Accès des délégués avec une signature d’accès partagé

Une signature d’accès partagé est un URI qui octroie des droits d’accès restreints aux ressources Stockage Azure. Vous pouvez fournir une signature d’accès partagé aux clients qui ne doivent pas être approuvés avec votre clé de compte de stockage, mais auxquels vous souhaitez déléguer l’accès à certaines ressources du compte de stockage. En distribuant un URI de signature d’accès partagé à ces clients, vous leur accordez l’accès à une ressource pour une période de temps spécifiée, avec un ensemble spécifié d’autorisations.

Les paramètres de requête URI comprenant le jeton SAS intègrent toutes les informations nécessaires pour accorder un accès contrôlé à une ressource de stockage. Un client qui est en possession de la SAS peut faire une demande contre Azure Storage avec seulement le SAS URI, et les informations contenues dans le jeton SAS est utilisé pour autoriser la demande.

Types de signatures d’accès partagé

Azure Storage prend en charge les types suivants de signatures d’accès partagé :

  • Un SAS au niveau du compte, introduit avec la version 2015-04-05. La SAP de compte délègue l’accès aux ressources d’un ou plusieurs des services de stockage. Toutes les opérations disponibles via une SAP de service sont également disponibles via une SAP de compte. En outre, avec le compte SAS, vous pouvez déléguer Get/Set Service Properties l’accès aux opérations qui s’appliquent à un service donné, tels que et Get Service Stats. Vous pouvez également déléguer l'accès aux opérations de lecture, d’écriture et de suppression sur les conteneurs d'objets blob, les tables, les files d'attente et les partages de fichiers qui ne sont pas autorisées avec une SAP de service. Voir Créer un compte SAS pour plus d’informations sur le compte SAS.

  • Un SAS au niveau du service. Une SAP de service délègue l’accès à une ressource d’un seul des services de stockage : le service blob, de file d’attente, de table ou de fichiers. Voir Créer un service SAS et Service SAS Exemples pour plus d’informations sur le service SAS.

  • Une délégation d’utilisateurs SAS, introduite avec la version 2018-11-09. Une délégation d’utilisateurs SAS est sécurisée avec les informations d’identification Azure AD. Ce type de SAS est pris en charge pour le service Blob seulement et peut être utilisé pour accorder l’accès aux conteneurs et aux blobs. Pour en savoir plus, consultez Créer une SAP de délégation d’utilisateur.

En outre, un service SAS peut faire référence à une politique d’accès stockée qui fournit un niveau supplémentaire de contrôle sur un ensemble de signatures, y compris la possibilité de modifier ou de révoquer l’accès à la ressource si nécessaire. Pour plus d’informations sur les stratégies d’accès stockées, consultez Définir une politique d’accès stockée.

Notes

Les politiques d’accès stockées ne sont actuellement pas prises en charge pour un compte SAS ou une délégation d’utilisateurs SAS.

Voir aussi