Een account-SAS maken
Belangrijk
Voor optimale beveiliging raadt Microsoft aan om Microsoft Entra ID met beheerde identiteiten te gebruiken om aanvragen te autoriseren voor blob-, wachtrij- en tabelgegevens, indien mogelijk. Autorisatie met Microsoft Entra ID en beheerde identiteiten biedt superieure beveiliging en gebruiksgemak ten opzichte van autorisatie van gedeelde sleutels. Zie Autoriseren met Microsoft Entra IDvoor meer informatie. Zie Wat zijn beheerde identiteiten voor Azure-resourcesvoor meer informatie over beheerde identiteiten.
Voor resources die buiten Azure worden gehost, zoals on-premises toepassingen, kunt u beheerde identiteiten gebruiken via Azure Arc. Apps die worden uitgevoerd op servers met Azure Arc kunnen bijvoorbeeld beheerde identiteiten gebruiken om verbinding te maken met Azure-services. Zie Verifiëren bij Azure-resources met servers met Azure Arcvoor meer informatie.
Voor scenario's waarin SHARED Access Signatures (SAS) worden gebruikt, raadt Microsoft aan een SAS voor gebruikersdelegering te gebruiken. Een SAS voor gebruikersdelegering wordt beveiligd met Microsoft Entra-referenties in plaats van de accountsleutel. Zie Sas-voor gebruikersdelegering maken voor meer informatie over handtekeningen voor gedeelde toegang.
Vanaf versie 2015-04-05 ondersteunt Azure Storage het maken van een nieuw type Shared Access Signature (SAS) op het niveau van het opslagaccount. Door een account-SAS te maken, kunt u het volgende doen:
Gedelegeerdentoegang tot bewerkingen op serviceniveau die momenteel niet beschikbaar zijn met een servicespecifieke SAS, zoals de
Get/Set Service Properties- enGet Service Stats-bewerkingen.Gedelegeerdentoegang tot meer dan één service in een opslagaccount tegelijk. U kunt bijvoorbeeld toegang tot resources delegeren in zowel Azure Blob Storage als Azure Files met behulp van een account-SAS.
Gedelegeerdentoegang tot schrijf- en verwijderbewerkingen voor containers, wachtrijen, tabellen en bestandsshares, die niet beschikbaar zijn met een objectspecifieke SAS.
Geef een IP-adres of een bereik van IP-adressen op waaruit aanvragen moeten worden geaccepteerd.
Geef het HTTP-protocol op van waaruit aanvragen moeten worden geaccepteerd (HTTPS of HTTP/HTTPS).
Opgeslagen toegangsbeleid wordt momenteel niet ondersteund voor een account-SAS.
Waarschuwing
Handtekeningen voor gedeelde toegang zijn sleutels die machtigingen verlenen voor opslagbronnen en u moet deze beveiligen net zoals u een accountsleutel zou beveiligen. Het is belangrijk om een SAS te beschermen tegen schadelijk of onbedoeld gebruik. Gebruik discretie bij het distribueren van een SAS en een plan voor het intrekken van een gecompromitteerde SAS. Bewerkingen die gebruikmaken van handtekeningen voor gedeelde toegang moeten alleen worden uitgevoerd via een HTTPS-verbinding en SAS-URI's moeten alleen worden gedistribueerd op een beveiligde verbinding, zoals HTTPS.
Een account-SAS autoriseren
U beveiligt een account-SAS met behulp van een opslagaccountsleutel. Wanneer u een account-SAS maakt, moet uw clienttoepassing beschikken over de accountsleutel.
Als u Microsoft Entra-referenties wilt gebruiken om een SAS voor een container of blob te beveiligen, u een SAS-gebruikersdelegatie-maken.
Een SAS-URI voor het account maken
De SAS-URI van het account bestaat uit de URI voor de resource waarvoor de SAS toegang delegeert, gevolgd door een SAS-token. Het SAS-token is de queryreeks die alle informatie bevat die nodig is om een aanvraag voor de resource te autoriseren. Hiermee geeft u de service, resource en machtigingen op die beschikbaar zijn voor toegang en de periode waarin de handtekening geldig is.
