Criar assinaturas de acesso compartilhado

  • 3 minutos

Uma SAS (Assinatura de Acesso Compartilhado) é um URI (Identificador de Recurso Uniforme) que concede direitos de acesso restrito a recursos do Armazenamento do Azure. A SAS é uma forma segura de compartilhar seus recursos de armazenamento sem comprometer as chaves da conta.

Você pode fornecer uma SAS para clientes que não devem ter acesso à sua chave de conta de armazenamento. Ao distribuir um URI de SAS para esses clientes, você concede a eles acesso a um recurso por um período especificado.

Informações sobre assinaturas de acesso compartilhado

Vamos examinar algumas características de uma SAS.

  • Uma SAS oferece um controle granular sobre que tipo de acesso você concede aos clientes que têm a SAS.

  • Uma SAS no nível da conta pode delegar acesso a vários serviços de Armazenamento do Azure, como blobs, arquivos, filas e tabelas.

  • Você pode especificar o intervalo de tempo no qual uma SAS é válida, incluindo a hora de início e de expiração.

  • Especifique as permissões concedidas pela SAS. Uma SAS para um blob pode conceder permissões de leitura e gravação nesse blob, mas não permissões de exclusão.

  • A SAS fornece o controle de nível de conta e de nível de serviço.

    • A SAS de nível da conta delega o acesso aos recursos em um ou mais dos serviços de Armazenamento do Azure.

    • A SAS de nível de serviço delega o acesso a um recurso em apenas um dos serviços de Armazenamento do Azure.

    Observação

    Uma política de acesso armazenada pode fornecer outro nível de controle ao você usar a SAS de nível de serviço no lado do servidor. Você pode agrupar SASs e fornecer outras restrições usando uma política de acesso armazenada.

  • Há configurações opcionais de SAS:

    • Endereços IP. Você pode identificar um endereço IP ou um intervalo de endereços IP dos quais o Armazenamento do Azure aceita a SAS. Configure essa opção para especificar um intervalo de endereços IP que pertencem à sua organização.

    • Protocolos. Você pode especificar o protocolo no qual o Armazenamento do Azure aceita a SAS. Configure essa opção para restringir o acesso aos clientes usando HTTPS.

Configurar uma assinatura de acesso compartilhado

No portal do Azure, você define várias configurações para criar uma SAS. Ao examinar esses detalhes, considere como você pode implementar assinaturas de acesso compartilhado em sua solução de segurança de armazenamento.

Screenshot of the Create a shared access signature key page.

  • Método de assinatura: escolha o método de assinatura: chave de conta ou chave de delegação do usuário.
  • Chave de assinatura: selecione a chave de assinatura na sua lista de chaves.
  • Permissões: selecione as permissões concedidas pela SAS, como leitura ou gravação.
  • Data/hora de início e expiração: especifique o intervalo de tempo no qual a SAS é válida. Defina a hora de início e de expiração.
  • Endereços IP permitidos: (opcional) você pode identificar um endereço IP ou um intervalo de endereços IP dos quais o Armazenamento do Azure aceita a SAS.
  • Protocolos permitidos: (opcional) selecione o protocolo no qual o Armazenamento do Azure aceita a SAS.