Delegar o acesso através de uma assinatura de acesso partilhado

Uma assinatura de acesso partilhado (SAS) é um URI que concede direitos de acesso restritos aos recursos do Armazenamento do Microsoft Azure. Pode fornecer uma assinatura de acesso partilhado aos clientes que não devem ser considerados fidedignos com a sua chave da conta de armazenamento, mas que precisam de acesso a determinados recursos da conta de armazenamento. Ao distribuir um URI de SAS por estes clientes, pode conceder-lhes acesso a um recurso durante um determinado período de tempo, com um conjunto especificado de permissões.

Os parâmetros de consulta URI que compõem o token de SAS incorporam todas as informações necessárias para conceder acesso controlado a um recurso de armazenamento. Um cliente que tenha a SAS pode fazer um pedido relativamente ao Armazenamento do Azure com apenas o URI de SAS. As informações no token de SAS são utilizadas para autorizar o pedido.

Tipos de assinaturas de acesso partilhado

O Armazenamento do Azure suporta os seguintes tipos de assinaturas de acesso partilhado:

• Uma SAS de conta, introduzida com a versão 2015-04-05. Este tipo de SAS delega o acesso aos recursos num ou mais dos serviços de armazenamento. Todas as operações disponíveis através de uma SAS de serviço também estão disponíveis através de uma SAS de conta.

  Com a SAS da conta, pode delegar o acesso a operações que se aplicam a um serviço, como Get/Set Service Properties e Get Service Stats. Também pode delegar o acesso às operações de leitura, escrita e eliminação em contentores de blobs, tabelas, filas e partilhas de ficheiros que não são permitidos com um serviço SAS.

  Para obter mais informações, veja Criar uma SAS de conta.

• Uma SAS de serviço. Este tipo de SAS delega o acesso a um recurso em apenas um dos serviços de armazenamento: Armazenamento de Blobs do Azure, Armazenamento de Filas do Azure, Armazenamento de Tabelas do Azure ou Ficheiros do Azure. Para obter mais informações, veja Create a service SAS and Service SAS examples (Criar uma SAS de serviço e exemplos de SAS de Serviço).

• Uma SAS de delegação de utilizador, introduzida com a versão 2018-11-09. Este tipo de SAS está protegido com credenciais do Azure Active Directory. É suportado apenas para o Armazenamento de Blobs e pode utilizá-lo para conceder acesso a contentores e blobs. Para obter mais informações, veja Criar uma SAS de delegação de utilizador.

Além disso, uma SAS de serviço pode referenciar uma política de acesso armazenada que fornece outro nível de controlo sobre um conjunto de assinaturas. Este controlo inclui a capacidade de modificar ou revogar o acesso ao recurso, se necessário. Para obter mais informações, veja Definir uma política de acesso armazenada.

Nota

Atualmente, as políticas de acesso armazenadas não são suportadas para uma SAS de conta ou saS de delegação de utilizador.

Ver também

• Conceder acesso limitado aos recursos do Armazenamento do Azure com assinaturas de acesso partilhado