De SAS-parameters voor het account opgeven
De vereiste en optionele parameters voor het SAS-token worden beschreven in de volgende tabel:
| SAS-queryparameter | Beschrijving |
|---|---|
api-version |
Optioneel. Hiermee geeft u de versie van de opslagservice op die moet worden gebruikt om de aanvraag uit te voeren die is gedaan met behulp van de SAS-URI van het account. Zie Aanvragen autoriseren met behulp van een shared access signaturevoor meer informatie. |
SignedVersion (sv) |
Vereist. Hiermee geeft u de ondertekende opslagserviceversie op die moet worden gebruikt om aanvragen te autoriseren die zijn gedaan met deze account-SAS. Deze moet zijn ingesteld op versie 2015-04-05 of hoger. Zie Aanvragen autoriseren met behulp van een shared access signaturevoor meer informatie. |
SignedServices (ss) |
Vereist. Hiermee geeft u de ondertekende services die toegankelijk zijn met de account-SAS. Mogelijke waarden zijn: - Blob ( b)- Wachtrij ( q)- Tabel ( t)- Bestand ( f)U kunt waarden combineren om toegang te bieden tot meer dan één service. ss=bf geeft bijvoorbeeld de toegang tot de Blob Storage- en Azure Files-eindpunten op. |
SignedResourceTypes (srt) |
Vereist. Hiermee geeft u de ondertekende resourcetypen op die toegankelijk zijn met de account-SAS. - Service ( s): Toegang tot API's op serviceniveau (bijvoorbeeld Service-eigenschappen ophalen/instellen, Servicestatistieken ophalen, Containers/Wachtrijen/Tabellen/Shares weergeven).- Container ( c): Toegang tot API's op containerniveau (bijvoorbeeld Container maken/verwijderen, Wachtrij maken/verwijderen, Tabel maken/verwijderen, Share maken/verwijderen, lijstblobs/bestanden en mappen).- Object ( o): Toegang tot API's op objectniveau voor blobs, wachtrijberichten, tabelentiteiten en bestanden (bijvoorbeeld Put Blob, Query Entity, Get Messages, Create File).U kunt waarden combineren om toegang te bieden tot meer dan één resourcetype. srt=sc geeft bijvoorbeeld de toegang tot service- en containerbronnen op. |
SignedPermissions (sp) |
Vereist. Hiermee geeft u de ondertekende machtigingen voor de account-SAS. Machtigingen zijn alleen geldig als ze overeenkomen met het opgegeven ondertekende resourcetype. Als ze niet overeenkomen, worden ze genegeerd. - Lezen ( r): Geldig voor alle ondertekende resourcetypen (Service, Container en Object). Hiermee staat u leesmachtigingen toe voor het opgegeven resourcetype.- Schrijven ( w): Geldig voor alle ondertekende resourcetypen (Service, Container en Object). Hiermee staat u schrijftoegang toe voor het opgegeven resourcetype, zodat een gebruiker resources kan maken en bijwerken.- Verwijderen ( d): geldig voor resourcetypen container en object, met uitzondering van wachtrijberichten.- Verwijder versie ( x): alleen geldig voor objectresourcetype blob.- Permanent verwijderen ( y): alleen geldig voor objectresourcetype blob.- Lijst ( l): alleen geldig voor service- en containerresourcetypen.- Toevoegen ( a): alleen geldig voor de volgende objectresourcetypen: wachtrijberichten, tabelentiteiten en toevoeg-blobs.- Maken ( c): Geldig voor containerresourcetypen en de volgende objectresourcetypen: blobs en bestanden. Gebruikers kunnen nieuwe resources maken, maar kunnen bestaande resources mogelijk niet overschrijven.