Tworzenie sygnatury dostępu współdzielonego konta
Ważne
W celu zapewnienia optymalnego bezpieczeństwa firma Microsoft zaleca używanie Tożsamość Microsoft Entra z tożsamościami zarządzanymi w celu autoryzowania żądań względem danych obiektów blob, kolejek i tabel, jeśli jest to możliwe. Autoryzacja przy użyciu Tożsamość Microsoft Entra i tożsamości zarządzanych zapewnia doskonałe zabezpieczenia i łatwość użycia za pośrednictwem autoryzacji klucza współdzielonego. Aby dowiedzieć się więcej, zobacz Autoryzowanie za pomocą Tożsamość Microsoft Entra. Aby dowiedzieć się więcej na temat tożsamości zarządzanych, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure.
W przypadku zasobów hostowanych poza platformą Azure, takich jak aplikacje lokalne, można używać tożsamości zarządzanych za pośrednictwem usługi Azure Arc. Na przykład aplikacje działające na serwerach z obsługą usługi Azure Arc mogą używać tożsamości zarządzanych do łączenia się z usługami platformy Azure. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie względem zasobów platformy Azure przy użyciu serwerów z obsługą usługi Azure Arc.
W przypadku scenariuszy, w których są używane sygnatury dostępu współdzielonego (SAS), firma Microsoft zaleca używanie sygnatury dostępu współdzielonego delegowania użytkowników. Sygnatura dostępu współdzielonego delegowania użytkownika jest zabezpieczona przy użyciu poświadczeń Microsoft Entra zamiast klucza konta. Aby dowiedzieć się więcej o sygnaturach dostępu współdzielonego, zobacz Twórca sygnaturę dostępu współdzielonego delegowania użytkownika.
Od wersji 2015-04-05 usługa Azure Storage obsługuje tworzenie nowego typu sygnatury dostępu współdzielonego (SAS) na poziomie konta magazynu. Tworząc sygnaturę dostępu współdzielonego konta, możesz wykonywać następujące czynności:
Delegowanie dostępu do operacji na poziomie usługi, które nie są obecnie dostępne w przypadku sygnatury dostępu współdzielonego specyficznego dla usługi, na przykład
Get/Set Service Propertiesoperacji iGet Service Stats.Delegowanie dostępu do więcej niż jednej usługi na koncie magazynu jednocześnie. Na przykład można delegować dostęp do zasobów zarówno w Azure Blob Storage, jak i Azure Files przy użyciu sygnatury dostępu współdzielonego konta.
Delegowanie dostępu do operacji zapisu i usuwania dla kontenerów, kolejek, tabel i udziałów plików, które nie są dostępne dla sygnatury dostępu współdzielonego specyficznego dla obiektu.
Określ adres IP lub zakres adresów IP, z których mają być akceptowane żądania.
Określ protokół HTTP, z którego mają być akceptowane żądania (HTTPS lub HTTP/HTTPS).
Przechowywane zasady dostępu nie są obecnie obsługiwane dla sygnatury dostępu współdzielonego konta.
Przestroga
Sygnatury dostępu współdzielonego to klucze, które udzielają uprawnień do zasobów magazynu i należy je chronić tak samo, jak w przypadku ochrony klucza konta. Ważne jest, aby chronić sygnaturę dostępu współdzielonego przed złośliwym lub niezamierzonym użyciem. Użyj uznania w rozpowszechnianiu sygnatury dostępu współdzielonego i istnieje plan odwołania naruszonej sygnatury dostępu współdzielonego. Operacje korzystające z sygnatur dostępu współdzielonego powinny być wykonywane tylko za pośrednictwem połączenia HTTPS, a identyfikatory URI sygnatur dostępu współdzielonego powinny być dystrybuowane tylko w bezpiecznym połączeniu, takim jak HTTPS.
Autoryzacja sygnatury dostępu współdzielonego konta
Sygnatura dostępu współdzielonego konta jest zabezpieczana przy użyciu klucza konta magazynu. Podczas tworzenia sygnatury dostępu współdzielonego konta aplikacja kliencka musi mieć klucz konta.
Aby użyć Microsoft Entra poświadczeń w celu zabezpieczenia sygnatury dostępu współdzielonego dla kontenera lub obiektu blob, utwórz sygnaturę dostępu współdzielonego delegowania użytkownika.
