Een account-SAS maken
Vanaf versie 2015-04-05 ondersteunt Azure Storage het maken van een nieuw type Shared Access Signature (SAS) op het niveau van het opslagaccount. Door een account-SAS te maken, kunt u het volgende doen:
Delegeer toegang tot bewerkingen op serviceniveau die momenteel niet beschikbaar zijn met een servicespecifieke SAS, zoals de
Get/Set Service Propertiesbewerkingen enGet Service Stats.Delegeer toegang tot meer dan één service in een opslagaccount tegelijk. U kunt bijvoorbeeld toegang tot resources in zowel Azure Blob Storage als Azure Files delegeren met behulp van een account-SAS.
Delegeer toegang tot schrijf- en verwijderbewerkingen voor containers, wachtrijen, tabellen en bestandsshares, die niet beschikbaar zijn met een objectspecifieke SAS.
Geef een IP-adres of een bereik van IP-adressen op van waaruit aanvragen moeten worden geaccepteerd.
Geef het HTTP-protocol op van waaruit aanvragen moeten worden geaccepteerd (HTTPS of HTTP/HTTPS).
Opgeslagen toegangsbeleid wordt momenteel niet ondersteund voor een account-SAS.
Waarschuwing
Handtekeningen voor gedeelde toegang zijn sleutels die machtigingen verlenen aan opslagresources. U moet deze net zo beveiligen als een accountsleutel. Het is belangrijk om een SAS te beschermen tegen kwaadwillend of onbedoeld gebruik. Gebruik discretie bij het distribueren van een SAS en zorg voor een plan voor het intrekken van een gecompromitteerde SAS. Bewerkingen die gebruikmaken van handtekeningen voor gedeelde toegang moeten alleen worden uitgevoerd via een HTTPS-verbinding en SAS-URI's mogen alleen worden gedistribueerd op een beveiligde verbinding, zoals HTTPS.
Sas voor een account autoriseren
U beveiligt een account-SAS met behulp van een opslagaccountsleutel. Wanneer u een account-SAS maakt, moet uw clienttoepassing over de accountsleutel beschikken.
Als u Microsoft Entra referenties wilt gebruiken om een SAS voor een container of blob te beveiligen, maakt u een SAS voor gebruikersdelegering.
Een SAS-URI voor een account maken
De SAS-URI van het account bestaat uit de URI naar de resource waarvoor de SAS toegang delegeert, gevolgd door een SAS-token. Het SAS-token is de querytekenreeks die alle informatie bevat die nodig is om een aanvraag voor de resource te autoriseren. Hiermee worden de service, resource en machtigingen opgegeven die beschikbaar zijn voor toegang, en de periode waarin de handtekening geldig is.
De SAS-parameters voor het account opgeven
De vereiste en optionele parameters voor het SAS-token worden beschreven in de volgende tabel:
| SAS-queryparameter | Beschrijving |
|---|---|
api-version |
Optioneel. Hiermee geeft u de versie van de opslagservice op die moet worden gebruikt om de aanvraag uit te voeren die is gedaan met behulp van de SAS-URI van het account. Zie Aanvragen autoriseren met behulp van een shared access signature voor meer informatie. |
SignedVersion (sv) |
Vereist. Hiermee geeft u de ondertekende versie van de opslagservice op die moet worden gebruikt om aanvragen te autoriseren die zijn gedaan met deze account-SAS. Deze moet zijn ingesteld op versie 2015-04-05 of hoger. Zie Aanvragen autoriseren met behulp van een shared access signature voor meer informatie. |
SignedServices (ss) |
Vereist. Hiermee geeft u de ondertekende services op die toegankelijk zijn met de account-SAS. Mogelijke waarden zijn: - Blob ( b)- Wachtrij ( q)- Tabel ( t)- Bestand ( f)U kunt waarden combineren om toegang te bieden tot meer dan één service. Hiermee geeft u bijvoorbeeld ss=bf toegang tot de Blob Storage en Azure Files eindpunten. |
SignedResourceTypes (srt) |
Vereist. Hiermee geeft u de ondertekende resourcetypen op die toegankelijk zijn met de account-SAS. - Service ( s): toegang tot API's op serviceniveau (bijvoorbeeld Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).- Container ( c): toegang tot API's op containerniveau (bijvoorbeeld Container maken/verwijderen, wachtrij maken/verwijderen, tabel maken/verwijderen, share maken/verwijderen, lijst-blobs/bestanden en mappen).- Object ( o): toegang tot API's op objectniveau voor blobs, wachtrijberichten, tabelentiteiten en bestanden (bijvoorbeeld Put Blob, Query Entity, Get Messages, Create File).U kunt waarden combineren om toegang te bieden tot meer dan één resourcetype. Hiermee geeft u bijvoorbeeld srt=sc toegang tot service- en containerresources op. |