- Bijwerken ( u): alleen geldig voor de volgende objectresourcetypen: wachtrijberichten en tabelentiteiten.- Proces ( p): Alleen geldig voor het volgende objectresourcetype: wachtrijberichten.- Tag ( t): Alleen geldig voor het volgende objectresourcetype: blobs. Staat bewerkingen voor blobtags toe.- Filter ( f): alleen geldig voor het volgende objectresourcetype: blob. Hiermee kunt u filteren op blobtag.- Stel beleid voor onveranderbaarheid ( i): alleen geldig voor het volgende objectresourcetype: blob. Hiermee kunt u beleid voor onveranderbaarheid en juridische bewaring voor een blob instellen/verwijderen. |
SignedStart (st) |
Optioneel. Het tijdstip waarop de SAS geldig wordt, uitgedrukt in een van de geaccepteerde ISO 8601 UTC-indelingen. Als dit wordt weggelaten, wordt ervan uitgegaan dat de begintijd de tijd is waarop de opslagservice de aanvraag ontvangt. Zie Datum/tijd-waarden opmakenvoor meer informatie over geaccepteerde UTC-indelingen. |
SignedExpiry (se) |
Vereist. Het tijdstip waarop de handtekening voor gedeelde toegang ongeldig wordt, uitgedrukt in een van de geaccepteerde ISO 8601 UTC-indelingen. Zie Datum/tijd-waarden opmakenvoor meer informatie over geaccepteerde UTC-indelingen. |
SignedIP (sip) |
Optioneel. Hiermee geeft u een IP-adres of een bereik van IP-adressen waaruit aanvragen moeten worden geaccepteerd. Wanneer u een bereik opgeeft, moet u er rekening mee houden dat het bereik inclusief is. Alleen IPv4-adressen ondersteund. Bijvoorbeeld sip=198.51.100.0 of sip=198.51.100.10-198.51.100.20. |
SignedProtocol (spr) |
Optioneel. Hiermee geeft u het protocol op dat is toegestaan voor een aanvraag die is gedaan met de account-SAS. Mogelijke waarden zijn zowel HTTPS als HTTP (alleenhttps,http) of HTTPS (https). De standaardwaarde is https,http.Http is alleen geen toegestane waarde. |
SignedEncryptionScope (ses) |
Optioneel. Geeft het versleutelingsbereik aan dat moet worden gebruikt om de inhoud van de aanvraag te versleutelen. Dit veld wordt ondersteund met versie 2020-12-06 en hoger. |
Signature (sig) |
Vereist. Het handtekeninggedeelte van de URI wordt gebruikt om de aanvraag te autoriseren die is gedaan met de handtekening voor gedeelde toegang. Het tekenreeks-naar-teken is een unieke tekenreeks die is samengesteld uit de velden die moeten worden geverifieerd om de aanvraag te autoriseren. De handtekening is een HMAC (hash-based message authentication code) die wordt berekend via de tekenreeks-naar-teken en sleutel met behulp van het SHA256-algoritme en vervolgens gecodeerd met base64-codering. |
Geef het signedVersion veld op
Het veld signedVersion (sv) bevat de serviceversie van de handtekening voor gedeelde toegang. Met deze waarde geeft u de versie op van de autorisatie van gedeelde sleutels die wordt gebruikt door deze Shared Access Signature (in het veld signature). De waarde geeft ook de serviceversie op voor aanvragen die worden gedaan met deze handtekening voor gedeelde toegang.
Zie Versiebeheer voor Azure Storage-servicesvoor informatie over welke versie wordt gebruikt wanneer u aanvragen uitvoert via een handtekening voor gedeelde toegang.
