Criar uma SAS de conta
A partir da versão 2015-04-05, o Armazenamento do Azure dá suporte à criação de um novo tipo de SAS (assinatura de acesso compartilhado) no nível da conta de armazenamento. Ao criar uma conta SAS, você pode:
Delegar acesso a operações de nível de serviço que não estão disponíveis atualmente com uma SAS específica do serviço, como as
Get/Set Service Propertiesoperações eGet Service Stats.Delegue o acesso a mais de um serviço em uma conta de armazenamento ao mesmo tempo. Por exemplo, você pode delegar o acesso a recursos no Armazenamento de Blobs do Azure e nos Arquivos do Azure usando uma conta SAS.
Delegar acesso a operações de gravação e exclusão para contêineres, filas, tabelas e compartilhamentos de arquivos, que não estão disponíveis com uma SAS específica do objeto.
Especifique um endereço IP ou um intervalo de endereços IP dos quais aceitar solicitações.
Especifique o protocolo HTTP do qual aceitar solicitações (HTTPS ou HTTP/HTTPS).
Atualmente, não há suporte para políticas de acesso armazenadas em uma SAS de conta.
Cuidado
As assinaturas de acesso compartilhado são chaves que concedem permissões aos recursos de armazenamento e você deve protegê-las da mesma forma que protegeria uma chave de conta. É importante proteger um SAS contra uso malicioso ou não intencional. Use discrição ao distribuir um SAS e tenha um plano em vigor para revogar um SAS comprometido. As operações que usam assinaturas de acesso compartilhado devem ser executadas somente em uma conexão HTTPS, e os URIs SAS devem ser distribuídos somente em uma conexão segura, como HTTPS.
Autorizar uma SAS de conta
Você protege uma SAS de conta usando uma chave de conta de armazenamento. Quando você cria uma SAS de conta, seu aplicativo cliente deve possuir a chave da conta.
Para usar Microsoft Entra credenciais para proteger uma SAS para um contêiner ou blob, crie uma SAS de delegação de usuário.
Construir um URI sas de conta
O URI de SAS da conta consiste no URI do recurso para o qual a SAS delegará o acesso, seguido por um token SAS. O token SAS é a cadeia de caracteres de consulta que inclui todas as informações necessárias para autorizar uma solicitação para o recurso. Ele especifica o serviço, o recurso e as permissões disponíveis para acesso e o período durante o qual a assinatura é válida.
Especificar os parâmetros SAS da conta
Os parâmetros obrigatórios e opcionais para o token SAS são descritos na tabela a seguir:
| Parâmetro de consulta SAS | Descrição |
|---|---|
api-version |
Opcional. Especifica a versão do serviço de armazenamento a ser usada para executar a solicitação feita usando o URI sas da conta. Para obter mais informações, consulte Autorizar solicitações usando uma assinatura de acesso compartilhado. |
SignedVersion (sv) |
Obrigatórios. Especifica a versão do serviço de armazenamento assinado a ser usada para autorizar solicitações feitas com essa SAS de conta. Ele deve ser definido como a versão 2015-04-05 ou posterior. Para obter mais informações, consulte Autorizar solicitações usando uma assinatura de acesso compartilhado. |
SignedServices (ss) |
Obrigatórios. Especifica os serviços assinados acessíveis com a SAS da conta. Os valores possíveis incluem: - Blob ( b)- Fila ( q)- Tabela ( t)- Arquivo ( f)Você pode combinar valores para fornecer acesso a mais de um serviço. Por exemplo, ss=bf especifica o acesso ao Armazenamento de Blobs e Arquivos do Azure pontos de extremidade. |
SignedResourceTypes (srt) |
Obrigatórios. Especifica os tipos de recursos assinados que podem ser acessados com a SAS da conta. - Serviço ( s): acesso a APIs de nível de serviço (por exemplo, Obter/Definir Propriedades do Serviço, Obter Estatísticas de Serviço, Listar Contêineres/Filas/Tabelas/Compartilhamentos).- Contêiner ( c): acesso a APIs no nível do contêiner (por exemplo, Criar/Excluir Contêiner, Criar/Excluir Fila, Criar/Excluir Tabela, Criar/Excluir Compartilhamento, Listar Blobs/Arquivos e Diretórios).- Objeto ( o): acesso a APIs no nível do objeto para blobs, mensagens de fila, entidades de tabela e arquivos (por exemplo, Colocar Blob, Entidade de Consulta, Obter Mensagens, Criar Arquivo).Você pode combinar valores para fornecer acesso a mais de um tipo de recurso. Por exemplo, srt=sc especifica o acesso aos recursos de serviço e de contêiner. |
