Toegang delegeren met behulp van een shared access signature
Een SAS (wat staat voor Shared Access Signature of handtekening voor gedeelde toegang) is een URI die beperkte toegangsrechten verleent voor Azure Storage-resources. U kunt een handtekening voor gedeelde toegang opgeven voor clients die niet moeten worden vertrouwd met de sleutel van uw opslagaccount, maar die toegang nodig hebben tot bepaalde opslagaccountresources. Door een SAS-URI naar deze clients te distribueren, kunt u ze toegang verlenen tot een resource voor een opgegeven periode, met een opgegeven set machtigingen.
De URI-queryparameters waaruit het SAS-token bestaat, bevatten alle informatie die nodig is om beheerde toegang tot een opslagresource te verlenen. Een client met de SAS kan een aanvraag indienen bij Azure Storage met behulp van alleen de SAS-URI. De informatie in het SAS-token wordt gebruikt om de aanvraag te autoriseren.
Typen handtekeningen voor gedeelde toegang
Azure Storage ondersteunt de volgende typen handtekeningen voor gedeelde toegang:
Een account-SAS, geïntroduceerd met versie 2015-04-05. Dit type SAS delegeert de toegang tot resources in een of meer van de opslagservices. Alle bewerkingen die beschikbaar zijn via een service-SAS zijn ook beschikbaar via een account-SAS.
Met de account-SAS kunt u toegang delegeren tot bewerkingen die van toepassing zijn op een service, zoals
Get/Set Service PropertiesenGet Service Stats. U kunt ook toegang tot het lezen, schrijven en verwijderen van bewerkingen delegeren voor blobcontainers, tabellen, wachtrijen en bestandsshares die niet zijn toegestaan bij een service-SAS.Zie Een account-SAS maken voor meer informatie.
Een service-SAS. Dit type SAS delegeert toegang tot een resource in slechts een van de opslagservices: Azure Blob Storage, Azure Queue Storage, Azure Table Storage of Azure Files. Zie Een service-SAS maken en Voorbeelden van service-SAS voor meer informatie.
Een SAS voor gebruikersdelegatie, geïntroduceerd met versie 2018-11-09. Dit type SAS wordt beveiligd met Azure Active Directory-referenties. Het wordt alleen ondersteund voor Blob Storage en u kunt het gebruiken om toegang te verlenen tot containers en blobs. Zie Een SAS voor gebruikersdelegering maken voor meer informatie.
Daarnaast kan een service-SAS verwijzen naar een opgeslagen toegangsbeleid dat een ander niveau van controle over een set handtekeningen biedt. Dit besturingselement omvat de mogelijkheid om zo nodig de toegang tot de resource te wijzigen of in te trekken. Zie Een opgeslagen toegangsbeleid definiëren voor meer informatie.
Notitie
Opgeslagen toegangsbeleid wordt momenteel niet ondersteund voor een account-SAS of een SAS voor gebruikersdelegatie.