Créer une SAP de compte
Depuis la version 2015-04-05, Stockage Azure prend en charge la création d’un nouveau type de signature d’accès partagé (SAP) au niveau du compte de stockage. En créant une SAP de compte, vous pouvez :
Déléguer l’accès aux opérations de niveau de service qui ne sont pas actuellement disponibles avec une sap spécifique au service, telles que les
Get/Set Service Propertiesopérations etGet Service Stats.Déléguer l'accès à plusieurs services à la fois dans un compte de stockage. Par exemple, vous pouvez déléguer l’accès aux ressources dans Stockage Blob Azure et Azure Files à l’aide d’une SAP de compte.
Déléguer l’accès aux opérations d’écriture et de suppression pour les conteneurs, les files d’attente, les tables et les partages de fichiers, qui ne sont pas disponibles avec une SAP spécifique à un objet.
Spécifiez une adresse IP ou une plage d’adresses IP à partir de laquelle accepter les demandes.
Spécifiez le protocole HTTP à partir duquel accepter les requêtes (HTTPS ou HTTP/HTTPS).
Les stratégies d’accès stockées ne sont actuellement pas prises en charge pour une SAP de compte.
Attention
Les signatures d’accès partagé sont des clés qui accordent des autorisations aux ressources de stockage, et vous devez les protéger comme vous le feriez pour une clé de compte. Il est important de protéger une SAP contre toute utilisation malveillante ou involontaire. Faites preuve de discrétion lors de la distribution d’une SAP et mettez en place un plan de révocation d’une SAS compromis. Les opérations qui utilisent des signatures d’accès partagé doivent être effectuées uniquement sur une connexion HTTPS, et les URI SAS doivent être distribués uniquement sur une connexion sécurisée, telle que HTTPS.
Autoriser une sap de compte
Vous sécurisez une sap de compte à l’aide d’une clé de compte de stockage. Lorsque vous créez une SAP de compte, votre application cliente doit posséder la clé de compte.
Pour utiliser Microsoft Entra informations d’identification afin de sécuriser une sap pour un conteneur ou un objet blob, créez une sap de délégation d’utilisateur.
Construire un URI SAP de compte
L’URI SAP du compte se compose de l’URI de la ressource pour laquelle la SAP déléguera l’accès, suivi d’un jeton SAP. Le jeton SAP est la chaîne de requête qui inclut toutes les informations requises pour autoriser une demande à la ressource. Il spécifie le service, la ressource et les autorisations disponibles pour l’accès, ainsi que la période pendant laquelle la signature est valide.
Spécifier les paramètres SAP du compte
Les paramètres obligatoires et facultatifs pour le jeton SAP sont décrits dans le tableau suivant :
| Paramètre de requête SAS | Description |
|---|---|
api-version |
facultatif. Spécifie la version du service de stockage à utiliser pour exécuter la requête effectuée à l’aide de l’URI SAP du compte. Pour plus d’informations, consultez Autoriser les demandes à l’aide d’une signature d’accès partagé. |
SignedVersion (sv) |
Obligatoire. Spécifie la version du service de stockage signée à utiliser pour autoriser les demandes effectuées avec la sap de ce compte. Il doit être défini sur la version 2015-04-05 ou ultérieure. Pour plus d’informations, consultez Autoriser les demandes à l’aide d’une signature d’accès partagé. |
SignedServices (ss) |
Obligatoire. Spécifie les services signés accessibles avec la sap du compte. Les valeurs possibles incluent : - Blob ( b)- File d’attente ( q)- Table ( t)- Fichier ( f)Vous pouvez combiner des valeurs pour fournir l’accès à plusieurs services. Par exemple, ss=bf spécifie l’accès aux points de terminaison Stockage Blob et Azure Files. |
SignedResourceTypes (srt) |
Obligatoire. Spécifie les types de ressources signés accessibles avec la signature SAP du compte. - Service ( s) : accès aux API de niveau de service (par exemple, Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).- Conteneur ( c) : accès aux API au niveau du conteneur (par exemple, créer/supprimer un conteneur, créer/supprimer une file d’attente, créer/supprimer une table, créer/supprimer un partage, répertorier des objets blob/fichiers et des répertoires).- Objet ( o) : accès aux API au niveau de l’objet pour les objets blob, les messages de file d’attente, les entités de table et les fichiers (par exemple, Put Blob, Query Entity, Get Messages, Create File).Vous pouvez combiner des valeurs pour fournir l’accès à plusieurs types de ressources. Par exemple, srt=sc spécifie l’accès aux ressources de service et de conteneur. |
