Skapa en konto-SAS
Viktigt
För optimal säkerhet rekommenderar Microsoft att du använder Microsoft Entra ID med hanterade identiteter för att auktorisera begäranden mot blob-, kö- och tabelldata när det är möjligt. Auktorisering med Microsoft Entra ID och hanterade identiteter ger överlägsen säkerhet och enkel användning via auktorisering med delad nyckel. Mer information finns i Auktorisera med Microsoft Entra ID. Mer information om hanterade identiteter finns i Vad är hanterade identiteter för Azure-resurser.
För resurser som finns utanför Azure, till exempel lokala program, kan du använda hanterade identiteter via Azure Arc. Appar som körs på Azure Arc-aktiverade servrar kan till exempel använda hanterade identiteter för att ansluta till Azure-tjänster. Mer information finns i Autentisera mot Azure-resurser med Azure Arc-aktiverade servrar.
För scenarier där signaturer för delad åtkomst (SAS) används rekommenderar Microsoft att du använder en SAS för användardelegering. En SAS för användardelegering skyddas med Microsoft Entra autentiseringsuppgifter i stället för kontonyckeln. Mer information om signaturer för delad åtkomst finns i Skapa en SAS för användardelegering.
Från och med version 2015-04-05 har Azure Storage stöd för att skapa en ny typ av signatur för delad åtkomst (SAS) på lagringskontots nivå. Genom att skapa en konto-SAS kan du:
Delegera åtkomst till åtgärder på tjänstnivå som för närvarande inte är tillgängliga med en tjänstspecifik SAS, till exempel
Get/Set Service Properties
åtgärderna ochGet Service Stats
.Delegera åtkomst till fler än en tjänst i ett lagringskonto åt gången. Du kan till exempel delegera åtkomst till resurser i både Azure Blob Storage och Azure Files med hjälp av ett konto-SAS.
Delegera åtkomst till skriv- och borttagningsåtgärder för containrar, köer, tabeller och filresurser, som inte är tillgängliga med en objektspecifik SAS.
Ange en IP-adress eller ett intervall med IP-adresser som begäranden ska accepteras från.
Ange det HTTP-protokoll som begäranden ska accepteras från (antingen HTTPS eller HTTP/HTTPS).
Lagrade åtkomstprinciper stöds för närvarande inte för ett konto-SAS.
Varning
Signaturer för delad åtkomst är nycklar som ger behörighet till lagringsresurser och du bör skydda dem på samma sätt som du skyddar en kontonyckel. Det är viktigt att skydda en SAS från skadlig eller oavsiktlig användning. Använd diskretion när du distribuerar en SAS och ha en plan för återkallande av en komprometterad SAS. Åtgärder som använder signaturer för delad åtkomst ska endast utföras via en HTTPS-anslutning och SAS-URI:er ska endast distribueras på en säker anslutning, till exempel HTTPS.
Auktorisera ett konto-SAS
Du skyddar en konto-SAS med hjälp av en lagringskontonyckel. När du skapar en konto-SAS måste klientprogrammet ha kontonyckeln.
Om du vill använda Microsoft Entra autentiseringsuppgifter för att skydda en SAS för en container eller blob skapar du en SAS för användardelegering.
Skapa en SAS-URI för kontot
Kontots SAS-URI består av URI:n till resursen som SAS delegerar åtkomst för, följt av en SAS-token. SAS-token är frågesträngen som innehåller all information som krävs för att auktorisera en begäran till resursen. Den anger tjänsten, resursen och behörigheterna som är tillgängliga för åtkomst och den tidsperiod under vilken signaturen är giltig.
