Create an account SAS (Создание SAS на уровне учетной записи)
Начиная с версии 2015-04-05 служба хранилища Azure поддерживает создание нового типа подписанного URL-адреса (SAS) на уровне учетной записи хранения. Создав SAS учетной записи, вы можете:
Делегируйте доступ к операциям уровня обслуживания, которые в настоящее время недоступны с помощью SAS для конкретной службы, например операций
Get/Set Service PropertiesиGet Service Stats.Делегируйте доступ к нескольким службам в учетной записи хранения одновременно. Например, можно делегировать доступ к ресурсам как в Хранилище BLOB-объектов Azure, так и в Файлы Azure с помощью SAS учетной записи.
Делегируйте доступ к операциям записи и удаления для контейнеров, очередей, таблиц и общих папок, которые недоступны в sas для конкретного объекта.
Укажите IP-адрес или диапазон IP-адресов, с которых будут приниматься запросы.
Укажите протокол HTTP, из которого будут приниматься запросы (HTTPS или HTTP/HTTPS).
Хранимые политики доступа в настоящее время не поддерживаются для SAS учетной записи.
Внимание!
Подписанные URL-адреса — это ключи, которые предоставляют разрешения на доступ к ресурсам хранилища, и их следует защищать так же, как и ключ учетной записи. Важно обеспечить для SAS защиту от вредоносного или непреднамеренного использования. Распространять SAS нужно с осторожность и следует подготовить план для отзыва скомпрометированного SAS. Операции, использующие подписанные URL-адреса, должны выполняться только через HTTPS-подключение, а URI SAS должны распространяться только по безопасному подключению, например HTTPS.
Авторизация SAS учетной записи
Вы защищаете SAS учетной записи с помощью ключа учетной записи хранения. При создании SAS учетной записи клиентское приложение должно обладать ключом учетной записи.
Чтобы использовать Microsoft Entra учетные данные для защиты SAS для контейнера или большого двоичного объекта, создайте SAS для делегирования пользователей.
Создание URI SAS учетной записи
URI SAS учетной записи состоит из URI ресурса, для которого SAS будет делегировать доступ, а затем маркер SAS. Маркер SAS — это строка запроса, содержащая все сведения, необходимые для авторизации запроса к ресурсу. Он указывает службу, ресурс и разрешения, доступные для доступа, а также период времени, в течение которого подпись действительна.
Указание параметров SAS учетной записи
Обязательные и необязательные параметры для маркера SAS описаны в следующей таблице.
| Параметр запроса SAS | Описание |
|---|---|
api-version |
Необязательный элемент. Указывает версию службы хранилища, используемую для выполнения запроса, выполненного с использованием URI SAS учетной записи. Дополнительные сведения см. в статье Авторизация запросов с помощью подписанного URL-адреса. |
SignedVersion (sv) |
Обязательный. Указывает подписанную версию службы хранилища для авторизации запросов, выполненных с помощью sas этой учетной записи. Для него должна быть установлена версия 2015-04-05 или более поздняя. Дополнительные сведения см. в статье Авторизация запросов с помощью подписанного URL-адреса. |
SignedServices (ss) |
Обязательный. Указывает подписанные службы, доступные с помощью SAS учетной записи. Возможные значения: - BLOB-объект ( b)- Очередь ( q)- Таблица ( t)- Файл ( f)Вы можете объединить значения для предоставления доступа к нескольким службам. Например, ss=bf указывает доступ к хранилищу BLOB-объектов и конечным точкам Файлы Azure. |
SignedResourceTypes (srt) |
Обязательный. Указывает подписанные типы ресурсов, доступные с помощью SAS учетной записи. — Служба ( s): доступ к API уровня службы (например, Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).— Контейнер ( c): доступ к API уровня контейнера (например, создание или удаление контейнера, создание и удаление очереди, создание и удаление таблицы, создание и удаление общей папки, перечисление больших двоичных объектов, файлов и каталогов).— Объект ( o): доступ к API уровня объекта для BLOB-объектов, сообщений очередей, сущностей таблиц и файлов (например, Put BLOB-объект, Query Entity, Get Messages, Create File).Вы можете объединить значения для предоставления доступа к нескольким типам ресурсов. Например, srt=sc указывает доступ к ресурсам службы и контейнера. |