SignedPermissions (sp) |
Vereist. Hiermee geeft u de ondertekende machtigingen voor de account-SAS. Machtigingen zijn alleen geldig als ze overeenkomen met het opgegeven ondertekende resourcetype. Als ze niet overeenkomen, worden ze genegeerd. - Lezen ( r): geldig voor alle ondertekende resourcetypen (Service, Container en Object). Hiermee staat u leesmachtigingen toe voor het opgegeven resourcetype.- Schrijven ( w): geldig voor alle ondertekende resourcetypen (Service, Container en Object). Hiermee staat u schrijftoegang toe voor het opgegeven resourcetype, zodat een gebruiker resources kan maken en bijwerken.- Verwijderen ( d): geldig voor container- en objectresourcetypen, met uitzondering van wachtrijberichten.- Permanent verwijderen ( y): alleen geldig voor het objectresourcetype blob.- Lijst ( l): alleen geldig voor service- en containerresourcetypen.- Toevoegen ( a): alleen geldig voor de volgende objectresourcetypen: wachtrijberichten, tabelentiteiten en toevoeg-blobs.- Maken ( c): geldig voor containerresourcetypen en de volgende objectresourcetypen: blobs en bestanden. Gebruikers kunnen nieuwe resources maken, maar mogen bestaande resources niet overschrijven.- Update ( u): alleen geldig voor de volgende objectresourcetypen: wachtrijberichten en tabelentiteiten.- Proces ( p): alleen geldig voor het volgende objectresourcetype: wachtrijberichten.- Tag ( t): alleen geldig voor het volgende objectresourcetype: blobs. Bewerkingen van blobtags toestaan.- Filter ( f): alleen geldig voor het volgende objectresourcetype: blob. Hiermee staat u filteren op blobtag toe.- Stel beleid voor onveranderbaarheid in ( i): alleen geldig voor het volgende objectresourcetype: blob. Hiermee kunt u beleid voor onveranderbaarheid en juridische bewaring van een blob instellen/verwijderen. |
SignedStart (st) |
Optioneel. Het tijdstip waarop de SAS geldig wordt, uitgedrukt in een van de geaccepteerde ISO 8601 UTC-indelingen. Als u dit weglaat, wordt ervan uitgegaan dat de begintijd de tijd is waarop de opslagservice de aanvraag ontvangt. Zie Datum/tijd-waarden opmaken voor meer informatie over geaccepteerde UTC-indelingen. |
SignedExpiry (se) |
Vereist. Het tijdstip waarop de handtekening voor gedeelde toegang ongeldig wordt, uitgedrukt in een van de geaccepteerde ISO 8601 UTC-indelingen. Zie Datum/tijd-waarden opmaken voor meer informatie over geaccepteerde UTC-indelingen. |
SignedIP (sip) |
Optioneel. Hiermee geeft u een IP-adres of een bereik van IP-adressen van waaruit aanvragen te accepteren. Wanneer u een bereik opgeeft, moet u er rekening mee houden dat het bereik inclusief is. Alleen IPv4-adressen worden ondersteund. Bijvoorbeeld sip=168.1.5.65 of sip=168.1.5.60-168.1.5.70. |
SignedProtocol (spr) |
Optioneel. Hiermee geeft u het protocol op dat is toegestaan voor een aanvraag die is gedaan met de account-SAS. Mogelijke waarden zijn zowel HTTPS als HTTP (https,http) of alleen HTTPS (https). De standaardwaarde is https,http.Houd er rekening mee dat alleen HTTP geen toegestane waarde is. |
SignedEncryptionScope (ses) |
Optioneel. Geeft het versleutelingsbereik aan dat moet worden gebruikt om de inhoud van de aanvraag te versleutelen. Dit veld wordt ondersteund met versie 2020-12-06 en hoger. |
Signature (sig) |
Vereist. Het handtekeninggedeelte van de URI wordt gebruikt om de aanvraag te autoriseren die is gedaan met de Shared Access Signature. De tekenreeks-naar-teken is een unieke tekenreeks die is samengesteld uit de velden die moeten worden geverifieerd om de aanvraag te autoriseren. De handtekening is een hash-gebaseerde berichtverificatiecode (HMAC) die wordt berekend op basis van de tekenreeks om te ondertekenen en de sleutel met behulp van het SHA256-algoritme en vervolgens gecodeerd met base64-codering. |
signedVersion Het veld opgeven
Het signedVersion veld (sv) bevat de serviceversie van de Shared Access Signature. Deze waarde geeft de versie van autorisatie voor gedeelde sleutels op die wordt gebruikt door deze Shared Access Signature (in het signature veld). De waarde geeft ook de serviceversie aan voor aanvragen die worden gedaan met deze shared access signature.