Ange kontots SAS-parametrar
De obligatoriska och valfria parametrarna för SAS-token beskrivs i följande tabell:
SAS-frågeparameter | Description |
---|---|
api-version |
Valfritt. Anger vilken version av lagringstjänsten som ska användas för att köra begäran som görs med hjälp av kontots SAS-URI. Mer information finns i Auktorisera begäranden med hjälp av en signatur för delad åtkomst. |
SignedVersion (sv) |
Krävs. Anger den signerade lagringstjänstversion som ska användas för att auktorisera begäranden som görs med det här kontots SAS. Den måste vara inställd på version 2015-04-05 eller senare. Mer information finns i Auktorisera begäranden med hjälp av en signatur för delad åtkomst. |
SignedServices (ss) |
Krävs. Anger de signerade tjänster som är tillgängliga med kontots SAS. Möjliga värden är: – Blob ( b )– Kö ( q )- Tabell ( t )- Fil ( f )Du kan kombinera värden för att ge åtkomst till fler än en tjänst. Anger till exempel ss=bf åtkomst till Blob Storage och Azure Files slutpunkter. |
SignedResourceTypes (srt) |
Krävs. Anger de signerade resurstyper som är tillgängliga med kontots SAS. – Tjänst ( s ): Åtkomst till API:er på servicenivå (till exempel Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).– Container ( c ): Åtkomst till API:er på containernivå (till exempel Skapa/Ta bort container, Skapa/Ta bort kö, Skapa/Ta bort tabell, Skapa/Ta bort resurs, Listblobar/Filer och kataloger).- Objekt ( o ): Åtkomst till API:er på objektnivå för blobar, kömeddelanden, tabellentiteter och filer (till exempel Put Blob, Query Entity, Get Messages, Skapa File).Du kan kombinera värden för att ge åtkomst till mer än en resurstyp. Anger till exempel srt=sc åtkomst till tjänst- och containerresurser. |
SignedPermissions (sp) |
Krävs. Anger de signerade behörigheterna för kontots SAS. Behörigheter är endast giltiga om de matchar den angivna signerade resurstypen. Om de inte matchar ignoreras de. – Läs ( r ): Giltig för alla signerade resurstyper (tjänst, container och objekt). Tillåter läsbehörighet till den angivna resurstypen.– Skriv ( w ): Giltigt för alla signerade resurstyper (tjänst, container och objekt). Tillåter skrivåtkomst för den angivna resurstypen, så att en användare kan skapa och uppdatera resurser.– Ta bort ( d ): Giltigt för resurstyperna Container och Objekt, med undantag för kömeddelanden.– Permanent borttagning ( y ): Gäller endast för objektresurstypen Blob.– Lista ( l ): Endast giltig för tjänst- och containerresurstyper.– Lägg till ( a ): Gäller endast för följande objektresurstyper: kömeddelanden, tabellentiteter och tilläggsblobar.– Skapa ( c ): Giltig för containerresurstyper och följande objektresurstyper: blobar och filer. Användare kan skapa nya resurser, men de kanske inte skriver över befintliga resurser.– Uppdatering ( u ): Gäller endast för följande objektresurstyper: kömeddelanden och tabellentiteter.– Process ( p ): Endast giltig för följande objektresurstyp: kömeddelanden.– Tagg ( t ): Endast giltig för följande objektresurstyp: blobar. Tillåter åtgärder för blobtaggen.– Filter ( f ): Endast giltigt för följande objektresurstyp: blob. Tillåter filtrering efter blobtagg.– Ange oföränderlighetsprincip ( i ): Gäller endast för följande objektresurstyp: blob. Tillåter inställning/borttagning av oföränderlighetsprincip och bevarande av juridiska skäl för en blob. |
SignedStart (st) |