SignedPermissions (sp) |
Обязательный. Указывает подписанные разрешения для SAS учетной записи. Разрешения действительны, только если они соответствуют указанному типу подписанного ресурса. Если они не совпадают, они игнорируются. — Чтение ( r): допустимо для всех подписанных типов ресурсов (служба, контейнер и объект). Дает разрешения на чтение для указанного типа ресурса.— Запись ( w): допустимо для всех подписанных типов ресурсов (служба, контейнер и объект). Разрешает доступ на запись для указанного типа ресурса, позволяя пользователю создавать и обновлять ресурсы.— Удаление ( d): допустимо для типов ресурсов контейнера и объектов, за исключением сообщений очереди.— Постоянное удаление ( y): допустимо только для типа ресурса "BLOB-объект.— Список ( l): допустимо только для типа ресурсов "Служба" и "Контейнер".- Добавление ( a): допустимо только для следующих типов ресурсов объектов: сообщения очереди, сущности таблицы и добавочные BLOB-объекты.— Create ( c): допустимо для типов ресурсов контейнеров и следующих типов ресурсов объектов: BLOB-объектов и файлов. Пользователи могут создавать новые ресурсы, но не могут перезаписывать существующие ресурсы.— Обновление ( u): допустимы только для следующих типов ресурсов объектов: сообщения очереди и сущности таблицы.— Процесс ( p): допустимый только для следующего типа ресурса объекта: сообщения очереди.— Тег ( t): допустимо только для следующего типа ресурса объекта: BLOB-объекты. Разрешает операции с тегами BLOB-объектов.- Фильтр ( f): допустимо только для следующего типа ресурса объекта: большой двоичный объект. Разрешает фильтрацию по тегу BLOB-объекта.- Настройка политики неизменяемости ( i): допустимо только для следующего типа ресурса объекта: BLOB-объект. Разрешает настройку и удаление политики неизменяемости и юридическое удержание BLOB-объекта. |
SignedStart (st) |
Необязательный элемент. Время, когда SAS становится действительным, выраженное в одном из принятых форматов ISO 8601 UTC. Если он опущен, предполагается, что время начала — это время, когда служба хранилища получает запрос. Дополнительные сведения о допустимых форматах UTC см. в разделе Форматирование значений DateTime. |
SignedExpiry (se) |
Обязательный. Время, когда подписанный URL-адрес становится недействительным, выраженный в одном из принятых форматов ISO 8601 UTC. Дополнительные сведения о допустимых форматах UTC см. в разделе Форматирование значений DateTime. |
SignedIP (sip) |
Необязательный элемент. Указывает IP-адрес или диапазон IP-адресов, с которых будут приниматься запросы. При указании диапазона следует помнить, что диапазон является инклюзивным. Поддерживаются только IPv4-адреса. Например, sip=168.1.5.65 или sip=168.1.5.60-168.1.5.70. |
SignedProtocol (spr) |
Необязательный элемент. Указывает протокол, разрешенный для запроса, выполненного с помощью SAS учетной записи. Параметр может иметь значение HTTPS и HTTP (https,http) или только HTTPS (https). Значение по умолчанию — https,http.Обратите внимание, что использовать только протокол HTTP нельзя. |
SignedEncryptionScope (ses) |
Необязательный элемент. Указывает область шифрования для шифрования содержимого запроса. Это поле поддерживается в версии 2020-12-06 и более поздних. |
Signature (sig) |
Обязательный. Часть URI сигнатуры используется для авторизации запроса, выполненного с подписанным URL-адресом. Строка для знака — это уникальная строка, созданная из полей, которые должны быть проверены для авторизации запроса. Сигнатура — это код проверки подлинности сообщения на основе хэша (HMAC), который вычисляется по ключу типа "строка—знак" с помощью алгоритма SHA256, а затем кодируется с помощью кодировки Base64. |
signedVersion Укажите поле
Поле signedVersion (sv) содержит версию службы подписанного URL-адреса. Это значение указывает версию авторизации с общим ключом, которая используется этой подписанной URL-адресом (в signature поле ). Значение также указывает версию службы для запросов, выполненных с помощью этой подписанной URL-адреса.
