から送信される必要があります。 |
| オンプレミスまたは別のクラウド環境で実行されているクライアント | 任意の Azure リージョン | このシナリオでクライアントに提供される SAS には、パブリック IP アドレスまたは signedIp フィールドのアドレス範囲が含まれる場合があります。 SAS で行われた要求は、指定された IP アドレスまたはアドレス範囲から送信される必要があります。要求がプロキシまたはゲートウェイを通過する場合は、そのプロキシまたはゲートウェイのパブリック送信 IP アドレスを signedIp フィールドに指定します。 |
HTTP プロトコルを指定する
バージョン 2015-04-05 の時点で、省略可能な signedProtocol (spr) フィールドは、SAS で行われた要求に対して許可されるプロトコルを指定します。 指定できる値は、HTTPS と HTTP (https,http) または HTTPS のみ (https) の両方です。 既定値は https,http です。 HTTP のみが許可される値ではないことに注意してください。
暗号化スコープを指定する
URI の signedEncryptionScope フィールドを使用すると、クライアント アプリケーションで使用できる暗号化スコープを指定できます。 SAS トークンを使用して BLOB (PUT) をアップロードするときに、指定された暗号化スコープでサーバー側の暗号化が適用されます。 GET と HEAD は、以前と同様に制限および実行されません。
次の表では、URI で署名された暗号化スコープを参照する方法について説明します。
| フィールド名 | Query parameter (クエリ パラメーター) | 説明 |
|---|---|---|
signedEncryptionScope |
ses |
省略可能。 要求の内容の暗号化に使用する暗号化スコープを示します。 |
このフィールドは、バージョン 2020-12-06 以降でサポートされています。 サポートされているバージョンの前に ses を追加すると、サービスはエラー応答コード 403 (禁止) を返します。
コンテナーまたはファイル システムの既定の暗号化スコープを設定した場合、ses クエリ パラメーターはコンテナー暗号化ポリシーに準拠します。
ses クエリ パラメーターと x-ms-default-encryption-scope ヘッダーの間に不一致があり、x-ms-deny-encryption-scope-override ヘッダーが trueに設定されている場合、サービスはエラー応答コード 403 (Forbidden) を返します。
PUT 要求で x-ms-encryption-scope ヘッダーと ses クエリ パラメーターを指定すると、一致しない場合、サービスはエラー応答コード 400 (無効な要求) を返します。
署名文字列を作成する
アカウント SAS の署名文字列を構築するには、最初に要求を構成するフィールドから文字列から署名する文字列を作成し、次に文字列を UTF-8 としてエンコードし、HMAC-SHA256 アルゴリズムを使用して署名を計算します。
ÑôxëÑ
文字列から署名に含まれるフィールドは、URL デコードする必要があります。
アカウント SAS の文字列対署名を作成するには、次の形式を使用します。
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
バージョン 2020-12-06 では、署名付き暗号化スコープ フィールドのサポートが追加されました。 アカウント SAS の文字列対署名を作成するには、次の形式を使用します。
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
操作別のアカウント SAS アクセス許可
次のセクションの表では、各サービスのさまざまな API と、各操作でサポートされる署名付きリソースの種類と署名付きアクセス許可を示します。
BLOB サービス
次の表に、BLOB サービス操作の一覧を示し、それらの操作へのアクセスを委任するときに指定する署名付きリソースの種類と署名付きアクセス許可を示します。
| オペレーション | 署名されたサービス | 署名されたリソースの種類 | 署名されたアクセス許可 |
|---|---|---|---|
| コンテナーの一覧表示 | BLOB (b) | サービス (s) | リスト (l) |
| Blob Service のプロパティを取得する | BLOB (b) | サービス (s) | 読み取り (r) |
| Blob Service のプロパティを設定する | BLOB (b) | サービス (s) | 書き込み (w) |
| Blob Service の統計を取得する | BLOB (b) | サービス (s) | 読み取り (r) |
| コンテナーの作成 | BLOB (b) | コンテナー (c) | Create(c) または Write (w) |
| コンテナーのプロパティを取得する | BLOB (b) | コンテナー (c) | 読み取り (r) |
| コンテナー メタデータを取得する | BLOB (b) | コンテナー (c) | 読み取り (r) |
