Felhasználódelegálási SAS létrehozása
Fontos
Az optimális biztonság érdekében a Microsoft a Microsoft Entra ID felügyelt identitásokkal való használatát javasolja a blob-, üzenetsor- és táblaadatokkal kapcsolatos kérések engedélyezéséhez, amikor csak lehetséges. A Microsoft Entra ID és felügyelt identitásokkal történő engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezéséhez. További információ: Engedélyezés Microsoft Entra ID. A felügyelt identitásokkal kapcsolatos további információkért lásd : Mik azok az Azure-erőforrások felügyelt identitásai.
Az Azure-on kívül üzemeltetett erőforrásokhoz, például a helyszíni alkalmazásokhoz felügyelt identitásokat használhat az Azure Arcon keresztül. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak az Azure-szolgáltatásokhoz. További információ: Hitelesítés Azure-erőforrásokon azure Arc-kompatibilis kiszolgálókkal.
A tárolókhoz, címtárakhoz vagy blobokhoz való hozzáféréshez biztosíthatja a közös hozzáférésű jogosultságkód (SAS) jogkivonatot Microsoft Entra hitelesítő adatok vagy egy fiókkulcs használatával. A Microsoft Entra hitelesítő adatokkal védett SAS-t felhasználói delegálási SAS-nek nevezzük. Ajánlott biztonsági gyakorlatként azt javasoljuk, hogy a fiókkulcs helyett Microsoft Entra hitelesítő adatokat használjon, amelyek könnyebben sérülhetnek. Ha az alkalmazás kialakítása közös hozzáférésű jogosultságkódokat igényel, Microsoft Entra hitelesítő adatokkal hozzon létre egy felhasználói delegálási SAS-t a jobb biztonság érdekében.
Minden SAS egy kulccsal van aláírva. Felhasználói delegálási SAS létrehozásához először le kell kérnie egy felhasználói delegálási kulcsot, amelyet aztán az SAS aláírásához használ. A felhasználói delegálási kulcs hasonló a szolgáltatás SAS vagy fiók SAS aláírásához használt fiókkulcshoz, azzal a kivétellel, hogy az a Microsoft Entra hitelesítő adataira támaszkodik. A felhasználó delegálási kulcsának lekéréséhez hívja meg a Felhasználódelegálási kulcs lekérése műveletet. Ezután a felhasználói delegálási kulccsal hozhatja létre az SAS-t.
A felhasználói delegálási SAS Azure Blob Storage és Azure Data Lake Storage Gen2 támogatott. A tárolt hozzáférési szabályzatok nem támogatottak a felhasználói delegálási SAS-hez.
Figyelemfelhívás
A közös hozzáférésű jogosultságkódok olyan kulcsok, amelyek engedélyeket adnak a tárolási erőforrásoknak, és ugyanúgy védenie kell őket, mint egy fiókkulcsot. Fontos, hogy megvédje az SAS-t a rosszindulatú vagy nem szándékos használattól. Használja a diszkréciót az SAS terjesztéséhez, és rendelkezzen egy tervvel a sérült SAS visszavonásához. A közös hozzáférésű jogosultságkódokat használó műveleteket csak HTTPS-kapcsolaton keresztül szabad végrehajtani, és a közös hozzáférésű jogosultságkód URI-jait csak biztonságos kapcsolaton, például HTTPS-en szabad terjeszteni.
A fiókkulcs SAS-védelemhez való használatával kapcsolatos információkért lásd: Létrehozás a szolgáltatás SAS-ját és Létrehozás egy fiók SAS-ját.
Felhasználódelegálási SAS-támogatás címtár-hatókörű hozzáféréshez
A felhasználói delegálási SAS akkor támogatja a címtár hatókörét (sr=d), ha az engedélyezési verzió (sv) 2020-02-10 vagy újabb, és engedélyezve van egy hierarchikus névtér (HNS). A könyvtár hatókörének (sr=d) szemantikai adatai hasonlóak a tároló hatóköréhez (sr=c), azzal a kivételrel, hogy a hozzáférés egy könyvtárra és a benne lévő fájlokra és alkönyvtárakra korlátozódik. Ha sr=d meg van adva, a lekérdezési sdd paraméterre is szükség van.
A 2020-02-10 engedélyezési verzió sztring–aláírás formátuma változatlan.