Сведения о том, какая версия используется при выполнении запросов через подписанный URL-адрес, см. в статье Управление версиями для служб хранилища Azure.
Сведения о том, как этот параметр влияет на авторизацию запросов, выполненных с помощью подписанного URL-адреса, см. в разделе Делегирование доступа с помощью подписанного URL-адреса.
| Имя поля | Параметр запроса | Описание |
|---|---|---|
signedVersion |
sv |
Обязательный. Поддерживается в версии 2015-04-05 и более поздних версиях. Версия службы хранилища, используемая для авторизации и обработки запросов, выполняемых с помощью этой подписанной URL-адреса. Дополнительные сведения см. в статье Управление версиями для служб хранилища Azure. |
Укажите IP-адрес или диапазон IP-адресов
Начиная с версии 2015-04-05 необязательное signedIp поле (sip) указывает общедоступный IP-адрес или диапазон общедоступных IP-адресов, с которых будут приниматься запросы. Если IP-адрес, с которого исходит запрос, не соответствует IP-адресу или диапазону адресов, указанным в маркере SAS, запрос не авторизован. Поддерживаются только IPv4-адреса.
При указании диапазона IP-адресов следует помнить, что диапазон является инклюзивным. Например, указание sip=168.1.5.65 или sip=168.1.5.60-168.1.5.70 в SAS ограничивает запрос этими IP-адресами.
В следующей таблице описывается, следует ли включать signedIp поле в маркер SAS для указанного сценария в зависимости от среды клиента и расположения учетной записи хранения.
| Клиентская среда | Расположение учетной записи хранения | Рекомендация |
|---|---|---|
| Клиент, работающий в Azure | В том же регионе, что и клиент | SAS, предоставленный клиенту в этом сценарии, не должен содержать исходящий IP-адрес для signedIp поля. Запросы, выполненные из того же региона, в которых используется SAS с указанным исходящим IP-адресом, завершатся ошибкой.Вместо этого используйте виртуальную сеть Azure для управления ограничениями безопасности сети. Запросы к службе хранилища Azure из одного региона всегда выполняются по частному IP-адресу. Дополнительные сведения см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей. |
| Клиент, работающий в Azure | В регионе, отличном от клиента | SAS, предоставленный клиенту в этом сценарии, может включать общедоступный IP-адрес или диапазон адресов для signedIp поля. Запрос, сделанный с sas, должен исходить из указанного IP-адреса или диапазона адресов. |
| Клиент, работающий локально или в другой облачной среде | В любом регионе Azure | SAS, предоставленный клиенту в этом сценарии, может включать общедоступный IP-адрес или диапазон адресов для signedIp поля. Запрос, сделанный с sas, должен исходить из указанного IP-адреса или диапазона адресов.Если запрос проходит через прокси-сервер или шлюз, укажите общедоступный исходящий IP-адрес этого прокси-сервера или шлюза signedIp для поля . |
Укажите протокол HTTP
Начиная с версии 2015-04-05 необязательное signedProtocol поле (spr) указывает протокол, разрешенный для запроса, выполненного с помощью SAS. Параметр может иметь значение HTTPS и HTTP (https,http) или только HTTPS (https). Значение по умолчанию — https,http. Обратите внимание, что использовать только протокол HTTP нельзя.
Укажите область шифрования
С помощью signedEncryptionScope поля в URI можно указать область шифрования, которые может использовать клиентское приложение. Он обеспечивает шифрование на стороне сервера с помощью указанного область шифрования при отправке BLOB-объектов (PUT) с маркером SAS. Get и HEAD не будут ограничены и выполнены, как раньше.