SignedPermissions (sp) |
Obligatoire. Spécifie les autorisations signées pour la signature SAP du compte. Les autorisations ne sont valides que si elles correspondent au type de ressource signé spécifié. S’ils ne correspondent pas, ils sont ignorés. - Lecture ( r) : valide pour tous les types de ressources signées (Service, Conteneur et Objet). Permet des autorisations de lecture sur le type de ressource spécifié.- Écriture ( w) : valide pour tous les types de ressources signées (Service, Conteneur et Objet). Autorise l’accès en écriture pour le type de ressource spécifié, ce qui permet à un utilisateur de créer et de mettre à jour des ressources.- Supprimer ( d) : valide pour les types de ressources Conteneur et Objet, à l’exception des messages de file d’attente.- Suppression définitive ( y) : valide pour le type de ressource Objet suivant uniquement : Objet blob.- Liste ( l) : valide pour les types de ressources Service et Conteneur uniquement.- Ajouter ( a) : valide pour les types de ressources Objet suivants uniquement : messages de file d’attente, entités de table et objets blob d’ajout.- Créer ( c) : valide pour les types de ressources Conteneur et les types de ressources Objet suivants : objets blob et fichiers. Les utilisateurs peuvent créer des ressources, mais ils ne peuvent pas remplacer les ressources existantes.- Mettre à jour ( u) : valide pour les types de ressources Objet suivants uniquement : messages de file d’attente et entités de table.- Processus ( p) : valide pour le type de ressource Objet suivant uniquement : messages de file d’attente.- Étiquette ( t) : valide pour le type de ressource Objet suivant uniquement : objets blob. Autorise les opérations d’étiquette d’objet blob.- Filtre ( f) : valide pour le type de ressource Objet suivant uniquement : objet blob. Autorise le filtrage par étiquette d’objet blob.- Définir une stratégie d’immuabilité ( i) : valide pour le type de ressource Objet suivant uniquement : objet blob. Autorise la définition/suppression d’une stratégie d’immuabilité et la conservation légale sur un objet blob. |
SignedStart (st) |
facultatif. Heure à laquelle la sap devient valide, exprimée dans l’un des formats UTC ISO 8601 acceptés. S’il est omis, l’heure de début est supposée être l’heure à laquelle le service de stockage reçoit la demande. Pour plus d’informations sur les formats UTC acceptés, consultez Mise en forme des valeurs DateTime. |
SignedExpiry (se) |
Obligatoire. Heure à laquelle la signature d’accès partagé devient non valide, exprimée dans l’un des formats UTC ISO 8601 acceptés. Pour plus d’informations sur les formats UTC acceptés, consultez Mise en forme des valeurs DateTime. |
SignedIP (sip) |
facultatif. Spécifie une adresse IP ou une plage d’adresses IP à partir de laquelle accepter les demandes. Lorsque vous spécifiez une plage, gardez à l’esprit que la plage est inclusive. Seules les adresses IPv4 sont prises en charge. Par exemple, sip=168.1.5.65 ou sip=168.1.5.60-168.1.5.70. |
SignedProtocol (spr) |
facultatif. Spécifie le protocole autorisé pour une requête effectuée avec la signature d’accès partagé du compte. Les valeurs possibles sont à la fois HTTPS et HTTP (https,http) ou uniquement HTTPS (https). La valeur par défaut est https,http.Notez que HTTP uniquement n’est pas une valeur autorisée. |
SignedEncryptionScope (ses) |
facultatif. Indique l’étendue de chiffrement à utiliser pour chiffrer le contenu de la demande. Ce champ est pris en charge avec la version 2020-12-06 et ultérieure. |
Signature (sig) |
Obligatoire. La partie signature de l’URI est utilisée pour autoriser la requête effectuée avec la signature d’accès partagé. La chaîne à signer est une chaîne unique qui est construite à partir des champs qui doivent être vérifiés pour autoriser la demande. La signature est un code d’authentification de message basé sur le hachage (HMAC) qui est calculé sur la chaîne à signer et la clé à l’aide de l’algorithme SHA256, puis encodé à l’aide de l’encodage Base64. |
Spécifier le signedVersion champ
Le signedVersion champ (sv) contient la version de service de la signature d’accès partagé. Cette valeur spécifie la version de l’autorisation de clé partagée utilisée par cette signature d’accès partagé (dans le signature champ). La valeur spécifie également la version du service pour les demandes effectuées avec cette signature d’accès partagé.
