Kullanıcı temsilcisi SAS’ı oluşturma

  • Makale

Microsoft Entra kimlik bilgilerini veya hesap anahtarını kullanarak kapsayıcıya, dizine veya bloba erişim için paylaşılan erişim imzası (SAS) belirtecinin güvenliğini sağlayabilirsiniz. Microsoft Entra kimlik bilgileriyle güvenliği sağlanan sas, kullanıcı temsilcisi SAS olarak adlandırılır. En iyi güvenlik uygulaması olarak, mümkün olduğunda daha kolay ele geçirilebilen hesap anahtarı yerine Microsoft Entra kimlik bilgilerini kullanmanızı öneririz. Uygulama tasarımınız paylaşılan erişim imzaları gerektirdiğinde, daha iyi güvenlik sağlamaya yardımcı olmak üzere kullanıcı temsilcisi SAS'sini oluşturmak için Microsoft Entra kimlik bilgilerini kullanın.

Her SAS bir anahtarla imzalanır. Kullanıcı temsilcisi SAS'sini oluşturmak için, önce SAS'yi imzalamak için kullandığınız bir kullanıcı temsilcisi anahtarı istemeniz gerekir. Kullanıcı temsilcisi anahtarı, hizmet SAS'sini veya hesap SAS'sini imzalamak için kullanılan hesap anahtarına benzer, ancak Microsoft Entra kimlik bilgilerinize dayanır. Kullanıcı temsilcisi anahtarını istemek için Kullanıcı Temsilcisi Anahtarını Al işlemini çağırın. Ardından SAS'yi oluşturmak için kullanıcı temsilcisi anahtarını kullanabilirsiniz.

Azure Blob Depolama ve Azure Data Lake Storage 2. Nesil için kullanıcı temsilcisi SAS desteklenir. Kullanıcı temsilcisi SAS'sinde depolanan erişim ilkeleri desteklenmez.

Dikkat

Paylaşılan erişim imzaları, depolama kaynaklarına izin veren anahtarlardır ve bunları bir hesap anahtarını koruduğu gibi korumanız gerekir. SAS'yi kötü amaçlı veya istenmeyen kullanıma karşı korumak önemlidir. SAS dağıtırken takdire bağlılığı kullanın ve güvenliği aşılmış SAS'yi iptal etmek için bir planınız var. Paylaşılan erişim imzalarını kullanan işlemler yalnızca BIR HTTPS bağlantısı üzerinden gerçekleştirilmelidir ve paylaşılan erişim imzası URI'leri yalnızca HTTPS gibi güvenli bir bağlantıda dağıtılmalıdır.

Sas güvenliğini sağlamak için hesap anahtarınızı kullanma hakkında bilgi için bkz. Hizmet SAS'ı oluşturma ve Hesap SAS'ı oluşturma.

Dizin kapsamlı erişim için kullanıcı temsilcisi SAS desteği

Yetkilendirme sürümüsv (sr=d) 2020-02-10 veya üzeri olduğunda ve hiyerarşik ad alanı (HNS) etkinleştirildiğinde, kullanıcı temsilcisi SAS dizin kapsamını () destekler. Dizin kapsamı () semantiği kapsayıcı kapsamına ()sr=dsr=c benzer, ancak erişim bir dizinle ve içindeki tüm dosya ve alt dizinlerle sınırlıdır. Belirtildiğinde sr=dsdd sorgu parametresi de gereklidir.

Yetkilendirme sürümü 2020-02-10 için imzaya dize biçimi değişmemiştir.

Kullanıcı OID için kullanıcı temsilcisi SAS desteği

Kullanıcı temsilcisi SAS'si, yetkilendirme sürümü () 2020-02-10 veya üzeri olduğunda veya suoid parametresinde saoid taşınan isteğe bağlı bir kullanıcı nesnesi tanımlayıcısını (svOID) destekler. Bu isteğe bağlı parametre Hadoop ve Spark gibi çok kullanıcılı küme iş yükleri için gelişmiş bir yetkilendirme modeli sağlar.

SAS belirteçleri belirli bir dosya sistemi işlemiyle ve kullanıcıyla kısıtlanabilir ve bu da çok kullanıcılı bir kümeye dağıtılması daha güvenli olan daha az savunmasız bir erişim belirteci sağlar. Bu özelliklerin kullanım örneklerinden biri, Hadoop ABFS sürücüsünün Apache Ranger ile tümleştirilmesidir.

Kullanıcı temsilcisi SAS'sini yetkilendirme

İstemci, kullanıcı temsilcisi SAS'si olan bir Blob Depolama kaynağına eriştiğinde, Azure Depolama isteği SAS oluşturmak için kullanılan Microsoft Entra kimlik bilgileriyle yetkilendirilmiştir. Bu Microsoft Entra hesabı için verilen rol tabanlı erişim denetimi (RBAC) izinleri, SAS üzerinde açıkça verilen izinlerle birlikte istemcinin kaynağa erişimini belirler. Bu yaklaşım ek bir güvenlik düzeyi sağlar ve uygulama kodunuzla hesap erişim anahtarınızı depolamaktan kaçınmanıza yardımcı olur. Bu nedenlerden dolayı, Microsoft Entra kimlik bilgilerini kullanarak SAS oluşturmak en iyi güvenlik uygulamasıdır.

SAS'ye sahip bir istemciye verilen izinler, kullanıcı temsilcisi anahtarını isteyen güvenlik sorumlusuna verilen izinlerin ve (sp) alanı kullanılarak signedPermissions SAS belirtecinde kaynağa verilen izinlerin kesişimidir. Güvenlik sorumlusuna RBAC aracılığıyla verilen bir izin SAS belirtecinde de verilmemişse, bu izin kaynağa erişmek için SAS'yi kullanmaya çalışan istemciye verilmez. Kullanıcı temsilcisi SAS oluştururken, RBAC aracılığıyla verilen izinlerin ve SAS belirteci aracılığıyla verilen izinlerin her ikisinin de istemcinin gerektirdiği erişim düzeyine uygun olduğundan emin olun.