В следующей таблице описано, как ссылаться на подписанный область шифрования в URI:
| Имя поля | Параметр запроса | Описание |
|---|---|---|
signedEncryptionScope |
ses |
Необязательный элемент. Указывает область шифрования для шифрования содержимого запроса. |
Это поле поддерживается в версии 2020-12-06 или более поздней. При добавлении ses до поддерживаемой версии служба возвращает код ответа об ошибке 403 (запрещено).
Если задать область шифрования по умолчанию для контейнера или файловой системы, ses параметр запроса учитывает политику шифрования контейнеров. Если между ses параметром запроса и x-ms-default-encryption-scope заголовком есть несоответствие, а x-ms-deny-encryption-scope-override заголовок имеет значение true, служба возвращает код ответа на ошибку 403 (запрещено).
При указании заголовка x-ms-encryption-scopeses и параметра запроса в запросе PUT служба возвращает код ответа на ошибку 400 (недопустимый запрос) в случае несоответствия.
Построение строки подписи
Чтобы создать строку подписи для SAS учетной записи, сначала создайте строку для подписи из полей, составляющих запрос, а затем закодируйте строку как UTF-8 и вычислите подпись с помощью алгоритма HMAC-SHA256.
Примечание
Поля, включенные в строку для подписи, должны быть декодированы по URL-адресу.
Чтобы создать строку для входа для SAS учетной записи, используйте следующий формат:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
В версии 2020-12-06 добавлена поддержка подписанного область поля шифрования. Чтобы создать строку для входа для SAS учетной записи, используйте следующий формат:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Разрешения SAS учетной записи по операции
В таблицах в следующих разделах перечислены различные API для каждой службы, а также подписанные типы ресурсов и подписанные разрешения, которые поддерживаются для каждой операции.
Служба больших двоичных объектов
В следующей таблице перечислены операции службы BLOB-объектов и указаны подписанные типы ресурсов и подписанные разрешения, которые необходимо указать при делегировании доступа к этим операциям.
| Операция | Подписанная служба | Подписанный тип ресурса | Подписанное разрешение |
|---|---|---|---|
| Перечисление контейнеров | Большой двоичный объект (b) | Служба (ы) | Список (l) |
| Получение свойств службы BLOB-объектов | Большой двоичный объект (b) | Служба (ы) | Чтение (r) |
| Задание свойств службы BLOB-объектов | Большой двоичный объект (b) | Служба (ы) | Запись (w) |
| Получение статистики службы больших двоичных объектов | Большой двоичный объект (b) | Служба (ы) | Чтение (r) |
| Create Container (Создание контейнера) | Большой двоичный объект (b) | Контейнер (c) | Create(c) или Write (w) |
| Get Container Properties (Получение свойств контейнера) | Большой двоичный объект (b) | Контейнер (c) | Чтение (r) |
| Get Container Metadata (Получение метаданных контейнера) | Большой двоичный объект (b) | Контейнер (c) | Чтение (r) |
| Set Container Metadata (Определение метаданных контейнера) | Большой двоичный объект (b) | Контейнер (c) | Запись (w) |
| Lease Container (Аренда контейнера) | Большой двоичный объект (b) | Контейнер (c) | Запись (w) или удаление (d)1 |
| Delete Container (Удаление контейнера) | Большой двоичный объект (b) | Контейнер (c) | Delete (d)1 |
| Поиск больших двоичных объектов по тегам в контейнере | Большой двоичный объект (b) | Контейнер (c) | Фильтр (f) |