Konstruowanie identyfikatora URI sygnatury dostępu współdzielonego konta
Identyfikator URI sygnatury dostępu współdzielonego konta składa się z identyfikatora URI zasobu, dla którego sygnatura dostępu współdzielonego będzie delegowana, a następnie token sas. Token sygnatury dostępu współdzielonego to ciąg zapytania zawierający wszystkie informacje wymagane do autoryzowania żądania do zasobu. Określa usługę, zasób i uprawnienia, które są dostępne do uzyskania dostępu, oraz okres, w którym podpis jest prawidłowy.
Określanie parametrów sygnatury dostępu współdzielonego konta
Wymagane i opcjonalne parametry tokenu SAS opisano w poniższej tabeli:
| Parametr zapytania sygnatury dostępu współdzielonego | Opis |
|---|---|
api-version |
Opcjonalny. Określa wersję usługi magazynu do użycia w celu wykonania żądania wykonanego przy użyciu identyfikatora URI sygnatury dostępu współdzielonego konta. Aby uzyskać więcej informacji, zobacz Autoryzowanie żądań przy użyciu sygnatury dostępu współdzielonego. |
SignedVersion (sv) |
Wymagane. Określa podpisaną wersję usługi magazynu, która ma być używana do autoryzowania żądań wysyłanych za pomocą sygnatury dostępu współdzielonego tego konta. Musi być ustawiona na wersję 2015-04-05 lub nowszą. Aby uzyskać więcej informacji, zobacz Autoryzowanie żądań przy użyciu sygnatury dostępu współdzielonego. |
SignedServices (ss) |
Wymagane. Określa podpisane usługi, które są dostępne z sygnaturą dostępu współdzielonego konta. Możliwe wartości to: - Obiekt blob ( b)- Kolejka ( q)- Tabela ( t)- Plik ( f)Możesz połączyć wartości, aby zapewnić dostęp do więcej niż jednej usługi. Na przykład ss=bf określa dostęp do usługi Blob Storage i Azure Files punktów końcowych. |
SignedResourceTypes (srt) |
Wymagane. Określa podpisane typy zasobów, które są dostępne dla sygnatury dostępu współdzielonego konta. — Usługa ( s): dostęp do interfejsów API na poziomie usługi (na przykład Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).— Kontener ( c): dostęp do interfejsów API na poziomie kontenera (na przykład Twórca/Usuń kontener, Twórca/Usuń kolejkę, Twórca/Usuń tabelę, Twórca/Usuń udział, Wyświetl listę obiektów blob/plików i katalogów).- Obiekt ( o): dostęp do interfejsów API na poziomie obiektu dla obiektów blob, komunikatów kolejki, jednostek tabeli i plików (na przykład Put Blob, Query Entity, Get Messages, Twórca File).Możesz połączyć wartości, aby zapewnić dostęp do więcej niż jednego typu zasobu. Na przykład srt=sc określa dostęp do zasobów usługi i kontenera. |
SignedPermissions (sp) |
Wymagane. Określa podpisane uprawnienia dla sygnatury dostępu współdzielonego konta. Uprawnienia są prawidłowe tylko wtedy, gdy są zgodne z określonym typem podpisanego zasobu. Jeśli nie są one zgodne, są ignorowane. - Odczyt ( r): Prawidłowe dla wszystkich podpisanych typów zasobów (usługa, kontener i obiekt). Zezwala na uprawnienia do odczytu do określonego typu zasobu.- Zapis ( w): Prawidłowe dla wszystkich podpisanych typów zasobów (usługa, kontener i obiekt). Zezwala na dostęp do zapisu dla określonego typu zasobu, umożliwiając użytkownikowi tworzenie i aktualizowanie zasobów.- Usuń ( d): Prawidłowe dla typów zasobów kontenera i obiektu, z wyjątkiem komunikatów w kolejce.- Trwałe usuwanie ( y): Prawidłowe dla typu zasobu obiektu blob tylko.— Lista ( l): prawidłowa tylko dla typów zasobów usługi i kontenera.