Felhasználói delegálási SAS-támogatás felhasználói OID-hoz
A felhasználói delegálási SAS támogatja az opcionális felhasználói objektumazonosítót (OID), amely akkor van a vagy suoid paraméterbensaoid, ha az engedélyezési verzió (sv) 2020-02-10 vagy újabb. Ez az opcionális paraméter továbbfejlesztett engedélyezési modellt biztosít a többfelhasználós fürt számítási feladataihoz, például a Hadoophoz és a Sparkhoz.
Az SAS-jogkivonatok egy adott fájlrendszerműveletre és felhasználóra korlátozhatók, amely kevésbé sebezhető hozzáférési jogkivonatot biztosít, amely biztonságosabban terjeszthető többfelhasználós fürtök között. Ezeknek a funkcióknak az egyik használati esete a Hadoop ABFS-illesztő és az Apache Ranger integrációja.
Felhasználói delegálási SAS engedélyezése
Amikor egy ügyfél egy felhasználódelegálási SAS-vel rendelkező Blob Storage-erőforráshoz fér hozzá, a rendszer engedélyezi az Azure Storage-nak küldött kérést az SAS létrehozásához használt Microsoft Entra hitelesítő adatokkal. Az adott Microsoft Entra fiókhoz megadott szerepköralapú hozzáférés-vezérlési (RBAC-) engedélyek, valamint az SAS-en kifejezetten megadott engedélyek határozzák meg az ügyfél hozzáférését az erőforráshoz. Ez a megközelítés további biztonsági szintet biztosít, és segít elkerülni, hogy a fiók hozzáférési kulcsát az alkalmazás kódjával kell tárolnia. Ezen okokból az SAS létrehozása Microsoft Entra hitelesítő adatokkal biztonsági szempontból ajánlott eljárás.
Az SAS-t használó ügyfélnek megadott engedélyek a felhasználódelegálási kulcsot kérő biztonsági tagnak adott engedélyek és az erőforrásnak a (sp) mező használatával signedPermissions az SAS-jogkivonaton megadott engedélyek metszetei. Ha az RBAC-n keresztül a rendszerbiztonsági tagnak adott engedély nem adható meg az SAS-jogkivonaton, akkor az engedély nem lesz megadva annak az ügyfélnek, aki az SAS használatával próbál hozzáférni az erőforráshoz. Amikor felhasználói delegálási SAS-t hoz létre, győződjön meg arról, hogy az RBAC-en keresztül megadott engedélyek és az SAS-jogkivonaton keresztül megadott engedélyek is igazodnak az ügyfél által megkövetelt hozzáférési szinthez.
Felhasználói delegálási SAS létrehozásához tegye a következőket:
- Az RBAC használatával adja meg a kívánt engedélyeket a felhasználódelegálási kulcsot kérő rendszerbiztonsági tagnak.
- OAuth 2.0-jogkivonat beszerzése Microsoft Entra ID.
- A jogkivonat használatával kérje le a felhasználói delegálási kulcsot a Felhasználódelegálási kulcs lekérése művelet meghívásával.
- A felhasználói delegálási kulccsal hozza létre az SAS-jogkivonatot a megfelelő mezőkkel.
Engedélyek hozzárendelése RBAC-vel
A felhasználódelegálási kulcsot kérő biztonsági tagnak rendelkeznie kell a megfelelő engedélyekkel. A Microsoft Entra ID biztonsági tag lehet felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás.
A felhasználó delegálási kulcsának lekéréséhez egy biztonsági taghoz kell hozzárendelnie a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey műveletet. A következő beépített RBAC-szerepkörök közé tartozik a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey művelet, explicit módon vagy helyettesítő karakterdefiníció részeként:
- Közreműködő
- Tárfiók-közreműködő
- Storage-blobadatok közreműködője
- Storage-blobadatok tulajdonosa
- Storage-blobadatok olvasója
- Storage Blob Delegator
Mivel a Felhasználói delegálási kulcs lekérése művelet a tárfiók szintjén működik, a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey műveletet a tárfiók, az erőforráscsoport vagy az előfizetés szintjén kell hatókörbe szorítani. Ha a rendszerbiztonsági taghoz a korábban felsorolt, beépített szerepkörök vagy a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey műveletet tartalmazó egyéni szerepkör van hozzárendelve, a tárfiók, az erőforráscsoport vagy az előfizetés szintjén, a rendszerbiztonsági tag ezután kérheti a felhasználó delegálási kulcsát.
