使用共用存取簽章委派存取權
重要
為了獲得最佳安全性,Microsoft 建議盡可能使用 Microsoft Entra ID 搭配受控識別來授權 Blob、佇列和數據表數據的要求。 具有 Microsoft Entra ID 和受控識別的授權,可提供優於共用密鑰授權的安全性和易於使用。 若要深入瞭解,請參閱使用 Microsoft Entra ID 授權。 若要深入瞭解受控識別,請參閱 什麼是適用於 Azure 資源的受控識別。
針對裝載於 Azure 外部的資源,例如內部部署應用程式,您可以透過 Azure Arc 使用受控識別。例如,在已啟用 Azure Arc 的伺服器上執行的應用程式可以使用受控識別來連線到 Azure 服務。 若要深入瞭解,請參閱 使用已啟用 Azure Arc 的伺服器對 Azure 資源進行驗證。
針對使用共用存取簽章 (SAS) 的案例,Microsoft 建議使用使用者委派 SAS。 使用者委派 SAS 會受到 Microsoft Entra 認證保護,而不是帳戶密鑰。 若要瞭解共用存取簽章,請參閱 Create 使用者委派 SAS。
共用存取簽章 (SAS) 是能授與對 Azure 儲存體資源之有限存取權限的 URI。 您可以將共用存取簽章提供給不應信任記憶體帳戶密鑰,但需要存取特定記憶體帳戶資源的用戶端。 透過將 SAS URI 提供給這些客戶,您便可以搭配一組指定的權限,授與他們在一段指定時間內針對某個資源的存取權。
組成SAS令牌的URI查詢參數會納入授與記憶體資源受控存取權所需的所有資訊。 具有SAS的用戶端只要使用SAS URI即可對 Azure 記憶體提出要求。 SAS 令牌中的資訊是用來授權要求。
共用存取簽章的類型
Azure 記憶體支援下列類型的共用存取簽章:
2015-04-05 版引進的帳戶 SAS。 這種類型的SAS會將存取權委派給一或多個記憶體服務中的資源。 可透過服務 SAS 取得的所有作業也可透過帳戶 SAS 取得。
透過帳戶 SAS,您可以委派對套用至服務之作業的存取權,例如
Get/Set Service Properties和Get Service Stats。 您也可以將 Blob 容器、資料表、佇列和檔案共用的讀取、寫入和刪除作業的存取權限,委派給本無權限的服務 SAS。如需詳細資訊,請參閱建立帳戶 SAS。
服務 SAS。 這種類型的 SAS 只會委派其中一個記憶體服務中資源的存取權:Azure Blob 儲存體、Azure 佇列記憶體、Azure 數據表記憶體或 Azure 檔案儲存體。 如需詳細資訊,請參閱 Create 服務 SAS 和服務 SAS 範例。
通过版本 2018-11-09 引入的用户委托 SAS。 這種類型的SAS會受到 Microsoft Entra 認證保護。 僅支援 Blob 記憶體,而且您可以使用它來授與容器和 Blob 的存取權。 如需詳細資訊,請參閱建立使用者委派 SAS。
此外,服務 SAS 可以參考預存存取原則,以提供一組簽章的另一層控制。 此控件包含視需要修改或撤銷資源存取權的能力。 如需詳細資訊,請參閱定義預存存取原則。
注意
帳戶 SAS 或使用者委派 SAS 目前不支援預存存取原則。