- Dodaj ( a): Prawidłowe tylko dla następujących typów zasobów obiektów: komunikaty kolejki, jednostki tabeli i uzupełnialne obiekty blob.- Twórca ( c): Prawidłowe dla typów zasobów kontenera i następujących typów zasobów obiektu: obiekty blob i pliki. Użytkownicy mogą tworzyć nowe zasoby, ale mogą nie zastępować istniejących zasobów.- Aktualizacja ( u): Prawidłowe tylko dla następujących typów zasobów obiektu: komunikaty kolejki i jednostki tabeli.- Proces ( p): Prawidłowy tylko dla następującego typu zasobu obiektu: komunikaty kolejki.- Tag ( t): Prawidłowy tylko dla następującego typu zasobu obiektu: obiekty blob. Zezwala na operacje tagów obiektów blob.- Filtr ( f): Prawidłowy tylko dla następującego typu zasobu obiektu: obiekt blob. Zezwala na filtrowanie według tagu obiektu blob.- Ustaw zasady niezmienności ( i): Prawidłowe dla następującego typu zasobu obiektu tylko: obiekt blob. Zezwala na ustawianie/usuwanie zasad niezmienności i archiwizacji prawnej w obiekcie blob. |
SignedStart (st) |
Opcjonalny. Czas, kiedy sygnatura dostępu współdzielonego staje się prawidłowa, wyrażona w jednym z akceptowanych formatów ISO 8601 UTC. Jeśli zostanie pominięty, zakłada się, że godzina rozpoczęcia będzie czasem odebrania żądania przez usługę magazynu. Aby uzyskać więcej informacji na temat akceptowanych formatów UTC, zobacz Formatowanie wartości DateTime. |
SignedExpiry (se) |
Wymagane. Czas, kiedy sygnatura dostępu współdzielonego staje się nieprawidłowa, wyrażona w jednym z akceptowanych formatów ISO 8601 UTC. Aby uzyskać więcej informacji na temat akceptowanych formatów UTC, zobacz Formatowanie wartości DateTime. |
SignedIP (sip) |
Opcjonalny. Określa adres IP lub zakres adresów IP, z których mają być akceptowane żądania. Podczas określania zakresu należy pamiętać, że zakres jest inkluzywny. Obsługiwane są tylko adresy IPv4. Na przykład: sip=168.1.5.65 lub sip=168.1.5.60-168.1.5.70. |
SignedProtocol (spr) |
Opcjonalny. Określa protokół, który jest dozwolony dla żądania złożonego z sygnaturą dostępu współdzielonego konta. Możliwe wartości to tylko HTTPS i HTTP (https,http) lub HTTPS (https). Wartość domyślna to https,http.Należy pamiętać, że tylko protokół HTTP nie jest dozwoloną wartością. |
SignedEncryptionScope (ses) |
Opcjonalny. Wskazuje zakres szyfrowania używany do szyfrowania zawartości żądania. To pole jest obsługiwane w wersji 2020-12-06 lub nowszej. |
Signature (sig) |
Wymagane. Część sygnatury identyfikatora URI służy do autoryzowania żądania utworzonego za pomocą sygnatury dostępu współdzielonego. Ciąg-znak to unikatowy ciąg skonstruowany z pól, które muszą zostać zweryfikowane w celu autoryzowania żądania. Podpis to kod uwierzytelniania komunikatów oparty na skrótach (HMAC), który jest obliczany na podstawie ciągu do podpisania i klucza przy użyciu algorytmu SHA256, a następnie zakodowany przy użyciu kodowania Base64. |
signedVersion Określanie pola
Pole signedVersion (sv) zawiera wersję usługi sygnatury dostępu współdzielonego. Ta wartość określa wersję autoryzacji klucza współdzielonego, która jest używana przez ten sygnatura dostępu współdzielonego signature (w polu). Wartość określa również wersję usługi dla żądań wysyłanych za pomocą tego sygnatury dostępu współdzielonego.
Aby uzyskać informacje o wersji używanej podczas wykonywania żądań za pośrednictwem sygnatury dostępu współdzielonego, zobacz Przechowywanie wersji dla usług Azure Storage.