Valfritt. Den tid då SAS blir giltig, uttryckt i något av de godkända ISO 8601 UTC-formaten. Om den utelämnas antas starttiden vara den tid då lagringstjänsten tar emot begäran. Mer information om godkända UTC-format finns i Formatera DateTime-värden. |
SignedExpiry (se) |
Krävs. Den tid då signaturen för delad åtkomst blir ogiltig, uttryckt i något av de godkända ISO 8601 UTC-formaten. Mer information om godkända UTC-format finns i Formatera DateTime-värden. |
SignedIP (sip) |
Valfritt. Anger en IP-adress eller ett intervall med IP-adresser som begäranden ska accepteras från. Tänk på att intervallet är inkluderande när du anger ett intervall. Endast IPv4-adresser stöds. Exempel: sip=168.1.5.65 eller sip=168.1.5.60-168.1.5.70 . |
SignedProtocol (spr) |
Valfritt. Anger det protokoll som tillåts för en begäran som görs med kontots SAS. Möjliga värden är både HTTPS och HTTP (https,http ) eller endast HTTPS (https ). Standardvärdet är https,http .Observera att endast HTTP inte är ett tillåtet värde. |
SignedEncryptionScope (ses) |
Valfritt. Anger krypteringsomfånget som ska användas för att kryptera innehållet i begäran. Det här fältet stöds med version 2020-12-06 och senare. |
Signature (sig) |
Krävs. Signaturdelen av URI:n används för att auktorisera begäran som görs med signaturen för delad åtkomst. Sträng-till-tecken är en unik sträng som konstrueras från de fält som måste verifieras för att auktorisera begäran. Signaturen är en hash-baserad kod för meddelandeautentisering (HMAC) som beräknas över sträng-till-tecken och nyckel med hjälp av SHA256-algoritmen och sedan kodas med hjälp av Base64-kodning. |
Ange fältet signedVersion
Fältet signedVersion
(sv
) innehåller tjänstversionen av signaturen för delad åtkomst. Det här värdet anger den version av auktorisering av delad nyckel som används av signaturen för delad åtkomst (i fältet signature
). Värdet anger även tjänstversionen för begäranden som görs med signaturen för delad åtkomst.
Information om vilken version som används när du kör begäranden via en signatur för delad åtkomst finns i Versionshantering för Azure Storage-tjänster.
Information om hur den här parametern påverkar auktoriseringen av begäranden som görs med en signatur för delad åtkomst finns i Delegera åtkomst med en signatur för delad åtkomst.
Fältnamn | Frågeparameter | Beskrivning |
---|---|---|
signedVersion |
sv |
Krävs. Stöds i version 2015-04-05 och senare. Lagringstjänstversionen som ska användas för att auktorisera och hantera begäranden som du gör med signaturen för delad åtkomst. Mer information finns i Versionshantering för Azure Storage-tjänster. |
Ange en IP-adress eller ett IP-intervall
Från och med version 2015-04-05 anger det valfria signedIp
fältet (sip
) en offentlig IP-adress eller ett intervall med offentliga IP-adresser som begäranden ska accepteras från. Om IP-adressen som begäran kommer från inte matchar IP-adressen eller adressintervallet som anges på SAS-token, är begäran inte auktoriserad. Endast IPv4-adresser stöds.
När du anger ett intervall med IP-adresser bör du komma ihåg att intervallet är inklusivtTill exempel begränsar sip=168.1.5.65
eller sip=168.1.5.60-168.1.5.70
på SAS begäran till dessa IP-adresser.
I följande tabell beskrivs om du vill inkludera signedIp
fältet på en SAS-token för ett angivet scenario, baserat på klientmiljön och lagringskontots plats.