SignedPermissions (sp) |
Obrigatórios. Especifica as permissões assinadas para a SAS da conta. As permissões serão válidas somente se corresponderem ao tipo de recurso assinado especificado. Se não corresponderem, serão ignorados. - Leitura ( r): válido para todos os tipos de recursos assinados (Serviço, Contêiner e Objeto). Permite permissões de leitura para o tipo de recurso especificado.- Gravação ( w): válido para todos os tipos de recursos assinados (Serviço, Contêiner e Objeto). Permite o acesso de gravação para o tipo de recurso especificado, permitindo que um usuário crie e atualize recursos.– Excluir ( d): válido para tipos de recurso contêiner e objeto, exceto para mensagens de fila.– Exclusão permanente ( y): válido apenas para o tipo de recurso de objeto do Blob.- Lista ( l): válido somente para tipos de recursos de serviço e de contêiner.- Adicionar ( a): Válido somente para os seguintes tipos de recursos de objeto: mensagens de fila, entidades de tabela e blobs de acréscimo.– Criar ( c): válido para tipos de recursos de contêiner e os seguintes tipos de recursos de objeto: blobs e arquivos. Os usuários podem criar novos recursos, mas podem não substituir os recursos existentes.- Atualizar ( u): válido somente para os seguintes tipos de recursos de objeto: mensagens de fila e entidades de tabela.- Processo ( p): válido apenas para o seguinte tipo de recurso de objeto: mensagens de fila.- Marca ( t): válido apenas para o seguinte tipo de recurso de objeto: blobs. Permite operações de marca de blob.- Filtro ( f): válido apenas para o seguinte tipo de recurso de objeto: blob. Permite filtragem por marca de blob.- Definir Política de Imutabilidade ( i): válida apenas para o seguinte tipo de recurso de objeto: blob. Permite definir/excluir a política de imutabilidade e a retenção legal em um blob. |
SignedStart (st) |
Opcional. A hora em que a SAS se torna válida, expressa em um dos formatos ISO 8601 UTC aceitos. Se for omitido, a hora de início será considerada a hora em que o serviço de armazenamento recebe a solicitação. Para obter mais informações sobre formatos UTC aceitos, consulte Formatação de valores datetime. |
SignedExpiry (se) |
Obrigatórios. A hora em que a assinatura de acesso compartilhado se torna inválida, expressa em um dos formatos UTC ISO 8601 aceitos. Para obter mais informações sobre formatos UTC aceitos, consulte Formatação de valores datetime. |
SignedIP (sip) |
Opcional. Especifica um endereço IP ou um intervalo de endereços IP dos quais aceitar solicitações. Ao especificar um intervalo, tenha em mente que o intervalo é inclusivo. Há suporte somente para endereços IPv4. Por exemplo, sip=168.1.5.65 ou sip=168.1.5.60-168.1.5.70. |
SignedProtocol (spr) |
Opcional. Especifica o protocolo permitido para uma solicitação feita com a SAS da conta. Os valores possíveis são HTTPS e HTTP (https,http) ou somente HTTPS (https). O valor padrão é https,http.Observe que somente HTTP não é um valor permitido. |
SignedEncryptionScope (ses) |
Opcional. Indica o escopo de criptografia a ser usado para criptografar o conteúdo da solicitação. Esse campo tem suporte na versão 2020-12-06 e posterior. |
Signature (sig) |
Obrigatórios. A parte de assinatura do URI é usada para autorizar a solicitação feita com a assinatura de acesso compartilhado. A cadeia de caracteres a assinar é uma cadeia de caracteres exclusiva construída a partir dos campos que devem ser verificados para autorizar a solicitação. A assinatura é um HMAC (código de autenticação de mensagem baseado em hash) que é calculado sobre a cadeia de caracteres para assinar e a chave usando o algoritmo SHA256 e, em seguida, codificado usando a codificação Base64. |
Especificar o signedVersion campo
O signedVersion campo (sv) contém a versão de serviço da assinatura de acesso compartilhado. Esse valor especifica a versão da autorização de Chave Compartilhada usada por essa assinatura de acesso compartilhado (no signature campo ). O valor também especifica a versão do serviço para solicitações feitas com essa assinatura de acesso compartilhado.