Kullanıcı temsilcisi SAS'ı oluşturmak için aşağıdakileri yapın:

  1. Kullanıcı temsilcisi anahtarını isteyen güvenlik sorumlusuna istenen izinleri vermek için RBAC kullanın.
  2. Microsoft Entra ID'dan OAuth 2.0 belirteci alın.
  3. Kullanıcı Temsilcisi Anahtarını Al işlemini çağırarak kullanıcı temsilcisi anahtarını istemek için belirteci kullanın.
  4. SAS belirtecini uygun alanlarla oluşturmak için kullanıcı temsilcisi anahtarını kullanın.

RBAC ile izin atama

Kullanıcı temsilcisi anahtarını isteyen güvenlik sorumlusunun bunu yapmak için uygun izinlere sahip olması gerekir. Microsoft Entra ID güvenlik sorumlusu kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik olabilir.

Kullanıcı temsilcisi anahtarını istemek için bir güvenlik sorumlusuna Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey eylemini atamanız gerekir. Aşağıdaki yerleşik RBAC rolleri, açıkça veya joker karakter tanımının bir parçası olarak Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey eylemini içerir:

Kullanıcı Temsilcisi Anahtarını Al işlemi depolama hesabı düzeyinde çalıştığından, Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey eyleminin kapsamı depolama hesabı, kaynak grubu veya abonelik düzeyinde yapılmalıdır. Güvenlik sorumlusuna daha önce listelenen yerleşik rollerden veya Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey eylemini içeren özel rollerden herhangi birine depolama hesabı, kaynak grubu veya abonelik düzeyinde atanmışsa, güvenlik sorumlusu kullanıcı temsilci anahtarını isteyebilir.

Güvenlik sorumlusuna veri erişimine izin veren bir rol atanmışsa ancak kapsamı kapsayıcı düzeyine göre belirlenmişse, depolama hesabı, kaynak grubu veya abonelik düzeyinde güvenlik sorumlusuna Depolama Blobu Tanımlayıcısı rolünü de atayabilirsiniz. Depolama Blobu Temsilcisi rolü, güvenlik sorumlusuna kullanıcı temsilcisi anahtarı istemek için izinler verir.

Azure Depolama için RBAC rolleri hakkında daha fazla bilgi için bkz. Azure Active Directory ile yetkilendirme.

OAuth 2.0 belirteci alma

Kullanıcı temsilcisi anahtarını almak için önce Microsoft Entra ID'dan bir OAuth 2.0 belirteci isteyin. Kullanıcı Temsilcisi Anahtarını Al işlemine çağrıyı yetkilendirmek için belirteci Taşıyıcı düzeniyle sağlayın. Microsoft Entra ID'dan OAuth belirteci isteme hakkında daha fazla bilgi için bkz. Kimlik doğrulama akışları ve uygulama senaryoları.

Kullanıcı temsilcisi anahtarını isteme

Kullanıcı Temsilcisi Anahtarını Al işlemi çağrısı, anahtarı kullanıcı temsilcisi SAS belirtecinde parametre olarak kullanılan bir değer kümesi olarak döndürür. Bu parametreler Kullanıcı Temsilcisi Anahtarı Alma başvurusunda ve sonraki bölümde "Kullanıcı temsilcisi SAS'si oluşturma" bölümünde açıklanmıştır.

bir istemci OAuth 2.0 belirteci kullanarak bir kullanıcı temsilcisi anahtarı istediğinde, Azure Depolama güvenlik sorumlusu adına kullanıcı temsilcisi anahtarını döndürür. Kullanıcı temsilcisi anahtarıyla oluşturulan SAS'ye güvenlik sorumlusuna verilmiş izinler verilir.

Kullanıcı temsilci anahtarına sahip olduktan sonra, anahtarın kullanım ömrü boyunca herhangi bir sayıda kullanıcı temsilcisi paylaşılan erişim imzası oluşturmak için bu anahtarı kullanabilirsiniz. Kullanıcı temsilcisi anahtarı, almak için kullandığınız OAuth 2.0 belirtecinin bağımsız olduğundan, anahtar geçerli olduğu sürece belirtecin yenilenmesi gerekmez. Anahtarın yedi güne kadar geçerli olduğunu belirtebilirsiniz.

Kullanıcı temsilcisi SAS'si oluşturma

Aşağıdaki tabloda, kullanıcı temsilcisi SAS belirteci için desteklenen alanlar özetlenmektedir. Sonraki bölümlerde bu parametrelerin nasıl belirtileceğini gösteren ek ayrıntılar sağlanır.

SAS alan adı SAS belirteci parametresi Gerekli veya isteğe bağlı Sürüm desteği Açıklama
signedVersion sv Gerekli 2018-11-09 ve üzeri İmza alanını oluşturmak için kullanılan hizmetin sürümünü gösterir. Ayrıca bu SAS ile yapılan istekleri işleyen hizmet sürümünü belirtir.
signedResource sr Gerekli Tümü Paylaşılan erişim imzası aracılığıyla hangi blob kaynaklarının erişilebilir olduğunu belirtir.
signedStart st İsteğe Bağlı Tümü İsteğe bağlı. Paylaşılan erişim imzasının geçerli olduğu zaman, kabul edilen ISO 8601 UTC biçimlerinden birinde ifade edilir. Bu değer atlanırsa, başlangıç saati olarak geçerli UTC saati kullanılır. Kabul edilen UTC biçimleri hakkında daha fazla bilgi için bkz. DateTime değerlerini biçimlendirme.
signedExpiry se Gerekli Tümü Paylaşılan erişim imzası geçersiz hale geldiğinde, kabul edilen ISO 8601 UTC biçimlerinden birinde ifade edilir. Kabul edilen UTC biçimleri hakkında daha fazla bilgi için bkz. DateTime değerlerini biçimlendirme.
signedPermissions sp Gerekli Tümü SAS'ye sahip bir istemcinin kaynakta gerçekleştirebileceği işlemleri gösterir. İzinler birleştirilebilir.
signedIp sip İsteğe Bağlı 2015-04-05 ve üzeri İsteklerin kabul edildiği bir IP adresi veya kapsamlı bir IP adresi aralığı belirtir. Bir aralık belirttiğinizde aralığın kapsayıcı olduğunu unutmayın. Yalnızca IPv4 adresleri desteklenir.