Klientmiljö | Lagringskontoplats | Rekommendation |
---|---|---|
Klient som körs i Azure | I samma region som klienten | En SAS som tillhandahålls till klienten i det här scenariot bör inte innehålla en utgående IP-adress för fältet signedIp . Begäranden som görs från samma region som använder en SAS med en angiven utgående IP-adress misslyckas.Använd i stället ett virtuellt Azure-nätverk för att hantera nätverkssäkerhetsbegränsningar. Begäranden till Azure Storage från samma region sker alltid via en privat IP-adress. Mer information finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk. |
Klient som körs i Azure | I en annan region än klienten | En SAS som tillhandahålls till klienten i det här scenariot kan innehålla en offentlig IP-adress eller ett adressintervall för fältet signedIp . En begäran som görs med SAS måste komma från den angivna IP-adressen eller adressintervallet. |
Klienten körs lokalt eller i en annan molnmiljö | I valfri Azure-region | En SAS som tillhandahålls till klienten i det här scenariot kan innehålla en offentlig IP-adress eller ett adressintervall för fältet signedIp . En begäran som görs med SAS måste komma från den angivna IP-adressen eller adressintervallet.Om begäran passerar genom en proxy eller gateway anger du den offentliga utgående IP-adressen för proxyn eller gatewayen signedIp för fältet. |
Ange HTTP-protokollet
Från och med version 2015-04-05 anger det valfria signedProtocol
fältet (spr
) det protokoll som tillåts för en begäran som görs med SAS. Möjliga värden är både HTTPS och HTTP (https,http
) eller endast HTTPS (https
). Standardvärdet är https,http
. Observera att endast HTTP inte är ett tillåtet värde.
Ange krypteringsomfånget
Genom att använda fältet signedEncryptionScope
på URI:n kan du ange det krypteringsomfång som klientprogrammet kan använda. Den tillämpar kryptering på serversidan med det angivna krypteringsomfånget när du laddar upp blobar (PUT) med SAS-token. GET och HEAD begränsas inte och utförs inte som tidigare.
I följande tabell beskrivs hur du refererar till ett signerat krypteringsomfång på URI:n:
Fältnamn | Frågeparameter | Beskrivning |
---|---|---|
signedEncryptionScope |
ses |
Valfritt. Anger krypteringsomfånget som ska användas för att kryptera innehållet i begäran. |
Det här fältet stöds med version 2020-12-06 eller senare. Om du lägger till ses
före den version som stöds returnerar tjänsten felsvarskoden 403 (Förbjuden).
Om du anger standardkrypteringsomfånget för containern eller filsystemet ses
respekterar frågeparametern containerkrypteringsprincipen. Om det finns ett matchningsfel mellan ses
frågeparametern och x-ms-default-encryption-scope
sidhuvudet och x-ms-deny-encryption-scope-override
huvudet är inställt true
på returnerar tjänsten felsvarskoden 403 (Förbjuden).
När du anger x-ms-encryption-scope
huvudet och ses
frågeparametern i PUT-begäran returnerar tjänsten felsvarskoden 400 (felaktig begäran) om det finns ett matchningsfel.
Konstruera signatursträngen
Om du vill skapa signatursträngen för ett konto-SAS skapar du först sträng-till-signering från fälten som utgör begäran och kodar sedan strängen som UTF-8 och beräknar signaturen med hjälp av HMAC-SHA256-algoritmen.
Anteckning
Fälten som ingår i sträng-till-tecken måste vara URL-avkodade.
Använd följande format för att konstruera sträng-till-signera för ett konto-SAS:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
Version 2020-12-06 lägger till stöd för fältet för signerat krypteringsomfång. Använd följande format för att konstruera sträng-till-signera för ett konto-SAS:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Konto-SAS-behörigheter per åtgärd
Tabellerna i följande avsnitt listar olika API:er för varje tjänst och de signerade resurstyper och signerade behörigheter som stöds för varje åtgärd.
Blob Service
I följande tabell visas blobtjänståtgärder och anger vilken signerad resurstyp och signerade behörigheter som ska anges när du delegerar åtkomst till dessa åtgärder.