Zie Versiebeheer voor Azure Storage-services voor informatie over welke versie wordt gebruikt wanneer u aanvragen uitvoert via een handtekening voor gedeelde toegang.
Zie Toegang delegeren met een handtekening voor gedeelde toegang voor informatie over hoe deze parameter van invloed is op de autorisatie van aanvragen die zijn gedaan met een handtekening voor gedeelde toegang.
| Veldnaam | Queryparameter | Beschrijving |
|---|---|---|
signedVersion |
sv |
Vereist. Ondersteund in versie 2015-04-05 en hoger. De versie van de opslagservice die moet worden gebruikt voor het autoriseren en verwerken van aanvragen die u doet met deze Shared Access Signature. Zie Versiebeheer voor Azure Storage-services voor meer informatie. |
Een IP-adres of IP-bereik opgeven
Vanaf versie 2015-04-05 geeft het optionele signedIp veld (sip) een openbaar IP-adres of een bereik van openbare IP-adressen op van waaruit aanvragen moeten worden geaccepteerd. Als het IP-adres van waaruit de aanvraag afkomstig is, niet overeenkomt met het IP-adres of adresbereik dat is opgegeven in het SAS-token, is de aanvraag niet geautoriseerd. Alleen IPv4-adressen worden ondersteund.
Wanneer u een bereik van IP-adressen opgeeft, moet u er rekening mee houden dat het bereik inclusief Is het opgeven sip=168.1.5.65 van of sip=168.1.5.60-168.1.5.70 op de SAS, wordt de aanvraag beperkt tot deze IP-adressen.
In de volgende tabel wordt beschreven of het signedIp veld moet worden opgenomen in een SAS-token voor een opgegeven scenario, op basis van de clientomgeving en de locatie van het opslagaccount.
| Clientomgeving | De locatie van het opslagaccount | Aanbeveling |
|---|---|---|
| Client die wordt uitgevoerd in Azure | In dezelfde regio als de client | Een SAS die in dit scenario aan de client wordt geleverd, mag geen uitgaand IP-adres voor het signedIp veld bevatten. Aanvragen die worden gedaan vanuit dezelfde regio die gebruikmaken van een SAS met een opgegeven uitgaande IP-adres, mislukken.Gebruik in plaats daarvan een virtueel Azure-netwerk om netwerkbeveiligingsbeperkingen te beheren. Aanvragen naar Azure Storage vanuit dezelfde regio vinden altijd plaats via een privé-IP-adres. Raadpleeg Firewalls en virtuele netwerken voor Azure Storage configureren voor meer informatie. |
| Client die wordt uitgevoerd in Azure | In een andere regio dan de client | Een SAS die in dit scenario aan de client wordt verstrekt, kan een openbaar IP-adres of adresbereik voor het signedIp veld bevatten. Een aanvraag die met de SAS wordt gedaan, moet afkomstig zijn van het opgegeven IP-adres of adresbereik. |
| Client die on-premises of in een andere cloudomgeving wordt uitgevoerd | In elke Azure-regio | Een SAS die in dit scenario aan de client wordt verstrekt, kan een openbaar IP-adres of adresbereik voor het signedIp veld bevatten. Een aanvraag die met de SAS wordt gedaan, moet afkomstig zijn van het opgegeven IP-adres of adresbereik.Als de aanvraag via een proxy of gateway wordt doorgegeven, geeft u het openbare uitgaande IP-adres van die proxy of gateway op voor het signedIp veld. |
Het HTTP-protocol opgeven
Vanaf versie 2015-04-05 geeft het optionele signedProtocol veld (spr) het protocol op dat is toegestaan voor een aanvraag die met de SAS is gedaan. Mogelijke waarden zijn zowel HTTPS als HTTP (https,http) of alleen HTTPS (https). De standaardwaarde is https,http. Houd er rekening mee dat alleen HTTP geen toegestane waarde is.