| List Blobs (Отображение списка BLOB-объектов) | Большой двоичный объект (b) | Контейнер (c) | List (l) |
| Поместить BLOB-объект (создать блочный BLOB-объект) | Большой двоичный объект (b) | Объект (o) | Create (c) или Write (w) |
| Поместить BLOB-объект (перезаписать существующий блочный BLOB-объект) | Большой двоичный объект (b) | Объект (o) | Запись (w) |
| Поместить BLOB-объект (создать страничный BLOB-объект) | Большой двоичный объект (b) | Объект (o) | Create (c) или Write (w) |
| Поместить BLOB-объект (перезаписать существующий страничный BLOB-объект) | Большой двоичный объект (b) | Объект (o) | Запись (w) |
| Get BLOB (Получение BLOB-объекта) | Большой двоичный объект (b) | Объект (o) | Чтение (r) |
| Get BLOB Properties (Получение свойств BLOB-объекта) | Большой двоичный объект (b) | Объект (o) | Чтение (r) |
| Set BLOB Properties (Задание свойств службы BLOB-объекта) | Большой двоичный объект (b) | Объект (o) | Запись (w) |
| Get BLOB Metadata (Получение метаданных BLOB-объекта) | Большой двоичный объект (b) | Объект (o) | Чтение (r) |
| Set BLOB Metadata (Задание метаданных BLOB-объекта) | Большой двоичный объект (b) | Объект (o) | Запись (w) |
| Получение тегов BLOB-объектов | Большой двоичный объект (b) | Объект (o) | Теги (t) |
| Установка тегов BLOB-объектов | Большой двоичный объект (b) | Объект (o) | Теги (t) |
| Поиск BLOB-объектов по тегам | Большой двоичный объект (b) | Объект (o) | Фильтр (f) |
| Delete BLOB (Удаление BLOB-объекта) | Большой двоичный объект (b) | Объект (o) | Delete (d)1 |
| Окончательное удаление snapshot и версии | Большой двоичный объект (b) | Объект (o) | Окончательное удаление (y) |
| Lease Blob (Аренда BLOB-объекта) | Большой двоичный объект (b) | Объект (o) | Запись (w) или удаление (d)1 |
| Создание моментального снимка большого двоичного объекта | Большой двоичный объект (b) | Объект (o) | Create (c) или Write (w) |
| Копирование BLOB-объекта (назначение — новый BLOB-объект) | Большой двоичный объект (b) | Объект (o) | Create (c) или Write (w) |
| Копирование BLOB-объекта (назначение — существующий BLOB-объект) | Большой двоичный объект (b) | Объект (o) | Запись (w) |
| Добавочное копирование | Большой двоичный объект (b) | Объект (o) | Create (c) или Write (w) |
| Прерывание копирования большого двоичного объекта | Большой двоичный объект (b) | Объект (o) | Запись (w) |
| Put Block (Вставка блокировки) | Большой двоичный объект (b) | Объект (o) | Запись (w) |
| Добавление списка блокировок (создание нового большого двоичного объекта) | Большой двоичный объект (b) | Объект (o) | Запись (w) |
| Добавление списка блокировок (обновление существующего большого двоичного объекта) | Большой двоичный объект (b) | Объект (o) | Запись (w) |
| Get Block List (Получение списка блокировки) | Большой двоичный объект (b) | Объект (o) | Чтение (r) |
| Put Page (Вставка страницы) | Большой двоичный объект (b) | Объект (o) | Запись (w) |
| Get Page Ranges (Получение диапазона страницы) | Большой двоичный объект (b) | Объект (o) | Чтение (r) |
| Добавление блока | Большой двоичный объект (b) | Объект (o) | Добавление (a) или запись (w) |
| Очистить страницу | Большой двоичный объект (b) | Объект (o) | Запись (w) |
1 Разрешение Delete позволяет нарушить аренду большого двоичного объекта или контейнера с версии 2017-07-29 и более поздних версий.
