Kiezen wanneer u handtekeningen voor gedeelde toegang wilt gebruiken

  • 3 minuten

Gebruik een SAS als u beveiligde toegang wilt bieden tot resources in uw opslagaccount voor elke client die anders geen machtigingen voor deze resources heeft.

Een veelvoorkomend scenario waarbij een SAS nuttig is, is een service waarbij gebruikers hun eigen gegevens lezen en schrijven naar uw opslagaccount. In een scenario waarin een opslagaccount gebruikersgegevens opslaat, zijn er twee typische ontwerppatronen:

  • Clients uploaden en downloaden gegevens via een front-endproxyservice, waarmee verificatie wordt uitgevoerd. Deze front-endproxyservice biedt het voordeel van het toestaan van validatie van bedrijfsregels, maar voor grote hoeveelheden gegevens of transacties met grote volumes kan het maken van een service die kan worden geschaald om aan de vraag te voldoen, duur of moeilijk kan zijn.

    Scenario diagram: Front-end proxy service

  • Met een eenvoudige service wordt de client indien nodig geverifieerd en vervolgens een SAS gegenereerd. Zodra de clienttoepassing de SAS ontvangt, hebben ze rechtstreeks toegang tot opslagaccountbronnen met de machtigingen die zijn gedefinieerd door de SAS en voor het interval dat is toegestaan door de SAS. Dankzij de SAS hoeven alle gegevens niet via de front-endproxyservice te worden doorgestuurd.

    Scenario diagram: SAS provider service

Veel echte services kunnen een hybride van deze twee benaderingen gebruiken. Sommige gegevens kunnen bijvoorbeeld worden verwerkt en gevalideerd via de front-endproxy, terwijl andere gegevens worden opgeslagen en/of rechtstreeks worden gelezen met behulp van SAS.

Daarnaast is een SAS vereist voor het autoriseren van toegang tot het bronobject in een kopieerbewerking in bepaalde scenario's:

  • Wanneer u een blob kopieert naar een andere blob die zich in een ander opslagaccount bevindt, moet u een SAS gebruiken om toegang tot de bron-blob te autoriseren. U kunt eventueel ook een SAS gebruiken om toegang tot de doel-blob te autoriseren.

  • Wanneer u een bestand kopieert naar een ander bestand dat zich in een ander opslagaccount bevindt, moet u een SAS gebruiken om toegang tot het bronbestand te autoriseren. U kunt desgewenst ook een SAS gebruiken om toegang tot het doelbestand te autoriseren.

  • Wanneer u een blob kopieert naar een bestand of een bestand naar een blob, moet u een SAS gebruiken om toegang tot het bronobject te autoriseren, zelfs als de bron- en doelobjecten zich in hetzelfde opslagaccount bevinden.