공유 액세스 서명을 사용하여 액세스 위임
중요
최적의 보안을 위해 Microsoft는 가능한 한 관리 ID와 함께 Microsoft Entra ID 사용하여 Blob, 큐 및 테이블 데이터에 대한 요청에 권한을 부여하는 것이 좋습니다. Microsoft Entra ID 및 관리 ID를 사용한 권한 부여는 공유 키 권한 부여를 통해 뛰어난 보안 및 사용 편의성을 제공합니다. 자세한 내용은 Microsoft Entra ID 권한 부여를 참조하세요. 관리 ID에 대한 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.
온-프레미스 애플리케이션과 같이 Azure 외부에서 호스트되는 리소스의 경우 Azure Arc를 통해 관리 ID를 사용할 수 있습니다. 예를 들어 Azure Arc 지원 서버에서 실행되는 앱은 관리 ID를 사용하여 Azure 서비스에 연결할 수 있습니다. 자세한 내용은 Azure Arc 지원 서버를 사용하여 Azure 리소스에 대해 인증을 참조하세요.
SAS(공유 액세스 서명)를 사용하는 시나리오의 경우 사용자 위임 SAS를 사용하는 것이 좋습니다. 사용자 위임 SAS는 계정 키 대신 Microsoft Entra 자격 증명으로 보호됩니다. 공유 액세스 서명에 대한 자세한 내용은 사용자 위임 SAS Create 참조하세요.
SAS(공유 액세스 서명)는 Azure Storage 리소스에 대한 제한된 액세스 권한을 부여하는 URI입니다. 스토리지 계정 키로 신뢰할 수 없지만 특정 스토리지 계정 리소스에 액세스해야 하는 클라이언트에 공유 액세스 서명을 제공할 수 있습니다. 이 클라이언트에게 SAS URI를 배포하여 지정된 기간 동안, 지정된 사용 권한 집합으로 리소스에 액세스하도록 허용할 수 있습니다.
SAS 토큰을 구성하는 URI 쿼리 매개 변수는 스토리지 리소스에 대한 제어된 액세스 권한을 부여하는 데 필요한 모든 정보를 통합합니다. SAS가 있는 클라이언트는 SAS URI만 사용하여 Azure Storage에 대해 요청할 수 있습니다. SAS 토큰의 정보는 요청에 권한을 부여하는 데 사용됩니다.
공유 액세스 서명 유형
Azure Storage는 다음과 같은 유형의 공유 액세스 서명을 지원합니다.
버전 2015-04-05와 함께 도입된 계정 SAS입니다. 이 유형의 SAS는 하나 이상의 스토리지 서비스에서 리소스에 대한 액세스를 위임합니다. 서비스 SAS를 통해 사용 가능한 모든 작업은 계정 SAS를 통해서도 사용할 수 있습니다.
계정 SAS를 사용하면 및
Get Service Stats와 같은Get/Set Service Properties서비스에 적용되는 작업에 대한 액세스를 위임할 수 있습니다. 또한 서비스 SAS로 허용되지 않는 Blob 컨테이너, 테이블, 큐, 파일 공유에서 읽기, 쓰기, 삭제 작업에 대한 액세스 권한을 위임할 수 있습니다.자세한 내용은 계정 SAS 만들기를 참조하세요.
서비스 SAS. 이 유형의 SAS는 Azure Blob Storage, Azure Queue Storage, Azure Table Storage 또는 Azure Files 스토리지 서비스 중 하나에서만 리소스에 대한 액세스를 위임합니다. 자세한 내용은 서비스 SAS 및 서비스 SAS 예제 Create참조하세요.
버전 2018-11-09에 도입된 사용자 위임 SAS. 이 유형의 SAS는 Microsoft Entra 자격 증명으로 보호됩니다. Blob Storage에 대해서만 지원되며, 이를 사용하여 컨테이너 및 Blob에 대한 액세스 권한을 부여할 수 있습니다. 자세한 내용은 사용자 위임 SAS 만들기를 참조하세요.
또한 서비스 SAS는 서명 집합에 대한 다른 수준의 제어를 제공하는 저장된 액세스 정책을 참조할 수 있습니다. 이 컨트롤에는 필요한 경우 리소스에 대한 액세스를 수정하거나 취소하는 기능이 포함됩니다. 자세한 내용은 저장된 액세스 정책 정의를 참조하세요.
참고
저장된 액세스 정책은 현재 계정 SAS 또는 사용자 위임 SAS에 대해 지원되지 않습니다.