Örneğin sip=168.1.5.65 veya sip=168.1.5.60-168.1.5.70 olabilir.
signedProtocol spr İsteğe Bağlı 2015-04-05 ve üzeri SAS ile yapılan istek için izin verilen protokolü belirtir. SAS belirteciyle yapılan isteklerin HTTPS kullanmasını gerektirmek için bu alanı ekleyin.
signedObjectId skoid Gerekli 2018-11-09 ve üzeri bir Microsoft Entra güvenlik sorumlusu tanımlar.
signedTenantId sktid Gerekli 2018-11-09 ve üzeri Güvenlik sorumlusunun tanımlandığı Microsoft Entra kiracısını belirtir.
signedKeyStartTime skt İsteğe bağlı. 2018-11-09 ve üzeri Değer, Kullanıcı Temsilcisi Anahtarını Al işlemi tarafından döndürülür. Kabul edilen ISO 8601 UTC biçimlerinden birinde ifade edilen kullanıcı temsilcisi anahtarının ömrünün başlangıcını gösterir. Değer atlanırsa geçerli saat varsayılır. Kabul edilen UTC biçimleri hakkında daha fazla bilgi için bkz. DateTime değerlerini biçimlendirme.
signedKeyExpiryTime ske Gerekli 2018-11-09 ve üzeri Değer, Kullanıcı Temsilcisi Anahtarını Al işlemi tarafından döndürülür. Kabul edilen ISO 8601 UTC biçimlerinden birinde ifade edilen kullanıcı temsilcisi anahtarının kullanım ömrünün sonunu gösterir. Kabul edilen UTC biçimleri hakkında daha fazla bilgi için bkz. DateTime değerlerini biçimlendirme.
signedKeyVersion skv Gerekli 2018-11-09 ve üzeri Değer, Kullanıcı Temsilcisi Anahtarını Al işlemi tarafından döndürülür. Kullanıcı temsilci anahtarını almak için kullanılan depolama hizmeti sürümünü belirtir. Bu alan 2018-11-09 veya sonraki bir sürümü belirtmelidir.
signedKeyService sks Gerekli 2018-11-09 ve üzeri Kullanıcı temsilcisi anahtarının geçerli olduğu hizmeti gösterir. Şu anda yalnızca Blob Depolama desteklenmektedir.
signedAuthorizedObjectId saoid İsteğe Bağlı 2020-02-10 ve üzeri SAS belirteci tarafından verilen eylemi gerçekleştirmek için kullanıcı temsilcisi anahtarının sahibi tarafından yetkilendirilmiş bir Microsoft Entra güvenlik sorumlusunun nesne kimliğini belirtir. Taşınabilir İşletim Sistemi Arabirimi (POSIX) erişim denetim listelerinde (ACL' ler) ek izin denetimi yapılmaz.
signedUnauthorizedObjectId suoid İsteğe Bağlı 2020-02-10 ve üzeri Hiyerarşik ad alanı etkinleştirildiğinde Microsoft Entra güvenlik sorumlusunun nesne kimliğini belirtir. Azure Depolama, işlemi yetkilendirmeden önce nesne kimliği üzerinde bir POSIX ACL denetimi gerçekleştirir.
signedCorrelationId scid İsteğe Bağlı 2020-02-10 ve üzeri Depolama denetim günlüklerini, SAS'yi oluşturan ve dağıtan sorumlu tarafından kullanılan denetim günlükleriyle ilişkilendirin.
signedDirectoryDepth sdd Gerekli olduğunda sr=d 2020-02-10 ve üzeri Dizeden imzaya alanında belirtilen dizinin kök klasöründeki canonicalizedResource dizin sayısını gösterir.
signedEncryptionScope ses İsteğe Bağlı 2020-12-06 ve üzeri İstek içeriğini şifrelemek için kullanılacak şifreleme kapsamını gösterir.
signature sig Gerekli Tümü İmza, SHA256 algoritması kullanılarak imzaya dize ve anahtar üzerinden hesaplanan ve ardından Base64 kodlaması kullanılarak kodlanan karma tabanlı bir ileti kimlik doğrulama kodudur (HMAC).
Cache-Control yanıt üst bilgisi rscc İsteğe Bağlı 2013-08-15 ve üzeri Azure Depolama yanıt üst bilgisini SAS belirtecinde belirtilen değere ayarlar Cache-Control .
Content-Disposition yanıt üst bilgisi rscd İsteğe Bağlı 2013-08-15 ve üzeri Azure Depolama yanıt üst bilgisini SAS belirtecinde belirtilen değere ayarlar Content-Disposition .
Content-Encoding yanıt üst bilgisi rsce İsteğe Bağlı 2013-08-15 ve üzeri Azure Depolama yanıt üst bilgisini SAS belirtecinde belirtilen değere ayarlar Content-Encoding .
Content-Language yanıt üst bilgisi rscl İsteğe Bağlı 2013-08-15 ve üzeri Azure Depolama yanıt üst bilgisini SAS belirtecinde belirtilen değere ayarlar Content-Language .
Content-Type yanıt üst bilgisi rsct İsteğe Bağlı 2013-08-15 ve üzeri Azure Depolama yanıt üst bilgisini SAS belirtecinde belirtilen değere ayarlar Content-Type .

İmzalı sürüm alanını belirtin

Gerekli signedVersion (sv) alanı, paylaşılan erişim imzası için hizmet sürümünü belirtir. Bu değer, alanı oluşturmak signature için kullanılan hizmetin sürümünü ve bu paylaşılan erişim imzası ile yapılan bir isteği işleyen hizmet sürümünü belirtir. Alanın değeri sv 2018-11-09 veya sonraki bir sürüm olmalıdır.

İmzalı kaynak alanını belirtme

Gerekli signedResource (sr) alanı, paylaşılan erişim imzası aracılığıyla erişilebilen kaynakları belirtir. Aşağıdaki tabloda SAS belirtecindeki bir blob, kapsayıcı veya dizin kaynağına nasıl başvuracakları açıklanmaktadır:

Kaynak Parametre değeri Desteklenen sürümler Description
Blob b Tümü Blobun içeriğine ve meta verilerine erişim verir.
Blob sürümü Bv 2018-11-09 ve üzeri Blob sürümünün içeriğine ve meta verilerine erişim verir, ancak temel bloba erişim vermez.
Blob anlık görüntüsü Bs 2018-11-09 ve üzeri Blob anlık görüntüsünün içeriğine ve meta verilerine erişim verir, ancak temel bloba erişim vermez.
Kapsayıcı c Tümü Kapsayıcıdaki herhangi bir blobun içeriğine ve meta verilerine ve kapsayıcıdaki blobların listesine erişim verir.
Directory d 2020-02-10 ve üzeri Hiyerarşik ad alanı etkinleştirilmiş bir depolama hesabında dizindeki herhangi bir blobun içeriğine ve meta verilerine ve dizindeki blobların listesine erişim verir. Alan için signedResource bir dizin belirtilirse (signedDirectoryDepthsdd) parametresi de gereklidir. Dizin her zaman bir kapsayıcının içindedir.