Zie Toegang delegeren met een handtekening voor gedeelde toegangvoor informatie over hoe deze parameter van invloed is op de autorisatie van aanvragen die zijn gedaan met een handtekening voor gedeelde toegang.
| Veldnaam | Queryparameter | Beschrijving |
|---|---|---|
signedVersion |
sv |
Vereist. Ondersteund in versie 2015-04-05 en hoger. De versie van de opslagservice die moet worden gebruikt voor het autoriseren en verwerken van aanvragen die u met deze handtekening voor gedeelde toegang doet. Zie Versiebeheer voor Azure Storage-servicesvoor meer informatie. |
Een IP-adres of IP-bereik opgeven
Vanaf versie 2015-04-05 geeft het optionele signedIp (sip) een openbaar IP-adres of een bereik van openbare IP-adressen op waaruit aanvragen moeten worden geaccepteerd. Als het IP-adres van waaruit de aanvraag afkomstig is niet overeenkomt met het IP-adres of het adresbereik dat is opgegeven op het SAS-token, wordt de aanvraag niet geautoriseerd. Alleen IPv4-adressen ondersteund.
Wanneer u een bereik met IP-adressen opgeeft, moet u er rekening mee houden dat het bereik inclusief is. Als u bijvoorbeeld sip=198.51.100.0 of sip=198.51.100.10-198.51.100.20 opgeeft in de SAS, wordt de aanvraag beperkt tot deze IP-adressen.
In de volgende tabel wordt beschreven of het veld signedIp moet worden opgenomen in een SAS-token voor een opgegeven scenario, op basis van de clientomgeving en de locatie van het opslagaccount.
| Clientomgeving | Locatie van opslagaccount | Aanbeveling |
|---|---|---|
| Client die wordt uitgevoerd in Azure | In dezelfde regio als de client | Een SAS die in dit scenario aan de client wordt verstrekt, mag geen uitgaand IP-adres voor het veld signedIp bevatten. Aanvragen die worden gedaan vanuit dezelfde regio die gebruikmaken van een SAS met een opgegeven uitgaande IP-adres, mislukken.Gebruik in plaats daarvan een virtueel Azure-netwerk om netwerkbeveiligingsbeperkingen te beheren. Aanvragen naar Azure Storage vanuit dezelfde regio vinden altijd plaats via een privé-IP-adres. Raadpleeg Firewalls en virtuele netwerken voor Azure Storage configureren voor meer informatie. |
| Client die wordt uitgevoerd in Azure | In een andere regio dan de client | Een SAS die in dit scenario aan de client wordt verstrekt, kan een openbaar IP-adres of een bereik van adressen voor het signedIp veld bevatten. Een aanvraag met de SAS moet afkomstig zijn van het opgegeven IP-adres of het opgegeven ip-adresbereik. |
| Client die on-premises of in een andere cloudomgeving wordt uitgevoerd | In elke Azure-regio | Een SAS die in dit scenario aan de client wordt verstrekt, kan een openbaar IP-adres of een bereik van adressen voor het signedIp veld bevatten. Een aanvraag met de SAS moet afkomstig zijn van het opgegeven IP-adres of het opgegeven ip-adresbereik.Als de aanvraag via een proxy of gateway wordt doorgegeven, geeft u het openbare uitgaande IP-adres van die proxy of gateway op voor het veld signedIp. |
Het HTTP-protocol opgeven
Vanaf versie 2015-04-05 geeft het optionele signedProtocol (spr) het protocol op dat is toegestaan voor een aanvraag die is gedaan met de SAS. Mogelijke waarden zijn zowel HTTPS als HTTP (alleenhttps,http) of HTTPS (https). De standaardwaarde is https,http. HTTP is alleen geen toegestane waarde.
Het versleutelingsbereik opgeven
Met behulp van het veld signedEncryptionScope op de URI kunt u het versleutelingsbereik opgeven dat de clienttoepassing kan gebruiken. Hiermee wordt de versleuteling aan de serverzijde afgedwongen met het opgegeven versleutelingsbereik wanneer u blobs (PUT) uploadt met het SAS-token. De GET en HEAD worden niet beperkt en uitgevoerd zoals voorheen.
