Поделиться через


Делегирование доступа с помощью подписанного URL-адреса

Важно!

Для оптимальной безопасности корпорация Майкрософт рекомендует по возможности использовать Microsoft Entra ID с управляемыми удостоверениями для авторизации запросов к blob-объектам, очередям и табличным данным. Авторизация с помощью Microsoft Entra ID и управляемых удостоверений обеспечивает более высокий уровень безопасности и простоту использования по сравнению с авторизацией с общим ключом. Дополнительные сведения см. в статье Авторизация с помощью Microsoft Entra ID. Дополнительные сведения об управляемых удостоверениях см. в статье Что такое управляемые удостоверения для ресурсов Azure.

Для ресурсов, размещенных за пределами Azure, таких как локальные приложения, можно использовать управляемые удостоверения через Azure Arc. Например, приложения, работающие на серверах с поддержкой Azure Arc, могут использовать управляемые удостоверения для подключения к службам Azure. Дополнительные сведения см. в статье Проверка подлинности в ресурсах Azure с помощью серверов с поддержкой Azure Arc.

Для сценариев, в которых используются подписанные URL-адреса (SAS), корпорация Майкрософт рекомендует использовать SAS для делегирования пользователей. SAS для делегирования пользователей защищен с помощью Microsoft Entra учетных данных вместо ключа учетной записи. Дополнительные сведения о подписанных URL-адресах см. в статье Create SAS делегирования пользователей.

Подписанный URL-адрес (SAS) — это URI, который предоставляет ограниченные права доступа к ресурсам хранилища Azure. Вы можете предоставить подписанный URL-адрес клиентам, которым не следует доверять ключ учетной записи хранения, но которым нужен доступ к определенным ресурсам учетной записи хранения. Передавая URI SAS этим клиентам, вы предоставляете им доступ к ресурсу в течение определенного времени с указанным набором разрешений.

Параметры запроса URI, составляющие маркер SAS, включают все сведения, необходимые для предоставления управляемого доступа к ресурсу хранилища. Клиент, имеющий SAS, может выполнить запрос к службе хранилища Azure, используя только универсальный код ресурса (URI) SAS. Сведения в маркере SAS используются для авторизации запроса.

Типы подписанных URL-адресов

Служба хранилища Azure поддерживает следующие типы подписанных URL-адресов:

  • SAS учетной записи, появилась в версии 2015-04-05. Этот тип SAS делегирует доступ к ресурсам в одной или нескольких службах хранилища. SAS учетной записи предоставляет доступ ко всем операциям, которые доступны через SAS службы.

    С помощью SAS учетной записи можно делегировать доступ к операциям, которые применяются к службе, например Get/Set Service Properties и Get Service Stats. Вы также можете делегировать доступ к операциям чтения, записи и удаления в контейнерах больших двоичных объектов, таблицах, очередях и общих папках, которые запрещены в SAS службы.

    Дополнительные сведения см. в статье Создание SAS для учетной записи.

  • SAS службы. Этот тип SAS делегирует доступ к ресурсу только в одной из служб хранилища: Хранилище BLOB-объектов Azure, хранилище очередей Azure, хранилище таблиц Azure или Файлы Azure. Дополнительные сведения см. в Create примерах SAS службы и SAS службы.

  • SAS для делегирования пользователей, представленный в версии 2018-11-09. Этот тип SAS защищен с помощью Microsoft Entra учетных данных. Он поддерживается только для хранилища BLOB-объектов, и его можно использовать для предоставления доступа к контейнерам и BLOB-объектам. Дополнительные сведения см. в разделе Создание SAS для делегирования пользователя.

Кроме того, SAS службы может ссылаться на хранимую политику доступа, которая обеспечивает другой уровень управления набором подписей. Этот элемент управления включает в себя возможность при необходимости изменять или отменять доступ к ресурсу. Дополнительные сведения см. в разделе Определение хранимой политики доступа.

Примечание

Хранимые политики доступа в настоящее время не поддерживаются для SAS учетной записи или SAS делегирования пользователей.

См. также раздел