Создание SAS учетной записи
Важный
Для оптимальной безопасности корпорация Майкрософт рекомендует использовать идентификатор Microsoft Entra с управляемыми удостоверениями для авторизации запросов к blob-объектам, очередям и табличным данным, когда это возможно. Авторизация с помощью идентификатора Microsoft Entra и управляемых удостоверений обеспечивает более высокую безопасность и удобство использования при авторизации общего ключа. Дополнительные сведения см. в статье Авторизация с помощью идентификатора Microsoft Entra ID. Дополнительные сведения об управляемых удостоверениях см. в статье Что такое управляемые удостоверения для ресурсов Azure.
Для ресурсов, размещенных за пределами Azure, таких как локальные приложения, можно использовать управляемые удостоверения с помощью Azure Arc. Например, приложения, работающие на серверах с поддержкой Azure Arc, могут использовать управляемые удостоверения для подключения к службам Azure. Дополнительные сведения см. в статье Аутентификация ресурсов Azure с помощью серверов с поддержкой Azure Arc.
В сценариях, когда используются подписанные URL-адреса (SAS), корпорация Майкрософт рекомендует использовать SAS делегирования пользователей. SAS делегирования пользователей защищены учетными данными Microsoft Entra вместо ключа учетной записи. Дополнительные сведения о подписанных URL-адресах см. в статье Создание SAS делегирования пользователей.
Начиная с версии 2015-04-05 служба хранилища Azure поддерживает создание нового типа подписанного URL-адреса (SAS) на уровне учетной записи хранения. Создав SAS учетной записи, вы можете:
Делегировать доступ к операциям уровня обслуживания, которые в настоящее время недоступны с помощью SAS для конкретной службы, например
Get/Set Service PropertiesиGet Service Statsопераций.Делегировать доступ к нескольким службам в учетной записи хранения за раз. Например, можно делегировать доступ к ресурсам как в хранилище BLOB-объектов Azure, так и в файлах Azure с помощью SAS учетной записи.
Делегировать доступ к операциям записи и удаления для контейнеров, очередей, таблиц и общих папок, которые недоступны в SAS для конкретного объекта.
Укажите IP-адрес или диапазон IP-адресов, из которых следует принимать запросы.
Укажите протокол HTTP, из которого следует принимать запросы (HTTPS или HTTP/HTTPS).
Хранимые политики доступа в настоящее время не поддерживаются для SAS учетной записи.
Осторожность
Подписанные URL-адреса — это ключи, предоставляющие разрешения ресурсам хранилища, и их следует защищать так же, как и ключ учетной записи. Важно защитить SAS от вредоносного или непреднамеренного использования. Используйте право на распространение SAS и устраните план для отзыва скомпрометированного SAS. Операции, использующие подписанные URL-адреса, должны выполняться только по протоколу HTTPS, а URI SAS должны распространяться только в безопасном подключении, например HTTPS.
Авторизация SAS учетной записи
Вы защищаете SAS учетной записи с помощью ключа учетной записи хранения. При создании SAS учетной записи клиентское приложение должно иметь ключ учетной записи.
Чтобы использовать учетные данные Microsoft Entra для защиты SAS для контейнера или большого двоичного объекта, создать SAS делегирования пользователей.
Создание URI SAS учетной записи
URI SAS учетной записи состоит из URI ресурса, для которого SAS будет делегировать доступ, а затем маркер SAS. Маркер SAS — это строка запроса, содержащая все сведения, необходимые для авторизации запроса к ресурсу. Он указывает службу, ресурс и разрешения, доступные для доступа, и период времени, в течение которого подпись действительна.
