アカウント SAS を作成する

バージョン 2015-04-05 以降、Azure Storage では、ストレージ アカウントのレベルで新しい種類の共有アクセス署名 (SAS) の作成がサポートされています。 アカウント SAS を作成すると、次のことができます。

  • サービス固有の SAS で現在使用できないサービス レベルの操作 (たとえば、操作) へのアクセスをGet/Set Service PropertiesGet Service Stats委任します。

  • ストレージ アカウント内の複数のサービスへのアクセスを一度に委任します。 たとえば、アカウント SAS を使用して、Azure Blob StorageとAzure Filesの両方のリソースへのアクセスを委任できます。

  • オブジェクト固有の SAS では使用できないコンテナー、キュー、テーブル、ファイル共有の書き込み操作と削除操作へのアクセスを委任します。

  • 要求を受け入れる IP アドレスまたは IP アドレスの範囲を指定します。

  • 要求を受け入れる HTTP プロトコル (HTTPS または HTTP/HTTPS) を指定します。

現在、保存されているアクセス ポリシーは、アカウント SAS ではサポートされていません。

注意事項

共有アクセス署名は、ストレージ リソースにアクセス許可を付与するキーであり、アカウント キーを保護するのと同様に保護する必要があります。 SAS を悪意のある、または意図しない用途から保護することが重要です。 SAS の配布は慎重に行い、侵害された SAS を失効させるための計画を用意しておいてください。 共有アクセス署名を使用する操作は HTTPS 接続経由でのみ実行し、SAS URI は HTTPS などのセキュリティで保護された接続でのみ配布する必要があります。

アカウント SAS を承認する

ストレージ アカウント キーを使用してアカウント SAS をセキュリティで保護します。 アカウント SAS を作成するときは、クライアント アプリケーションがアカウント キーを持っている必要があります。

Azure Active Directory (Azure AD) 資格情報を使用してコンテナーまたは BLOB の SAS をセキュリティで保護するには、 ユーザー委任 SAS を作成します

アカウント SAS URI を構築する

アカウント SAS URI は、SAS がアクセスを委任するリソースへの URI と、SAS トークンで構成されます。 SAS トークンは、リソースへの要求を承認するために必要なすべての情報を含むクエリ文字列です。 アクセスに使用できるサービス、リソース、アクセス許可、および署名が有効な期間を指定します。

アカウントの SAS パラメーターを指定する

SAS トークンの必須パラメーターと省略可能なパラメーターを次の表に示します。

SAS クエリ パラメーター 説明
api-version 省略可能。 アカウント SAS URI を使用して行われた要求の実行に使用するストレージ サービスのバージョンを指定します。
SignedVersion (sv) 必須。 このアカウント SAS で行われた要求を承認するために使用する署名付きストレージ サービスのバージョンを指定します。 バージョン 2015-04-05 以降に設定する必要があります。
SignedServices (ss) 必須。 アカウント SAS でアクセスできる署名済みサービスを指定します。 次の値を指定できます。

- BLOB (b)
- キュー (q)
- テーブル (t)
- ファイル (f)

値を組み合わせて、複数のサービスへのアクセスを提供できます。 たとえば、 ss=bf Blob Storage と Azure Files エンドポイントへのアクセスを指定します。
SignedResourceTypes (srt) 必須。 アカウント SAS でアクセスできる署名付きリソース タイプを指定します。

- サービス (s): サービス レベルの API へのアクセス (サービスプロパティの取得/設定、サービス統計の取得、コンテナー/キュー/テーブル/共有の一覧表示など)。
- コンテナー (c): コンテナー レベルの API へのアクセス (コンテナーの作成/削除、キューの作成/削除、テーブルの作成/削除、共有の作成/削除、BLOB/ファイルとディレクトリの一覧表示など)。
- オブジェクト (o): BLOB、キュー メッセージ、テーブル エンティティ、ファイル (Put Blob、Query Entity、Get Messages、Create File など) のオブジェクト レベル API へのアクセス。

値を組み合わせて、複数のリソース タイプへのアクセスを提供できます。 たとえば、srt=sc は、サービス リソースとコンテナー リソースへのアクセスを指定します。
SignedPermission (sp) 必須。 アカウント SAS の署名付きアクセス許可を指定します。 アクセス許可は、指定された署名付きリソースの種類と一致する場合にのみ有効です。 一致しない場合は無視されます。