Служба очередей
В следующей таблице перечислены операции службы очередей и указаны подписанные типы ресурсов и подписанные разрешения, которые следует указать при делегировании доступа к этим операциям.
| Операция | Подписанная служба | Подписанный тип ресурса | Подписанное разрешение |
|---|---|---|---|
| Получение свойств службы очередей | Очередь (q) | Служба (ы) | Чтение (r) |
| Задание свойств службы очередей | Очередь (q) | Служба (ы) | Запись (w) |
| Перечисление очередей | Очередь (q) | Служба (ы) | Список (l) |
| Получение статистики службы очередей | Очередь (q) | Служба (ы) | Чтение (r) |
| Создать очередь | Очередь (q) | Контейнер (c) | Create(c) или Write (w) |
| Удаление очереди. | Очередь (q) | Контейнер (c) | Удалить (d) |
| Получение метаданных очереди | Очередь (q) | Контейнер (c) | Чтение (r) |
| Задание метаданных очереди | Очередь (q) | Контейнер (c) | Запись (w) |
| Сообщение Put | Очередь (q) | Объект (o) | Добавить (a) |
| Get Messages | Очередь (q) | Объект (o) | Процесс (p) |
| Извлечение сообщений | Очередь (q) | Объект (o) | Чтение (r) |
| Удалить сообщение | Очередь (q) | Объект (o) | Процесс (p) |
| Очистка сообщений | Очередь (q) | Объект (o) | Удалить (d) |
| Сообщение об обновлении | Очередь (q) | Объект (o) | Обновление (u) |
Служба таблиц
В следующей таблице перечислены операции службы таблиц и указаны подписанные типы ресурсов и подписанные разрешения, которые следует указать при делегировании доступа к этим операциям.
| Операция | Подписанная служба | Подписанный тип ресурса | Подписанное разрешение |
|---|---|---|---|
| Получение свойств службы таблиц | Таблица (t) | Служба (ы) | Чтение (r) |
| Задание свойств службы таблиц | Таблица (t) | Служба (ы) | Запись (w) |
| Получение статистики службы таблиц | Таблица (t) | Служба (ы) | Чтение (r) |
| Запросы к таблицам | Таблица (t) | Контейнер (c) | Список (l) |
| Создание таблицы | Таблица (t) | Контейнер (c) | Create (c) или Write (w) |
| Удалить таблицу | Таблица (t) | Контейнер (c) | Удалить (d) |
| Query Entities (Сущности запроса) | Таблица (t) | Объект (o) | Чтение (r) |
| Insert Entity (Вставка сущности ) | Таблица (t) | Объект (o) | Добавить (a) |
| Вставка или слияние сущностей | Таблица (t) | Объект (o) | Добавление (a) и обновление (u)1 |
| Вставка или замена сущности | Таблица (t) | Объект (o) | Добавление (a) и обновление (u)1 |
| Update Entity (Обновление сущности) | Таблица (t) | Объект (o) | Обновление (u) |
| Merge Entity (Слияние сущностей) | Таблица (t) | Объект (o) | Обновление (u) |
| Delete Entity (Удаление сущности) | Таблица (t) | Объект (o) | Удалить (d) |
1 Для операций upsert в службе таблиц требуются разрешения на добавление и обновление.
Служба файлов
В следующей таблице перечислены операции файловой службы и указаны подписанные типы ресурсов и подписанные разрешения, которые следует указать при делегировании доступа к этим операциям.