Para obter informações sobre qual versão é usada quando você executa solicitações por meio de uma assinatura de acesso compartilhado, consulte Controle de versão para serviços de Armazenamento do Azure.
Para obter informações sobre como esse parâmetro afeta a autorização de solicitações feitas com uma assinatura de acesso compartilhado, consulte Delegar acesso com uma assinatura de acesso compartilhado.
| Nome do campo | Parâmetro de consulta | Descrição |
|---|---|---|
signedVersion |
sv |
Obrigatórios. Com suporte na versão 2015-04-05 e posterior. A versão do serviço de armazenamento a ser usada para autorizar e manipular solicitações que você faz com essa assinatura de acesso compartilhado. Para obter mais informações, consulte Controle de versão para serviços de Armazenamento do Azure. |
Especificar um endereço IP ou intervalo de IP
A partir da versão 2015-04-05, o campo opcional signedIp (sip) especifica um endereço IP público ou um intervalo de endereços IP públicos dos quais aceitar solicitações. Se o endereço IP do qual a solicitação se origina não corresponder ao endereço IP ou intervalo de endereços especificado no token SAS, a solicitação não será autorizada. Há suporte somente para endereços IPv4.
Ao especificar um intervalo de endereços IP, tenha em mente que o intervalo é inclusivoPor exemplo, especificar sip=168.1.5.65 ou sip=168.1.5.60-168.1.5.70 na SAS restringe a solicitação a esses endereços IP.
A tabela a seguir descreve se o signedIp campo deve ser incluído em um token SAS para um cenário especificado, com base no ambiente do cliente e no local da conta de armazenamento.
| Ambiente do cliente | Local da conta de armazenamento | Recomendação |
|---|---|---|
| Cliente em execução no Azure | Na mesma região que o cliente | Uma SAS fornecida ao cliente nesse cenário não deve incluir um endereço IP de saída para o signedIp campo. As solicitações feitas de dentro da mesma região que usam uma SAS com um endereço IP de saída especificado falharão.Em vez disso, use uma rede virtual do Azure para gerenciar restrições de segurança de rede. As solicitações para o Armazenamento do Azure de dentro da mesma região sempre ocorrem em um endereço IP privado. Para saber mais, consulte Configurar Redes Virtuais e Firewalls de Armazenamento do Azure. |
| Cliente em execução no Azure | Em uma região diferente do cliente | Uma SAS fornecida ao cliente nesse cenário pode incluir um endereço IP público ou um intervalo de endereços para o signedIp campo. Uma solicitação feita com a SAS deve se originar do endereço IP especificado ou do intervalo de endereços. |
| Cliente em execução local ou em um ambiente de nuvem diferente | Em qualquer região do Azure | Uma SAS fornecida ao cliente nesse cenário pode incluir um endereço IP público ou um intervalo de endereços para o signedIp campo. Uma solicitação feita com a SAS deve se originar do endereço IP especificado ou do intervalo de endereços.Se a solicitação passar por um proxy ou gateway, forneça o endereço IP de saída público desse proxy ou gateway para o signedIp campo. |
Especificar o protocolo HTTP
A partir da versão 2015-04-05, o campo opcional signedProtocol (spr) especifica o protocolo permitido para uma solicitação feita com a SAS. Os valores possíveis são HTTPS e HTTP (https,http) ou somente HTTPS (https). O valor padrão é https,http. Observe que somente HTTP não é um valor permitido.