Het versleutelingsbereik opgeven
Met behulp van het signedEncryptionScope veld op de URI kunt u het versleutelingsbereik opgeven dat de clienttoepassing kan gebruiken. Hiermee wordt de versleuteling aan de serverzijde afgedwongen met het opgegeven versleutelingsbereik wanneer u blobs (PUT) uploadt met het SAS-token. De GET en HEAD worden niet beperkt en uitgevoerd zoals voorheen.
In de volgende tabel wordt beschreven hoe u verwijst naar een ondertekend versleutelingsbereik op de URI:
| Veldnaam | Queryparameter | Beschrijving |
|---|---|---|
signedEncryptionScope |
ses |
Optioneel. Geeft het versleutelingsbereik aan dat moet worden gebruikt om de inhoud van de aanvraag te versleutelen. |
Dit veld wordt ondersteund met versie 2020-12-06 of hoger. Als u de ses toevoegt vóór de ondersteunde versie, retourneert de service foutcode 403 (Verboden).
Als u het standaardversleutelingsbereik voor de container of het bestandssysteem instelt, respecteert de ses queryparameter het containerversleutelingsbeleid. Als er een niet-overeenkomende ses queryparameter en x-ms-default-encryption-scope header is en de x-ms-deny-encryption-scope-override header is ingesteld op true, retourneert de service foutcode 403 (Verboden).
Wanneer u de x-ms-encryption-scope header en de ses queryparameter in de PUT-aanvraag opgeeft, retourneert de service foutcode 400 (Ongeldige aanvraag) als er een niet-overeenkomende fout is.
De handtekeningtekenreeks maken
Als u de handtekeningtekenreeks voor een account-SAS wilt maken, maakt u eerst de tekenreeks-naar-tekenreeks uit de velden waaruit de aanvraag bestaat, codeert u de tekenreeks als UTF-8 en berekent u de handtekening met behulp van het algoritme HMAC-SHA256.
Notitie
De velden die zijn opgenomen in het tekenreeks-naar-teken moeten URL-gedecodeerd zijn.
Gebruik de volgende indeling om de tekenreeks-to-sign samen te stellen voor een account-SAS:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
Versie 2020-12-06 voegt ondersteuning toe voor het ondertekende versleutelingsbereikveld. Gebruik de volgende indeling om de tekenreeks-to-sign samen te stellen voor een account-SAS:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
SAS-machtigingen voor accounts per bewerking
De tabellen in de volgende secties bevatten verschillende API's voor elke service en de ondertekende resourcetypen en ondertekende machtigingen die voor elke bewerking worden ondersteund.
Blob-service
De volgende tabel bevat blobservicebewerkingen en geeft aan welk type ondertekende resource en welke ondertekende machtigingen moeten worden opgegeven wanneer u toegang tot deze bewerkingen delegeert.