İmza geçerlilik süresini belirtin

signedStart (st) ve signedExpiry (se) alanları SAS için başlangıç ve son kullanma sürelerini belirtir. signedExpiry alanı gereklidir. signedStart alanı isteğe bağlıdır. Atlanırsa başlangıç saati olarak geçerli UTC saati kullanılır.

Kullanıcı temsilcisi SAS'sinde SAS'nin başlangıç ve son kullanma süreleri, kullanıcı temsilcisi anahtarı için tanımlanan aralık içinde olmalıdır. Kullanıcı temsilcisi anahtarının süresi dolduktan sonra bir istemci SAS kullanmayı denerse, SAS'nin kendisi hala geçerli olup olmadığına bakılmaksızın SAS bir yetkilendirme hatasıyla başarısız olur.

Kabul edilen UTC biçimleri hakkında daha fazla bilgi için bkz. DateTime değerlerini biçimlendirme.

İzinleri belirtme

SAS belirtecinde signedPermissions (sp) alanı için belirtilen izinler, SAS'ye sahip bir istemcinin kaynakta hangi işlemleri gerçekleştirebileceğini gösterir.

bir istemcinin aynı SAS ile birden çok işlem gerçekleştirmesine izin vermek için izinler birleştirilebilir. SAS'yi oluştururken, izinleri aşağıdaki sırayla eklemeniz gerekir:

racwdxltmeop

Kapsayıcı için geçerli izin ayarlarına örnek olarak rw, rd, rl, wd, wlve rlverilebilir. Geçersiz ayarlara örnek olarak wr, dr, lrve dwverilebilir. İzin belirtmeye birden çok kez izin verilmez.

Kullanıcı temsilcisi SAS'ı belirli işlemlere erişim izni veremiyor:

  • Kapsayıcılar oluşturulamaz, silinemez veya listelenemez.
  • Kapsayıcı meta verileri ve özellikleri okunamaz veya yazılamaz.
  • Kapsayıcılar kiralanamaz.

Bu işlemlere erişim veren bir SAS oluşturmak için bir hesap SAS'si kullanın. Daha fazla bilgi için bkz. Hesap SAS'ı oluşturma.

Her kaynak türü için desteklenen izinler aşağıdaki tabloda açıklanmıştır:

İzin URI simgesi Kaynak Sürüm desteği İzin verilen işlemler
Read r Kapsayıcı
Directory
Blob		 Tümü Kapsayıcıdaki veya dizindeki herhangi bir blobun içeriğini, blok listesini, özelliklerini ve meta verilerini okuyun. Kopyalama işleminin kaynağı olarak blob kullanın.
Ekle a Kapsayıcı
Directory
Blob		 Tümü Ekleme blob'una blok ekleyin.
Oluştur c Kapsayıcı
Directory
Blob		 Tümü Yeni blob yazma, blob anlık görüntüsü alma veya blobu yeni bir bloba kopyalama.
Write w Kapsayıcı
Directory
Blob		 Tümü İçerik, özellik, meta veri veya blok listesi oluşturun veya yazın. Blobu anlık görüntüye alma veya kiralama. Blobu yeniden boyutlandırın (yalnızca sayfa blobu). Blobu kopyalama işleminin hedefi olarak kullanın.
Sil d Kapsayıcı
Directory
Blob		 Tümü Blobu silme. 2017-07-29 ve sonraki sürümler için, Silme izni blobda kirayı bozmaya da olanak tanır. Daha fazla bilgi için bkz . Kira Blobu işlemi.
Sürümü sil x Kapsayıcı
Blob		 2019-12-12 ve üzeri Blob sürümünü silme.
Kalıcı Silme y Blob 2020-02-10 ve üzeri Blob anlık görüntüsünü veya sürümünü kalıcı olarak silin.
Liste l Kapsayıcı
Directory		 Tümü Blobları yinelemeli olmayan şekilde listeleyin.
Etiketler t Blob 2019-12-12 ve üzeri Blobdaki etiketleri okuyun veya yazın.
Move m Kapsayıcı
Directory
Blob		 2020-02-10 ve üzeri Blobu veya dizini ve içeriğini yeni bir konuma taşıyın. Parametre SAS belirtecine eklendiğinde ve yapışkan bit üst dizinde ayarlandıysa saoid , bu işlem isteğe bağlı olarak alt blob, dizin veya üst dizinin sahibiyle sınırlandırılabilir.
Yürütme e Kapsayıcı
Directory
Blob		 2020-02-10 ve üzeri Sistem özelliklerini alın ve depolama hesabı için hiyerarşik ad alanı etkinleştirildiyse bir blobun POSIX ACL'sini alın. Hiyerarşik ad alanı etkinse ve çağıran bir blobun sahibiyse, bu izin blobun sahip olan grubunu, POSIX izinlerini ve POSIX ACL'sini ayarlama olanağı verir. Çağıranın kullanıcı tanımlı meta verileri okumasına izin vermez.
Sahiplik o Kapsayıcı
Directory
Blob		 2020-02-10 ve üzeri Hiyerarşik ad alanı etkinleştirildiğinde, bu izin çağıranın sahibini veya sahibini ayarlamasını ya da çağıran, yapışkan biti ayarlanmış bir dizin içindeki bir dizini veya blobu yeniden adlandırdığında veya sildiğinde sahip olarak davranmasını sağlar.
İzinler p Kapsayıcı
Directory
Blob		 2020-02-10 ve üzeri Hiyerarşik ad alanı etkinleştirildiğinde, bu izin çağıranın dizinler ve bloblar üzerinde izinleri ve POSIX ACL'lerini ayarlamasına olanak tanır.
Değişmezlik İlkesini Ayarla ı Kapsayıcı
Blob		 2020-06-12 ve üzeri Blob üzerinde değişmezlik ilkesini veya yasal saklamayı ayarlayın veya silin.

