Delegera åtkomst med hjälp av en signatur för delad åtkomst

En signatur för delad åtkomst (SAS) är en URI som ger begränsad åtkomst till Azure Storage-resurser. Du kan ange en signatur för delad åtkomst till klienter som inte ska vara betrodda med din lagringskontonyckel men som behöver åtkomst till vissa lagringskontoresurser. Genom att distribuera en SAS-URI till dessa klienter kan du ge dem åtkomst till en resurs under en angiven tidsperiod, med en angiven uppsättning behörigheter.

URI-frågeparametrarna som utgör SAS-token innehåller all information som krävs för att ge kontrollerad åtkomst till en lagringsresurs. En klient som har SAS kan göra en begäran mot Azure Storage med bara SAS-URI:n. Informationen i SAS-token används för att auktorisera begäran.

Typer av signaturer för delad åtkomst

Azure Storage stöder följande typer av signaturer för delad åtkomst:

• Ett sas-konto som introducerades med version 2015-04-05. Den här typen av SAS delegerar åtkomst till resurser i en eller flera av lagringstjänsterna. Alla åtgärder som är tillgängliga via en tjänst-SAS är också tillgängliga via ett konto-SAS.

  Med konto-SAS kan du delegera åtkomst till åtgärder som gäller för en tjänst, till exempel Get/Set Service Properties och Get Service Stats. Du kan också delegera åtkomst till läs-, skriv- och borttagningsåtgärder i blobcontainrar, tabeller, köer och filresurser som inte tillåts med en tjänst-SAS.

  Mer information finns i Skapa ett konto-SAS.

• En tjänst-SAS. Den här typen av SAS delegerar åtkomst till en resurs i bara en av lagringstjänsterna: Azure Blob Storage, Azure Queue Storage, Azure Table Storage eller Azure Files. Mer information finns i Skapa sas - och tjänst-SAS-exempel för en tjänst.

• En SAS för användardelegering som introducerades med version 2018-11-09. Den här typen av SAS skyddas med Azure Active Directory-autentiseringsuppgifter. Det stöds endast för Blob Storage och du kan använda det för att bevilja åtkomst till containrar och blobar. Mer information finns i Skapa en SAS för användardelegering.

Dessutom kan en tjänst-SAS referera till en lagrad åtkomstprincip som ger en annan nivå av kontroll över en uppsättning signaturer. Den här kontrollen omfattar möjligheten att ändra eller återkalla åtkomst till resursen om det behövs. Mer information finns i Definiera en lagrad åtkomstprincip.

Anteckning

Lagrade åtkomstprinciper stöds för närvarande inte för ett konto-SAS eller en SAS för användardelegering.

Se även

• Bevilja begränsad åtkomst till Azure Storage-resurser med hjälp av signaturer för delad åtkomst