- 読み取り (r): すべての署名付きリソース タイプ (サービス、コンテナー、オブジェクト) に有効です。 指定されたリソース タイプに対する読み取りアクセス許可を付与します。
- 書き込み (w): すべての署名付きリソース タイプ (サービス、コンテナー、オブジェクト) に有効です。 指定されたリソース タイプに対する書き込みアクセス許可を付与します。
- 削除 (d): キュー メッセージを除く、コンテナーおよびオブジェクト リソース タイプに有効です。
- 永久削除 (y): BLOB オブジェクト リソース タイプに対してのみ有効です。
- リスト (l): サービスおよびコンテナー リソース タイプに対してのみ有効です。
- 追加 (a): 次のオブジェクト リソース タイプに対してのみ有効です: キュー メッセージ、テーブル エンティティ、追加 BLOB。
- 作成 (c): 次のオブジェクト リソース タイプに対してのみ有効です: BLOB とファイル。 ユーザーは新しい BLOB またはファイルを作成できますが、既存の BLOB またはファイルを上書きすることはできません。
- 更新 (u): 次のオブジェクト リソース タイプに対してのみ有効です: キュー メッセージとテーブル エンティティ。
- プロセス (p): 次のオブジェクト リソース タイプに対してのみ有効です: キュー メッセージ。
- タグ (t): 次のオブジェクト リソース タイプに対してのみ有効です: BLOB。 BLOB タグ操作を許可します。
- フィルター (f): 次のオブジェクト リソース タイプに対してのみ有効です: BLOB。 BLOB タグによるフィルター処理を許可します。
- 不変ポリシーの設定 (i): 次のオブジェクト リソース タイプに対してのみ有効です: BLOB。 BLOB の不変性ポリシーと訴訟ホールドの設定/削除を許可します。
SignedStart (st) 省略可能。 SAS が有効になる時刻 。受け入れ可能な ISO 8601 UTC 形式のいずれかで表されます。 省略した場合、開始時刻はストレージ サービスが要求を受信した時刻と見なされます。 受け入れ可能な UTC 形式の詳細については、「 DateTime 値の書式設定」を参照してください。
SignedExpiry (se) 必須。 共有アクセス署名が無効になる時刻。許可されている ISO 8601 UTC 形式のいずれかで表されます。 受け入れ可能な UTC 形式の詳細については、「 DateTime 値の書式設定」を参照してください。
SignedIP (sip) 省略可能。 要求を受け入れる IP アドレスまたは IP アドレスの範囲を指定します。 範囲を指定する場合は、範囲が包括であることに注意してください。

 たとえば、sip=168.1.5.65 または sip=168.1.5.60-168.1.5.70 です。
SignedProtocol (spr) 省略可能。 アカウント SAS で行われた要求に対して許可されるプロトコルを指定します。 使用可能な値は、HTTPS と HTTP の両方 (https,http) または HTTPS のみ (https) です。 既定値は https,http です。

HTTP のみの値は許可されていないことに注意してください。
SignedEncryptionScope (ses) 省略可能。 要求の内容の暗号化に使用する暗号化スコープを示します。 このフィールドは、バージョン 2020-12-06 以降でサポートされています。
Signature (sig) 必須。 URI の署名部分は、共有アクセス署名で行われた要求を承認するために使用されます。

文字列対署名は、要求を承認するために検証する必要があるフィールドから構築された一意の文字列です。 署名はハッシュ ベースのメッセージ認証コード (HMAC) であり、SHA256 アルゴリズムを使用して文字列から署名とキーを使用して計算され、Base64 エンコードを使用してエンコードされます。

フィールドを指定するsignedVersion

signedVersion (sv) フィールドには、共有アクセス署名のサービス バージョンが含まれています。 この値は、この共有アクセス署名 (フィールド内) で使用される共有キー承認のバージョンを signature 指定します。 この値は、この共有アクセス署名で行われる要求のサービス バージョンも指定します。

Shared Access Signature を使用して要求を実行するときに使用されるバージョンについては、「 Azure Storage サービスのバージョン管理」を参照してください。

このパラメーターが Shared Access Signature で行われた要求の承認にどのように影響するかについては、「Shared Access Signature を使用した アクセスの委任」を参照してください。

フィールド名 Query parameter (クエリ パラメーター) 説明
signedVersion sv 必須。 バージョン 2015-04-05 以降でサポートされています。 この共有アクセス署名を使用して行う要求の承認と処理に使用するストレージ サービスのバージョン。 詳細については、「 Azure Storage サービスのバージョン管理」を参照してください。