Ha a rendszerbiztonsági taghoz olyan szerepkör van hozzárendelve, amely engedélyezi az adathozzáférést, de hatóköre egy tároló szintjére terjed ki, a Storage Blob Delegator szerepkört a tárfiók, az erőforráscsoport vagy az előfizetés szintjén is hozzárendelheti a biztonsági taghoz. A Storage Blob Delegator szerepkör engedélyezi a rendszerbiztonsági tagoknak a felhasználói delegálási kulcs kérését.
További információ az Azure Storage RBAC-szerepköreiről: Engedélyezés Microsoft Entra.
OAuth 2.0-jogkivonat beszerzése
A felhasználói delegálási kulcs lekéréséhez először kérjen egy OAuth 2.0-jogkivonatot Microsoft Entra ID. Adja meg a jogkivonatot a Tulajdonosi sémával a felhasználódelegálási kulcs lekérése művelet meghívásának engedélyezéséhez. Az OAuth-jogkivonat Microsoft Entra ID való lekéréséről további információt a Hitelesítési folyamatok és alkalmazásforgatókönyvek című témakörben talál.
A felhasználó delegálási kulcsának kérése
A Felhasználódelegálási kulcs lekérése művelet hívása a kulcsot a felhasználódelegálási SAS-jogkivonat paramétereiként használt értékek halmazaként adja vissza. Ezeket a paramétereket a Felhasználói delegálási kulcs lekérése referenciában, a következő szakaszban pedig a "Felhasználói delegálási SAS létrehozása" című szakaszban ismertetjük.
Amikor egy ügyfél OAuth 2.0-jogkivonattal kér felhasználói delegálási kulcsot, az Azure Storage a biztonsági tag nevében adja vissza a felhasználódelegálási kulcsot. A felhasználói delegálási kulccsal létrehozott SAS megkapja a rendszerbiztonsági tagnak megadott engedélyeket.
Miután rendelkezik a felhasználódelegálási kulccsal, a kulcs élettartama alatt tetszőleges számú felhasználói delegálási megosztott hozzáférési aláírást hozhat létre. A felhasználói delegálási kulcs független a beszerzéséhez használt OAuth 2.0-jogkivonattól, így a jogkivonatot nem kell megújítani, amíg a kulcs még érvényes. Megadhatja, hogy a kulcs legfeljebb hét napig érvényes legyen.
Felhasználói delegálási SAS létrehozása
Az alábbi táblázat összefoglalja a felhasználói delegálási SAS-jogkivonatok által támogatott mezőket. A következő szakaszok további részleteket nyújtanak a paraméterek megadásáról.
| SAS-mező neve | SAS-jogkivonat paramétere | Kötelező vagy választható | Verziótámogatás | Leírás |
|---|---|---|---|---|
signedVersion |
sv |
Kötelező | 2018-11-09 és újabb | Az aláírásmező létrehozásához használt szolgáltatás verzióját jelzi. Azt a szolgáltatásverziót is megadja, amely az sassal érkező kéréseket kezeli. |
signedResource |
sr |
Kötelező | Mind | Meghatározza, hogy mely bloberőforrások érhetők el a közös hozzáférésű jogosultságkódon keresztül. |
signedStart |
st |
Választható | Mind | Választható. A közös hozzáférésű jogosultságkód érvényességének időpontja az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Ha ez az érték nincs megadva, a rendszer az aktuális UTC-időpontot használja a kezdési időpontként. Az elfogadott UTC-formátumokkal kapcsolatos további információkért lásd: DateTime-értékek formázása. |
signedExpiry |
se |
Kötelező | Mind | A közös hozzáférésű jogosultságkód érvénytelenné válásának időpontja az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Az elfogadott UTC-formátumokkal kapcsolatos további információkért lásd: DateTime-értékek formázása. |
signedPermissions |
sp |
Kötelező | Mind | Azt jelzi, hogy az SAS-t használó ügyfél mely műveleteket hajthatja végre az erőforráson. Az engedélyek kombinálhatók. |
signedIp |
sip |