Åtgärd | Signerad tjänst | Signerad resurstyp | Signerad behörighet |
---|---|---|---|
Lista containrar | Blob (b) | Tjänst (s) | Lista (l) |
Hämta blobtjänstegenskaper | Blob (b) | Tjänst (s) | Läsa (r) |
Ange egenskaper för Blob Service | Blob (b) | Tjänst (s) | Skriva (w) |
Hämta statistik för Blob Service | Blob (b) | Tjänst (s) | Läsa (r) |
Skapa container | Blob (b) | Container (c) | Skapa(c) eller Skriva (w) |
Hämta containeregenskaper | Blob (b) | Container (c) | Läsa (r) |
Hämta containermetadata | Blob (b) | Container (c) | Läsa (r) |
Ange containermetadata | Blob (b) | Container (c) | Skriva (w) |
Lånecontainer | Blob (b) | Container (c) | Skriva (w) eller ta bort (d)1 |
Ta bort container | Blob (b) | Container (c) | Ta bort (d)1 |
Hitta blobar efter taggar i containern | Blob (b) | Container (c) | Filter (f) |
Lista blobar | Blob (b) | Container (c) | Lista (l) |
Placera blob (skapa ny blockblob) | Blob (b) | Objekt (o) | Skapa (c) eller Skriva (w) |
Placera blob (skriv över befintlig blockblob) | Blob (b) | Objekt (o) | Skriva (w) |
Placera blob (skapa ny sidblob) | Blob (b) | Objekt (o) | Skapa (c) eller Skriva (w) |
Placera blob (skriv över befintlig sidblob) | Blob (b) | Objekt (o) | Skriva (w) |
Hämta blob | Blob (b) | Objekt (o) | Läsa (r) |
Hämta blobegenskaper | Blob (b) | Objekt (o) | Läsa (r) |
Ange blobegenskaper | Blob (b) | Objekt (o) | Skriva (w) |
Hämta blobmetadata | Blob (b) | Objekt (o) | Läsa (r) |
Ange blobmetadata | Blob (b) | Objekt (o) | Skriva (w) |
Hämta blobbtaggar | Blob (b) | Objekt (o) | Taggar (t) |
Ange blobtaggar | Blob (b) | Objekt (o) | Taggar (t) |
Hitta blobar efter taggar | Blob (b) | Objekt (o) | Filter (f) |
Ta bort blob | Blob (b) | Objekt (o) | Ta bort (d)1 |
Ta bort ögonblicksbild/version permanent | Blob (b) | Objekt (o) | Permanent borttagning (y) |
Låna blob | Blob (b) | Objekt (o) | Skriva (w) eller ta bort (d)1 |
Ta ögonblicksbild av blob | Blob (b) | Objekt (o) | Skapa (c) eller Skriva (w) |
Kopiera blob (målet är ny blob) | Blob (b) | Objekt (o) | Skapa (c) eller Skriva (w) |
Kopiera blob (målet är en befintlig blob) | Blob (b) | Objekt (o) | Skriva (w) |
Inkrementell kopia | Blob (b) | Objekt (o) | Skapa (c) eller Skriv (w) |
Avbryt kopieringsblob | Blob (b) | Objekt (o) | Skriva (w) |
Placera block | Blob (b) | Objekt (o) | Skriva (w) |
Placera blockeringslista (skapa ny blob) | Blob (b) | Objekt (o) | Skriva (w) |
Placera blockeringslista (uppdatera befintlig blob) | Blob (b) | Objekt (o) | Skriva (w) |
Hämta blockeringslista | Blob (b) | Objekt (o) | Läs (r) |
Placera sida | Blob (b) | Objekt (o) | Skriva (w) |
Hämta sidintervall | Blob (b) | Objekt (o) | Läs (r) |
Lägg till block | Blob (b) | Objekt (o) | Lägg till (a) eller skriv (w) |
Rensa sida | Blob (b) | Objekt (o) | Skriva (w) |
1 Behörigheten Delete
tillåter att ett lån bryts på en blob eller container med version 2017-07-29 och senare.
Kötjänst
I följande tabell visas kötjänståtgärder och anger vilken signerad resurstyp och signerade behörigheter som ska anges när du delegerar åtkomst till dessa åtgärder.