IP アドレスまたは IP 範囲を指定する

バージョン 2015-04-05 の時点で、オプション signedIp の (sip) フィールドには、要求を受け入れるパブリック IP アドレスまたはパブリック IP アドレスの範囲を指定します。 要求の発信元の IP アドレスが、SAS トークンで指定された IP アドレスまたはアドレス範囲と一致しない場合、要求は承認されません。

IP アドレスの範囲を指定する場合は、その範囲が包括的であることに注意してください。 たとえば、SAS を指定またはsip=168.1.5.60-168.1.5.70指定するとsip=168.1.5.65、要求はそれらの IP アドレスに制限されます。

次の表では、クライアント環境とストレージ アカウントの signedIp 場所に基づいて、指定したシナリオの SAS トークンにフィールドを含めるかどうかを示します。

クライアント環境 ストレージ アカウントの場所 推奨
Azure で実行されているクライアント クライアントと同じリージョン内 このシナリオでクライアントに提供される SAS には、フィールドの送信 IP アドレスを signedIp 含めることはできません。 指定された送信 IP アドレスを持つ SAS を使用する同じリージョン内から行われた要求は失敗します。

代わりに、Azure 仮想ネットワークを使用してネットワーク のセキュリティ制限を管理します。 同じリージョン内からの Azure Storage への要求は、常にプライベート IP アドレス経由で行われます。 詳細については、Azure Storage ファイアウォールおよび仮想ネットワークの構成に関する記事を参照してください。
Azure で実行されているクライアント クライアントとは異なるリージョン内 このシナリオでクライアントに提供される SAS には、パブリック IP アドレスまたはフィールドのアドレス範囲が signedIp 含まれる場合があります。 SAS で行われた要求は、指定された IP アドレスまたはアドレスの範囲から送信される必要があります。
オンプレミスまたは別のクラウド環境で実行されているクライアント 任意の Azure リージョン このシナリオでクライアントに提供される SAS には、パブリック IP アドレスまたはフィールドのアドレス範囲が signedIp 含まれる場合があります。 SAS で行われた要求は、指定された IP アドレスまたはアドレスの範囲から送信される必要があります。

要求がプロキシまたはゲートウェイを通過する場合は、そのプロキシまたはゲートウェイのパブリック送信 IP アドレスをフィールドに signedIp 指定します。

HTTP プロトコルを指定する

バージョン 2015-04-05 の時点で、省略可能 signedProtocol な (spr) フィールドは、SAS で行われた要求に対して許可されるプロトコルを指定します。 使用可能な値は、HTTPS と HTTP の両方 (https,http) または HTTPS のみ (https) です。 既定値は https,http です。 「HTTP のみ」は、値として許可されていないので注意してください。

暗号化スコープを指定する

URI のフィールドを signedEncryptionScope 使用すると、クライアント アプリケーションで使用できる暗号化スコープを指定できます。 SAS トークンを使用して BLOB (PUT) をアップロードするときに、指定された暗号化スコープを使用してサーバー側の暗号化が適用されます。 GET と HEAD は、以前と同様に制限および実行されません。

次の表では、URI で署名された暗号化スコープを参照する方法について説明します。

フィールド名 Query parameter (クエリ パラメーター) 説明
signedEncryptionScope ses 省略可能。 要求の内容の暗号化に使用する暗号化スコープを示します。

このフィールドは、バージョン 2020-12-06 以降でサポートされています。 サポートされているバージョンより前のバージョンを ses 追加すると、サービスはエラー応答コード 403 (禁止) を返します。

コンテナーまたはファイル システムの既定の暗号化スコープを設定した場合、クエリ パラメーターは ses コンテナー暗号化ポリシーを考慮します。 クエリ パラメーターとx-ms-default-encryption-scopeヘッダーの間sesに不一致があり、x-ms-deny-encryption-scope-overrideヘッダーが設定trueされている場合、サービスはエラー応答コード 403 (禁止) を返します。

PUT 要求で x-ms-encryption-scope ヘッダーとクエリ パラメーターを ses 指定すると、不一致がある場合、サービスはエラー応答コード 400 (Bad Request) を返します。

署名文字列の作成

アカウント SAS の署名文字列を作成するには、最初に要求を構成するフィールドから文字列対署名を作成し、次に文字列を UTF-8 としてエンコードし、HMAC-SHA256 アルゴリズムを使用して署名を計算します。

