Delegowanie dostępu przy użyciu sygnatury dostępu współdzielonego

Sygnatura dostępu współdzielonego to identyfikator URI, który zapewnia ograniczone prawa dostępu do zasobów usługi Azure Storage. Sygnaturę dostępu współdzielonego można udostępnić klientom, którzy nie powinni być zaufani przy użyciu klucza konta magazynu, ale którzy potrzebują dostępu do niektórych zasobów konta magazynu. Dystrybuując identyfikator URI sygnatury dostępu współdzielonego do tych klientów, można udzielić im dostępu do zasobu przez określony okres czasu z określonym zestawem uprawnień.

Parametry zapytania identyfikatora URI tworzące token SAS zawierają wszystkie informacje niezbędne do udzielenia kontrolowanego dostępu do zasobu magazynu. Klient, który ma sygnaturę dostępu współdzielonego, może wysłać żądanie do usługi Azure Storage przy użyciu tylko identyfikatora URI sygnatury dostępu współdzielonego. Informacje w tokenie SAS są używane do autoryzowania żądania.

Typy sygnatur dostępu współdzielonego

Usługa Azure Storage obsługuje następujące typy sygnatur dostępu współdzielonego:

  • Sygnatura dostępu współdzielonego konta wprowadzona w wersji 2015-04-05. Ten typ sygnatury dostępu współdzielonego deleguje dostęp do zasobów w co najmniej jednej usłudze magazynu. Wszystkie operacje dostępne za pośrednictwem sygnatury dostępu współdzielonego usługi są również dostępne za pośrednictwem sygnatury dostępu współdzielonego konta.

    Za pomocą sygnatury dostępu współdzielonego konta można delegować dostęp do operacji, które mają zastosowanie do usługi, takich jak Get/Set Service Properties i Get Service Stats. Możesz również delegować dostęp do operacji odczytu, zapisu i usuwania dla kontenerów obiektów blob, tabel, kolejek i udziałów plików, co jest niedozwolone w wypadku sygnatury dostępu współdzielonego usługi.

    Aby uzyskać więcej informacji, zobacz Tworzenie sygnatury dostępu współdzielonego konta.

  • Sygnatura dostępu współdzielonego usługi. Ten typ sygnatury dostępu współdzielonego deleguje dostęp do zasobu tylko w jednej z usług magazynu: Azure Blob Storage, Azure Queue Storage, Azure Table Storage lub Azure Files. Aby uzyskać więcej informacji, zobacz Create a service SAS and Service SAS examples (Tworzenie sygnatury dostępu współdzielonego usługi i sygnatury dostępu współdzielonego usługi).

  • Sygnatura dostępu współdzielonego delegowania użytkownika wprowadzona w wersji 2018-11-09. Ten typ sygnatury dostępu współdzielonego jest zabezpieczony przy użyciu poświadczeń usługi Azure Active Directory. Jest ona obsługiwana tylko w przypadku usługi Blob Storage i można jej użyć do udzielania dostępu do kontenerów i obiektów blob. Aby uzyskać więcej informacji, zobacz Tworzenie sygnatury dostępu współdzielonego delegowania użytkownika.

Ponadto sygnatura dostępu współdzielonego usługi może odwoływać się do przechowywanych zasad dostępu, które zapewniają kolejny poziom kontroli nad zestawem podpisów. Ta kontrola obejmuje możliwość modyfikowania lub odwoływanie dostępu do zasobu w razie potrzeby. Aby uzyskać więcej informacji, zobacz Definiowanie przechowywanych zasad dostępu.

Uwaga

Przechowywane zasady dostępu nie są obecnie obsługiwane dla sygnatury dostępu współdzielonego konta ani sygnatury dostępu współdzielonego delegowania użytkownika.

Zobacz też