IP adresi veya IP aralığı belirtme

İsteğe bağlı signedIp (sip) alanı, istekleri kabul etmek için bir genel IP adresi veya genel IP adresi aralığı belirtir. İsteğin kaynaklandığı IP adresi SAS belirtecinde belirtilen IP adresi veya adres aralığıyla eşleşmiyorsa istek yetkilendirilmedi. Yalnızca IPv4 adresleri desteklenir.

Bir IP adresi aralığı belirttiğinizde, aralık dahil edilir. Örneğin, SAS üzerinde veya sip=168.1.5.60-168.1.5.70 belirtilmesi sip=168.1.5.65 isteği bu IP adresleriyle kısıtlar.

Aşağıdaki tabloda, istemci ortamına ve depolama hesabının konumuna signedIp bağlı olarak belirli bir senaryo için sas belirtecine alanının eklenip eklenmeyeceği açıklanmaktadır.

İstemci ortamı Depolama hesabı konumu Öneri
Azure'da çalışan istemci İstemciyle aynı bölgede Bu senaryoda istemciye sağlanan sas alanı için signedIp bir giden IP adresi içermemelidir. Belirtilen giden IP adresine sahip bir SAS kullanarak aynı bölgeden yaptığınız istekler başarısız olur.

Bunun yerine, ağ güvenlik kısıtlamalarını yönetmek için bir Azure sanal ağı kullanın. Aynı bölgenin içinden Azure Depolama'ya yönelik istekler her zaman özel bir IP adresi üzerinden gerçekleşir. Daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma.
Azure'da çalışan istemci İstemciden farklı bir bölgede Bu senaryoda istemciye sağlanan sas alanı için signedIp genel IP adresi veya adres aralığı içerebilir. SAS ile yaptığınız istekler belirtilen IP adresinden veya adres aralığından kaynaklanmalıdır.
Şirket içinde veya farklı bir bulut ortamında çalışan istemci Herhangi bir Azure bölgesinde Bu senaryoda istemciye sağlanan sas alanı için signedIp genel IP adresi veya adres aralığı içerebilir. SAS ile yaptığınız istekler belirtilen IP adresinden veya adres aralığından kaynaklanmalıdır.

İstek bir ara sunucu veya ağ geçidinden geçerse, alan için signedIp bu ara sunucu veya ağ geçidinin genel giden IP adresini sağlayın.

HTTP protokolunu belirtme

İsteğe bağlı signedProtocol (spr) alanı, SAS ile yapılan istekler için izin verilen protokolü belirtir. Olası değerler hem HTTPS hem de HTTP (https,http) veya yalnızca HTTPS 'dir (https). https,http varsayılan değerdir.

Not

Alan için spr HTTP belirtmek mümkün değildir.

İmzalı nesne kimliğini belirtme

(signedObjectIdskoid) alanı, kullanıcı temsilcisi SAS'sı için gereklidir. Get User Delegation Key işlemi yanıtın bir parçası olarak bu değeri döndürür. İmzalı nesne kimliği, Microsoft kimlik platformu bir güvenlik sorumlusu için sabit tanımlayıcıya hizmet eden bir GUID değeridir.

İmzalı kiracı kimliğini belirtme

(signedTenantIdsktid) alanı, kullanıcı temsilcisi SAS'sı için gereklidir. Get User Delegation Key işlemi yanıtın bir parçası olarak bu değeri döndürür. İmzalı kiracı kimliği, bir güvenlik sorumlusunun tanımlandığı Microsoft Entra kiracıyı temsil eden bir GUID değeridir.

İmzalı anahtar başlangıç saatini belirtme

İsteğe bağlı signedKeyStartTime (skt) alanı, iso tarih biçiminde kullanıcı temsilcisi anahtarının kullanım ömrünün başlangıcını gösterir. Get User Delegation Key işlemi yanıtın bir parçası olarak bu değeri döndürür. Başlangıç saati atlanırsa, imzalı anahtar başlangıç saatinin geçerli saat olduğu varsayılır.

İmzalı anahtarın sona erme süresini belirtin

signedKeyExpiryTime (ske) alanı, ISO Tarih biçiminde bir kullanıcı temsilcisi SAS için gereklidir. Get User Delegation Key işlemi yanıtın bir parçası olarak bu değeri döndürür. İmzalı anahtar süre sonu, kullanıcı temsilcisi anahtarının kullanım ömrünün sonunu gösterir. Son kullanma süresinin değeri SAS'nin başlangıç saatinden itibaren en fazla yedi gün olabilir.

İmzalı anahtar hizmetini belirtme

(signedKeyServicesks) alanı, kullanıcı temsilcisi SAS'sı için gereklidir. Get User Delegation Key işlemi yanıtın bir parçası olarak bu değeri döndürür. İmzalı anahtar hizmet alanı, kullanıcı temsilcisi anahtarının geçerli olduğu hizmeti gösterir. Blob Depolama için imzalı anahtar hizmeti alanının değeri şeklindedir b.

İmzalı anahtar sürümünü belirtme

(signedkeyversionskv) alanı, kullanıcı temsilcisi SAS'sı için gereklidir. Get User Delegation Key işlemi yanıtın bir parçası olarak bu değeri döndürür. alanı, signedkeyversion kullanıcı temsilci anahtarını almak için kullanılan depolama hizmeti sürümünü belirtir. Bu alan 2018-11-09 veya sonraki bir sürümü belirtmelidir.

Güvenlik sorumlusu için imzalı nesne kimliği belirtme

İsteğe bağlı signedAuthorizedObjectId (saoid) ve signedUnauthorizedObjectId (suoid) alanları, Azure Data Lake Storage 2. Nesil iş yükleri için Apache Hadoop ve Apache Ranger ile tümleştirmeyi etkinleştirir. Güvenlik sorumlusunun nesne kimliğini belirtmek için SAS belirtecinde şu alanlardan birini kullanın:

  • alanı, saoid SAS belirteci tarafından verilen eylemi gerçekleştirmek için kullanıcı temsilcisi anahtarının sahibi tarafından yetkilendirilmiş Microsoft Entra güvenlik sorumlusunun nesne kimliğini belirtir. Azure Depolama SAS belirtecini doğrular ve Azure Depolama erişim vermeden önce kullanıcı temsilcisi anahtarının sahibinin gerekli izinlere sahip olmasını sağlar. POSIX ACL'lerinde ek izin denetimi yapılmaz.
  • Alanı, suoid depolama hesabı için hiyerarşik ad alanı etkinleştirildiğinde Microsoft Entra güvenlik sorumlusunun nesne kimliğini belirtir. bu suoid alan yalnızca hiyerarşik ad alanına sahip hesaplar için geçerlidir. Alan SAS belirtecine suoid eklendiğinde, Azure Depolama işlemi yetkilendirmeden önce nesne kimliği üzerinde bir POSIX ACL denetimi gerçekleştirir. Bu ACL denetimi başarılı olmazsa işlem başarısız olur. Alan SAS belirtecinde yer alıyorsa suoid depolama hesabı için hiyerarşik ad alanı etkinleştirilmelidir. Aksi takdirde, izin denetimi bir yetkilendirme hatasıyla başarısız olur.