注意

文字列から署名に含まれるフィールドは、URL デコードする必要があります。

アカウント SAS の文字列対署名を作成するには、次の形式を使用します。

StringToSign = accountname + "\n" +  
    signedpermissions + "\n" +  
    signedservice + "\n" +  
    signedresourcetype + "\n" +  
    signedstart + "\n" +  
    signedexpiry + "\n" +  
    signedIP + "\n" +  
    signedProtocol + "\n" +  
    signedversion + "\n"  
  

バージョン 2020-12-06 では、署名付き暗号化スコープ フィールドのサポートが追加されます。 アカウント SAS の文字列対署名を作成するには、次の形式を使用します。

StringToSign = accountname + "\n" +  
    signedpermissions + "\n" +  
    signedservice + "\n" +  
    signedresourcetype + "\n" +  
    signedstart + "\n" +  
    signedexpiry + "\n" +  
    signedIP + "\n" +  
    signedProtocol + "\n" +  
    signedversion + "\n" +
    signedEncryptionScope + "\n"  
  

操作別のアカウント SAS アクセス許可

次のセクションの表に、各サービスのさまざまな API と、各操作でサポートされる署名付きリソースの種類と署名付きアクセス許可を示します。

Blob service

次の表に、BLOB サービスの操作を示し、それらの操作にアクセスを委任するタイミングを指定する署名付きリソースの種類と署名付きアクセス許可を示します。

操作 署名されたサービス 署名済みリソースの種類 署名されたアクセス許可
List Containers BLOB (b) サービス (1 秒) リスト (l)
Get Blob Service Properties BLOB (b) サービス (1 秒) 読み取り (r)
Set Blob Service Properties BLOB (b) サービス (1 秒) 書き込み (w)
Get Blob Service Stats BLOB (b) サービス (1 秒) 読み取り (r)
コンテナーの作成 BLOB (b) コンテナー (c) Create(c) または Write (w)
コンテナーのプロパティの取得 BLOB (b) コンテナー (c) 読み取り (r)
Get Container Metadata BLOB (b) コンテナー (c) 読み取り (r)
Set Container Metadata BLOB (b) コンテナー (c) 書き込み (w)
Lease Container BLOB (b) コンテナー (c) 書き込み (w) または削除 (d)1
Delete Container BLOB (b) コンテナー (c) 削除 (d)
BLOBs の一覧 BLOB (b) コンテナー (c) リスト (l)
PUT BLOB (新しいブロック BLOB の作成) BLOB (b) オブジェクト (o) 作成 (c) または書き込み (w)
PUT BLOB (既存のブロック BLOB を上書き) BLOB (b) オブジェクト (o) 書き込み (w)
PUT BLOB (新しいページ BLOB の作成) BLOB (b) オブジェクト (o) 作成 (c) または書き込み (w)
PUT BLOB (既存のページ BLOB を上書き) BLOB (b) オブジェクト (o) 書き込み (w)
Get Blob BLOB (b) オブジェクト (o) 読み取り (r)
BLOB のプロパティの取得 BLOB (b) オブジェクト (o) 読み取り (r)
Set Blob Properties BLOB (b) オブジェクト (o) 書き込み (w)
BLOB のメタデータの取得 BLOB (b) オブジェクト (o) 読み取り (r)
Set Blob Metadata BLOB (b) オブジェクト (o) 書き込み (w)
BLOB タグの取得 BLOB (b) オブジェクト (o) タグ (t)
BLOB タグの設定 BLOB (b) オブジェクト (o) タグ (t)
タグによる BLOB の検索 BLOB (b) オブジェクト (o) 検索 (f)
Delete Blob BLOB (b) オブジェクト (o) 削除 (d)
スナップショット/バージョンを完全に削除する BLOB (b) オブジェクト (o) 完全削除 (y)
Lease Blob BLOB (b) オブジェクト (o) 書き込み (w) または削除 (d)1
Snapshot Blob BLOB (b) オブジェクト (o) 作成 (c) または書き込み (w)
BLOB のコピー (コピー先は新しい BLOB) BLOB (b) オブジェクト (o) 作成 (c) または書き込み (w)
BLOB のコピー (コピー先は既存の BLOB) BLOB (b) オブジェクト (o) 書き込み (w)
増分コピー BLOB (b) オブジェクト (o) 作成 (c) または書き込み (w)
Abort Copy Blob BLOB (b) オブジェクト (o) 書き込み (w)
Put Block BLOB (b) オブジェクト (o) 書き込み (w)
ブロック リストの配置 (新しい BLOB の作成) BLOB (b) オブジェクト (o) 書き込み (w)
ブロック リストを配置する (既存の BLOB を更新する) BLOB (b) オブジェクト (o) 書き込み (w)
Get Block List BLOB (b) オブジェクト (o) 読み取り (r)
Put Page BLOB (b) オブジェクト (o) 書き込み (w)
ページ範囲の取得 BLOB (b) オブジェクト (o) 読み取り (r)
[ブロックの追加] BLOB (b) オブジェクト (o) 追加 (a) または書き込み (w)
[クリア] ページ BLOB (b) オブジェクト (o) 書き込み (w)