Pour plus d’informations sur la version utilisée lorsque vous exécutez des demandes via une signature d’accès partagé, consultez Gestion de version pour les services de stockage Azure.
Pour plus d’informations sur la façon dont ce paramètre affecte l’autorisation des demandes effectuées avec une signature d’accès partagé, consultez Déléguer l’accès avec une signature d’accès partagé.
| Nom du champ | Paramètre de requête. | Description |
|---|---|---|
signedVersion |
sv |
Obligatoire. Pris en charge dans la version 2015-04-05 et ultérieures. Version du service de stockage à utiliser pour autoriser et gérer les demandes que vous effectuez avec cette signature d’accès partagé. Pour plus d’informations, consultez Contrôle de version pour les services de stockage Azure. |
Spécifier une adresse IP ou une plage d’adresses IP
À compter de la version 2015-04-05, le champ facultatif signedIp (sip) spécifie une adresse IP publique ou une plage d’adresses IP publiques à partir de laquelle accepter les demandes. Si l’adresse IP à partir de laquelle la demande provient ne correspond pas à l’adresse IP ou à la plage d’adresses spécifiée sur le jeton SAP, la demande n’est pas autorisée. Seules les adresses IPv4 sont prises en charge.
Lorsque vous spécifiez une plage d’adresses IP, gardez à l’esprit que la plage est inclusivePar exemple, spécifier sip=168.1.5.65 ou sip=168.1.5.60-168.1.5.70 sur la signature d’accès partagé limite la demande à ces adresses IP.
Le tableau suivant indique s’il faut inclure le signedIp champ sur un jeton SAP pour un scénario spécifié, en fonction de l’environnement client et de l’emplacement du compte de stockage.
| Environnement client | Emplacement du compte de stockage | Recommandation |
|---|---|---|
| Client s’exécutant dans Azure | Dans la même région que le client | Une signature d’accès partagé fournie au client dans ce scénario ne doit pas inclure d’adresse IP sortante pour le signedIp champ. Les demandes effectuées à partir de la même région qui utilisent une signature d’accès partagé avec une adresse IP sortante spécifiée échouent.Utilisez plutôt un réseau virtuel Azure pour gérer les restrictions de sécurité réseau. Les demandes adressées au stockage Azure à partir de la même région ont toujours lieu sur une adresse IP privée. Pour plus d’informations, consultez Configurer Pare-feu et réseaux virtuels dans Stockage Azure. |
| Client s’exécutant dans Azure | Dans une région différente du client | Une signature d’accès partagé fournie au client dans ce scénario peut inclure une adresse IP publique ou une plage d’adresses pour le signedIp champ. Une requête effectuée avec la signature d’accès partagé doit provenir de l’adresse IP ou de la plage d’adresses spécifiée. |
| Client s’exécutant localement ou dans un autre environnement cloud | Dans n’importe quelle région Azure | Une signature d’accès partagé fournie au client dans ce scénario peut inclure une adresse IP publique ou une plage d’adresses pour le signedIp champ. Une requête effectuée avec la signature d’accès partagé doit provenir de l’adresse IP ou de la plage d’adresses spécifiée.Si la demande passe par un proxy ou une passerelle, fournissez l’adresse IP sortante publique de ce proxy ou passerelle pour le signedIp champ. |
Spécifier le protocole HTTP
À compter de la version 2015-04-05, le champ facultatif signedProtocol (spr) spécifie le protocole autorisé pour une requête effectuée avec la signature d’accès partagé. Les valeurs possibles sont à la fois HTTPS et HTTP (https,http) ou uniquement HTTPS (https). La valeur par défaut est https,http. Notez que HTTP seul n’est pas une valeur autorisée.