Választható | 2015-04-05 és újabb verziók | Olyan IP-címet vagy ip-címtartományt határoz meg, amelyből a kéréseket el kell fogadni. Ha tartományt ad meg, ne feledje, hogy a tartomány befogadó. Csak az IPv4-címek támogatottak. Például sip=168.1.5.65 vagy sip=168.1.5.60-168.1.5.70. |
signedProtocol |
spr |
Választható | 2015-04-05 és újabb verziók | Megadja az SAS-vel küldött kérések esetében engedélyezett protokollt. Adja meg ezt a mezőt, hogy megkövetelje, hogy az SAS-jogkivonattal küldött kérések HTTPS-t használjanak. |
signedObjectId |
skoid |
Kötelező | 2018.11.09-i és újabb verziók | Azonosítja a Microsoft Entra rendszerbiztonsági tagot. |
signedTenantId |
sktid |
Kötelező | 2018.11.09-i és újabb verziók | Megadja azt a Microsoft Entra bérlőt, amelyben a rendszerbiztonsági tag definiálva van. |
signedKeyStartTime |
skt |
Választható. | 2018.11.09-i és újabb verziók | Az értéket a Felhasználódelegálási kulcs lekérése művelet adja vissza. A felhasználódelegálási kulcs élettartamának kezdetét jelzi az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Ha az érték nincs megadva, a rendszer az aktuális időt feltételezi. Az elfogadott UTC-formátumokkal kapcsolatos további információkért lásd: DateTime-értékek formázása. |
signedKeyExpiryTime |
ske |
Kötelező | 2018.11.09-i és újabb verziók | Az értéket a Felhasználódelegálási kulcs lekérése művelet adja vissza. A felhasználódelegálási kulcs élettartamának végét jelzi az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Az elfogadott UTC-formátumokkal kapcsolatos további információkért lásd: DateTime-értékek formázása. |
signedKeyVersion |
skv |
Kötelező | 2018.11.09-i és újabb verziók | Az értéket a Felhasználódelegálási kulcs lekérése művelet adja vissza. A felhasználódelegálási kulcs lekéréséhez használt tárolási szolgáltatás verzióját adja meg. A mezőnek a 2018-11-09-es vagy újabb verziót kell megadnia. |
signedKeyService |
sks |
Kötelező | 2018.11.09-i és újabb verziók | Azt a szolgáltatást jelzi, amelyhez a felhasználódelegálási kulcs érvényes. Jelenleg csak a Blob Storage támogatott. |
signedAuthorizedObjectId |
saoid |
Választható | 2020-02-10 és újabb verziók | Megadja egy Microsoft Entra rendszerbiztonsági tag objektumazonosítóját, amelyet a felhasználódelegálási kulcs tulajdonosa jogosult az SAS-jogkivonat által megadott művelet végrehajtására. Nem történik további engedély-ellenőrzés a POSIX(Portable Operating System Interface) hozzáférés-vezérlési listákon (ACL-ek). |
signedUnauthorizedObjectId |
suoid |
Választható | 2020-02-10 és újabb verziók | Egy Microsoft Entra rendszerbiztonsági tag objektumazonosítóját adja meg, ha engedélyezve van egy hierarchikus névtér. Az Azure Storage POSIX ACL-ellenőrzést végez az objektumazonosítón, mielőtt engedélyezi a műveletet. |
signedCorrelationId |
scid |
Választható | 2020-02-10 és újabb verziók | Korrelálja a tárnaplókat az SAS-t létrehozó és elosztó rendszerbiztonsági tag által használt auditnaplókkal. |
signedDirectoryDepth |
sdd |
Kötelező, ha sr=d |
2020-02-10 és újabb verziók | A könyvtár gyökérmappájában lévő könyvtárak számát jelzi, amely a canonicalizedResource sztring-előjel mezőben van megadva. |
signedEncryptionScope |
ses |
Választható | 2020-12-06 és újabb verziók | A kérelem tartalmának titkosításához használandó titkosítási hatókört jelzi. |
signature |
sig |
Kötelező | Mind | Az aláírás egy kivonatalapú üzenethitelesítési kód (HMAC), amelyet az SHA256 algoritmussal, majd Base64-kódolással számítunk ki a sztring-aláírás és a kulcs alapján. |
Cache-Control válaszfejléc |
rscc |
Választható | 2013-08-15-ös és újabb verziók | Az Azure Storage a Cache-Control válaszfejlécet az SAS-jogkivonatban megadott értékre állítja. |