注意

この Delete アクセス許可を使用すると、バージョン 2017-07-29 以降の BLOB またはコンテナーのリースを解除できます。

Queue service

次の表に、キュー サービス操作の一覧と、それらの操作へのアクセスを委任するタイミングを指定する署名付きリソースの種類と署名付きアクセス許可を示します。

操作 署名済みサービス 署名されたリソースの種類 署名されたアクセス許可
Get Queue Service Properties キュー (q) サービス (s) 読み取り (r)
Set Queue Service Properties キュー (q) サービス (s) 書き込み (w)
キューを一覧表示する キュー (q) サービス (s) リスト (l)
Get Queue Service Stats キュー (q) サービス (s) 読み取り (r)
キューの作成 キュー (q) コンテナー (c) Create(c) または Write (w)
キューの削除 キュー (q) コンテナー (c) 削除 (d)
Get Queue Metadata キュー (q) コンテナー (c) 読み取り (r)
Set Queue Metadata キュー (q) コンテナー (c) 書き込み (w)
Put Message キュー (q) オブジェクト (o) 追加 (a)
メッセージの取得 キュー (q) オブジェクト (o) プロセス (p)
Peek Messages キュー (q) オブジェクト (o) 読み取り (r)
メッセージの削除 キュー (q) オブジェクト (o) プロセス (p)
Clear Messages キュー (q) オブジェクト (o) 削除 (d)
更新メッセージ キュー (q) オブジェクト (o) 更新 (u)

Table service

次の表に、Table Service 操作の一覧と、それらの操作へのアクセスを委任するタイミングを指定する署名付きリソースの種類と署名付きアクセス許可を示します。

操作 署名済みサービス 署名されたリソースの種類 署名されたアクセス許可
Get Table Service Properties テーブル (t) サービス (s) 読み取り (r)
Set Table Service Properties テーブル (t) サービス (1 秒) 書き込み (w)
Table Service の統計情報を取得する テーブル (t) サービス (1 秒) 読み取り (r)
テーブルの照会 テーブル (t) コンテナー (c) リスト (l)
テーブルの作成 テーブル (t) コンテナー (c) 作成 (c) または書き込み (w)
[テーブルの削除] テーブル (t) コンテナー (c) 削除 (d)
エンティティのクエリ テーブル (t) オブジェクト (o) 読み取り (r)
エンティティの挿入 テーブル (t) オブジェクト (o) 追加 (a)
Insert Or Merge Entity テーブル (t) オブジェクト (o) 追加 (a) と更新 (u)1
Insert Or Replace Entity テーブル (t) オブジェクト (o) 追加 (a) と更新 (u)1
エンティティの更新 テーブル (t) オブジェクト (o) 更新 (u)
エンティティの統合 テーブル (t) オブジェクト (o) 更新 (u)
エンティティの削除 テーブル (t) オブジェクト (o) 削除 (d)