Spécifier l’étendue de chiffrement
En utilisant le signedEncryptionScope champ sur l’URI, vous pouvez spécifier l’étendue de chiffrement que l’application cliente peut utiliser. Il applique le chiffrement côté serveur avec l’étendue de chiffrement spécifiée lorsque vous chargez des objets blob (PUT) avec le jeton SAS. Get et HEAD ne seront pas limités et exécutés comme précédemment.
Le tableau suivant décrit comment faire référence à une étendue de chiffrement signée sur l’URI :
| Nom du champ | Paramètre de requête. | Description |
|---|---|---|
signedEncryptionScope |
ses |
facultatif. Indique l’étendue de chiffrement à utiliser pour chiffrer le contenu de la demande. |
Ce champ est pris en charge avec la version 2020-12-06 ou ultérieure. Si vous ajoutez avant ses la version prise en charge, le service retourne le code de réponse d’erreur 403 (Interdit).
Si vous définissez l’étendue de chiffrement par défaut pour le conteneur ou le système de fichiers, le ses paramètre de requête respecte la stratégie de chiffrement de conteneur. S’il existe une incompatibilité entre le paramètre de requête et x-ms-default-encryption-scope l’en-têteses, et que l’en-tête x-ms-deny-encryption-scope-override est défini sur true, le service retourne le code de réponse d’erreur 403 (Interdit).
Lorsque vous fournissez l’en-tête x-ms-encryption-scope et le ses paramètre de requête dans la requête PUT, le service retourne le code de réponse d’erreur 400 (requête incorrecte) en cas d’incompatibilité.
Construction de la chaîne de signature
Pour construire la chaîne de signature d’une sape de compte, commencez par construire la chaîne à signer à partir des champs qui composent la requête, puis encodez la chaîne en UTF-8 et calculez la signature à l’aide de l’algorithme HMAC-SHA256.
Notes
Les champs inclus dans la chaîne à signer doivent être décodés par URL.
Pour construire la chaîne à signer pour une SAP de compte, utilisez le format suivant :
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
La version 2020-12-06 ajoute la prise en charge du champ d’étendue de chiffrement signé. Pour construire la chaîne à signer pour une SAP de compte, utilisez le format suivant :
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Autorisations SAP de compte par opération
Les tableaux des sections suivantes répertorient différentes API pour chaque service, ainsi que les types de ressources signés et les autorisations signées prises en charge pour chaque opération.
Service d'objets blob
Le tableau suivant répertorie les opérations de service Blob et indique le type de ressource signé et les autorisations signées à spécifier quand vous déléguerez l’accès à ces opérations.