| Операция | Подписанная служба | Подписанный тип ресурса | Подписанное разрешение |
|---|---|---|---|
| Список общих папок | Файл (f) | Служба (ы) | Список (l) |
| Получение свойств файловой службы | Файл (f) | Служба (ы) | Чтение (r) |
| Установка свойств служб файлов | Файл (f) | Служба (ы) | Запись (w) |
| Получение статистики общего ресурса | Файл (f) | Контейнер (c) | Чтение (r) |
| Создание общей папки | Файл (f) | Контейнер (c) | Create (c) или Write (w) |
| хранилище моментальных снимков | Файл (f) | Контейнер (c) | Create (c) или Write (w) |
| Получение свойств общих ресурсов | Файл (f) | Контейнер (c) | Чтение (r) |
| Установка свойств общего ресурса | Файл (f) | Контейнер (c) | Запись (w) |
| Получение метаданных общего ресурса | Файл (f) | Контейнер (c) | Чтение (r) |
| Задание метаданных общего ресурса | Файл (f) | Контейнер (c) | Запись (w) |
| Удаление общего ресурса | Файл (f) | Контейнер (c) | Delete (d) |
| Список каталогов и файлов | Файл (f) | Контейнер (c) | List (l) |
| Создание каталога | Файл (f) | Объект (o) | Create (c) или Write (w) |
| Получение свойств каталога | Файл (f) | Объект (o) | Чтение (r) |
| Получение метаданных каталога | Файл (f) | Объект (o) | Чтение (r) |
| Задание метаданных каталога | Файл (f) | Объект (o) | Запись (w) |
| Удаление каталога | Файл (f) | Объект (o) | Delete (d) |
| Создать файл (создать новый) | Файл (f) | Объект (o) | Create (c) или Write (w) |
| Создание файла (перезапись существующего) | Файл (f) | Объект (o) | Запись (w) |
| Получение данных из файла | Файл (f) | Объект (o) | Чтение (r) |
| Получение свойств файла | Файл (f) | Объект (o) | Чтение (r) |
| Получение метаданных файла | Файл (f) | Объект (o) | Чтение (r) |
| Установка метаданных файла | Файл (f) | Объект (o) | Запись (w) |
| Удаление файла | Файл (f) | Объект (o) | Delete (d) |
| Переименование файла | Файл (f) | Объект (o) | Delete (d) или Write (w) |
| Диапазон Put | Файл (f) | Объект (o) | Запись (w) |
| Перечисление диапазонов | Файл (f) | Объект (o) | Чтение (r) |
| Прерывание копирования файла | Файл (f) | Объект (o) | Запись (w) |
| Копирование файла | Файл (f) | Объект (o) | Запись (w) |
| Очистить диапазон | Файл (f) | Объект (o) | Запись (w) |
Пример URI SAS учетной записи
В следующем примере показан URI службы BLOB-объектов с добавленным к нему маркером SAS учетной записи. Маркер SAS учетной записи предоставляет разрешения для службы, контейнера и объектов. В таблице разбиты все части универсального кода ресурса (URI):
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Имя | Сегмент SAS | Описание |
|---|---|---|
| Универсальный код ресурса (URI) | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Конечная точка службы с параметрами для получения свойств службы (при вызове с помощью GET) или задания свойств службы (при вызове с помощью SET). В зависимости от значения поля подписанных служб (ss) этот SAS можно использовать как с хранилищем BLOB-объектов, так и с Файлы Azure. |
| Разделитель | ? |
Разделитель, предшествующий строке запроса. Разделитель не является частью маркера SAS. |
| Версия служб хранилища | sv=2022-11-02 |
Для служб хранилища Azure версии 2012-02-12 и более поздних этот параметр указывает, какую версию использовать. |
| Службы | ss=b |
SAS применяется к службам BLOB-объектов. |
| Типы ресурсов | srt=sco |
SAS применяется к операциям уровня службы, контейнера и объекта. |
| Разрешения | sp=rwlc |
Разрешения предоставляют доступ к операциям чтения, записи, перечисления и создания. |
| Время начала | st=2019-08-01T22%3A18%3A26Z |
Указывается в формате UTC. Чтобы подпись общего доступа вступала в силу сразу же, не указывайте время начала действия. |
| Время окончания срока действия | se=2019-08-10T02%3A23%3A26Z |
Указывается в формате UTC. |
| Протокол | spr=https |
Разрешены только запросы, использующие ПРОТОКОЛ HTTPS. |
| Сигнатура | sig=<signature> |
Используется для авторизации доступа к большому двоичному объекту. Сигнатура — это HMAC, который вычисляется по ключу типа "строка— знак" с помощью алгоритма SHA256, а затем кодируется с помощью кодировки Base64. |
Так как разрешения ограничены уровнем обслуживания, доступные операции с этим SAS: Получение свойств службы BLOB-объектов (чтение) и Задание свойств службы BLOB-объектов (запись). Этот же токен SAS с другим универсальным кодом ресурса (URI) ресурса будет предоставлять доступ к операции Получение статистики службы BLOB-объектов (чтение).