Указание параметров SAS учетной записи
Обязательные и необязательные параметры для маркера SAS описаны в следующей таблице:
| Параметр запроса SAS | Описание |
|---|---|
api-version |
Необязательный. Указывает версию службы хранилища, используемую для выполнения запроса, выполняемого с помощью URI SAS учетной записи. Дополнительные сведения см. в статье Авторизация запросов с помощьюподписанного URL-адреса. |
SignedVersion (sv) |
Обязательно. Указывает версию подписанной службы хранилища, используемую для авторизации запросов, выполненных с помощью этого SAS учетной записи. Он должен иметь значение версии 2015-04-05 или более поздней. Дополнительные сведения см. в статье Авторизация запросов с помощьюподписанного URL-адреса. |
SignedServices (ss) |
Обязательно. Указывает подписанные службы, доступные с помощью SAS учетной записи. Возможные значения: — BLOB-объект ( b)- Очередь ( q)— Таблица ( t)- Файл ( f)Можно объединить значения для предоставления доступа к нескольким службам. Например, ss=bf указывает доступ к конечным точкам хранилища BLOB-объектов и файлов Azure. |
SignedResourceTypes (srt) |
Обязательно. Указывает подписанные типы ресурсов, доступные с помощью SAS учетной записи. — Служба ( s): доступ к API уровня обслуживания (например, Get/Set Service Properties, Get ServiceStats, List Containers/Queues/Tables/Share).— Контейнер ( c): доступ к API уровня контейнера (например, создание и удаление контейнера, создание и удаление очереди, создание и удаление таблицы, создание и удаление общей папки, список BLOB-объектов и каталогов).— Object ( o): доступ к API уровня объекта для больших двоичных объектов, сообщений очереди, табличных сущностей и файлов (например, Put BLOB-объект, Query Entity, Get Messages, Create File).Можно объединить значения для предоставления доступа к нескольким типам ресурсов. Например, srt=sc указывает доступ к ресурсам службы и контейнера. |
SignedPermissions (sp) |
Обязательно. Указывает подписанные разрешения для SAS учетной записи. Разрешения допустимы только в том случае, если они соответствуют указанному типу подписанного ресурса. Если они не соответствуют, они игнорируются. — чтение ( r): допустимо для всех подписанных типов ресурсов (service, container и object). Разрешает разрешения на чтение для указанного типа ресурса.— запись ( w): допустима для всех подписанных типов ресурсов (service, container и object). Разрешает доступ на запись для указанного типа ресурсов, позволяя пользователю создавать и обновлять ресурсы.— Delete ( d): допустимо для типов ресурсов контейнеров и объектов, за исключением сообщений очереди.— Удалить версию ( x): допустимо только для типа ресурса объекта blob-объектов.— постоянное удаление ( y): допустимо только для типа ресурсов объекта.— List ( l): допустимы только для типов ресурсов службы и контейнеров.- Добавление ( a): допустимо только для следующих типов ресурсов объектов: сообщения очереди, сущности таблицы и большие двоичные объекты.— создание ( c): допустимо для типов ресурсов контейнера и следующих типов ресурсов объектов: BLOB-объектов и файлов. Пользователи могут создавать новые ресурсы, но не могут перезаписать существующие ресурсы.— Обновление ( u): допустимо только для следующих типов ресурсов объектов: сообщения очереди и сущности таблицы.— Process ( p): допустимо только для следующего типа ресурса объекта: сообщения очереди.— Тег ( t): допустимы только для следующего типа ресурса объекта: большие двоичные объекты. Разрешает операции тега BLOB-объектов.— Фильтр ( f): допустимы только для следующего типа ресурса объекта: BLOB-объект. Разрешает фильтрацию по тегу BLOB-объектов.— Установка политики неизменяемости ( i): допустимо только для следующего типа ресурса объекта: BLOB-объект. Разрешает политику неизменяемости набора и удаления неизменяемости и юридическую удержание большого двоичного объекта. |
SignedStart (st) |
Необязательный. Время, когда SAS становится допустимым, выраженным в одном из принятых форматов ISO 8601 UTC. Если это опущено, предполагается, что время начала будет временем, когда служба хранилища получает запрос. Дополнительные сведения о принятых форматах UTC см. в разделе Форматирование значений DateTime. |
SignedExpiry (se) |
Обязательно. Время, когда подпись общего доступа становится недопустимой, выраженная в одном из принятых форматов ISO 8601 UTC. Дополнительные сведения о принятых форматах UTC см. в разделе Форматирование значений DateTime. |
SignedIP (sip) |
