Tworzenie sygnatur dostępu współdzielonego

  • 3 min

Sygnatura dostępu współdzielonego (SAS) to jednolity identyfikator zasobu (URI), który udziela ograniczonych praw dostępu do zasobów usługi Azure Storage. Sygnatura dostępu współdzielonego to bezpieczny sposób udostępniania zasobów magazynu bez naruszania kluczy konta.

Sygnaturę dostępu współdzielonego można udostępnić klientom, którzy nie powinni mieć dostępu do klucza konta magazynu. Rozpowszechniając identyfikator URI sygnatury dostępu współdzielonego do tych klientów, można udzielić im dostępu do zasobu przez określony okres czasu.

Informacje o sygnaturach dostępu współdzielonego

Przyjrzyjmy się niektórym cechom sygnatury dostępu współdzielonego.

  • Sygnatura dostępu współdzielonego zapewnia szczegółową kontrolę nad typem dostępu udzielanego klientom, którzy mają sygnaturę dostępu współdzielonego.

  • Sygnatura dostępu współdzielonego na poziomie konta może delegować dostęp do wielu usług Azure Storage, takich jak obiekty blob, pliki, kolejki i tabele.

  • Możesz określić interwał czasu, dla którego sygnatura dostępu współdzielonego jest prawidłowa, w tym czas rozpoczęcia i czas wygaśnięcia.

  • Należy określić uprawnienia przyznane przez sygnaturę dostępu współdzielonego. Sygnatura dostępu współdzielonego dla obiektu blob może udzielać uprawnień do odczytu i zapisu do tego obiektu blob, ale nie usuwać uprawnień.

  • Sygnatura dostępu współdzielonego zapewnia kontrolę na poziomie konta i na poziomie usługi.

    • Sygnatura dostępu współdzielonego na poziomie konta deleguje dostęp do zasobów w co najmniej jednej usłudze Azure Storage.

    • Sygnatura dostępu współdzielonego na poziomie usługi deleguje dostęp do zasobu tylko w jednej usłudze Azure Storage.

    Uwaga

    Przechowywane zasady dostępu mogą zapewnić inny poziom kontroli podczas korzystania z sygnatury dostępu współdzielonego na poziomie usługi po stronie serwera. Można grupować usługi SAS i udostępniać inne ograniczenia przy użyciu przechowywanych zasad dostępu.

  • Istnieją opcjonalne ustawienia konfiguracji sygnatury dostępu współdzielonego:

    • Adresy IP. Możesz zidentyfikować adres IP lub zakres adresów IP, z których usługa Azure Storage akceptuje sygnaturę dostępu współdzielonego. Skonfiguruj tę opcję, aby określić zakres adresów IP należących do organizacji.

    • Protokoły. Możesz określić protokół, za pomocą którego usługa Azure Storage akceptuje sygnaturę dostępu współdzielonego. Skonfiguruj tę opcję, aby ograniczyć dostęp do klientów przy użyciu protokołu HTTPS.

Konfigurowanie sygnatury dostępu współdzielonego

W witrynie Azure Portal skonfigurujesz kilka ustawień w celu utworzenia sygnatury dostępu współdzielonego. Podczas przeglądania tych szczegółów zastanów się, jak można zaimplementować sygnatury dostępu współdzielonego w rozwiązaniu zabezpieczeń magazynu.

Screenshot of the Create a shared access signature key page.

  • Metoda podpisywania: wybierz metodę podpisywania: Klucz konta lub Klucz delegowania użytkownika.
  • Klucz podpisywania: wybierz klucz podpisywania z listy kluczy.
  • Uprawnienia: wybierz uprawnienia przyznane przez sygnaturę dostępu współdzielonego, takie jak odczyt lub zapis.
  • Data/godzina rozpoczęcia i wygaśnięcia: określ interwał czasu, dla którego sygnatura dostępu współdzielonego jest prawidłowa. Ustaw godzinę rozpoczęcia i czas wygaśnięcia.
  • Dozwolone adresy IP: (opcjonalnie) Zidentyfikuj adres IP lub zakres adresów IP, z których usługa Azure Storage akceptuje sygnaturę dostępu współdzielonego.
  • Dozwolone protokoły: (opcjonalnie) Wybierz protokół, za pośrednictwem którego usługa Azure Storage akceptuje sygnaturę dostępu współdzielonego.