Especificar o escopo de criptografia
Usando o signedEncryptionScope campo no URI, você pode especificar o escopo de criptografia que o aplicativo cliente pode usar. Ele impõe a criptografia do lado do servidor com o escopo de criptografia especificado quando você carrega blobs (PUT) com o token SAS. O GET e HEAD não serão restritos e executados como antes.
A tabela a seguir descreve como se referir a um escopo de criptografia assinado no URI:
| Nome do campo | Parâmetro de consulta | Descrição |
|---|---|---|
signedEncryptionScope |
ses |
Opcional. Indica o escopo de criptografia a ser usado para criptografar o conteúdo da solicitação. |
Esse campo tem suporte na versão 2020-12-06 ou posterior. Se você adicionar o ses antes da versão com suporte, o serviço retornará o código de resposta de erro 403 (Proibido).
Se você definir o escopo de criptografia padrão para o contêiner ou sistema de arquivos, o ses parâmetro de consulta respeitará a política de criptografia de contêiner. Se houver uma incompatibilidade entre o parâmetro de consulta e x-ms-default-encryption-scope o ses cabeçalho e o x-ms-deny-encryption-scope-override cabeçalho estiver definido truecomo , o serviço retornará o código de resposta de erro 403 (Proibido).
Quando você fornece o x-ms-encryption-scope cabeçalho e o ses parâmetro de consulta na solicitação PUT, o serviço retorna o código de resposta de erro 400 (Solicitação Incorreta) se houver uma incompatibilidade.
Construir a cadeia de caracteres de assinatura
Para construir a cadeia de caracteres de assinatura para uma SAS de conta, primeiro construa a cadeia de caracteres para assinar a partir dos campos que compõem a solicitação e, em seguida, codifique a cadeia de caracteres como UTF-8 e compute a assinatura usando o algoritmo HMAC-SHA256.
Observação
Os campos incluídos na cadeia de caracteres a assinar devem ser decodificados por URL.
Para construir a cadeia de caracteres para assinar para uma SAS de conta, use o seguinte formato:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
A versão 2020-12-06 adiciona suporte para o campo escopo de criptografia assinado. Para construir a cadeia de caracteres para assinar para uma SAS de conta, use o seguinte formato:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Permissões sas da conta por operação
As tabelas nas seções a seguir listam várias APIs para cada serviço e os tipos de recursos assinados e permissões assinadas com suporte para cada operação.
Serviço Blob
A tabela a seguir lista as operações do serviço Blob e indica qual tipo de recurso assinado e permissões assinadas especificar ao delegar acesso a essas operações.