| Bewerking | Ondertekende service | Ondertekend resourcetype | Ondertekende machtiging |
|---|---|---|---|
| Containers weergeven | Blob (b) | Service (s) | Lijst (l) |
| Eigenschappen van blobservice ophalen | Blob (b) | Service (s) | Lezen (r) |
| Eigenschappen van blobservice instellen | Blob (b) | Service (s) | Schrijven (w) |
| Blob Service-statistieken ophalen | Blob (b) | Service (s) | Lezen (r) |
| Container maken | Blob (b) | Container (c) | Maken(c) of schrijven (w) |
| Containereigenschappen ophalen | Blob (b) | Container (c) | Lezen (r) |
| Containermetagegevens ophalen | Blob (b) | Container (c) | Lezen (r) |
| Containermetagegevens instellen | Blob (b) | Container (c) | Schrijven (w) |
| Leasecontainer | Blob (b) | Container (c) | Schrijven (w) of verwijderen (d)1 |
| Container verwijderen | Blob (b) | Container (c) | Verwijderen (d)1 |
| Blobs zoeken op tags in container | Blob (b) | Container (c) | Filter (f) |
| Blobs weergeven | Blob (b) | Container (c) | Lijst (l) |
| Put Blob (nieuwe blok-blob maken) | Blob (b) | Object (o) | Maken (c) of schrijven (w) |
| Put Blob (bestaande blok-blob overschrijven) | Blob (b) | Object (o) | Schrijven (w) |
| Blob plaatsen (nieuwe pagina-blob maken) | Blob (b) | Object (o) | Maken (c) of schrijven (w) |
| Put Blob (bestaande pagina-blob overschrijven) | Blob (b) | Object (o) | Schrijven (w) |
| Blob ophalen | Blob (b) | Object (o) | Lezen (r) |
| Blob-eigenschappen ophalen | Blob (b) | Object (o) | Lezen (r) |
| Blobeigenschappen instellen | Blob (b) | Object (o) | Schrijven (w) |
| Blob-metagegevens ophalen | Blob (b) | Object (o) | Lezen (r) |
| Blobmetagegevens instellen | Blob (b) | Object (o) | Schrijven (w) |
| Blobtags ophalen | Blob (b) | Object (o) | Tags (t) |
| Blobtags instellen | Blob (b) | Object (o) | Tags (t) |
| Blobs zoeken op tags | Blob (b) | Object (o) | Filter (f) |
| Blob verwijderen | Blob (b) | Object (o) | Verwijderen (d)1 |
| Momentopname/versie definitief verwijderen | Blob (b) | Object (o) | Permanent verwijderen (y) |
| Lease Blob | Blob (b) | Object (o) | Schrijven (w) of verwijderen (d)1 |
| Momentopname maken van blob | Blob (b) | Object (o) | Maken (c) of schrijven (w) |
| Blob kopiëren (doel is nieuwe blob) | Blob (b) | Object (o) | Maken (c) of schrijven (w) |
| Blob kopiëren (doel is een bestaande blob) | Blob (b) | Object (o) | Schrijven (w) |
| Incrementele kopie | Blob (b) | Object (o) | Maken (c) of schrijven (w) |
| Blob kopiëren afbreken | Blob (b) | Object (o) | Schrijven (w) |
| Blok plaatsen | Blob (b) | Object (o) | Schrijven (w) |
| Lijst met blokkeringen plaatsen (nieuwe blob maken) | Blob (b) | Object (o) | Schrijven (w) |
| Lijst met blokkeringen plaatsen (bestaande blob bijwerken) | Blob (b) | Object (o) | Schrijven (w) |
| Lijst met blokkeringen ophalen | Blob (b) | Object (o) | Lezen (r) |
| Pagina plaatsen | Blob (b) | Object (o) | Schrijven (w) |
| Paginabereiken ophalen | Blob (b) | Object (o) | Lezen (r) |
| Toevoegblok | Blob (b) | Object (o) | (a) of Schrijven (w) toevoegen |
| Pagina wissen | Blob (b) | Object (o) | Schrijven (w) |
1 De Delete machtiging staat het verbreken van een lease op een blob of container met versie 2017-07-29 en hoger toe.
Queue-service
De volgende tabel bevat wachtrijservicebewerkingen en geeft aan welk ondertekend resourcetype en welke ondertekende machtigingen moeten worden opgegeven wanneer u toegang tot deze bewerkingen delegeert.
