Делегирование доступа с помощью подписанного URL-адреса
Важно!
Для оптимальной безопасности корпорация Майкрософт рекомендует по возможности использовать Microsoft Entra ID с управляемыми удостоверениями для авторизации запросов к blob-объектам, очередям и табличным данным. Авторизация с помощью Microsoft Entra ID и управляемых удостоверений обеспечивает более высокий уровень безопасности и простоту использования по сравнению с авторизацией с общим ключом. Дополнительные сведения см. в статье Авторизация с помощью Microsoft Entra ID. Дополнительные сведения об управляемых удостоверениях см. в статье Что такое управляемые удостоверения для ресурсов Azure.
Для ресурсов, размещенных за пределами Azure, таких как локальные приложения, можно использовать управляемые удостоверения через Azure Arc. Например, приложения, работающие на серверах с поддержкой Azure Arc, могут использовать управляемые удостоверения для подключения к службам Azure. Дополнительные сведения см. в статье Проверка подлинности в ресурсах Azure с помощью серверов с поддержкой Azure Arc.
Для сценариев, в которых используются подписанные URL-адреса (SAS), корпорация Майкрософт рекомендует использовать SAS для делегирования пользователей. SAS для делегирования пользователей защищен с помощью Microsoft Entra учетных данных вместо ключа учетной записи. Дополнительные сведения о подписанных URL-адресах см. в статье Create SAS делегирования пользователей.
Подписанный URL-адрес (SAS) — это URI, который предоставляет ограниченные права доступа к ресурсам хранилища Azure. Вы можете предоставить подписанный URL-адрес клиентам, которым не следует доверять ключ учетной записи хранения, но которым нужен доступ к определенным ресурсам учетной записи хранения. Передавая URI SAS этим клиентам, вы предоставляете им доступ к ресурсу в течение определенного времени с указанным набором разрешений.
Параметры запроса URI, составляющие маркер SAS, включают все сведения, необходимые для предоставления управляемого доступа к ресурсу хранилища. Клиент, имеющий SAS, может выполнить запрос к службе хранилища Azure, используя только универсальный код ресурса (URI) SAS. Сведения в маркере SAS используются для авторизации запроса.
Типы подписанных URL-адресов
Служба хранилища Azure поддерживает следующие типы подписанных URL-адресов:
SAS учетной записи, появилась в версии 2015-04-05. Этот тип SAS делегирует доступ к ресурсам в одной или нескольких службах хранилища. SAS учетной записи предоставляет доступ ко всем операциям, которые доступны через SAS службы.
С помощью SAS учетной записи можно делегировать доступ к операциям, которые применяются к службе, например
Get/Set Service PropertiesиGet Service Stats. Вы также можете делегировать доступ к операциям чтения, записи и удаления в контейнерах больших двоичных объектов, таблицах, очередях и общих папках, которые запрещены в SAS службы.Дополнительные сведения см. в статье Создание SAS для учетной записи.
SAS службы. Этот тип SAS делегирует доступ к ресурсу только в одной из служб хранилища: Хранилище BLOB-объектов Azure, хранилище очередей Azure, хранилище таблиц Azure или Файлы Azure. Дополнительные сведения см. в Create примерах SAS службы и SAS службы.
SAS для делегирования пользователей, представленный в версии 2018-11-09. Этот тип SAS защищен с помощью Microsoft Entra учетных данных. Он поддерживается только для хранилища BLOB-объектов, и его можно использовать для предоставления доступа к контейнерам и BLOB-объектам. Дополнительные сведения см. в разделе Создание SAS для делегирования пользователя.
Кроме того, SAS службы может ссылаться на хранимую политику доступа, которая обеспечивает другой уровень управления набором подписей. Этот элемент управления включает в себя возможность при необходимости изменять или отменять доступ к ресурсу. Дополнительные сведения см. в разделе Определение хранимой политики доступа.
Примечание
Хранимые политики доступа в настоящее время не поддерживаются для SAS учетной записи или SAS делегирования пользователей.