| コンテナー メタデータの設定 | BLOB (b) | コンテナー (c) | 書き込み (w) |
| リース コンテナー | BLOB (b) | コンテナー (c) | 書き込み (w) または削除 (d)1 |
| コンテナーの削除 | BLOB (b) | コンテナー (c) | 削除 (d)1 |
| コンテナー内のタグで BLOB を検索する | BLOB (b) | コンテナー (c) | フィルター (f) |
| BLOB の一覧表示 | BLOB (b) | コンテナー (c) | リスト (l) |
| BLOB を配置する (新しいブロック BLOB を作成する) | BLOB (b) | オブジェクト (o) | 作成 (c) または書き込み (w) |
| PUT BLOB (既存のブロック BLOB を上書き) | BLOB (b) | オブジェクト (o) | 書き込み (w) |
| PUT BLOB (新しいページ BLOB の作成) | BLOB (b) | オブジェクト (o) | 作成 (c) または書き込み (w) |
| BLOB を配置する (既存のページ BLOB を上書きする) | BLOB (b) | オブジェクト (o) | 書き込み (w) |
| BLOB を取得する | BLOB (b) | オブジェクト (o) | 読み取り (r) |
| BLOB のプロパティを取得する | BLOB (b) | オブジェクト (o) | 読み取り (r) |
| BLOB のプロパティを設定する | BLOB (b) | オブジェクト (o) | 書き込み (w) |
| BLOB メタデータを取得する | BLOB (b) | オブジェクト (o) | 読み取り (r) |
| BLOB メタデータの設定 | BLOB (b) | オブジェクト (o) | 書き込み (w) |
| BLOB タグを取得する | BLOB (b) | オブジェクト (o) | タグ (t) |
| BLOB タグの設定 | BLOB (b) | オブジェクト (o) | タグ (t) |
| タグで BLOB を検索する | BLOB (b) | オブジェクト (o) | フィルター (f) |
| BLOB の削除 | BLOB (b) | オブジェクト (o) | 削除 (d)1 |
| BLOB バージョンの削除 | BLOB (b) | オブジェクト (o) | バージョンの削除 (x)2 |
| スナップショット/バージョンを完全に削除する | BLOB (b) | オブジェクト (o) | 完全削除 (y)3 |
| リース BLOB | BLOB (b) | オブジェクト (o) | 書き込み (w) または削除 (d)1 |
| スナップショット BLOB | BLOB (b) | オブジェクト (o) | 作成 (c) または書き込み (w) |
| BLOB のコピー (コピー先は新しい BLOB) | BLOB (b) | オブジェクト (o) | 作成 (c) または書き込み (w) |
| BLOB のコピー (コピー先は既存の BLOB) | BLOB (b) | オブジェクト (o) | 書き込み (w) |
| 増分コピー | BLOB (b) | オブジェクト (o) | 作成 (c) または書き込み (w) |
| BLOB のコピーを中止する | BLOB (b) | オブジェクト (o) | 書き込み (w) |
| Put ブロック | BLOB (b) | オブジェクト (o) | 書き込み (w) |
| ブロック リストの配置 (新しい BLOB の作成) | BLOB (b) | オブジェクト (o) | 書き込み (w) |
| ブロック リストを配置する (既存の BLOB を更新する) | BLOB (b) | オブジェクト (o) | 書き込み (w) |
| ブロック リストの取得 | BLOB (b) | オブジェクト (o) | 読み取り (r) |
| Put ページ | BLOB (b) | オブジェクト (o) | 書き込み (w) |
| ページ範囲を取得する | BLOB (b) | オブジェクト (o) | 読み取り (r) |
| ブロックの追加 | BLOB (b) | オブジェクト (o) | 追加 (a) または書き込み (w) |
| ページのクリア | BLOB (b) | オブジェクト (o) | 書き込み (w) |
1Delete アクセス許可を使用すると、バージョン 2017-07-29 以降の BLOB またはコンテナーのリースを解除できます。
2Delete Version アクセス許可を使用すると、バージョン 2019-12-12 以降の BLOB バージョンを削除できます。
3Permanent Delete アクセス許可を使用すると、バージョン 2020-02-10 以降の BLOB スナップショットまたはバージョンを完全に削除できます。
Queue サービス
次の表に、Queue サービス操作の一覧を示し、それらの操作へのアクセスを委任するタイミングを指定する署名付きリソースの種類と署名付きアクセス許可を示します。
| オペレーション | 署名されたサービス | 署名されたリソースの種類 | 署名されたアクセス許可 |
|---|---|---|---|
