Paylaşılan erişim imzalarını anlama

  • 5 dakika

En iyi yöntemlerden biri, depolama hesabı anahtarlarınızı harici üçüncü taraf uygulamalarla paylaşmamaktır. Bu uygulamaların verilerinize erişmesi gerekiyorsa bağlantı güvenliğini depolama hesabı anahtarlarını kullanmadan sağlamanız gerekir.

Güvenilmeyen istemciler için paylaşılan erişim imzası (SAS) kullanın. SAS, URI'ye eklenebilen bir güvenlik belirteci içeren bir dizedir. Depolama nesnelerine erişimi temsilci olarak atamak ve izinler ve erişim zaman aralığı gibi kısıtlamaları belirtmek için SAS kullanabilirsiniz.

Örneğin, blob depolamadaki bir dosya sistemine resim yükleyebilmeleri için müşteriye sas belirteci verebilirsiniz. Ayrıca, bir web uygulamasına bu resimleri okuma izni verebilirsiniz. Her iki durumda da uygulamaya yalnızca görev için gerekli erişimi sağlamış olursunuz.

Paylaşılan erişim imzası türleri

Depolama hesabındaki belirli kaynaklara erişime izin vermek için hizmet düzeyi SAS kullanabilirsiniz. Örneğin, bir uygulamanın dosya sistemindeki dosyaların listesini almasına veya dosya indirmesine izin vermek için bu sas türünü kullanırsınız.

Hizmet düzeyi SAS'nin izin verebileceği her şeye erişime ve ek kaynaklara ve yeteneklere izin vermek için hesap düzeyinde SAS kullanın. Örneğin, dosya sistemleri oluşturma olanağı sağlamak için hesap düzeyinde sas kullanabilirsiniz.

Genellikle kullanıcıların verilerini okuduğu ve depolama hesabınıza yazdığı bir hizmet için SAS kullanırsınız. Genellikle kullanıcı verilerinin depolandığı hesaplar için kullanılan iki tür tasarım vardır:

  • İstemciler, kimlik doğrulamasını yapan ön uç ara sunucu hizmeti üzerinden verileri karşıya yükleyip indirirler. Bu ön uç proxy hizmeti, iş kurallarını doğrulama avantajını sunar. Ancak, hizmetin büyük miktarlardaki verileri veya yüksek hacimli işlemleri işlemesi gerekiyorsa, bu hizmeti talebi karşılayacak şekilde ölçeklendirmeyi karmaşık veya pahalı bulabilirsiniz.

Diagram showing a client-side front-end proxy service operation.

  • Basit bir hizmet gerektiğinde istemcinin kimliğini doğrular. Ardından bir SAS oluşturur. SAS'yi aldıktan sonra istemci depolama hesabı kaynaklarına doğrudan erişebilir. SAS, istemcinin izinlerini ve erişim aralığını tanımlar. Tüm verileri ön uç proxy hizmeti aracılığıyla yönlendirme gereksinimini azaltır.

Diagram showing a server-side SAS operation.