Aby uzyskać informacje na temat wpływu tego parametru na autoryzację żądań wysyłanych za pomocą sygnatury dostępu współdzielonego, zobacz Delegowanie dostępu za pomocą sygnatury dostępu współdzielonego.
| Nazwa pola | Parametr zapytania | Opis |
|---|---|---|
signedVersion |
sv |
Wymagane. Obsługiwane w wersji 2015-04-05 lub nowszej. Wersja usługi magazynu używana do autoryzacji i obsługi żądań wysyłanych za pomocą tego sygnatury dostępu współdzielonego. Aby uzyskać więcej informacji, zobacz Przechowywanie wersji dla usług Azure Storage. |
Określanie adresu IP lub zakresu adresów IP
Od wersji 2015-04-05 opcjonalne signedIp pole (sip) określa publiczny adres IP lub zakres publicznych adresów IP, z których mają być akceptowane żądania. Jeśli adres IP, z którego pochodzi żądanie, nie jest zgodny z adresem IP lub zakresem adresów określonym w tokenie SAS, żądanie nie jest autoryzowane. Obsługiwane są tylko adresy IPv4.
Podczas określania zakresu adresów IP należy pamiętać, że zakres jest inkluzywnyW przypadku określania sip=168.1.5.65 lub sip=168.1.5.60-168.1.5.70 w sygnaturze dostępu współdzielonego ogranicza żądanie do tych adresów IP.
W poniższej tabeli opisano, czy należy uwzględnić signedIp pole w tokenie SAS dla określonego scenariusza na podstawie środowiska klienta i lokalizacji konta magazynu.
| Środowisko klienta | Lokalizacja konta magazynu | Zalecenie |
|---|---|---|
| Klient uruchomiony na platformie Azure | W tym samym regionie co klient | Sygnatura dostępu współdzielonego dostarczana klientowi w tym scenariuszu signedIp nie powinna zawierać wychodzącego adresu IP dla pola. Żądania wysyłane z tego samego regionu, które używają sygnatury dostępu współdzielonego z określonym adresem IP ruchu wychodzącego, zakończy się niepowodzeniem.Zamiast tego użyj sieci wirtualnej platformy Azure do zarządzania ograniczeniami zabezpieczeń sieci. Żądania do usługi Azure Storage z tego samego regionu zawsze odbywają się za pośrednictwem prywatnego adresu IP. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage. |
| Klient uruchomiony na platformie Azure | W innym regionie niż klient | Sygnatura dostępu współdzielonego dostarczana klientowi w tym scenariuszu może zawierać publiczny adres IP lub zakres adresów dla signedIp pola. Żądanie z sygnaturą dostępu współdzielonego musi pochodzić z określonego adresu IP lub zakresu adresów. |
| Klient działający lokalnie lub w innym środowisku chmury | W dowolnym regionie świadczenia usługi Azure | Sygnatura dostępu współdzielonego dostarczana klientowi w tym scenariuszu może zawierać publiczny adres IP lub zakres adresów dla signedIp pola. Żądanie z sygnaturą dostępu współdzielonego musi pochodzić z określonego adresu IP lub zakresu adresów.Jeśli żądanie przechodzi przez serwer proxy lub bramę, podaj publiczny wychodzący adres IP tego serwera proxy lub bramy dla signedIp pola. |
Określanie protokołu HTTP
Począwszy od wersji 2015-04-05, opcjonalne signedProtocol pole (spr) określa protokół dozwolony dla żądania z sygnaturą dostępu współdzielonego. Możliwe wartości to tylko HTTPS i HTTP (https,http) lub HTTPS (https). Wartość domyślna to https,http. Należy pamiętać, że tylko protokół HTTP nie jest dozwoloną wartością.
Określanie zakresu szyfrowania
Za pomocą signedEncryptionScope pola w identyfikatorze URI można określić zakres szyfrowania, którego może używać aplikacja kliencka. Wymusza ona szyfrowanie po stronie serwera z określonym zakresem szyfrowania podczas przekazywania obiektów blob (PUT) przy użyciu tokenu SAS. Get i HEAD nie będą ograniczone i wykonywane tak jak wcześniej.
W poniższej tabeli opisano sposób odwoływania się do podpisanego zakresu szyfrowania w identyfikatorze URI:
| Nazwa pola | Parametr zapytania | Opis |
|---|---|---|
signedEncryptionScope |
ses |
Opcjonalny. Wskazuje zakres szyfrowania używany do szyfrowania zawartości żądania. |
To pole jest obsługiwane w wersji 2020-12-06 lub nowszej. Jeśli dodasz ses element przed obsługiwaną wersją, usługa zwróci kod odpowiedzi błędu 403 (Zabronione).