| Operação | Serviço assinado | Tipo de recurso assinado | Permissão assinada |
|---|---|---|---|
| Listar contêineres | Blob (b) | Serviço (s) | Lista (l) |
| Obter propriedades do serviço Blob | Blob (b) | Serviço (s) | Leitura (r) |
| Definir propriedades do serviço Blob | Blob (b) | Serviço (s) | Gravação (w) |
| Obter status do serviço Blob | Blob (b) | Serviço (s) | Leitura (r) |
| Create Container | Blob (b) | Contêiner (c) | Create(c) ou Write (w) |
| Get Container Properties | Blob (b) | Contêiner (c) | Leitura (r) |
| Get Container Metadata | Blob (b) | Contêiner (c) | Leitura (r) |
| Set Container Metadata | Blob (b) | Contêiner (c) | Gravação (w) |
| Lease Container | Blob (b) | Contêiner (c) | Gravar (w) ou Excluir (d)1 |
| Delete Container | Blob (b) | Contêiner (c) | Excluir (d)1 |
| Localizar blobs por marcas no contêiner | Blob (b) | Contêiner (c) | Filtro (f) |
| Listar Blobs | Blob (b) | Contêiner (c) | Lista (l) |
| Colocar Blob (criar um novo blob de blocos) | Blob (b) | Objeto (o) | Criar (c) ou Gravar (w) |
| Colocar Blob (substituir o blob de blocos existente) | Blob (b) | Objeto (o) | Gravação (w) |
| Colocar Blob (criar um novo blob de páginas) | Blob (b) | Objeto (o) | Criar (c) ou Gravar (w) |
| Colocar Blob (substituir o blob de página existente) | Blob (b) | Objeto (o) | Gravação (w) |
| Get Blob | Blob (b) | Objeto (o) | Leitura (r) |
| Get Blob Properties | Blob (b) | Objeto (o) | Leitura (r) |
| Set Blob Properties | Blob (b) | Objeto (o) | Gravação (w) |
| Get Blob Metadata | Blob (b) | Objeto (o) | Leitura (r) |
| Set Blob Metadata | Blob (b) | Objeto (o) | Gravação (w) |
| Obter marcas de blob | Blob (b) | Objeto (o) | Marcas (t) |
| Definir marcas de blob | Blob (b) | Objeto (o) | Marcas (t) |
| Localizar Blobs por Marcas | Blob (b) | Objeto (o) | Filtro (f) |
| Delete Blob | Blob (b) | Objeto (o) | Excluir (d)1 |
| Excluir permanentemente instantâneo/versão | Blob (b) | Objeto (o) | Exclusão permanente (y) |
| Lease Blob | Blob (b) | Objeto (o) | Gravar (w) ou Excluir (d)1 |
| Blob de instantâneo | Blob (b) | Objeto (o) | Criar (c) ou Gravar (w) |
| Copiar Blob (o destino é um novo blob) | Blob (b) | Objeto (o) | Criar (c) ou Gravar (w) |
| Copiar Blob (o destino é um blob existente) | Blob (b) | Objeto (o) | Gravação (w) |
| Cópia Incremental | Blob (b) | Objeto (o) | Criar (c) ou Gravar (w) |
| Anular copiar Blob | Blob (b) | Objeto (o) | Gravação (w) |
| Put Block | Blob (b) | Objeto (o) | Gravação (w) |
| Colocar Lista de Blocos (criar novo blob) | Blob (b) | Objeto (o) | Gravação (w) |
| Colocar Lista de Blocos (atualizar blob existente) | Blob (b) | Objeto (o) | Gravação (w) |
| Get Block List | Blob (b) | Objeto (o) | Leitura (r) |
| Put Page | Blob (b) | Objeto (o) | Gravação (w) |
| Get Page Ranges | Blob (b) | Objeto (o) | Leitura (r) |
| Acrescentar Bloco | Blob (b) | Objeto (o) | Adicionar (a) ou Gravar (w) |
| Limpar Página | Blob (b) | Objeto (o) | Gravação (w) |
1 A Delete permissão permite interromper uma concessão em um blob ou contêiner com a versão 2017-07-29 e posterior.
Serviço Fila
A tabela a seguir lista as operações de serviço Fila e indica qual tipo de recurso assinado e permissões assinadas especificar ao delegar acesso a essas operações.