Kullanıcı temsilcisi anahtarını isteyen güvenlik sorumlusunun nesne kimliği gerekli skoid alanda yakalanır. SAS belirtecinde veya alanıyla saoid bir nesne kimliği belirtmek için, alanda tanımlanan güvenlik sorumlusuna skoidMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action veya Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action içeren bir RBAC rolü atanmalıdır.suoid Bu eylemler hakkında daha fazla bilgi için bkz. Azure kaynak sağlayıcısı işlemleri.

veya suoid alanında nesne kimliğini saoid belirterek, dizin veya blob sahipliğiyle ilgili işlemleri de aşağıdaki yollarla kısıtlarsınız:

  • Bir işlem bir dizin veya blob oluşturursa, Azure Depolama dizin veya blobun sahibini nesne kimliği tarafından belirtilen değere ayarlar. Nesne kimliği belirtilmezse Azure Depolama, dizinin veya blobun sahibini parametresi tarafından belirtilen değere skoid ayarlar.
  • Yapışkan bit üst dizinde ayarlanırsa ve işlem bir dizini veya blobu siler veya yeniden adlandırırsa, üst dizinin sahibinin veya kaynağın sahibinin nesne kimliği, nesne kimliği tarafından belirtilen değerle eşleşmelidir.
  • Bir işlem bir dizin veya blob için sahibi ayarlarsa ve x-ms-owner üst bilgi belirtilirse, nesne kimliği tarafından belirtilen değer üst bilgi tarafından belirtilen değerle x-ms-owner eşleşmelidir.
  • Bir işlem bir dizin veya blob için grubu ayarlarsa ve x-ms-group üst bilgi belirtilirse, nesne kimliği tarafından belirtilen değer üst bilgi tarafından x-ms-group belirtilen grubun bir üyesi olmalıdır.
  • Bir işlem bir dizin veya blob için izinleri veya ACL'yi ayarlarsa, aşağıdaki iki koşuldan biri de karşılanmalıdır:
    • Nesne kimliği için belirtilen değer, dizinin veya blobun sahibi olmalıdır.
    • (sp) alanının değeri signedPermissions , () iznine Ownership ek olarak (op) iznini Permissions içermelidir.

SAS belirtecini saoid kullanarak istekte bulunurken veya suoid alanında belirtilen nesne kimliği tanılama günlüklerine eklenir.

saoid Veya suoid alanı yalnızca signedVersion (sv) alanı 2020-02-10 veya sonraki bir sürüme ayarlandığında desteklenir. SAS belirtecinde bu alanlardan yalnızca biri eklenebilir.

Bağıntı kimliği belirtme

signedCorrelationId (scid) alanı, depolama denetim günlüklerini SAS'yi oluşturan ve dağıtan sorumlu tarafından kullanılan denetim günlükleriyle ilişkilendirmek için kullanılabilecek bir bağıntı kimliği belirtir. Örneğin, güvenilen yetkilendirme hizmeti normalde kullanıcıların kimliğini doğrulayan ve kullanıcıları yetkilendiren, SAS oluşturan, yerel denetim günlüğüne bir giriş ekleyen ve SAS'yi bir kullanıcıya döndüren ve daha sonra SAS'yi kullanarak Azure Depolama kaynaklarına erişebilen bir yönetilen kimliğe sahiptir. Hem yerel denetim günlüğüne hem de depolama denetim günlüğüne bir bağıntı kimliği ekleyerek, bu olayların daha sonra ilişkilendirilmesine izin verirsiniz. Değer, küme ayraçları olmayan ve küçük harf karakterler içeren bir GUID değeridir.

Bu alan 2020-02-10 ve sonraki sürümlerde desteklenir.

Dizin derinliğini belirtin

signedResource Alanı bir dizin ()sr=d belirtiyorsa, kök dizin altındaki alt dizin sayısını belirtmek için (sdd) alanını da belirtmeniz signedDirectoryDepth gerekir. Alanın değeri sdd negatif olmayan bir tamsayı olmalıdır.

Örneğin, kök dizinin https://{account}.blob.core.windows.net/{container}/ derinliği 0'dır. Kök dizindeki her alt dizin, derinliğe 1 ekler. Dizinin https://{account}.blob.core.windows.net/{container}/d1/d2 derinliği 2'dir.

Bu alan 2020-02-10 ve sonraki sürümlerde desteklenir.

Yanıt üst bilgilerini geçersiz kılmak için sorgu parametrelerini belirtme

Bir istekte paylaşılan erişim imzası kullanıldığında döndürülecek belirli yanıt üst bilgilerinin değerlerini tanımlamak için, sorgu parametrelerinde yanıt üst bilgilerini belirtebilirsiniz. Yanıt üst bilgileri ve karşılık gelen sorgu parametreleri aşağıdaki gibidir:

Yanıt üst bilgisi adı Karşılık gelen SAS sorgu parametresi
Cache-Control rscc
Content-Disposition rscd
Content-Encoding rsce
Content-Language rscl
Content-Type rsct

Örneğin, sas belirtecinde rsct=binary sorgu parametresini belirtirseniz, Content-Type yanıt üst bilgisi olarak binaryayarlanır. Bu değer, yalnızca bu paylaşılan erişim imzasını Content-Type kullanan bir istek için blob için depolanan üst bilgi değerini geçersiz kılar.

Yanıt üst bilgilerini sorgu parametreleri olarak belirten bir paylaşılan erişim imzası oluşturursanız, imza dizesini oluşturmak için kullanılan imza dizesine bu yanıt üst bilgilerini eklemeniz gerekir. Daha fazla bilgi için "İmzayı belirtin" bölümüne bakın.