In de volgende tabel wordt beschreven hoe u naar een ondertekend versleutelingsbereik op de URI verwijst:
| Veldnaam | Queryparameter | Beschrijving |
|---|---|---|
signedEncryptionScope |
ses |
Optioneel. Geeft het versleutelingsbereik aan dat moet worden gebruikt om de inhoud van de aanvraag te versleutelen. |
Dit veld wordt ondersteund met versie 2020-12-06 of hoger. Als u de ses toevoegt vóór de ondersteunde versie, retourneert de service foutcode 403 (Verboden).
Als u het standaardversleutelingsbereik voor de container of het bestandssysteem instelt, respecteert de ses queryparameter het containerversleutelingsbeleid. Als de ses queryparameter en x-ms-default-encryption-scope header niet overeenkomen en de x-ms-deny-encryption-scope-override-header is ingesteld op true, retourneert de service foutcode 403 (Verboden).
Wanneer u de x-ms-encryption-scope header en de ses queryparameter in de PUT-aanvraag opgeeft, retourneert de service foutcode 400 (Ongeldige aanvraag) als er een onjuiste overeenkomst is.
De tekenreeks voor de handtekening maken
Als u de handtekeningtekenreeks voor een account-SAS wilt maken, moet u eerst de tekenreeks maken op basis van de velden die de aanvraag opstellen en vervolgens de tekenreeks coderen als UTF-8 en de handtekening berekenen met behulp van het algoritme HMAC-SHA256.
Notitie
De velden die zijn opgenomen in het tekenreeks-naar-teken, moeten url-decoderen.
Gebruik de volgende indeling om de tekenreeks-naar-teken voor een account-SAS samen te stellen:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
Versie 2020-12-06 voegt ondersteuning toe voor het veld ondertekend versleutelingsbereik. Gebruik de volgende indeling om de tekenreeks-naar-teken voor een account-SAS samen te stellen:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
SAS-machtigingen voor accounts per bewerking
De tabellen in de volgende secties bevatten verschillende API's voor elke service en de ondertekende resourcetypen en ondertekende machtigingen die voor elke bewerking worden ondersteund.
Blob-service
De volgende tabel bevat bewerkingen van de Blob-service en geeft aan welk ondertekend resourcetype en ondertekende machtigingen moeten worden opgegeven wanneer u toegang tot deze bewerkingen delegeert.
| Operation | Ondertekende service | Ondertekend resourcetype | Ondertekende machtiging |
|---|---|---|---|
| Containers vermelden | Blob (b) | Service (s) | Lijst (l) |
| Eigenschappen van blobservice ophalen | Blob (b) | Service (s) | Lezen (r) |
| Eigenschappen van blobservice instellen | Blob (b) | Service (s) | Schrijven (w) |
| Blob-servicestatistieken ophalen | Blob (b) | Service (s) | Lezen (r) |
| Container maken | Blob (b) | Container (c) | Create(c) of Write (w) |
| Containereigenschappen ophalen | Blob (b) | Container (c) | Lezen (r) |
| Containermetagegevens ophalen | Blob (b) | Container (c) | Lezen (r) |
| Containermetagegevens instellen | Blob (b) | Container (c) | Schrijven (w) |
| Leasecontainer | Blob (b) | Container (c) | Schrijven (w) of verwijderen (d)1 |
| Container verwijderen | Blob (b) | Container (c) | Verwijderen (d)1 |
| Blobs zoeken op tags in container | Blob (b) | Container (c) | Filter (f) |
| Lijst met blobs | Blob (b) | Container (c) | Lijst (l) |
| Blob plaatsen (nieuwe blok-blob maken) | Blob (b) | Object (o) | Maken (c) of schrijven (w) |
| Blob plaatsen (bestaande blok-blob overschrijven) | Blob (b) | Object (o) | Schrijven (w) |
| Blob plaatsen (nieuwe pagina-blob maken) | Blob (b) | Object (o) | Maken (c) of schrijven (w) |
| Blob plaatsen (bestaande pagina-blob overschrijven) | Blob (b) | Object (o) | Schrijven (w) |
