你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用共享访问签名委托访问权限
重要
为了获得最佳安全性,Microsoft 建议尽可能将Microsoft Entra ID与托管标识结合使用,以授权对 Blob、队列和表数据的请求。 与共享密钥授权相较,使用Microsoft Entra ID和托管标识进行授权可提供卓越的安全性和易用性。 若要了解详细信息,请参阅使用Microsoft Entra ID授权。 若要详细了解托管标识,请参阅 什么是 Azure 资源的托管标识。
对于托管在 Azure 外部的资源(例如本地应用程序),可以通过 Azure Arc 使用托管标识。例如,在已启用 Azure Arc 的服务器上运行的应用可以使用托管标识连接到 Azure 服务。 若要了解详细信息,请参阅 使用已启用 Azure Arc 的服务器对 Azure 资源进行身份验证。
对于使用共享访问签名 (SAS) 的情况,Microsoft 建议使用用户委派 SAS。 用户委派 SAS 使用Microsoft Entra凭据而不是帐户密钥进行保护。 若要了解共享访问签名,请参阅Create用户委派 SAS。
共享访问签名 (SAS) 是一种 URI,可授予对 Azure 存储资源的受限访问权限。 可以向不应使用存储帐户密钥信任但需要访问某些存储帐户资源的客户端提供共享访问签名。 通过向这些客户端分发 SAS URI,可以授予它们一组特定的权限,让其在一段指定时间内访问资源。
组成 SAS 令牌的 URI 查询参数包含授予对存储资源的受控访问权限所需的所有信息。 具有 SAS 的客户端只需使用 SAS URI 即可对 Azure 存储发出请求。 SAS 令牌中的信息用于授权请求。
共享访问签名的类型
Azure 存储支持以下类型的共享访问签名:
帐户 SAS,在版本 2015-04-05 中引入。 这种类型的 SAS 委托对一个或多个存储服务中的资源的访问权限。 通过服务 SAS 提供的所有操作也可以通过帐户 SAS 提供。
使用帐户 SAS,可以委托对应用于服务的操作(如
Get/Set Service Properties和Get Service Stats)的访问权限。 还可以委派对 blob 容器、表、队列和文件共享执行读取、写入和删除操作的访问权限,而这是服务 SAS 所不允许的。有关详细信息,请参阅创建帐户 SAS。
服务 SAS。 此类型的 SAS 仅委托对其中一个存储服务中的资源的访问权限:Azure Blob 存储、Azure 队列存储、Azure 表存储或Azure 文件存储。 有关详细信息,请参阅Create服务 SAS 和服务 SAS 示例。
通过版本 2018-11-09 引入的用户委托 SAS。 这种类型的 SAS 使用Microsoft Entra凭据进行保护。 它仅支持 Blob 存储,可用于授予对容器和 Blob 的访问权限。 有关详细信息,请参阅创建用户委托 SAS。
此外,服务 SAS 可以引用存储访问策略,该策略提供对一组签名的另一种控制级别。 此控件包括修改或撤销对资源的访问权限(如有必要)的功能。 有关详细信息,请参阅定义存储的访问策略。
注意
帐户 SAS 或用户委派 SAS 当前不支持存储访问策略。