Şifreleme kapsamını belirtme

(ses) alanı, signed encryption scopeBlob Koy işlemi aracılığıyla SAS belirtecini kullanarak blobları karşıya yüklediğinizde istemci uygulamasının kullandığı bir şifreleme kapsamını belirtir. signed encryption scope SAS belirtecinde imzalı sürüm (sv) alanı 2020-12-06 veya sonraki bir sürüm olduğunda bu alan desteklenir. İmzalı sürüm alanı desteklenen sürümden önceki bir sürümü belirtiyorsa, hizmet hata yanıt kodu 403 (Yasak) döndürür.

Kapsayıcı veya dosya sistemi için varsayılan şifreleme kapsamı ayarlandıysa, ses alan kapsayıcı şifreleme ilkesine saygı gösterir. Sorgu parametresi ile x-ms-default-encryption-scope üst bilgi arasında ses uyuşmazlık varsa ve x-ms-deny-encryption-scope-override üst bilgi olarak ayarlanırsatrue, hizmet hata yanıt kodu 403 (Yasak) döndürür.

x-ms-encryption-scope Üst bilgi ve sorgu parametresi put ses isteğinde sağlanmışsa ve uyuşmazlık varsa, hizmet hata yanıt kodu 400 (Hatalı İstek) döndürür.

İmzayı belirtme

(signaturesig) alanı, paylaşılan erişim imzasıyla bir istemci tarafından yapılan isteği yetkilendirmek için kullanılır. İmzalanacak dize, isteği yetkilendirmek için doğrulanması gereken alanlardan üretilen benzersiz bir dizedir. İmza, SHA256 algoritması kullanılarak dizeden imzaya ve anahtara göre hesaplanan ve ardından Base64 kodlaması kullanılarak kodlanan bir HMAC'dir.

Kullanıcı temsilcisi SAS'sinin imza dizesini oluşturmak için, isteği oluşturan alanlardan imza için dizeyi oluşturun, dizeyi UTF-8 olarak kodlayın ve sonra HMAC-SHA256 algoritmasını kullanarak imzayı hesaplayın. İşaret dizesinde yer alan alanların URL kodunun çözülmesi gerekir.

İşaret dizesinde gerekli olan alanlar, yetkilendirme (sv alan) için kullanılan hizmet sürümüne bağlıdır. Aşağıdaki bölümlerde, kullanıcı temsilcisi SAS'sini destekleyen sürümler için dizeden imzaya yapılandırma açıklanmaktadır.

Sürüm 2020-12-06 ve üzeri

Yetkilendirme sürümü 2020-12-06 ve üzeri için imzalayan dize aşağıdaki biçime sahiptir:

StringToSign =  signedPermissions + "\n" +
                signedStart + "\n" +
                signedExpiry + "\n" +
                canonicalizedResource + "\n" +
                signedKeyObjectId + "\n" +
                signedKeyTenantId + "\n" +
                signedKeyStart + "\n" +
                signedKeyExpiry  + "\n" +
                signedKeyService + "\n" +
                signedKeyVersion + "\n" +
                signedAuthorizedUserObjectId + "\n" +
                signedUnauthorizedUserObjectId + "\n" +
                signedCorrelationId + "\n" +
                signedIP + "\n" +
                signedProtocol + "\n" +
                signedVersion + "\n" +
                signedResource + "\n" +
                signedSnapshotTime + "\n" +
                signedEncryptionScope + "\n" +
                rscc + "\n" +
                rscd + "\n" +
                rsce + "\n" +
                rscl + "\n" +
                rsct

Sürüm 2020-02-10

Yetkilendirme sürümü 2020-02-10 için imzalayan dize aşağıdaki biçime sahiptir:

StringToSign =  signedPermissions + "\n" +
                signedStart + "\n" +
                signedExpiry + "\n" +
                canonicalizedResource + "\n" +
                signedKeyObjectId + "\n" +
                signedKeyTenantId + "\n" +
                signedKeyStart + "\n" +
                signedKeyExpiry  + "\n" +
                signedKeyService + "\n" +
                signedKeyVersion + "\n" +
                signedAuthorizedUserObjectId + "\n" +
                signedUnauthorizedUserObjectId + "\n" +
                signedCorrelationId + "\n" +
                signedIP + "\n" +
                signedProtocol + "\n" +
                signedVersion + "\n" +
                signedResource + "\n" +
                signedSnapshotTime + "\n" +
                rscc + "\n" +
                rscd + "\n" +
                rsce + "\n" +
                rscl + "\n" +
                rsct

2020-02-10'dan önceki sürümler

2020-02-10'dan önceki yetkilendirme sürümleri için imzalayan dize aşağıdaki biçime sahiptir:

StringToSign =  signedPermissions + "\n" +  
                signedStart + "\n" +  
                signedExpiry + "\n" +  
                canonicalizedResource + "\n" +  
                signedKeyObjectId + "\n" +
                signedKeyTenantId + "\n" +
                signedKeyStart + "\n" +
                signedKeyExpiry  + "\n" +
                signedKeyService + "\n" +
                signedKeyVersion + "\n" +
                signedAuthorizedUserObjectId + "\n" +
                signedUnauthorizedUserObjectId + "\n" +
                signedCorrelationId + "\n" +
                signedIP + "\n" +  
                signedProtocol + "\n" +  
                signedVersion + "\n" +  
                signedResource + "\n" +
                rscc + "\n" +
                rscd + "\n" +  
                rsce + "\n" +  
                rscl + "\n" +  
                rsct

Kurallı hale getirilmiş kaynak

canonicalizedResource Dizenin bölümü, imzalı kaynağın kurallı yoludur. Blob Depolama uç noktasını ve kaynak adını içermesi ve URL kodunun çözülmesi gerekir. Blob yolu kapsayıcısını içermelidir. Dizin yolu, parametresine karşılık gelen sdd alt dizin sayısını içermelidir.

Kapsayıcının kurallı hale getirilmiş kaynak dizesi, bu kapsayıcıya erişim sağlayan bir SAS için sondaki eğik çizgiyi (/) atlamalıdır.

Aşağıdaki örnekler, kaynağın canonicalizedResource türüne bağlı olarak dizenin bir kısmının nasıl yapılacağını gösterir.