Åtgärd | Signerad tjänst | Signerad resurstyp | Signerad behörighet |
---|---|---|---|
Hämta kötjänstegenskaper | Kö (q) | Tjänst (s) | Läs (r) |
Ange kötjänstegenskaper | Kö (q) | Tjänst (s) | Skriva (w) |
Lista köer | Kö (q) | Tjänst (s) | Lista (l) |
Hämta kötjänststatistik | Kö (q) | Tjänst (s) | Läs (r) |
Skapa kö | Kö (q) | Container (c) | Skapa(c) eller Skriv (w) |
Ta bort kö | Kö (q) | Container (c) | Ta bort (d) |
Hämta kömetadata | Kö (q) | Container (c) | Läs (r) |
Ange kömetadata | Kö (q) | Container (c) | Skriva (w) |
Lägg till meddelande | Kö (q) | Objekt (o) | Lägg till (a) |
Hämta meddelanden | Kö (q) | Objekt (o) | Process (p) |
Peek meddelanden | Kö (q) | Objekt (o) | Läs (r) |
Ta bort meddelande | Kö (q) | Objekt (o) | Process (p) |
Rensa meddelanden | Kö (q) | Objekt (o) | Ta bort (d) |
Uppdatera meddelande | Kö (q) | Objekt (o) | Uppdatera (u) |
Tabelltjänst
I följande tabell visas tabelltjänståtgärder och anger vilken signerad resurstyp och signerade behörigheter som ska anges när du delegerar åtkomst till dessa åtgärder.
Åtgärd | Signerad tjänst | Signerad resurstyp | Signerad behörighet |
---|---|---|---|
Hämta tabelltjänstegenskaper | Tabell (t) | Tjänst (s) | Läsa (r) |
Ange egenskaper för tabelltjänsten | Tabell (t) | Tjänst (s) | Skriva (w) |
Hämta statistik för tabelltjänst | Tabell (t) | Tjänst (s) | Läsa (r) |
Frågetabeller | Tabell (t) | Container (c) | Lista (l) |
Skapa tabell | Tabell (t) | Container (c) | Skapa (c) eller Skriva (w) |
Ta bort tabell | Tabell (t) | Container (c) | Ta bort (d) |
Fråga entiteter | Tabell (t) | Objekt (o) | Läsa (r) |
Infoga entitet | Tabell (t) | Objekt (o) | Lägg till (a) |
Infoga eller sammanfoga entitet | Tabell (t) | Objekt (o) | Lägg till (a) och uppdatera (u)1 |
Infoga eller ersätt entitet | Tabell (t) | Objekt (o) | Lägg till (a) och uppdatera (u)1 |
Uppdatera entitet | Tabell (t) | Objekt (o) | Uppdatera (u) |
Sammanfoga entitet | Tabell (t) | Objekt (o) | Uppdatera (u) |
Ta bort entitet | Tabell (t) | Objekt (o) | Ta bort (d) |
1 Behörigheterna Lägg till och Uppdatera krävs för upsert-åtgärder i tabelltjänsten.
Filtjänst
I följande tabell visas filtjänståtgärder och anger vilken signerad resurstyp och signerade behörigheter som ska anges när du delegerar åtkomst till dessa åtgärder.