| Opération | Service signé | Type de ressource signé | Autorisation signée |
|---|---|---|---|
| List Containers | Blob (b) | Service(s) | Liste (l) |
| Obtention des propriétés du service BLOB | Blob (b) | Service(s) | Lecture (r) |
| Définition des propriétés du service Blob | Blob (b) | Service(s) | Écriture (w) |
| Obtention des statistiques du service BLOB | Blob (b) | Service(s) | Lecture (r) |
| Create Container | Blob (b) | Conteneur (c) | Create(c) ou Write (w) |
| Get Container Properties | Blob (b) | Conteneur (c) | Lecture (r) |
| Get Container Metadata | Blob (b) | Conteneur (c) | Lecture (r) |
| Set Container Metadata | Blob (b) | Conteneur (c) | Écriture (w) |
| Lease Container | Blob (b) | Conteneur (c) | Écrire (w) ou Supprimer (d)1 |
| Delete Container | Blob (b) | Conteneur (c) | Supprimer (d)1 |
| Rechercher des objets blob par étiquettes dans le conteneur | Blob (b) | Conteneur (c) | Filtre (f) |
| List Blobs | Blob (b) | Conteneur (c) | Liste (l) |
| Put Blob (créer un objet blob de blocs) | Blob (b) | Objet (o) | Créer (c) ou Écrire (w) |
| Put Blob (remplacer l’objet blob de blocs existant) | Blob (b) | Objet (o) | Écriture (w) |
| Put Blob (créer un objet blob de pages) | Blob (b) | Objet (o) | Créer (c) ou Écrire (w) |
| Put Blob (remplacer l’objet blob de pages existant) | Blob (b) | Objet (o) | Écriture (w) |
| Get Blob | Blob (b) | Objet (o) | Lecture (r) |
| Get Blob Properties | Blob (b) | Objet (o) | Lecture (r) |
| Set Blob Properties | Blob (b) | Objet (o) | Écriture (w) |
| Get Blob Metadata | Blob (b) | Objet (o) | Lecture (r) |
| Set Blob Metadata | Blob (b) | Objet (o) | Écriture (w) |
| Obtenir les étiquettes d’objet blob | Blob (b) | Objet (o) | Balises (t) |
| Définir des étiquettes d’objet blob | Blob (b) | Objet (o) | Balises (t) |
| Rechercher des objets blob par étiquettes | Blob (b) | Objet (o) | Filtre (f) |
| Delete Blob | Blob (b) | Objet (o) | Supprimer (d)1 |
| Supprimer définitivement instantané / version | Blob (b) | Objet (o) | Suppression définitive (y) |
| Lease Blob | Blob (b) | Objet (o) | Écrire (w) ou Supprimer (d)1 |
| Snapshot Blob | Blob (b) | Objet (o) | Créer (c) ou Écrire (w) |
| Copier l’objet blob (la destination est un nouvel objet blob) | Blob (b) | Objet (o) | Créer (c) ou Écrire (w) |
| Copier un objet blob (la destination est un objet blob existant) | Blob (b) | Objet (o) | Écriture (w) |
| Copie incrémentielle | Blob (b) | Objet (o) | Créer (c) ou Écrire (w) |
| Abort Copy Blob | Blob (b) | Objet (o) | Écriture (w) |
| Put Block | Blob (b) | Objet (o) | Écriture (w) |
| Placer une liste de blocs (créer un objet blob) | Blob (b) | Objet (o) | Écriture (w) |
| Placer une liste de blocs (mettre à jour un objet blob existant) | Blob (b) | Objet (o) | Écriture (w) |
| Get Block List | Blob (b) | Objet (o) | Lecture (r) |
| Put Page | Blob (b) | Objet (o) | Écriture (w) |
| Get Page Ranges | Blob (b) | Objet (o) | Lecture (r) |
| Append Block | Blob (b) | Objet (o) | Ajouter (a) ou Écrire (w) |
| Effacer la page | Blob (b) | Objet (o) | Écriture (w) |
1 L’autorisation Delete permet de rompre un bail sur un objet blob ou un conteneur avec la version 2017-07-29 et ultérieure.
Service File d’attente
Le tableau suivant répertorie les opérations de service de file d’attente et indique le type de ressource signé et les autorisations signées à spécifier quand vous déléguerez l’accès à ces opérations.
