你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用共享访问签名委派访问权限

共享访问签名 (SAS) 是一种 URI,可授予对 Azure 存储资源的受限访问权限。 可以为不应信任存储帐户密钥但需要访问某些存储帐户资源的客户端提供共享访问签名。 通过向这些客户端分发 SAS URI,可以授予它们一组特定的权限,让其在一段指定时间内访问资源。

构成 SAS 令牌的 URI 查询参数包含授予对存储资源的受控访问权限所需的所有信息。 拥有 SAS 的客户端只需使用 SAS URI 即可对 Azure 存储发出请求。 SAS 令牌中的信息用于授权请求。

共享访问签名的类型

Azure 存储支持以下类型的共享访问签名:

  • 2015-04-05 版引入的帐户 SAS。 这种类型的 SAS 委托对一个或多个存储服务中的资源的访问权限。 通过服务 SAS 提供的所有操作也可以通过帐户 SAS 提供。

    使用帐户 SAS,可以委托对应用于服务的操作的访问权限,例如 Get/Set Service PropertiesGet Service Stats。 还可以委派对 blob 容器、表、队列和文件共享执行读取、写入和删除操作的访问权限,而这是服务 SAS 所不允许的。

    有关详细信息,请参阅创建帐户 SAS

  • 服务 SAS。 这种类型的 SAS 仅委托对某个存储服务中的资源的访问权限:Azure Blob 存储、Azure 队列存储、Azure 表存储或Azure 文件存储。 有关详细信息,请参阅 创建服务 SAS和服务 SAS 示例

  • 通过版本 2018-11-09 引入的用户委托 SAS。 这种类型的 SAS 使用 Azure Active Directory 凭据进行保护。 它仅支持 Blob 存储,并且可以使用它授予对容器和 Blob 的访问权限。 有关详细信息,请参阅创建用户委托 SAS

此外,服务 SAS 可以引用存储的访问策略,该策略提供对一组签名的另一级控制。 此控件包括在必要时修改或撤销对资源的访问权限的功能。 有关详细信息,请参阅定义存储的访问策略

注意

帐户 SAS 或用户委派 SAS 目前不支持存储的访问策略。

请参阅