Jeśli ustawisz domyślny zakres szyfrowania dla kontenera lub systemu plików, ses parametr zapytania uwzględnia zasady szyfrowania kontenera. Jeśli występuje niezgodność między parametrem ses zapytania i x-ms-default-encryption-scope nagłówkiem, a x-ms-deny-encryption-scope-override nagłówek jest ustawiony na truewartość , usługa zwraca kod odpowiedzi błędu 403 (Zabronione).
Po podaniu nagłówka x-ms-encryption-scope i parametru ses zapytania w żądaniu PUT usługa zwraca kod odpowiedzi błędu 400 (nieprawidłowe żądanie), jeśli występuje niezgodność.
Konstruowanie ciągu podpisu
Aby utworzyć ciąg podpisu dla sygnatury dostępu współdzielonego konta, najpierw skonstruuj ciąg do podpisania z pól tworzących żądanie, a następnie zakoduj ciąg jako UTF-8 i oblicz podpis przy użyciu algorytmu HMAC-SHA256.
Uwaga
Pola zawarte w znaku ciągu muszą być zdekodowane pod adresem URL.
Aby utworzyć ciąg do podpisania dla sygnatury dostępu współdzielonego konta, użyj następującego formatu:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
Wersja 2020-12-06 dodaje obsługę pola zakresu szyfrowania podpisanego. Aby utworzyć ciąg do podpisania dla sygnatury dostępu współdzielonego konta, użyj następującego formatu:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Uprawnienia sygnatury dostępu współdzielonego konta według operacji
Tabele w poniższych sekcjach zawierają listę różnych interfejsów API dla każdej usługi oraz podpisanych typów zasobów i podpisanych uprawnień, które są obsługiwane dla każdej operacji.
Blob service
W poniższej tabeli wymieniono operacje usługi Blob Service i wskazuje, który podpisany typ zasobu i podpisane uprawnienia do określenia podczas delegowania dostępu do tych operacji.
| Operacja | Podpisana usługa | Typ zasobu podpisanego | Podpisane uprawnienie |
|---|---|---|---|
| Wyświetlanie listy kontenerów | Obiekt blob (b) | Usługi (s) | Lista (l) |
| Pobieranie właściwości usługi Blob Service | Obiekt blob (b) | Usługi (s) | Odczyt (r) |
| Ustawianie właściwości usługi Blob Service | Obiekt blob (b) | Usługi (s) | Zapis (w) |
| Pobieranie statystyk usługi Blob Service | Obiekt blob (b) | Usługi (s) | Odczyt (r) |
| Tworzenie kontenera | Obiekt blob (b) | Kontener (c) | Twórca(c) lub zapis (w) |
| Pobieranie właściwości kontenera | Obiekt blob (b) | Kontener (c) | Odczyt (r) |
| Pobieranie metadanych kontenera | Obiekt blob (b) | Kontener (c) | Odczyt (r) |
| Ustawianie metadanych kontenera | Obiekt blob (b) | Kontener (c) | Zapis (w) |
| Kontener dzierżawy | Obiekt blob (b) | Kontener (c) | Zapis (w) lub usuwanie (d)1 |
| Usuwanie kontenera | Obiekt blob (b) | Kontener (c) | Usuń (d)1 |
| Znajdowanie obiektów blob według tagów w kontenerze | Obiekt blob (b) | Kontener (c) | Filtr (f) |
| Wyświetlanie listy obiektów blob | Obiekt blob (b) | Kontener (c) | Lista (l) |
| Umieść obiekt blob (utwórz nowy blokowy obiekt blob) | Obiekt blob (b) | Obiekt (o) | Twórca (c) lub zapis (w) |
| Umieść obiekt blob (zastąp istniejący blokowy obiekt blob) | Obiekt blob (b) | Obiekt (o) | Zapis (w) |
| Umieść obiekt blob (utwórz nowy stronicowy obiekt blob) | Obiekt blob (b) | Obiekt (o) | Twórca (c) lub zapis (w) |
| Umieść obiekt blob (zastąp istniejący stronicowy obiekt blob) | Obiekt blob (b) | Obiekt (o) | Zapis (w) |
| Uzyskiwanie obiektu blob | Obiekt blob (b) | Obiekt (o) | Odczyt (r) |
| Pobieranie właściwości obiektu blob | Obiekt blob (b) | Obiekt (o) | Odczyt (r) |
