Delegowanie dostępu przy użyciu sygnatury dostępu współdzielonego
Ważne
W celu zapewnienia optymalnego bezpieczeństwa firma Microsoft zaleca używanie Tożsamość Microsoft Entra z tożsamościami zarządzanymi w celu autoryzowania żądań względem danych obiektów blob, kolejek i tabel, jeśli jest to możliwe. Autoryzacja przy użyciu Tożsamość Microsoft Entra i tożsamości zarządzanych zapewnia doskonałe zabezpieczenia i łatwość użycia za pośrednictwem autoryzacji klucza współdzielonego. Aby dowiedzieć się więcej, zobacz Autoryzowanie za pomocą Tożsamość Microsoft Entra. Aby dowiedzieć się więcej na temat tożsamości zarządzanych, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure.
W przypadku zasobów hostowanych poza platformą Azure, takich jak aplikacje lokalne, można używać tożsamości zarządzanych za pośrednictwem usługi Azure Arc. Na przykład aplikacje działające na serwerach z obsługą usługi Azure Arc mogą używać tożsamości zarządzanych do łączenia się z usługami platformy Azure. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie względem zasobów platformy Azure przy użyciu serwerów z obsługą usługi Azure Arc.
W przypadku scenariuszy, w których są używane sygnatury dostępu współdzielonego (SAS), firma Microsoft zaleca używanie sygnatury dostępu współdzielonego delegowania użytkowników. Sygnatura dostępu współdzielonego delegowania użytkownika jest zabezpieczona przy użyciu poświadczeń Microsoft Entra zamiast klucza konta. Aby dowiedzieć się więcej o sygnaturach dostępu współdzielonego, zobacz Twórca sygnaturę dostępu współdzielonego delegowania użytkownika.
Sygnatura dostępu współdzielonego to identyfikator URI, który zapewnia ograniczone prawa dostępu do zasobów usługi Azure Storage. Możesz udostępnić sygnaturę dostępu współdzielonego klientom, którzy nie powinni być zaufani przy użyciu klucza konta magazynu, ale którzy potrzebują dostępu do niektórych zasobów konta magazynu. Dystrybuując identyfikator URI sygnatury dostępu współdzielonego do tych klientów, można udzielić im dostępu do zasobu przez określony okres czasu z określonym zestawem uprawnień.
Parametry zapytania identyfikatora URI, które tworzą token SAS, zawierają wszystkie informacje niezbędne do udzielenia kontrolowanego dostępu do zasobu magazynu. Klient, który ma sygnaturę dostępu współdzielonego, może wysłać żądanie do usługi Azure Storage przy użyciu tylko identyfikatora URI sygnatury dostępu współdzielonego. Informacje w tokenie SAS są używane do autoryzacji żądania.
Typy sygnatur dostępu współdzielonego
Usługa Azure Storage obsługuje następujące typy sygnatur dostępu współdzielonego:
Sygnatura dostępu współdzielonego konta wprowadzona w wersji 2015-04-05. Ten typ sygnatury dostępu współdzielonego deleguje dostęp do zasobów w co najmniej jednej usłudze magazynu. Wszystkie operacje dostępne za pośrednictwem sygnatury dostępu współdzielonego usługi są również dostępne za pośrednictwem sygnatury dostępu współdzielonego konta.
Za pomocą sygnatury dostępu współdzielonego konta można delegować dostęp do operacji, które mają zastosowanie do usługi, takiej jak
Get/Set Service PropertiesiGet Service Stats. Możesz również delegować dostęp do operacji odczytu, zapisu i usuwania dla kontenerów obiektów blob, tabel, kolejek i udziałów plików, co jest niedozwolone w wypadku sygnatury dostępu współdzielonego usługi.Aby uzyskać więcej informacji, zobacz Twórca sygnaturę dostępu współdzielonego konta.
Sygnatura dostępu współdzielonego usługi. Ten typ sygnatury dostępu współdzielonego deleguje dostęp do zasobu tylko w jednej z usług magazynowania: Azure Blob Storage, Azure Queue Storage, Azure Table Storage lub Azure Files. Aby uzyskać więcej informacji, zobacz Twórca przykłady sygnatury dostępu współdzielonego usługi i sygnatury dostępuwspółdzielonego usługi.
Sygnatura dostępu współdzielonego delegowania użytkownika wprowadzona w wersji 2018-11-09. Ten typ sygnatury dostępu współdzielonego jest zabezpieczony przy użyciu Microsoft Entra poświadczeń. Jest ona obsługiwana tylko w przypadku usługi Blob Storage i można jej użyć do udzielania dostępu do kontenerów i obiektów blob. Aby uzyskać więcej informacji, zobacz Twórca sygnaturę dostępu współdzielonego delegowania użytkownika.
Ponadto sygnatura dostępu współdzielonego usługi może odwoływać się do przechowywanych zasad dostępu, które zapewniają inny poziom kontroli nad zestawem podpisów. Ta kontrolka obejmuje możliwość modyfikowania lub odwoływanie dostępu do zasobu w razie potrzeby. Aby uzyskać więcej informacji, zobacz Definiowanie przechowywanych zasad dostępu.
Uwaga
Przechowywane zasady dostępu nie są obecnie obsługiwane dla sygnatury dostępu współdzielonego konta lub sygnatury dostępu współdzielonego delegowania użytkownika.