| Operação | Serviço assinado | Tipo de recurso assinado | Permissão assinada |
|---|---|---|---|
| Obter propriedades do serviço Fila | Fila (q) | Serviço (s) | Leitura (r) |
| Definir propriedades do serviço Fila | Fila (q) | Serviço (s) | Gravação (w) |
| Listar filas | Fila (q) | Serviço (s) | Lista (l) |
| Obter status do serviço Fila | Fila (q) | Serviço (s) | Leitura (r) |
| Criar fila | Fila (q) | Contêiner (c) | Create(c) ou Write (w) |
| Excluir fila | Fila (q) | Contêiner (c) | Excluir (d) |
| Obter metadados de fila | Fila (q) | Contêiner (c) | Leitura (r) |
| Definir metadados de fila | Fila (q) | Contêiner (c) | Gravação (w) |
| Mensagem Put | Fila (q) | Objeto (o) | Adicionar (a) |
| Receber mensagens | Fila (q) | Objeto (o) | Processo (p) |
| Inspecionar Mensagens | Fila (q) | Objeto (o) | Leitura (r) |
| Excluir mensagem | Fila (q) | Objeto (o) | Processo (p) |
| Limpar mensagens | Fila (q) | Objeto (o) | Excluir (d) |
| Atualização de mensagem | Fila (q) | Objeto (o) | Atualizar (u) |
Serviço de tabela
A tabela a seguir lista as operações de serviço Tabela e indica qual tipo de recurso assinado e permissões assinadas especificar ao delegar acesso a essas operações.
| Operação | Serviço assinado | Tipo de recurso assinado | Permissão assinada |
|---|---|---|---|
| Obter propriedades do serviço Tabela | Tabela (t) | Serviço (s) | Leitura (r) |
| Definir propriedades do serviço Tabela | Tabela (t) | Serviço (s) | Gravação (w) |
| Obter status do serviço Tabela | Tabela (t) | Serviço (s) | Leitura (r) |
| Consultar tabelas | Tabela (t) | Contêiner (c) | Lista (l) |
| Criar tabela | Tabela (t) | Contêiner (c) | Criar (c) ou Gravar (w) |
| Excluir Tabela | Tabela (t) | Contêiner (c) | Excluir (d) |
| Query Entities | Tabela (t) | Objeto (o) | Leitura (r) |
| Insert Entity | Tabela (t) | Objeto (o) | Adicionar (a) |
| Inserir ou mesclar entidade | Tabela (t) | Objeto (o) | Adicionar (a) e Atualizar (u)1 |
| Inserir ou substituir entidade | Tabela (t) | Objeto (o) | Adicionar (a) e Atualizar (u)1 |
| Update Entity | Tabela (t) | Objeto (o) | Atualizar (u) |
| Merge Entity | Tabela (t) | Objeto (o) | Atualizar (u) |
| Delete Entity | Tabela (t) | Objeto (o) | Excluir (d) |
1 As permissões Adicionar e Atualizar são necessárias para operações upsert no serviço Tabela.
Serviço de arquivos
A tabela a seguir lista as operações de serviço de arquivo e indica qual tipo de recurso assinado e permissões assinadas para especificar quando você delega acesso a essas operações.
| Operação | Serviço assinado | Tipo de recurso assinado | Permissão assinada |
|---|---|---|---|
| Listar compartilhamentos | Arquivo (f) | Serviço (s) | Lista (l) |
| Obter propriedades de serviço do arquivo | Arquivo (f) | Serviço (s) | Leitura (r) |
| Definir propriedades de serviço do arquivo | Arquivo (f) | Serviço (s) | Gravação (w) |
| Obter estatísticas de compartilhamento | Arquivo (f) | Contêiner (c) | Leitura (r) |
| Criar compartilhamento | Arquivo (f) | Contêiner (c) | Criar (c) ou Gravar (w) |
| Compartilhamento de Instantâneos | Arquivo (f) | Contêiner (c) | Criar (c) ou Gravar (w) |
| Obter propriedades de compartilhamento | Arquivo (f) | Contêiner (c) | Leitura (r) |
| Definir propriedades de compartilhamento | Arquivo (f) | Contêiner (c) | Gravação (w) |
| Obter metadados de compartilhamento | Arquivo (f) | Contêiner (c) | Leitura (r) |
| Definir metadados de compartilhamento | Arquivo (f) | Contêiner (c) | Gravação (w) |
| Excluir compartilhamento | Arquivo (f) | Contêiner (c) | Excluir (d) |