| Ustawianie właściwości obiektu blob | Obiekt blob (b) | Obiekt (o) | Zapis (w) |
| Pobieranie metadanych obiektu blob | Obiekt blob (b) | Obiekt (o) | Odczyt (r) |
| Ustawianie metadanych obiektu blob | Obiekt blob (b) | Obiekt (o) | Zapis (w) |
| Pobieranie tagów obiektów blob | Obiekt blob (b) | Obiekt (o) | Tagi (t) |
| Ustawianie tagów obiektów blob | Obiekt blob (b) | Obiekt (o) | Tagi (t) |
| Znajdowanie obiektów blob według tagów | Obiekt blob (b) | Obiekt (o) | Filtr (f) |
| Usuwanie obiektu blob | Obiekt blob (b) | Obiekt (o) | Usuń (d)1 |
| Trwałe usuwanie migawki/wersji | Obiekt blob (b) | Obiekt (o) | Trwałe usuwanie (y) |
| Dzierżawienie obiektu blob | Obiekt blob (b) | Obiekt (o) | Zapis (w) lub usuwanie (d)1 |
| Wykonywanie migawki obiektu blob | Obiekt blob (b) | Obiekt (o) | Twórca (c) lub zapis (w) |
| Kopiowanie obiektu blob (miejsce docelowe jest nowym obiektem blob) | Obiekt blob (b) | Obiekt (o) | Twórca (c) lub zapis (w) |
| Kopiowanie obiektu blob (miejsce docelowe jest istniejącym obiektem blob) | Obiekt blob (b) | Obiekt (o) | Zapis (w) |
| Kopiowanie przyrostowe | Obiekt blob (b) | Obiekt (o) | Twórca (c) lub zapis (w) |
| Przerwanie kopiowania obiektu blob | Obiekt blob (b) | Obiekt (o) | Zapis (w) |
| Umieść blok | Obiekt blob (b) | Obiekt (o) | Zapis (w) |
| Umieść listę bloków (utwórz nowy obiekt blob) | Obiekt blob (b) | Obiekt (o) | Zapis (w) |
| Umieść listę bloków (zaktualizuj istniejący obiekt blob) | Obiekt blob (b) | Obiekt (o) | Zapis (w) |
| Pobieranie listy zablokowanych | Obiekt blob (b) | Obiekt (o) | Odczyt (r) |
| Umieść stronę | Obiekt blob (b) | Obiekt (o) | Zapis (w) |
| Pobieranie zakresów stron | Obiekt blob (b) | Obiekt (o) | Odczyt (r) |
| Blok dołączania | Obiekt blob (b) | Obiekt (o) | Dodawanie (a) lub zapis (w) |
| Wyczyść stronę | Obiekt blob (b) | Obiekt (o) | Zapis (w) |
1 Uprawnienie Delete umożliwia przerwanie dzierżawy obiektu blob lub kontenera w wersji 2017-07-29 lub nowszej.
usługą kolejki
W poniższej tabeli wymieniono operacje usługi kolejki i wskazuje, które podpisane typy zasobów i podpisane uprawnienia do określenia podczas delegowania dostępu do tych operacji.
| Operacja | Podpisana usługa | Typ zasobu podpisanego | Podpisane uprawnienie |
|---|---|---|---|
| Pobieranie właściwości usługi kolejki | Kolejka (q) | Usługi (s) | Odczyt (r) |
| Ustawianie właściwości usługi kolejki | Kolejka (q) | Usługi (s) | Zapis (w) |
| Wyświetlanie listy kolejek | Kolejka (q) | Usługi (s) | Lista (l) |
| Pobieranie statystyk usługi kolejki | Kolejka (q) | Usługi (s) | Odczyt (r) |
| kolejka Twórca | Kolejka (q) | Kontener (c) | Twórca(c) lub zapis (w) |
| Usuwanie kolejki | Kolejka (q) | Kontener (c) | Usuń (d) |
| Pobieranie metadanych kolejki | Kolejka (q) | Kontener (c) | Odczyt (r) |
| Ustawianie metadanych kolejki | Kolejka (q) | Kontener (c) | Zapis (w) |
| Umieść wiadomość | Kolejka (q) | Obiekt (o) | Dodaj (a) |
| Pobieranie komunikatów | Kolejka (q) | Obiekt (o) | Proces (p) |
| komunikaty Podgląd | Kolejka (q) | Obiekt (o) | Odczyt (r) |
| Usuń wiadomość | Kolejka (q) | Obiekt (o) | Proces (p) |
| Wyczyść komunikaty | Kolejka (q) | Obiekt (o) | Usuń (d) |
| Aktualizacja wiadomości | Kolejka (q) | Obiekt (o) | Aktualizacja (u) |
Usługa tabel
W poniższej tabeli wymieniono operacje usługi Table Service i wskazuje, który podpisany typ zasobu i podpisane uprawnienia do określenia podczas delegowania dostępu do tych operacji.