| Bewerking | Ondertekende service | Ondertekend resourcetype | Ondertekende machtiging |
|---|---|---|---|
| Eigenschappen van wachtrijservice ophalen | Wachtrij (q) | Service(s) | Lezen (r) |
| Eigenschappen van wachtrijservice instellen | Wachtrij (q) | Service(s) | Schrijven (w) |
| Wachtrijen weergeven | Wachtrij (q) | Service(s) | Lijst (l) |
| Statistieken van wachtrijservice ophalen | Wachtrij (q) | Service(s) | Lezen (r) |
| Wachtrij maken | Wachtrij (q) | Container (c) | Maken(c) of schrijven (w) |
| Wachtrij verwijderen | Wachtrij (q) | Container (c) | Verwijderen (d) |
| Wachtrijmetagegevens ophalen | Wachtrij (q) | Container (c) | Lezen (r) |
| Metagegevens van wachtrij instellen | Wachtrij (q) | Container (c) | Schrijven (w) |
| Bericht plaatsen | Wachtrij (q) | Object (o) | Toevoegen (a) |
| Berichten ophalen | Wachtrij (q) | Object (o) | Proces (p) |
| berichten Kort weergeven | Wachtrij (q) | Object (o) | Lezen (r) |
| Bericht verwijderen | Wachtrij (q) | Object (o) | Proces (p) |
| Berichten wissen | Wachtrij (q) | Object (o) | Verwijderen (d) |
| Bericht bijwerken | Wachtrij (q) | Object (o) | Bijwerken (u) |
Tabelservice
De volgende tabel bevat tabelservicebewerkingen en geeft aan welk ondertekend resourcetype en welke ondertekende machtigingen moeten worden opgegeven wanneer u toegang tot deze bewerkingen delegeert.
| Bewerking | Ondertekende service | Ondertekend resourcetype | Ondertekende machtiging |
|---|---|---|---|
| Eigenschappen van tabelservice ophalen | Tabel (t) | Service (s) | Lezen (r) |
| Eigenschappen van tabelservice instellen | Tabel (t) | Service (s) | Schrijven (w) |
| Statistieken van tabelservice ophalen | Tabel (t) | Service (s) | Lezen (r) |
| Querytabellen | Tabel (t) | Container (c) | Lijst (l) |
| Tabel maken | Tabel (t) | Container (c) | Maken (c) of schrijven (w) |
| Tabel verwijderen | Tabel (t) | Container (c) | Verwijderen (d) |
| Query-entiteiten | Tabel (t) | Object (o) | Lezen (r) |
| Entiteit invoegen | Tabel (t) | Object (o) | Toevoegen (a) |
| Entiteit invoegen of samenvoegen | Tabel (t) | Object (o) | (a) en (u)1 bijwerken |
| Entiteit invoegen of vervangen | Tabel (t) | Object (o) | (a) en (u)1 bijwerken |
| Entiteit bijwerken | Tabel (t) | Object (o) | Bijwerken (u) |
| Entiteit samenvoegen | Tabel (t) | Object (o) | Bijwerken (u) |
| Entiteit verwijderen | Tabel (t) | Object (o) | Verwijderen (d) |
1 Machtigingen voor toevoegen en bijwerken zijn vereist voor upsert-bewerkingen in de Tabelservice.
Bestandsservice
De volgende tabel bevat bestandsservicebewerkingen en geeft aan welk type ondertekende resource en welke ondertekende machtigingen moeten worden opgegeven wanneer u toegang tot deze bewerkingen delegeert.