| Opération | Service signé | Type de ressource signé | Autorisation signée |
|---|---|---|---|
| Obtention des propriétés du service de File d'attente | File d’attente (q) | Service(s) | Lecture (r) |
| Définition des propriétés du service de File d'attente | File d’attente (q) | Service(s) | Écriture (w) |
| Lister les files d’attente | File d’attente (q) | Service(s) | Liste (l) |
| Obtention des statistiques du service de File d'attente | File d’attente (q) | Service(s) | Lecture (r) |
| Créer une file d’attente | File d’attente (q) | Conteneur (c) | Create(c) ou Write (w) |
| Supprimer une file d’attente | File d’attente (q) | Conteneur (c) | Supprimer (d) |
| Obtention de métadonnées file d'attente | File d’attente (q) | Conteneur (c) | Lecture (r) |
| Définition de métadonnées de file d'attente | File d’attente (q) | Conteneur (c) | Écriture (w) |
| Put Message | File d’attente (q) | Objet (o) | Ajouter (a) |
| Obtenir les messages | File d’attente (q) | Objet (o) | Processus (p) |
| Peek Messages | File d’attente (q) | Objet (o) | Lecture (r) |
| Supprimer un message | File d’attente (q) | Objet (o) | Processus (p) |
| Clear Messages | File d’attente (q) | Objet (o) | Supprimer (d) |
| Mise à jour de message | File d’attente (q) | Objet (o) | Mise à jour (u) |
Service Table
Le tableau suivant répertorie les opérations de service de table et indique le type de ressource signé et les autorisations signées à spécifier quand vous déléguerez l’accès à ces opérations.
| Opération | Service signé | Type de ressource signé | Autorisation signée |
|---|---|---|---|
| Obtention des propriétés du service Table | Table (t) | Service(s) | Lecture (r) |
| Définition des propriétés du service Table | Table (t) | Service(s) | Écriture (w) |
| Get Table Service Stats | Table (t) | Service(s) | Lecture (r) |
| Tables de requête | Table (t) | Conteneur (c) | Liste (l) |
| Créer une table | Table (t) | Conteneur (c) | Créer (c) ou Écrire (w) |
| Supprimer la table | Table (t) | Conteneur (c) | Supprimer (d) |
| Query Entities | Table (t) | Objet (o) | Lecture (r) |
| Insert Entity | Table (t) | Objet (o) | Ajouter (a) |
| Insertion ou fusion d'entité | Table (t) | Objet (o) | Ajouter (a) et Mettre à jour (u)1 |
| Insertion ou remplacement d'entité | Table (t) | Objet (o) | Ajouter (a) et Mettre à jour (u)1 |
| Update Entity | Table (t) | Objet (o) | Mise à jour (u) |
| Merge Entity | Table (t) | Objet (o) | Mise à jour (u) |
| Delete Entity | Table (t) | Objet (o) | Supprimer (d) |
1 Les autorisations Ajouter et Mettre à jour sont requises pour les opérations d’upsert sur le service De table.
Service Fichier
Le tableau suivant répertorie les opérations de service de fichiers et indique le type de ressource signé et les autorisations signées à spécifier quand vous déléguerez l’accès à ces opérations.
| Opération | Service signé | Type de ressource signé | Autorisation signée |
|---|---|---|---|
| Partages de listes | Fichier (f) | Service(s) | Liste (l) |
| Obtention des propriétés du service Fichier | Fichier (f) | Service(s) | Lecture (r) |
| Définition des propriétés du service Fichier | Fichier (f) | Service(s) | Écriture (w) |
| Obtention des statistiques de partage | Fichier (f) | Conteneur (c) | Lecture (r) |
| Création de partage | Fichier (f) | Conteneur (c) | Créer (c) ou Écrire (w) |
| partage de fichiers d'instantanés | Fichier (f) | Conteneur (c) | Créer (c) ou Écrire (w) |
| Obtention de propriétés de partage | Fichier (f) | Conteneur (c) | Lecture (r) |
| Définition des propriétés de partage | Fichier (f) | Conteneur (c) | Écriture (w) |
| Obtention de métadonnées de partage | Fichier (f) | Conteneur (c) | Lecture (r) |
| Définition de métadonnées de partage | Fichier (f) | Conteneur (c) | Écriture (w) |
| Suppression du partage | Fichier (f) | Conteneur (c) | Supprimer (d) |