Необязательный. Указывает IP-адрес или диапазон IP-адресов, от которых следует принимать запросы. При указании диапазона следует помнить, что диапазон включаем. Поддерживаются только адреса IPv4. Например, sip=198.51.100.0 или sip=198.51.100.10-198.51.100.20. |
SignedProtocol (spr) |
Необязательный. Указывает протокол, разрешенный для запроса, сделанного с помощью SAS учетной записи. Возможные значения : HTTPS и HTTP (https,http) или только HTTPS (https). Значение по умолчанию — https,http.Обратите внимание, что http только не является допустимым значением. |
SignedEncryptionScope (ses) |
Необязательный. Указывает область шифрования, используемую для шифрования содержимого запроса. Это поле поддерживается с версией 2020-12-06 и более поздними версиями. |
Signature (sig) |
Обязательно. Часть сигнатуры URI используется для авторизации запроса, выполненного с помощью подписанного URL-адреса. Строка —это уникальная строка, созданная из полей, которые должны быть проверены для авторизации запроса. Сигнатура — это хэш-код проверки подлинности сообщений (HMAC), вычисляемый по протоколу string-to-sign and key с помощью алгоритма SHA256, а затем закодированный с помощью кодировки Base64. |
Укажите поле signedVersion
Поле signedVersion (sv) содержит версию службы подписанного URL-адреса. Это значение указывает версию авторизации общего ключа, которая используется сигнатурой общего доступа (в поле signature). Значение также указывает версию службы для запросов, выполненных с помощью этой подписанной url-адреса.
Сведения о том, какая версия используется при выполнении запросов с помощью подписанного URL-адреса, см. в службы хранилища Azure.
Сведения о том, как этот параметр влияет на авторизацию запросов, выполненных с помощью подписанного URL-адреса, см. в разделе Делегирование доступа с помощью подписанного URL-адреса.
| Имя поля | Параметр запроса | Описание |
|---|---|---|
signedVersion |
sv |
Обязательно. Поддерживается в версии 2015-04-05 и более поздних версий. Версия службы хранилища, используемая для авторизации и обработки запросов, выполняемых с помощью этой подписанной url-адреса. Дополнительные сведения см. в статье Управление версиями служб хранилища Azure. |
Указание IP-адреса или диапазона IP-адресов
По состоянию на версию 2015-04-05 необязательное поле signedIp (sip) указывает общедоступный IP-адрес или диапазон общедоступных IP-адресов, от которых принимать запросы. Если IP-адрес, из которого создается запрос, не соответствует диапазону IP-адресов или диапазону адресов, указанному в маркере SAS, запрос не авторизован. Поддерживаются только адреса IPv4.
При указании диапазона IP-адресов следует помнить, что диапазон включаем. Например, указание sip=198.51.100.0 или sip=198.51.100.10-198.51.100.20 в SAS ограничивает запрос на эти IP-адреса.
В следующей таблице описывается, следует ли включить поле signedIp в маркер SAS для указанного сценария в зависимости от клиентской среды и расположения учетной записи хранения.
| Клиентская среда | Расположение учетной записи хранения | Рекомендация |
|---|---|---|
| Клиент, работающий в Azure | В том же регионе, что и клиент | SAS, предоставленный клиенту в этом сценарии, не должен включать исходящий IP-адрес для поля signedIp. Запросы, сделанные из одного региона, использующего SAS с указанным исходящим IP-адресом, завершаются ошибкой.Вместо этого используйте виртуальную сеть Azure для управления ограничениями безопасности сети. Запросы к службе хранилища Azure из одного региона всегда выполняются по частному IP-адресу. Дополнительные сведения см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей. |
| Клиент, работающий в Azure | В другом регионе от клиента | SAS, предоставленный клиенту в этом сценарии, может включать общедоступный IP-адрес или диапазон адресов для поля signedIp. Запрос, сделанный с SAS, должен исходить из указанного IP-адреса или диапазона адресов. |
| Клиент, работающий локально или в другой облачной среде | В любом регионе Azure | SAS, предоставленный клиенту в этом сценарии, может включать общедоступный IP-адрес или диапазон адресов для поля signedIp. Запрос, сделанный с SAS, должен исходить из указанного IP-адреса или диапазона адресов.Если запрос проходит через прокси-сервер или шлюз, укажите общедоступный исходящий IP-адрес этого прокси-сервера или шлюза для поля signedIp. |
Указание протокола HTTP
По состоянию на версию 2015-04-05 необязательное поле signedProtocol (spr) указывает протокол, разрешенный для запроса, сделанного с помощью SAS. Возможные значения : HTTPS и HTTP (https,http) или только HTTPS (https). Значение по умолчанию — https,http. Обратите внимание, что только HTTP не является допустимым значением.