| Bewerking | Ondertekende service | Ondertekend resourcetype | Ondertekende machtiging |
|---|---|---|---|
| Shares weergeven | Bestand (f) | Service (s) | Lijst (l) |
| Eigenschappen van bestandsservice ophalen | Bestand (f) | Service (s) | Lezen (r) |
| Eigenschappen van bestandsservice instellen | Bestand (f) | Service (s) | Schrijven (w) |
| Sharestatistieken ophalen | Bestand (f) | Container (c) | Lezen (r) |
| Share maken | Bestand (f) | Container (c) | Maken (c) of schrijven (w) |
| Share voor momentopnamen | Bestand (f) | Container (c) | Maken (c) of schrijven (w) |
| Share-eigenschappen ophalen | Bestand (f) | Container (c) | Lezen (r) |
| Share-eigenschappen instellen | Bestand (f) | Container (c) | Schrijven (w) |
| Metagegevens van delen ophalen | Bestand (f) | Container (c) | Lezen (r) |
| Metagegevens delen instellen | Bestand (f) | Container (c) | Schrijven (w) |
| Share verwijderen | Bestand (f) | Container (c) | Verwijderen (d) |
| Mappen en bestanden weergeven | Bestand (f) | Container (c) | Lijst (l) |
| Map maken | Bestand (f) | Object (o) | Maken (c) of schrijven (w) |
| Directory-eigenschappen ophalen | Bestand (f) | Object (o) | Lezen (r) |
| Mapmetagegevens ophalen | Bestand (f) | Object (o) | Lezen (r) |
| Mapmetagegevens instellen | Bestand (f) | Object (o) | Schrijven (w) |
| Map verwijderen | Bestand (f) | Object (o) | Verwijderen (d) |
| Bestand maken (nieuwe maken) | Bestand (f) | Object (o) | Maken (c) of schrijven (w) |
| Bestand maken (bestaande overschrijven) | Bestand (f) | Object (o) | Schrijven (w) |
| Bestand ophalen | Bestand (f) | Object (o) | Lezen (r) |
| Bestandseigenschappen ophalen | Bestand (f) | Object (o) | Lezen (r) |
| Metagegevens van bestanden ophalen | Bestand (f) | Object (o) | Lezen (r) |
| Bestandsmetagegevens instellen | Bestand (f) | Object (o) | Schrijven (w) |
| Bestand verwijderen | Bestand (f) | Object (o) | Verwijderen (d) |
| Bestandsnaam wijzigen | Bestand (f) | Object (o) | Verwijderen (d) of schrijven (w) |
| Put-bereik | Bestand (f) | Object (o) | Schrijven (w) |
| Lijstbereiken | Bestand (f) | Object (o) | Lezen (r) |
| Bestand kopiëren afbreken | Bestand (f) | Object (o) | Schrijven (w) |
| Bestand kopiëren | Bestand (f) | Object (o) | Schrijven (w) |
| Bereik wissen | Bestand (f) | Object (o) | Schrijven (w) |
Voorbeeld van SAS-URI voor account
In het volgende voorbeeld ziet u een Blob-service-URI waaraan een SAS-accounttoken is toegevoegd. Het SAS-token van het account biedt machtigingen voor de service, container en objecten. De tabel bevat elk deel van de URI:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Name | SAS-gedeelte | Description |
|---|---|---|
| Resource-URI | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Het service-eindpunt, met parameters voor het ophalen van service-eigenschappen (wanneer aangeroepen met GET) of het instellen van service-eigenschappen (wanneer aangeroepen met SET). Op basis van de waarde van het ondertekende servicesveld (ss) kan deze SAS worden gebruikt met Blob Storage of Azure Files. |
| Scheidingsteken | ? |
Het scheidingsteken dat voorafgaat aan de querytekenreeks. Het scheidingsteken maakt geen deel uit van het SAS-token. |
| Versie van Opslagservices | sv=2022-11-02 |
Voor Azure Storage-services versie 2012-02-12 en hoger geeft deze parameter aan welke versie moet worden gebruikt. |
| Services | ss=b |
De SAS is van toepassing op de Blob-services. |
| Resourcetypen | srt=sco |
De SAS is van toepassing op bewerkingen op serviceniveau, op containerniveau en op objectniveau. |
| Machtigingen | sp=rwlc |
De machtigingen verlenen toegang tot lees-, schrijf-, lijst- en maakbewerkingen. |
| Begintijd | st=2019-08-01T22%3A18%3A26Z |
Opgegeven in UTC-tijd. Als u wilt dat de SAS onmiddellijk geldig is, laat u de begintijd weg. |
| Verlooptijd | se=2019-08-10T02%3A23%3A26Z |
Opgegeven in UTC-tijd. |
| Protocol | spr=https |
Alleen aanvragen die https gebruiken, zijn toegestaan. |
| Handtekening | sig=<signature> |
Wordt gebruikt om toegang tot de blob te autoriseren. De handtekening is een HMAC die wordt berekend op basis van een tekenreeks en sleutel met behulp van het SHA256-algoritme en vervolgens wordt gecodeerd met base64-codering. |
Omdat machtigingen zijn beperkt tot het serviceniveau, zijn toegankelijke bewerkingen met deze SAS Blob Service-eigenschappen ophalen (lezen) en Blob-service-eigenschappen instellen (schrijven). Met een andere resource-URI kan hetzelfde SAS-token echter ook worden gebruikt voor het delegeren van toegang tot Blob Service-statistieken ophalen (lezen).