| Operacja | Podpisana usługa | Typ zasobu podpisanego | Podpisane uprawnienie |
|---|---|---|---|
| Pobieranie właściwości usługi Table Service | Tabela (t) | Usługi (s) | Odczyt (r) |
| Ustawianie właściwości usługi Table Service | Tabela (t) | Usługi (s) | Zapis (w) |
| Pobieranie statystyk usługi Table Service | Tabela (t) | Usługi (s) | Odczyt (r) |
| Tabele zapytań | Tabela (t) | Kontener (c) | Lista (l) |
| Create Table | Tabela (t) | Kontener (c) | Twórca (c) lub zapis (w) |
| Usuń tabelę | Tabela (t) | Kontener (c) | Usuń (d) |
| Wykonywanie zapytań o jednostki | Tabela (t) | Obiekt (o) | Odczyt (r) |
| Wstaw jednostkę | Tabela (t) | Obiekt (o) | Dodaj (a) |
| Wstawianie lub scalanie jednostki | Tabela (t) | Obiekt (o) | Dodawanie (a) i aktualizacja (u)1 |
| Wstawianie lub zastępowanie jednostki | Tabela (t) | Obiekt (o) | Dodawanie (a) i aktualizacja (u)1 |
| Aktualizowanie jednostki | Tabela (t) | Obiekt (o) | Aktualizacja (u) |
| Scal jednostkę | Tabela (t) | Obiekt (o) | Aktualizacja (u) |
| Usuwanie jednostki | Tabela (t) | Obiekt (o) | Usuń (d) |
1. Dodawanie i aktualizowanie uprawnień jest wymagane w przypadku operacji upsert w usłudze Table Service.
Usługa plików
W poniższej tabeli wymieniono operacje usługi plików i wskazuje, które podpisane typy zasobów i podpisane uprawnienia do określenia podczas delegowania dostępu do tych operacji.
| Operacja | Podpisana usługa | Typ zasobu podpisanego | Podpisane uprawnienie |
|---|---|---|---|
| Wyświetlanie listy udziałów | Plik (f) | Usługi (s) | Lista (l) |
| Pobieranie właściwości usługi plików | Plik (f) | Usługi (s) | Odczyt (r) |
| Ustawianie właściwości usługi plików | Plik (f) | Usługi (s) | Zapis (w) |
| Pobieranie statystyk udziału | Plik (f) | Kontener (c) | Odczyt (r) |
| udział Twórca | Plik (f) | Kontener (c) | Twórca (c) lub zapis (w) |
| Udział migawek | Plik (f) | Kontener (c) | Twórca (c) lub zapis (w) |
| Pobieranie właściwości udziału | Plik (f) | Kontener (c) | Odczyt (r) |
| Ustawianie właściwości udziału | Plik (f) | Kontener (c) | Zapis (w) |
| Pobieranie metadanych udziału | Plik (f) | Kontener (c) | Odczyt (r) |
| Ustawianie metadanych udziału | Plik (f) | Kontener (c) | Zapis (w) |
| Usuń udział | Plik (f) | Kontener (c) | Usuń (d) |
| Wyświetlanie listy katalogów i plików | Plik (f) | Kontener (c) | Lista (l) |
| katalog Twórca | Plik (f) | Obiekt (o) | Twórca (c) lub zapis (w) |
| Pobieranie właściwości katalogu | Plik (f) | Obiekt (o) | Odczyt (r) |
| Pobieranie metadanych katalogu | Plik (f) | Obiekt (o) | Odczyt (r) |
| Ustawianie metadanych katalogu | Plik (f) | Obiekt (o) | Zapis (w) |
| Usuń katalog | Plik (f) | Obiekt (o) | Usuń (d) |
| plik Twórca (utwórz nowy) | Plik (f) | Obiekt (o) | Twórca (c) lub zapis (w) |
| plik Twórca (zastąp istniejący) | Plik (f) | Obiekt (o) | Zapis (w) |
| Pobieranie pliku | Plik (f) | Obiekt (o) | Odczyt (r) |
| Pobieranie właściwości pliku | Plik (f) | Obiekt (o) | Odczyt (r) |