Указание области шифрования
Используя поле signedEncryptionScope в URI, можно указать область шифрования, которую может использовать клиентское приложение. Он применяет шифрование на стороне сервера с указанной областью шифрования при отправке БОЛЬШИХ двоичных объектов (PUT) с маркером SAS. GET и HEAD не будут ограничены и выполняются как раньше.
В следующей таблице описывается, как ссылаться на область шифрования со знаком в URI:
| Имя поля | Параметр запроса | Описание |
|---|---|---|
signedEncryptionScope |
ses |
Необязательный. Указывает область шифрования, используемую для шифрования содержимого запроса. |
Это поле поддерживается с версией 2020-12-06 или более поздней. Если добавить ses до поддерживаемой версии, служба возвращает код ответа об ошибке 403 (запрещено).
Если задать область шифрования по умолчанию для контейнера или файловой системы, параметр запроса ses учитывает политику шифрования контейнеров. Если между параметром запроса ses и заголовком x-ms-default-encryption-scope имеется несоответствие, а заголовок x-ms-deny-encryption-scope-override имеет значение true, служба возвращает код ответа на ошибку 403 (запрещено).
Если указать заголовок x-ms-encryption-scope и параметр запроса ses в запросе PUT, служба возвращает код ответа ошибки 400 (недопустимый запрос) в случае несоответствия.
Создание строки подписи
Чтобы создать строку подписи для SAS учетной записи, сначала создайте строку для входа из полей, составляющих запрос, а затем закодируйте строку как UTF-8 и вычислите подпись с помощью алгоритма HMAC-SHA256.
Заметка
Поля, включенные в вход, должны быть декодированы ПО URL-адресу.
Чтобы создать строку для входа в SAS учетной записи, используйте следующий формат:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
Версия 2020-12-06 добавляет поддержку поля подписанной области шифрования. Чтобы создать строку для входа в SAS учетной записи, используйте следующий формат:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Разрешения SAS учетной записи по операции
В таблицах в следующих разделах перечислены различные API для каждой службы и подписанные типы ресурсов и подписанные разрешения, поддерживаемые для каждой операции.
Служба BLOB-объектов
В следующей таблице перечислены операции службы BLOB-объектов и указываются подписанные типы ресурсов и подписанные разрешения, чтобы указать, когда вы делегируете доступ к этим операциям.
| Операция | Подписанная служба | Подписанный тип ресурса | Подписанное разрешение |
|---|---|---|---|
| Список контейнеров | Большой двоичный объект (b) | Службы (s) | List (l) |
| Получение свойств службы BLOB-объектов | Большой двоичный объект (b) | Службы (s) | Чтение (r) |
| Задание свойств службы BLOB-объектов | Большой двоичный объект (b) | Службы (s) | Запись (w) |
| Получение статистики службы BLOB-объектов | Большой двоичный объект (b) | Службы (s) | Чтение (r) |
| Создание контейнера | Большой двоичный объект (b) | Контейнер (c) | Create(c) или Write (w) |
| Получение свойств контейнера | Большой двоичный объект (b) | Контейнер (c) | Чтение (r) |
| Получение метаданных контейнера | Большой двоичный объект (b) | Контейнер (c) | Чтение (r) |
| Настройка метаданных контейнера | Большой двоичный объект (b) | Контейнер (c) | Запись (w) |
| Контейнер аренды | Большой двоичный объект (b) | Контейнер (c) | Запись (w) или удаление (d)1 |
| Удаление контейнера | Большой двоичный объект (b) | Контейнер (c) | Удаление (d)1 |
| Поиск БОЛЬШИХ двоичных объектов по тегам в контейнере | Большой двоичный объект (b) | Контейнер (c) | Фильтр (f) |
| Вывод списка БОЛЬШИХ двоичных объектов | Большой двоичный объект (b) | Контейнер (c) | List (l) |