| Liste des répertoires et des fichiers | Fichier (f) | Conteneur (c) | Liste (l) |
| Création d'un répertoire | Fichier (f) | Objet (o) | Créer (c) ou Écrire (w) |
| Obtention de propriétés de répertoire | Fichier (f) | Objet (o) | Lecture (r) |
| Obtenir les métadonnées d’un annuaire | Fichier (f) | Objet (o) | Lecture (r) |
| Définition de métadonnées d'annuaire | Fichier (f) | Objet (o) | Écriture (w) |
| Supprimer un répertoire | Fichier (f) | Objet (o) | Supprimer (d) |
| Créer un fichier (créer) | Fichier (f) | Objet (o) | Créer (c) ou Écrire (w) |
| Créer un fichier (remplacer un fichier existant) | Fichier (f) | Objet (o) | Écriture (w) |
| Obtention de fichier | Fichier (f) | Objet (o) | Lecture (r) |
| Obtenir les propriétés d'un fichier (Get File Properties) | Fichier (f) | Objet (o) | Lecture (r) |
| Obtenir les métadonnées d’un fichier | Fichier (f) | Objet (o) | Lecture (r) |
| Définition des métadonnées d'un fichier | Fichier (f) | Objet (o) | Écriture (w) |
| Supprimer le fichier | Fichier (f) | Objet (o) | Supprimer (d) |
| Renommer le fichier | Fichier (f) | Objet (o) | Supprimer (d) ou Écrire (w) |
| Put Range | Fichier (f) | Objet (o) | Écriture (w) |
| Liste des plages | Fichier (f) | Objet (o) | Lecture (r) |
| Abandonner le copie de fichier | Fichier (f) | Objet (o) | Écriture (w) |
| Copier le fichier | Fichier (f) | Objet (o) | Écriture (w) |
| Effacer la plage | Fichier (f) | Objet (o) | Écriture (w) |
Exemple d’URI SAP de compte
L’exemple suivant montre un URI de service Blob avec un jeton SAP de compte ajouté à celui-ci. Le jeton SAP du compte fournit des autorisations sur le service, le conteneur et les objets. Le tableau décompose chaque partie de l’URI :
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Nom | Partie de la SAP | Description |
|---|---|---|
| URI de ressource | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Point de terminaison de service, avec des paramètres permettant d’obtenir des propriétés de service (lorsqu’il est appelé avec GET) ou de définir des propriétés de service (lorsqu’il est appelé avec SET). En fonction de la valeur du champ de services signés (ss), cette signature d’accès partagé peut être utilisée avec stockage Blob ou Azure Files. |
| Délimiteur | ? |
Délimiteur qui précède la chaîne de requête. Le délimiteur ne fait pas partie du jeton SAS. |
| Version des services de stockage | sv=2022-11-02 |
Pour les services de stockage Azure version 2012-02-12 et ultérieures, ce paramètre indique la version à utiliser. |
| Services | ss=b |
La signature d’accès partagé s’applique aux services Blob. |
| Types de ressource | srt=sco |
La signature d’accès partagé s’applique aux opérations de niveau de service, de conteneur et d’objet. |
| Autorisations | sp=rwlc |
Les autorisations accordent l’accès aux opérations de lecture, d’écriture, de liste et de création. |
| Heure de début | st=2019-08-01T22%3A18%3A26Z |
Spécifiée en heure UTC. Si vous voulez que la signature d'accès partagé soit valide immédiatement, omettez l'heure de début. |
| Heure d’expiration | se=2019-08-10T02%3A23%3A26Z |
Spécifiée en heure UTC. |
| Protocol | spr=https |
Seules les requêtes qui utilisent HTTPS sont autorisées. |
| Signature | sig=<signature> |
Utilisée pour autoriser l’accès à l’objet blob. La signature est un HMAC calculé sur une clé et une chaîne à signer à l’aide de l’algorithme SHA256, puis encodé à l’aide de l’encodage Base64. |
Étant donné que les autorisations sont limitées au niveau de service, les opérations accessibles avec cette SAP sont Obtenir les propriétés du service Blob (en lecture) et Définir les propriétés du service Blob (écriture). Cependant, avec un autre URI de ressource, le même jeton de SAP peut également être utilisé pour déléguer l’accès à l’opération Get Blob Service Stats (lecture).