| Pobieranie metadanych pliku | Plik (f) | Obiekt (o) | Odczyt (r) |
| Ustawianie metadanych pliku | Plik (f) | Obiekt (o) | Zapis (w) |
| Usuń plik | Plik (f) | Obiekt (o) | Usuń (d) |
| Zmień nazwę pliku | Plik (f) | Obiekt (o) | Usuwanie (d) lub zapis (w) |
| Umieść zakres | Plik (f) | Obiekt (o) | Zapis (w) |
| Zakresy list | Plik (f) | Obiekt (o) | Odczyt (r) |
| Przerwanie kopiowania pliku | Plik (f) | Obiekt (o) | Zapis (w) |
| Kopiuj plik | Plik (f) | Obiekt (o) | Zapis (w) |
| Wyczyść zakres | Plik (f) | Obiekt (o) | Zapis (w) |
Przykład identyfikatora URI sygnatury dostępu współdzielonego konta
W poniższym przykładzie pokazano identyfikator URI usługi Blob Service z dołączonym do niego tokenem SAS konta. Token SYGNATURy dostępu współdzielonego konta zapewnia uprawnienia do usługi, kontenera i obiektów. Tabela dzieli każdą część identyfikatora URI:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Nazwa | Część sygnatury dostępu współdzielonego | Opis |
|---|---|---|
| Identyfikator URI zasobu | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Punkt końcowy usługi z parametrami służącą do pobierania właściwości usługi (po wywołaniu za pomocą polecenia GET) lub ustawiania właściwości usługi (po wywołaniu za pomocą polecenia SET). Na podstawie wartości pola podpisanych usług (ss) tę sygnaturę dostępu współdzielonego można używać z usługą Blob Storage lub Azure Files. |
| Ogranicznik | ? |
Ogranicznik poprzedzający ciąg zapytania. Ogranicznik nie jest częścią tokenu SAS. |
| Wersja usług magazynu | sv=2022-11-02 |
W przypadku usług Azure Storage w wersji 2012-02-12 lub nowszej ten parametr wskazuje wersję do użycia. |
| Usługi | ss=b |
Sygnatura dostępu współdzielonego ma zastosowanie do usług obiektów blob. |
| Typy zasobów | srt=sco |
Sygnatura dostępu współdzielonego ma zastosowanie do operacji na poziomie usługi, na poziomie kontenera i na poziomie obiektu. |
| Uprawnienia | sp=rwlc |
Uprawnienia zapewniają dostęp do operacji odczytu, zapisu, listy i tworzenia. |
| Godzina rozpoczęcia | st=2019-08-01T22%3A18%3A26Z |
Określony w czasie UTC. Jeśli sygnatura dostępu współdzielonego ma być prawidłowa natychmiast, pomiń godzinę rozpoczęcia. |
| Czas wygaśnięcia | se=2019-08-10T02%3A23%3A26Z |
Określony w czasie UTC. |
| Protokół | spr=https |
Dozwolone są tylko żądania używające protokołu HTTPS. |
| Podpis | sig=<signature> |
Służy do autoryzacji dostępu do obiektu blob. Podpis jest kluczem HMAC obliczanym za pomocą ciągu do podpisania i klucza przy użyciu algorytmu SHA256, a następnie zakodowanego przy użyciu kodowania Base64. |
Ponieważ uprawnienia są ograniczone do poziomu usługi, dostępne operacje za pomocą tej sygnatury dostępu współdzielonego to Uzyskiwanie właściwości usługi Blob Service (odczyt) i Ustawianie właściwości usługi Blob Service (zapis). Jednak przy użyciu innego identyfikatora URI zasobu ten sam token SYGNATURy dostępu współdzielonego może być również używany do delegowania dostępu do funkcji Uzyskiwanie statystyk usługi Blob Service (odczyt).