Åtgärd | Signerad tjänst | Signerad resurstyp | Signerad behörighet |
---|---|---|---|
Lista resurser | Fil (f) | Tjänst (s) | Lista (l) |
Hämta filtjänstegenskaper | Fil (f) | Tjänst (s) | Läsa (r) |
Ange egenskaper för filtjänst | Fil (f) | Tjänst (s) | Skriva (w) |
Hämta resursstatistik | Fil (f) | Container (c) | Läsa (r) |
Skapa resurs | Fil (f) | Container (c) | Skapa (c) eller Skriva (w) |
Ögonblicksbildsresurs | Fil (f) | Container (c) | Skapa (c) eller Skriva (w) |
Hämta resursegenskaper | Fil (f) | Container (c) | Läsa (r) |
Ange resursegenskaper | Fil (f) | Container (c) | Skriva (w) |
Hämta resursmetadata | Fil (f) | Container (c) | Läs (r) |
Ange resursmetadata | Fil (f) | Container (c) | Skriva (w) |
Ta bort resurs | Fil (f) | Container (c) | Ta bort (d) |
Lista kataloger och filer | Fil (f) | Container (c) | Lista (l) |
Skapa Directory | Fil (f) | Objekt (o) | Skapa (c) eller Skriv (w) |
Hämta katalogegenskaper | Fil (f) | Objekt (o) | Läs (r) |
Hämta katalogmetadata | Fil (f) | Objekt (o) | Läs (r) |
Ange katalogmetadata | Fil (f) | Objekt (o) | Skriva (w) |
Ta bort katalog | Fil (f) | Objekt (o) | Ta bort (d) |
Skapa -fil (skapa ny) | Fil (f) | Objekt (o) | Skapa (c) eller Skriv (w) |
Skapa -fil (skriv över befintlig) | Fil (f) | Objekt (o) | Skriva (w) |
Hämta fil | Fil (f) | Objekt (o) | Läs (r) |
Hämta filegenskaper | Fil (f) | Objekt (o) | Läs (r) |
Hämta filmetadata | Fil (f) | Objekt (o) | Läs (r) |
Ange filmetadata | Fil (f) | Objekt (o) | Skriva (w) |
Ta bort fil | Fil (f) | Objekt (o) | Ta bort (d) |
Byt namn på fil | Fil (f) | Objekt (o) | Ta bort (d) eller skriv (w) |
Placera intervall | Fil (f) | Objekt (o) | Skriva (w) |
Listintervall | Fil (f) | Objekt (o) | Läs (r) |
Avbryt kopieringsfilen | Fil (f) | Objekt (o) | Skriva (w) |
Kopiera fil | Fil (f) | Objekt (o) | Skriva (w) |
Rensa intervall | Fil (f) | Objekt (o) | Skriva (w) |
Sas-URI-exempel för konto
I följande exempel visas en URI för blobtjänsten med en SAS-token för kontot. Kontots SAS-token ger behörigheter till tjänsten, containern och objekten. Tabellen delar upp varje del av URI:n:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
Name | SAS-del | Description |
---|---|---|
Resurs-URI | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Tjänstslutpunkten med parametrar för att hämta tjänstegenskaper (när den anropas med GET) eller ange tjänstegenskaper (när den anropas med SET). Baserat på värdet för fältet signerade tjänster (ss ) kan denna SAS användas med antingen Blob Storage eller Azure Files. |
Avgränsare | ? |
Avgränsaren som föregår frågesträngen. Avgränsare är inte en del av SAS-token. |
Storage Services-version | sv=2022-11-02 |
För Azure Storage-tjänster version 2012-02-12 och senare anger den här parametern vilken version som ska användas. |
Tjänster | ss=b |
SAS gäller för Blob-tjänsterna. |
Resurstyper | srt=sco |
SAS gäller för åtgärder på servicenivå, containernivå och objektnivå. |
Behörigheter | sp=rwlc |
Behörigheterna ger åtkomst till läs-, skriv-, list- och skapandeåtgärder. |
Starttid | st=2019-08-01T22%3A18%3A26Z |
Anges i UTC-tid. Om du vill att SAS ska vara giltigt omedelbart utelämnar du starttiden. |
Förfallotid | se=2019-08-10T02%3A23%3A26Z |
Anges i UTC-tid. |
Protokoll | spr=https |
Endast begäranden som använder HTTPS är tillåtna. |
Signatur | sig=<signature> |
Används för att auktorisera åtkomst till bloben. Signaturen är en HMAC som beräknas över en sträng-till-signering och -nyckel med hjälp av SHA256-algoritmen och sedan kodas med hjälp av Base64-kodning. |
Eftersom behörigheterna är begränsade till tjänstnivån är tillgängliga åtgärder med den här SAS :en Hämta egenskaper för blobtjänsten (läs) och Ange egenskaper för blobtjänsten (skrivning). Men med en annan resurs-URI kan samma SAS-token också användas för att delegera åtkomst till Hämta blobtjänststatistik (läs).