| キュー サービスのプロパティを取得する | Queue (q) | サービス (s) | 読み取り (r) |
| キュー サービスのプロパティを設定する | Queue (q) | サービス (s) | 書き込み (w) |
| キューの一覧表示 | Queue (q) | サービス (s) | リスト (l) |
| キュー サービスの統計を取得する | Queue (q) | サービス (s) | 読み取り (r) |
| キューの作成 | Queue (q) | コンテナー (c) | Create(c) または Write (w) |
| キューの削除 | Queue (q) | コンテナー (c) | 削除 (d) |
| キュー メタデータを取得する | Queue (q) | コンテナー (c) | 読み取り (r) |
| キュー メタデータの設定 | Queue (q) | コンテナー (c) | 書き込み (w) |
| メッセージの配置 | Queue (q) | オブジェクト (o) | 追加 (a) |
| メッセージを取得する | Queue (q) | オブジェクト (o) | プロセス (p) |
| メッセージをピークする | Queue (q) | オブジェクト (o) | 読み取り (r) |
| メッセージの削除 | Queue (q) | オブジェクト (o) | プロセス (p) |
| メッセージのクリア | Queue (q) | オブジェクト (o) | 削除 (d) |
| メッセージの更新 | Queue (q) | オブジェクト (o) | 更新 (u) |
Table service
次の表に、Table service 操作の一覧を示し、それらの操作へのアクセスを委任するときに指定する署名付きリソースの種類と署名付きアクセス許可を示します。
| オペレーション | 署名されたサービス | 署名されたリソースの種類 | 署名されたアクセス許可 |
|---|---|---|---|
| Table Service のプロパティを取得する | テーブル (t) | サービス (s) | 読み取り (r) |
| Table Service プロパティの設定 | テーブル (t) | サービス (s) | 書き込み (w) |
| Table Service 統計を取得する | テーブル (t) | サービス (s) | 読み取り (r) |
| クエリ テーブル | テーブル (t) | コンテナー (c) | リスト (l) |
| テーブルの作成 | テーブル (t) | コンテナー (c) | 作成 (c) または書き込み (w) |
| テーブルの削除 | テーブル (t) | コンテナー (c) | 削除 (d) |
| クエリ エンティティ | テーブル (t) | オブジェクト (o) | 読み取り (r) |
| エンティティの挿入 | テーブル (t) | オブジェクト (o) | 追加 (a) |
| エンティティの挿入またはマージ | テーブル (t) | オブジェクト (o) | (a) と Update (u)1 を追加する |
| エンティティの挿入または置換 | テーブル (t) | オブジェクト (o) | (a) と Update (u)1 を追加する |
| エンティティの更新 | テーブル (t) | オブジェクト (o) | 更新 (u) |
| マージ エンティティ | テーブル (t) | オブジェクト (o) | 更新 (u) |
| エンティティの削除 | テーブル (t) | オブジェクト (o) | 削除 (d) |
1 追加と更新のアクセス許可は、Table service のアップサート操作に必要です。
ファイル サービス
次の表に、ファイル サービス操作の一覧を示し、それらの操作へのアクセスを委任するタイミングを指定する署名付きリソースの種類と署名付きアクセス許可を示します。
| オペレーション | 署名されたサービス | 署名されたリソースの種類 | 署名されたアクセス許可 |
|---|---|---|---|
| 共有を一覧表示する | ファイル (f) | サービス (s) | リスト (l) |
| ファイル サービスのプロパティを取得する | ファイル (f) | サービス (s) | 読み取り (r) |
| ファイル サービスのプロパティを設定する | ファイル (f) | サービス (s) | 書き込み (w) |
| 共有統計を取得する | ファイル (f) | コンテナー (c) | 読み取り (r) |
| 共有の作成 | ファイル (f) | コンテナー (c) | 作成 (c) または書き込み (w) |
| スナップショット共有 | ファイル (f) | コンテナー (c) | 作成 (c) または書き込み (w) |
| 共有プロパティを取得する | ファイル (f) | コンテナー (c) | 読み取り (r) |
| 共有プロパティの設定 | ファイル (f) | コンテナー (c) | 書き込み (w) |
| 共有メタデータを取得する | ファイル (f) | コンテナー (c) | 読み取り (r) |
| 共有メタデータの設定 | ファイル (f) | コンテナー (c) | 書き込み (w) |