| Поместите большой двоичный объект (создайте новый блочный большой двоичный объект) | Большой двоичный объект (b) | Object (o) | Создание (c) или запись (w) |
| Поместите большой двоичный объект (перезапись существующего блочного BLOB-объекта) | Большой двоичный объект (b) | Object (o) | Запись (w) |
| Поместите большой двоичный объект (создайте новый большой двоичный объект страницы) | Большой двоичный объект (b) | Object (o) | Создание (c) или запись (w) |
| Поместить большой двоичный объект (перезаписать существующий большой двоичный объект страницы) | Большой двоичный объект (b) | Object (o) | Запись (w) |
| Получение БОЛЬШОго двоичного объекта | Большой двоичный объект (b) | Object (o) | Чтение (r) |
| Получение свойств BLOB-объектов | Большой двоичный объект (b) | Object (o) | Чтение (r) |
| Задание свойств BLOB-объектов | Большой двоичный объект (b) | Object (o) | Запись (w) |
| Получение метаданных BLOB-объектов | Большой двоичный объект (b) | Object (o) | Чтение (r) |
| Настройка метаданных BLOB-объектов | Большой двоичный объект (b) | Object (o) | Запись (w) |
| Получение тегов BLOB-объектов | Большой двоичный объект (b) | Object (o) | Теги (t) |
| Настройка тегов BLOB-объектов | Большой двоичный объект (b) | Object (o) | Теги (t) |
| Поиск больших двоичных объектов по тегам | Большой двоичный объект (b) | Object (o) | Фильтр (f) |
| Удаление BLOB-объекта | Большой двоичный объект (b) | Object (o) | Удаление (d)1 |
| Удаление версии BLOB-объектов | Большой двоичный объект (b) | Object (o) | Удаление версии (x)2 |
| Окончательное удаление моментального снимка или версии | Большой двоичный объект (b) | Object (o) | Постоянное удаление (y)3 |
| Аренда BLOB-объекта | Большой двоичный объект (b) | Object (o) | Запись (w) или удаление (d)1 |
| Моментальный снимок BLOB-объекта | Большой двоичный объект (b) | Object (o) | Создание (c) или запись (w) |
| Копирование БОЛЬШОго двоичного объекта (назначение — новый большой двоичный объект) | Большой двоичный объект (b) | Object (o) | Создание (c) или запись (w) |
| Копирование БОЛЬШОго двоичного объекта (назначение — существующий большой двоичный объект) | Большой двоичный объект (b) | Object (o) | Запись (w) |
| Добавочное копирование | Большой двоичный объект (b) | Object (o) | Создание (c) или запись (w) |
| Прерывание копирования BLOB-объекта | Большой двоичный объект (b) | Object (o) | Запись (w) |
| Поместить блок | Большой двоичный объект (b) | Object (o) | Запись (w) |
| Поместите список блоков (создайте новый большой двоичный объект) | Большой двоичный объект (b) | Object (o) | Запись (w) |
| Поместите список блокировок (обновите существующий большой двоичный объект) | Большой двоичный объект (b) | Object (o) | Запись (w) |
| Получение списка блокировок | Большой двоичный объект (b) | Object (o) | Чтение (r) |
| Поставить страницу | Большой двоичный объект (b) | Object (o) | Запись (w) |
| Получение диапазонов страниц | Большой двоичный объект (b) | Object (o) | Чтение (r) |
| Добавление блока | Большой двоичный объект (b) | Object (o) | Добавление (a) или запись (w) |
| Очистить страницу | Большой двоичный объект (b) | Object (o) | Запись (w) |
1 Разрешение Delete позволяет нарушить аренду большого двоичного объекта или контейнера с версией 2017-07-29 и более поздними версиями.
2 Разрешение Delete Version позволяет удалять версии BLOB-объектов с версией 2019-12-12 и более поздними версиями.
3 Разрешение Permanent Delete разрешает постоянное удаление моментального снимка большого двоичного объекта или версии с версией 2020-02-10 и более поздних версий.