| Listar diretórios e arquivos | Arquivo (f) | Contêiner (c) | Lista (l) |
| Criar diretório | Arquivo (f) | Objeto (o) | Criar (c) ou Gravar (w) |
| Obter propriedades do diretório | Arquivo (f) | Objeto (o) | Leitura (r) |
| Obter os Metadados do Diretório | Arquivo (f) | Objeto (o) | Leitura (r) |
| Definir metadados do diretório | Arquivo (f) | Objeto (o) | Gravação (w) |
| Excluir diretório | Arquivo (f) | Objeto (o) | Excluir (d) |
| Criar Arquivo (criar novo) | Arquivo (f) | Objeto (o) | Criar (c) ou Gravar (w) |
| Criar arquivo (substituir existente) | Arquivo (f) | Objeto (o) | Gravação (w) |
| Obter arquivo | Arquivo (f) | Objeto (o) | Leitura (r) |
| Obter propriedades do arquivo | Arquivo (f) | Objeto (o) | Leitura (r) |
| Obter Metadados do Arquivo | Arquivo (f) | Objeto (o) | Leitura (r) |
| Definir metadados de arquivo | Arquivo (f) | Objeto (o) | Gravação (w) |
| Excluir Arquivo | Arquivo (f) | Objeto (o) | Excluir (d) |
| Renomear Arquivo | Arquivo (f) | Objeto (o) | Excluir (d) ou Gravar (w) |
| Intervalo PUT | Arquivo (f) | Objeto (o) | Gravação (w) |
| Listar intervalos | Arquivo (f) | Objeto (o) | Leitura (r) |
| Anular copiar arquivo | Arquivo (f) | Objeto (o) | Gravação (w) |
| Copiar Arquivo | Arquivo (f) | Objeto (o) | Gravação (w) |
| Limpar Intervalo | Arquivo (f) | Objeto (o) | Gravação (w) |
Exemplo de URI de SAS de conta
O exemplo a seguir mostra um URI do serviço Blob com um token SAS de conta acrescentado a ele. O token SAS da conta fornece permissões para o serviço, o contêiner e os objetos. A tabela divide cada parte do URI:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Nome | Parte SAS | Descrição |
|---|---|---|
| URI de recurso | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
O ponto de extremidade de serviço, com parâmetros para obter propriedades de serviço (quando chamado com GET) ou definir propriedades de serviço (quando chamado com SET). Com base no valor do campo serviços assinados (ss), essa SAS pode ser usada com o Armazenamento de Blobs ou Arquivos do Azure. |
| Delimitador | ? |
O delimitador que precede a cadeia de caracteres de consulta. O delimitador não faz parte do token SAS. |
| Versão dos serviços de armazenamento | sv=2022-11-02 |
Para os serviços de Armazenamento do Azure versão 2012-02-12 e posteriores, esse parâmetro indica qual versão usar. |
| Serviços | ss=b |
A SAS se aplica aos serviços de Blob. |
| Tipos de recurso | srt=sco |
A SAS se aplica a operações no nível do serviço, no nível do contêiner e no nível do objeto. |
| Permissões | sp=rwlc |
As permissões concedem acesso a operações de leitura, gravação, lista e criação. |
| Hora de início | st=2019-08-01T22%3A18%3A26Z |
Especificado no horário UTC. Se você quiser que a SAS seja imediatamente válida, omita a hora de início. |
| Hora de expiração | se=2019-08-10T02%3A23%3A26Z |
Especificado no horário UTC. |
| Protocolo | spr=https |
Somente solicitações que usam HTTPS são permitidas. |
| Assinatura | sig=<signature> |
Usada para autorizar o acesso ao blob. A assinatura é um HMAC calculado em uma cadeia de caracteres para assinar e uma chave usando o algoritmo SHA256 e codificado usando a codificação Base64. |
Como as permissões são restritas ao nível de serviço, as operações acessíveis com essa SAS são Obter Propriedades do Serviço blob (leitura) e Definir Propriedades do Serviço blob (gravação). Contudo, com um URI de recurso diferente, o mesmo token SAS pode também ser usado para delegar acesso a Obter status do serviço Blob (leitura).