Kapsayıcı örneği (Azure Blob Depolama)
URL = https://myaccount.blob.core.windows.net/music  
canonicalizedResource = "/blob/myaccount/music"
Blob örneği (Azure Blob Depolama)
URL = https://myaccount.blob.core.windows.net/music/intro.mp3  
canonicalizedResource = "/blob/myaccount/music/intro.mp3"
Kapsayıcı örneği (Azure Data Lake Storage 2. Nesil)
URL = https://myaccount.dfs.core.windows.net/music  
canonicalizedResource = "/blob/myaccount/music"
Dizin örneği (Azure Data Lake Storage 2. Nesil)
URL = https://myaccount.dfs.core.windows.net/music/instruments/guitar/  
canonicalizedResource = "/blob/myaccount/music/instruments/guitar/"
Blob örneği (Azure Data Lake Storage 2. Nesil)
URL = https://myaccount.dfs.core.windows.net/music/intro.mp3  
canonicalizedResource = "/blob/myaccount/music/intro.mp3"

İsteğe bağlı alanlar

Bir alan isteğe bağlıysa ve SAS belirtecinin bir parçası olarak sağlanmadıysa, alan için boş bir dize belirtin. Boş dizeden sonra yeni satır karakterini (\n) eklediğinizden emin olun.

Kullanıcı temsilcisi SAS örneği

Aşağıdaki örnek, kullanıcı temsilcisi SAS belirtecinin eklendiği bir blob URI'sini gösterir. Kullanıcı temsilcisi SAS belirteci bloba okuma ve yazma izinleri sağlar.

https://myaccount.blob.core.windows.net/sascontainer/blob1.txt?sp=rw&st=2023-05-24T01:13:55Z&se=2023-05-24T09:13:55Z&skoid=<object-id>&sktid=<tenant-id>&skt=2023-05-24T01:13:55Z&ske=2023-05-24T09:13:55Z&sks=b&skv=2022-11-02&sip=168.1.5.60-168.1.5.70&spr=https&sv=2022-11-02&sr=b&sig=<signature>

URI'nin her bölümü aşağıdaki tabloda açıklanmıştır:

Name SAS bölümü Description
Kaynak URI'sı https://myaccount.blob.core.windows.net/sascontainer/blob1.txt Blobun adresi. HTTPS kullanmanızı kesinlikle öneririz.
Sınırlayıcı ? Sorgu dizesinden önce gelen sınırlayıcı. Sınırlayıcı SAS belirtecinin bir parçası değildir.
İzinler sp=rw SAS tarafından verilen izinler Okuma (r) ve Yazma (w) izinlerini içerir.
Başlangıç saati st=2023-05-24T01:13:55Z UTC saatinde belirtilir. SAS'nin hemen geçerli olmasını istiyorsanız, başlangıç saatini atla.
Süre sonu se=2023-05-24T09:13:55Z UTC saatinde belirtilir.
Nesne kimliği skoid=<object-id> Microsoft Entra güvenlik sorumlusu.
Kiracı Kimliği sktid=<tenant-id> Güvenlik sorumlusunun kaydedildiği Microsoft Entra kiracı.
Anahtar başlangıç saati skt=2023-05-24T01:13:55Z Kullanıcı temsilcisi anahtarının ömrünün başlangıcı.
Anahtar süre sonu süresi ske=2023-05-24T09:13:55Z Kullanıcı temsilcisi anahtarının kullanım ömrünün sonu.
Anahtar hizmeti sks=b Hizmet değeri için yalnızca Blob hizmeti desteklenir.
Anahtar sürümü skv=2022-11-02 Kullanıcı temsilci anahtarını almak için kullanılan depolama hizmeti sürümü.
IP aralığı sip=168.1.5.60-168.1.5.70 İsteğin kabul edileceği IP adresi aralığı.
Protokol spr=https Yalnızca HTTPS kullanan isteklere izin verilir.
Blob hizmeti sürümü sv=2022-11-02 Azure Depolama sürüm 2012-02-12 ve üzeri için bu parametre kullanılacak sürümü gösterir.
Kaynak sr=b Kaynak bir blobdur.
İmza sig=<signature> Bloba erişimi yetkilendirmek için kullanılır. İmza, SHA256 algoritması kullanılarak bir dizeden imzaya ve anahtara göre hesaplanan ve ardından Base64 kodlaması kullanılarak kodlanan bir HMAC'dir.

Kullanıcı temsilcisi SAS'sini iptal etme

Bir SAS'nin gizliliğinin tehlikeye girdiğini düşünüyorsanız, sas'yi iptal etmelisiniz. Kullanıcı temsilcisi SAS'sini iptal etmek için kullanıcı temsilcisi anahtarını iptal edebilir veya SAS'yi oluşturmak için kullanılan güvenlik sorumlusunun RBAC rol atamalarını değiştirebilir veya kaldırabilirsiniz.

Önemli

Hem kullanıcı temsilci anahtarı hem de RBAC rol atamaları Azure Depolama tarafından önbelleğe alınır, bu nedenle iptal işlemini başlatmanız ile mevcut kullanıcı temsilcisi SAS'sinin geçersiz hale gelmesi arasında bir gecikme olabilir.

Kullanıcı temsilcisi anahtarını iptal etme

Kullanıcı Temsilcisi Anahtarlarını İptal Et işlemini çağırarak kullanıcı temsilcisi anahtarını iptal edebilirsiniz. Kullanıcı temsilcisi anahtarını iptal ettiğinizde, bu anahtarı kullanan tüm paylaşılan erişim imzaları geçersiz hale gelir. Ardından Kullanıcı Temsilcisi Anahtarını Al işlemini yeniden çağırabilir ve anahtarı kullanarak yeni paylaşılan erişim imzaları oluşturabilirsiniz. Bu, kullanıcı temsilcisi SAS'sini iptal etmenin en hızlı yoludur.

Rol atamalarını değiştirme veya kaldırma

SAS oluşturmak için kullanılan güvenlik sorumlusunun RBAC rol atamasını değiştirebilir veya kaldırabilirsiniz. İstemci bir kaynağa erişmek için SAS'yi kullandığında Azure Depolama, SAS'nin güvenliğini sağlamak için kimlik bilgileri kullanılan güvenlik sorumlusunun kaynak için gerekli izinlere sahip olduğunu doğrular.

Ayrıca bkz.