Служба очередей
В следующей таблице перечислены операции службы очередей и указываются подписанные типы ресурсов и подписанные разрешения для указания делегирования доступа к этим операциям.
| Операция | Подписанная служба | Подписанный тип ресурса | Подписанное разрешение |
|---|---|---|---|
| Получение свойств службы очередей | Очередь (q) | Службы (s) | Чтение (r) |
| Задание свойств службы очередей | Очередь (q) | Службы (s) | Запись (w) |
| Перечисление очередей | Очередь (q) | Службы (s) | List (l) |
| Получение статистики службы очередей | Очередь (q) | Службы (s) | Чтение (r) |
| Создание очереди | Очередь (q) | Контейнер (c) | Create(c) или Write (w) |
| Удаление очереди | Очередь (q) | Контейнер (c) | Delete (d) |
| Получение метаданных очереди | Очередь (q) | Контейнер (c) | Чтение (r) |
| Настройка метаданных очереди | Очередь (q) | Контейнер (c) | Запись (w) |
| Поместите сообщение | Очередь (q) | Object (o) | Добавление (a) |
| Получение сообщений | Очередь (q) | Object (o) | Процесс (p) |
| Просмотр сообщений | Очередь (q) | Object (o) | Чтение (r) |
| Удаление сообщения | Очередь (q) | Object (o) | Процесс (p) |
| Очистка сообщений | Очередь (q) | Object (o) | Delete (d) |
| Обновление сообщения | Очередь (q) | Object (o) | Обновление (u) |
Служба таблиц
В следующей таблице перечислены операции службы таблиц и указывает, какие подписанные тип ресурса и подписанные разрешения указываются при делегировании доступа к этим операциям.
| Операция | Подписанная служба | Подписанный тип ресурса | Подписанное разрешение |
|---|---|---|---|
| Получение свойств службы таблиц | Таблица (t) | Службы (s) | Чтение (r) |
| Задание свойств службы таблиц | Таблица (t) | Службы (s) | Запись (w) |
| Получение статистики службы таблиц | Таблица (t) | Службы (s) | Чтение (r) |
| Таблицы запросов | Таблица (t) | Контейнер (c) | List (l) |
| Создание таблицы | Таблица (t) | Контейнер (c) | Создание (c) или запись (w) |
| Удаление таблицы | Таблица (t) | Контейнер (c) | Delete (d) |
| Запрос сущностей | Таблица (t) | Object (o) | Чтение (r) |
| Вставка сущности | Таблица (t) | Object (o) | Добавление (a) |
| Вставка или слияние сущности | Таблица (t) | Object (o) | Добавление (a) и обновление (u)1 |
| Вставка или замена сущности | Таблица (t) | Object (o) | Добавление (a) и обновление (u)1 |
| Обновление сущности | Таблица (t) | Object (o) | Обновление (u) |
| Слияние сущности | Таблица (t) | Object (o) | Обновление (u) |
| Удаление сущности | Таблица (t) | Object (o) | Delete (d) |
1 разрешения на добавление и обновление требуются для операций upsert в службе таблиц.
Файловая служба
В следующей таблице перечислены операции службы файлов и указываются подписанные тип ресурса и подписанные разрешения для указания делегирования доступа к этим операциям.