| Blob ophalen | Blob (b) | Object (o) | Lezen (r) |
| Blobeigenschappen ophalen | Blob (b) | Object (o) | Lezen (r) |
| Blobeigenschappen instellen | Blob (b) | Object (o) | Schrijven (w) |
| Blobmetagegevens ophalen | Blob (b) | Object (o) | Lezen (r) |
| Blobmetagegevens instellen | Blob (b) | Object (o) | Schrijven (w) |
| Blobtags ophalen | Blob (b) | Object (o) | Tags (t) |
| Blobtags instellen | Blob (b) | Object (o) | Tags (t) |
| Blobs zoeken op tags | Blob (b) | Object (o) | Filter (f) |
| Blob verwijderen | Blob (b) | Object (o) | Verwijderen (d)1 |
| Blobversie verwijderen | Blob (b) | Object (o) | Versie (x) verwijderen2 |
| Momentopname/versie definitief verwijderen | Blob (b) | Object (o) | Permanent verwijderen (y)3 |
| Lease-blob | Blob (b) | Object (o) | Schrijven (w) of verwijderen (d)1 |
| Momentopnameblob | Blob (b) | Object (o) | Maken (c) of schrijven (w) |
| Blob kopiëren (doel is nieuwe blob) | Blob (b) | Object (o) | Maken (c) of schrijven (w) |
| Blob kopiëren (doel is een bestaande blob) | Blob (b) | Object (o) | Schrijven (w) |
| Incrementeel kopiëren | Blob (b) | Object (o) | Maken (c) of schrijven (w) |
| Blob kopiëren afbreken | Blob (b) | Object (o) | Schrijven (w) |
| Blok plaatsen | Blob (b) | Object (o) | Schrijven (w) |
| Bloklijst plaatsen (nieuwe blob maken) | Blob (b) | Object (o) | Schrijven (w) |
| Bloklijst plaatsen (bestaande blob bijwerken) | Blob (b) | Object (o) | Schrijven (w) |
| Bloklijst ophalen | Blob (b) | Object (o) | Lezen (r) |
| Pagina plaatsen | Blob (b) | Object (o) | Schrijven (w) |
| Paginabereiken ophalen | Blob (b) | Object (o) | Lezen (r) |
| Toevoegblok | Blob (b) | Object (o) | Toevoegen (a) of schrijven (w) |
| Pagina wissen | Blob (b) | Object (o) | Schrijven (w) |
1 Met de machtiging Delete kunt u een lease op een blob of container verbreken met versie 2017-07-29 en hoger.
2 Met de machtiging Delete Version kunt u blobversies verwijderen met versie 2019-12-12 en hoger.
3 Met de machtiging Permanent Delete kunt u een blob-momentopname of -versie permanent verwijderen met versie 2020-02-10 en hoger.
Queue-service
De volgende tabel bevat wachtrijservicebewerkingen en geeft aan welk ondertekend resourcetype en ondertekende machtigingen moeten worden opgegeven wanneer u toegang tot deze bewerkingen delegeert.
| Operation | Ondertekende service | Ondertekend resourcetype | Ondertekende machtiging |
|---|---|---|---|
| Eigenschappen van wachtrijservice ophalen | Wachtrij (q) | Service (s) | Lezen (r) |
| Eigenschappen van wachtrijservice instellen | Wachtrij (q) | Service (s) | Schrijven (w) |
| Wachtrijen weergeven | Wachtrij (q) | Service (s) | Lijst (l) |
| Wachtrijservicestatistieken ophalen | Wachtrij (q) | Service (s) | Lezen (r) |
| Wachtrij maken | Wachtrij (q) | Container (c) | Create(c) of Write (w) |
| Wachtrij verwijderen | Wachtrij (q) | Container (c) | Verwijderen (d) |
| Wachtrijmetagegevens ophalen | Wachtrij (q) | Container (c) | Lezen (r) |
| Wachtrijmetagegevens instellen | Wachtrij (q) | Container (c) | Schrijven (w) |
| Bericht plaatsen | Wachtrij (q) | Object (o) | Toevoegen (a) |
| Berichten ophalen | Wachtrij (q) | Object (o) | Proces (p) |
| Berichten bekijken | Wachtrij (q) | Object (o) | Lezen (r) |
| Bericht verwijderen | Wachtrij (q) | Object (o) | Proces (p) |
| Berichten wissen | Wachtrij (q) | Object (o) | Verwijderen (d) |
| Bericht bijwerken | Wachtrij (q) | Object (o) | Bijwerken (u) |
Tabelservice
De volgende tabel bevat tabelservicebewerkingen en geeft aan welk ondertekend resourcetype en ondertekende machtigingen moeten worden opgegeven wanneer u toegang tot deze bewerkingen delegeert.