1 Table Service のアップサート操作には、追加と更新のアクセス許可が必要です。

File service

次の表に、ファイル サービス操作の一覧を示し、それらの操作にアクセスを委任するタイミングを指定する署名付きリソースの種類と署名付きアクセス許可を示します。

操作 署名されたサービス 署名済みリソースの種類 署名されたアクセス許可
共有のリスト ファイル (f) サービス (1 秒) リスト (l)
ファイル サービスのプロパティの取得 ファイル (f) サービス (1 秒) 読み取り (r)
Set File Service Properties ファイル (f) サービス (1 秒) 書き込み (w)
共有の統計の取得 ファイル (f) コンテナー (c) 読み取り (r)
共有を作成する ファイル (f) コンテナー (c) 作成 (c) または書き込み (w)
スナップショット共有 (Snapshot Share) ファイル (f) コンテナー (c) 作成 (c) または書き込み (w)
共有のプロパティの取得 ファイル (f) コンテナー (c) 読み取り (r)
共有のプロパティの設定 ファイル (f) コンテナー (c) 書き込み (w)
共有メタデータの取得 ファイル (f) コンテナー (c) 読み取り (r)
共有メタデータの設定 ファイル (f) コンテナー (c) 書き込み (w)
共有の削除 ファイル (f) コンテナー (c) 削除 (d)
ディレクトリとファイルのリスト ファイル (f) コンテナー (c) リスト (l)
Create Directory ファイル (f) オブジェクト (o) 作成 (c) または書き込み (w)
ディレクトリ プロパティの取得 ファイル (f) オブジェクト (o) 読み取り (r)
ディレクトリ メタデータの取得 ファイル (f) オブジェクト (o) 読み取り (r)
ディレクトリのメタデータの設定 ファイル (f) オブジェクト (o) 書き込み (w)
ディレクトリの削除 ファイル (f) オブジェクト (o) 削除 (d)
ファイルの作成 (新規作成) ファイル (f) オブジェクト (o) 作成 (c) または書き込み (w)
ファイルの作成 (既存のファイルを上書き) ファイル (f) オブジェクト (o) 書き込み (w)
Get File ファイル (f) オブジェクト (o) 読み取り (r)
ファイル プロパティの取得 ファイル (f) オブジェクト (o) 読み取り (r)
ファイルのメタデータを取得する ファイル (f) オブジェクト (o) 読み取り (r)
Set File Metadata ファイル (f) オブジェクト (o) 書き込み (w)
ファイルの削除 ファイル (f) オブジェクト (o) 削除 (d)
Put Range ファイル (f) オブジェクト (o) 書き込み (w)
List Ranges ファイル (f) オブジェクト (o) 読み取り (r)
Abort Copy File ファイル (f) オブジェクト (o) 書き込み (w)
ファイルのコピー ファイル (f) オブジェクト (o) 書き込み (w)
範囲のクリア ファイル (f) オブジェクト (o) 書き込み (w)

アカウント SAS URI の例

次の例は、BLOB に対する読み取りおよび書き込みアクセス許可を提供するアカウント SAS URI を示しています。 次の表は、URI の各部分を分解します。

https://myaccount.blob.core.windows.net/?restype=service&comp=properties&sv=2019-02-02&ss=bf&srt=s&st=2019-08-01T22%3A18%3A26Z&se=2019-08-10T02%3A23%3A26Z&sr=b&sp=rw&sip=168.1.5.60-168.1.5.70&spr=https&sig=F%6GRVAZ5Cdj2Pw4tgU7IlSTkWgn7bUkkAg8P6HESXwmf%4B
名前 SAS の部分 説明
リソース URI https://myaccount.blob.core.windows.net/?restype=service&comp=properties サービス エンドポイント。サービス プロパティを取得するためのパラメーター (GET で呼び出された場合) またはサービス プロパティの設定 (SET で呼び出された場合)。 署名されたサービス フィールド (ss) の値に基づいて、この SAS は Blob Storage またはAzure Filesで使用できます。
ストレージ サービスのバージョン sv=2019-02-02 Azure Storage サービス バージョン 2012-02-12 以降の場合、このパラメーターは使用するバージョンを示します。
サービス ss=bf SAS は BLOB サービスとファイル サービスに適用されます。
リソースの種類 srt=s SAS は、サービスレベルの操作に適用されます。
開始時刻 st=2019-08-01T22%3A18%3A26Z UTC 時間で指定。 SAS をすぐに有効にする場合は、開始時刻を省略します。
有効期限 se=2019-08-10T02%3A23%3A26Z UTC 時間で指定。
アクセス許可 sp=rw この許可は、読み書きの操作へのアクセスを付与します。
IP 範囲 sip=168.1.5.60-168.1.5.70 要求が受け入れられる IP アドレスの範囲です。
Protocol spr=https HTTPS を使用する要求のみが許可されます。
署名 sig=F%6GRVAZ5Cdj2Pw4tgU7IlSTkWgn7bUkkAg8P6HESXwmf%4B BLOB へのアクセスを承認するために使用します。 署名は、SHA256 アルゴリズムを使用して文字列から署名とキーに対して計算され、Base64 エンコードを使用してエンコードされる HMAC です。

アクセス許可はサービス レベルに制限されているため、この SAS を使用したアクセス可能な操作は、 Blob Service のプロパティの取得 (読み取り) と Blob Service プロパティの設定 (書き込み) です。 ただし、別のリソース URI に同じ SAS トークンを使用し、 Get BLOB Service Stats (読み取り) へのアクセスを委任することもできます。

こちらもご覧ください