| Операция | Подписанная служба | Подписанный тип ресурса | Подписанное разрешение |
|---|---|---|---|
| Список общих папок | Файл (f) | Службы (s) | List (l) |
| Получение свойств службы файлов | Файл (f) | Службы (s) | Чтение (r) |
| Задание свойств службы файлов | Файл (f) | Службы (s) | Запись (w) |
| Получение статистики общих сведений | Файл (f) | Контейнер (c) | Чтение (r) |
| Создание общего ресурса | Файл (f) | Контейнер (c) | Создание (c) или запись (w) |
| Общий ресурс моментальных снимков | Файл (f) | Контейнер (c) | Создание (c) или запись (w) |
| Получение свойств общего ресурса | Файл (f) | Контейнер (c) | Чтение (r) |
| Задание свойств общего ресурса | Файл (f) | Контейнер (c) | Запись (w) |
| Получение метаданных общего доступа | Файл (f) | Контейнер (c) | Чтение (r) |
| Настройка метаданных общего ресурса | Файл (f) | Контейнер (c) | Запись (w) |
| Удаление общего ресурса | Файл (f) | Контейнер (c) | Delete (d) |
| Список каталогов и файлов | Файл (f) | Контейнер (c) | List (l) |
| Создание каталога | Файл (f) | Object (o) | Создание (c) или запись (w) |
| Получение свойств каталога | Файл (f) | Object (o) | Чтение (r) |
| Получение метаданных каталога | Файл (f) | Object (o) | Чтение (r) |
| Настройка метаданных каталога | Файл (f) | Object (o) | Запись (w) |
| Удаление каталога | Файл (f) | Object (o) | Delete (d) |
| Создание файла (создание) | Файл (f) | Object (o) | Создание (c) или запись (w) |
| Создание файла (перезапись существующего) | Файл (f) | Object (o) | Запись (w) |
| Получение файла | Файл (f) | Object (o) | Чтение (r) |
| Получение свойств файла | Файл (f) | Object (o) | Чтение (r) |
| Получение метаданных файла | Файл (f) | Object (o) | Чтение (r) |
| Настройка метаданных файла | Файл (f) | Object (o) | Запись (w) |
| Удаление файла | Файл (f) | Object (o) | Delete (d) |
| Переименование файла | Файл (f) | Object (o) | Удаление (d) или запись (w) |
| Поместить диапазон | Файл (f) | Object (o) | Запись (w) |
| Диапазоны списков | Файл (f) | Object (o) | Чтение (r) |
| Файл прерывания копирования | Файл (f) | Object (o) | Запись (w) |
| Копирование файла | Файл (f) | Object (o) | Запись (w) |
| Очистить диапазон | Файл (f) | Object (o) | Запись (w) |
Пример URI SAS учетной записи
В следующем примере показан URI службы BLOB-объектов с маркером SAS учетной записи, добавленным к нему. Маркер SAS учетной записи предоставляет разрешения для службы, контейнера и объектов. Таблица разбивает каждую часть URI:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Имя | Часть SAS | Описание |
|---|---|---|
| Универсальный код ресурса (URI) ресурса | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Конечная точка службы с параметрами для получения свойств службы (при вызове с помощью GET) или задания свойств службы (при вызове с помощью SET). В зависимости от значения поля подписанных служб (ss), этот SAS можно использовать с хранилищем BLOB-объектов или файлами Azure. |
| Разделитель | ? |
Разделитель, предшествующий строке запроса. Разделитель не является частью маркера SAS. |
| Версия служб хранилища | sv=2022-11-02 |
Для служб хранилища Azure версии 2012-02-12 и более поздних версий этот параметр указывает, какая версия будет использоваться. |
| Услуги | ss=b |
SAS применяется к службам BLOB-объектов. |
| Типы ресурсов | srt=sco |
SAS применяется к операциям уровня обслуживания, уровня контейнера и уровня объектов. |
| Разрешения | sp=rwlc |
Разрешения предоставляют доступ к операциям чтения, записи, записи, списка и создания. |
| Время начала | st=2019-08-01T22%3A18%3A26Z |
Указано в формате UTC. Если вы хотите, чтобы SAS был действительным немедленно, опустите время начала. |
| Время истечения срока действия | se=2019-08-10T02%3A23%3A26Z |
Указано в формате UTC. |
| Протокол | spr=https |
Разрешены только запросы, использующие ПРОТОКОЛ HTTPS. |
| Подпись | sig=<signature> |
Используется для авторизации доступа к большому двоичному объекту. Сигнатура — это HMAC, вычисленный по протоколу "строка — подпись" с помощью алгоритма SHA256, а затем закодированный с помощью кодировки Base64. |
Так как разрешения ограничены уровнем обслуживания, доступные операции с этим SAS Получить свойства службы BLOB-объектов (чтение) и задать свойства службы BLOB-объектов (запись). Однако с другим универсальным кодом ресурса (URI) один и тот же маркер SAS также можно использовать для делегирования доступа к получение статистики службы BLOB-объектов (чтение).