| Operation | Ondertekende service | Ondertekend resourcetype | Ondertekende machtiging |
|---|---|---|---|
| Tabelservice-eigenschappen ophalen | Tabel (t) | Service (s) | Lezen (r) |
| Eigenschappen van tabelservice instellen | Tabel (t) | Service (s) | Schrijven (w) |
| Tabelservicestatistieken ophalen | Tabel (t) | Service (s) | Lezen (r) |
| Querytabellen | Tabel (t) | Container (c) | Lijst (l) |
| Tabel aanmaken | Tabel (t) | Container (c) | Maken (c) of schrijven (w) |
| Tabel verwijderen | Tabel (t) | Container (c) | Verwijderen (d) |
| Query-entiteiten | Tabel (t) | Object (o) | Lezen (r) |
| Entiteit invoegen | Tabel (t) | Object (o) | Toevoegen (a) |
| Entiteit invoegen of samenvoegen | Tabel (t) | Object (o) | Toevoegen (a) en bijwerken (u)1 |
| Entiteit invoegen of vervangen | Tabel (t) | Object (o) | Toevoegen (a) en bijwerken (u)1 |
| Entiteit bijwerken | Tabel (t) | Object (o) | Bijwerken (u) |
| Entiteit samenvoegen | Tabel (t) | Object (o) | Bijwerken (u) |
| Entiteit verwijderen | Tabel (t) | Object (o) | Verwijderen (d) |
1 machtigingen voor toevoegen en bijwerken zijn vereist voor upsert-bewerkingen in de Tabelservice.
Bestandsservice
De volgende tabel bevat bestandsservicebewerkingen en geeft aan welk ondertekend resourcetype en ondertekende machtigingen moeten worden opgegeven wanneer u toegang tot deze bewerkingen delegeert.
| Operation | Ondertekende service | Ondertekend resourcetype | Ondertekende machtiging |
|---|---|---|---|
| Lijstshares | Bestand (f) | Service (s) | Lijst (l) |
| Eigenschappen van bestandsservice ophalen | Bestand (f) | Service (s) | Lezen (r) |
| Eigenschappen van bestandsservice instellen | Bestand (f) | Service (s) | Schrijven (w) |
| Statistieken voor delen ophalen | Bestand (f) | Container (c) | Lezen (r) |
| Share maken | Bestand (f) | Container (c) | Maken (c) of schrijven (w) |
| Momentopnameshare | Bestand (f) | Container (c) | Maken (c) of schrijven (w) |
| Eigenschappen van delen ophalen | Bestand (f) | Container (c) | Lezen (r) |
| Eigenschappen van delen instellen | Bestand (f) | Container (c) | Schrijven (w) |
| Metagegevens van share ophalen | Bestand (f) | Container (c) | Lezen (r) |
| Metagegevens van share instellen | Bestand (f) | Container (c) | Schrijven (w) |
| Share verwijderen | Bestand (f) | Container (c) | Verwijderen (d) |
| Mappen en bestanden weergeven | Bestand (f) | Container (c) | Lijst (l) |
| Map maken | Bestand (f) | Object (o) | Maken (c) of schrijven (w) |
| Mapeigenschappen ophalen | Bestand (f) | Object (o) | Lezen (r) |
| Mapmetagegevens ophalen | Bestand (f) | Object (o) | Lezen (r) |
| Mapmetagegevens instellen | Bestand (f) | Object (o) | Schrijven (w) |
| Map verwijderen | Bestand (f) | Object (o) | Verwijderen (d) |
| Bestand maken (nieuw maken) | Bestand (f) | Object (o) | Maken (c) of schrijven (w) |
| Bestand maken (bestaande overschrijven) | Bestand (f) | Object (o) | Schrijven (w) |
| Bestand ophalen | Bestand (f) | Object (o) | Lezen (r) |