| 共有の削除 | ファイル (f) | コンテナー (c) | 削除 (d) |
| ディレクトリとファイルを一覧表示する | ファイル (f) | コンテナー (c) | リスト (l) |
| ディレクトリの作成 | ファイル (f) | オブジェクト (o) | 作成 (c) または書き込み (w) |
| ディレクトリのプロパティを取得する | ファイル (f) | オブジェクト (o) | 読み取り (r) |
| ディレクトリ メタデータを取得する | ファイル (f) | オブジェクト (o) | 読み取り (r) |
| ディレクトリ メタデータの設定 | ファイル (f) | オブジェクト (o) | 書き込み (w) |
| ディレクトリの削除 | ファイル (f) | オブジェクト (o) | 削除 (d) |
| ファイルの作成 (新規作成) | ファイル (f) | オブジェクト (o) | 作成 (c) または書き込み (w) |
| ファイルの作成 (既存のものを上書き) | ファイル (f) | オブジェクト (o) | 書き込み (w) |
| ファイルの取得 | ファイル (f) | オブジェクト (o) | 読み取り (r) |
| ファイルのプロパティを取得する | ファイル (f) | オブジェクト (o) | 読み取り (r) |
| ファイル メタデータを取得する | ファイル (f) | オブジェクト (o) | 読み取り (r) |
| ファイル メタデータの設定 | ファイル (f) | オブジェクト (o) | 書き込み (w) |
| ファイルの削除 | ファイル (f) | オブジェクト (o) | 削除 (d) |
| ファイル名の変更 | ファイル (f) | オブジェクト (o) | 削除 (d) または書き込み (w) |
| 範囲の配置 | ファイル (f) | オブジェクト (o) | 書き込み (w) |
| 範囲を一覧表示する | ファイル (f) | オブジェクト (o) | 読み取り (r) |
| ファイルのコピーを中止する | ファイル (f) | オブジェクト (o) | 書き込み (w) |
| ファイルのコピー | ファイル (f) | オブジェクト (o) | 書き込み (w) |
| 範囲のクリア | ファイル (f) | オブジェクト (o) | 書き込み (w) |
アカウント SAS URI の例
次の例は、アカウント SAS トークンが追加された BLOB サービス URI を示しています。 アカウント SAS トークンは、サービス、コンテナー、およびオブジェクトに対するアクセス許可を提供します。 このテーブルは、URI の各部分を分割します。
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| 名前 | SAS 部分 | 説明 |
|---|---|---|
| リソース URI | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
サービス エンドポイント。サービス プロパティを取得するためのパラメーター (GET で呼び出された場合) またはサービス プロパティの設定 (SET で呼び出された場合)。 署名されたサービス フィールド (ss) の値に基づいて、この SAS は Blob Storage または Azure Files で使用できます。 |
| デリミタ | ? |
クエリ文字列の前にある区切り記号。 区切り記号は SAS トークンの一部ではありません。 |
| ストレージ サービスのバージョン | sv=2022-11-02 |
Azure Storage サービス バージョン 2012-02-12 以降の場合、このパラメーターは使用するバージョンを示します。 |
| サービス | ss=b |
SAS は BLOB サービスに適用されます。 |
| リソースの種類 | srt=sco |
SAS は、サービス レベル、コンテナー レベル、およびオブジェクト レベルの操作に適用されます。 |
| アクセス許可 | sp=rwlc |
アクセス許可により、読み取り、書き込み、一覧表示、作成操作へのアクセスが許可されます。 |
| 開始時刻 | st=2019-08-01T22%3A18%3A26Z |
UTC 時刻で指定します。 SAS をすぐに有効にする場合は、開始時刻を省略します。 |
| 有効期限 | se=2019-08-10T02%3A23%3A26Z |
UTC 時刻で指定します。 |
| プロトコル | spr=https |
HTTPS を使用する要求のみが許可されます。 |
| 署名 | sig=<signature> |
BLOB へのアクセスを承認するために使用されます。 署名は、SHA256 アルゴリズムを使用して文字列対符号とキーを使用して計算され、Base64 エンコードを使用してエンコードされる HMAC です。 |
アクセス許可はサービス レベルに制限されているため、この SAS を使用したアクセス可能な操作は、Blob Service プロパティの取得 (読み取り) と
参照
- Shared Access Signature を使用してアクセスを委任する
- ユーザー委任 SAS を作成する
- サービス SAS を作成する
- SAS エラー コード