| Bestandseigenschappen ophalen | Bestand (f) | Object (o) | Lezen (r) |
| Bestandsmetagegevens ophalen | Bestand (f) | Object (o) | Lezen (r) |
| Bestandsmetagegevens instellen | Bestand (f) | Object (o) | Schrijven (w) |
| Bestand verwijderen | Bestand (f) | Object (o) | Verwijderen (d) |
| Naam van bestand wijzigen | Bestand (f) | Object (o) | Verwijderen (d) of schrijven (w) |
| Bereik plaatsen | Bestand (f) | Object (o) | Schrijven (w) |
| Lijstbereiken | Bestand (f) | Object (o) | Lezen (r) |
| Kopieerbestand afbreken | Bestand (f) | Object (o) | Schrijven (w) |
| Bestand kopiëren | Bestand (f) | Object (o) | Schrijven (w) |
| Bereik wissen | Bestand (f) | Object (o) | Schrijven (w) |
Voorbeeld van SAS-URI van account
In het volgende voorbeeld ziet u een Blob-service-URI met een SAS-accounttoken dat eraan is toegevoegd. Het SAS-token van het account biedt machtigingen voor de service, container en objecten. De tabel bevat elk deel van de URI:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Naam | SAS-gedeelte | Beschrijving |
|---|---|---|
| Resource-URI | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Het service-eindpunt, met parameters voor het ophalen van service-eigenschappen (wanneer aangeroepen met GET) of het instellen van service-eigenschappen (wanneer deze worden aangeroepen met SET). Op basis van de waarde van het veld ondertekende services (ss), kan deze SAS worden gebruikt met Blob Storage of Azure Files. |
| Scheidingsteken | ? |
Het scheidingsteken dat voorafgaat aan de querytekenreeks. Het scheidingsteken maakt geen deel uit van het SAS-token. |
| Versie van Opslagservices | sv=2022-11-02 |
Voor Azure Storage-services versie 2012-02-12 en hoger geeft deze parameter aan welke versie moet worden gebruikt. |
| Services | ss=b |
De SAS is van toepassing op de Blob-services. |
| Resourcetypen | srt=sco |
De SAS is van toepassing op bewerkingen op serviceniveau, containerniveau en objectniveau. |
| Machtigingen | sp=rwlc |
De machtigingen verlenen toegang tot lees-, schrijf-, lijst- en maakbewerkingen. |
| Begintijd | st=2019-08-01T22%3A18%3A26Z |
Opgegeven in UTC-tijd. Als u wilt dat de SAS onmiddellijk geldig is, laat u de begintijd weg. |
| Verlooptijd | se=2019-08-10T02%3A23%3A26Z |
Opgegeven in UTC-tijd. |
| Protocol | spr=https |
Alleen aanvragen die HTTPS gebruiken, zijn toegestaan. |
| Handtekening | sig=<signature> |
Wordt gebruikt om toegang tot de blob te autoriseren. De handtekening is een HMAC die wordt berekend via een tekenreeks-naar-teken en sleutel met behulp van het SHA256-algoritme en vervolgens gecodeerd met base64-codering. |
Omdat machtigingen zijn beperkt tot het serviceniveau, worden toegankelijke bewerkingen met deze SAS Eigenschappen van blobservice ophalen (lezen) en Eigenschappen van blobservice instellen (schrijven). Met een andere resource-URI kan hetzelfde SAS-token echter ook worden gebruikt voor het delegeren van toegang tot Blob Service Stats (lezen).