Content-Disposition válaszfejléc |
rscd |
Választható | 2013-08-15-ös és újabb verziók | Az Azure Storage a Content-Disposition válaszfejlécet az SAS-jogkivonatban megadott értékre állítja. |
Content-Encoding válaszfejléc |
rsce |
Választható | 2013-08-15-ös és újabb verziók | Az Azure Storage a Content-Encoding válaszfejlécet az SAS-jogkivonatban megadott értékre állítja. |
Content-Language válaszfejléc |
rscl |
Választható | 2013-08-15-ös és újabb verziók | Az Azure Storage a Content-Language válaszfejlécet az SAS-jogkivonatban megadott értékre állítja. |
Content-Type válaszfejléc |
rsct |
Választható | 2013-08-15-ös és újabb verziók | Az Azure Storage a Content-Type válaszfejlécet az SAS-jogkivonatban megadott értékre állítja. |
Az aláírt verzió mező megadása
A kötelező signedVersion (sv) mező a közös hozzáférésű jogosultságkód szolgáltatásverzióját adja meg. Ez az érték a mező létrehozásához signature használt szolgáltatás verzióját jelzi, és meghatározza azt a szolgáltatásverziót, amely az ezzel a közös hozzáférésű jogosultságkóddal küldött kéréseket kezeli. A mező értékének a sv 2018-11-09-es vagy újabb verziónak kell lennie.
Az aláírt erőforrásmező megadása
A kötelező signedResource (sr) mező határozza meg, hogy mely erőforrások érhetők el a közös hozzáférésű jogosultságkódon keresztül. Az alábbi táblázat azt ismerteti, hogyan hivatkozhat egy blobra, tárolóra vagy könyvtárerőforrásra az SAS-jogkivonatban:
| Erőforrás | Paraméter értéke | Támogatott verziók | Description |
|---|---|---|---|
| Blob | b | Mind | Hozzáférést biztosít a blob tartalmához és metaadataihoz. |
| Blobverzió | Bv | 2018.11.09-i és újabb verziók | Hozzáférést biztosít a blobverzió tartalmához és metaadataihoz, az alapblobhoz nem. |
| Blobpillanatkép | Bs | 2018.11.09-i és újabb verziók | Hozzáférést biztosít a blobpillanatkép tartalmához és metaadataihoz, az alapblobhoz azonban nem. |
| Tároló | c | Mind | Hozzáférést biztosít a tárolóban lévő blobok tartalmához és metaadataihoz, valamint a tárolóban lévő blobok listájához. |
| Címtár | n | 2020-02-10 és újabb verziók | Hozzáférést biztosít a címtárban lévő blobok tartalmához és metaadataihoz, valamint a címtárban lévő blobok listájához egy olyan tárfiókban, amelyen engedélyezve van a hierarchikus névtér. Ha a mezőhöz signedResource könyvtár van megadva, a signedDirectoryDepth (sdd) paraméterre is szükség van. A címtárak mindig tárolón belül találhatók. |
Az aláírás érvényességének időtartamának megadása
A signedStart (st) és signedExpiry (se) mezők az SAS kezdő és lejárati idejét jelzik. Az signedExpiry mező kötelező. A signedStart mező kitöltése nem kötelező. Ha nincs megadva, a rendszer az aktuális UTC-időpontot használja kezdő időpontként.
Felhasználódelegálási SAS esetén az SAS kezdő és lejárati idejének a felhasználói delegálási kulcshoz megadott időtartamon belül kell lennie. Ha egy ügyfél a felhasználói delegálási kulcs lejárta után próbál SAS-t használni, az SAS engedélyezési hibával meghiúsul, függetlenül attól, hogy maga az SAS továbbra is érvényes-e.
Az elfogadott UTC-formátumokkal kapcsolatos további információkért lásd: DateTime-értékek formázása.
Engedélyek megadása
Az SAS-jogkivonat (sp) mezőjéhez signedPermissions megadott engedélyek azt jelzik, hogy az SAS-t használó ügyfél mely műveleteket hajthatja végre az erőforráson.
Az engedélyek kombinálhatók, hogy egy ügyfél több műveletet hajthat végre ugyanazzal az SAS-vel. Az SAS létrehozásakor az engedélyeket a következő sorrendben kell megadnia:
racwdxltmeop
A tároló érvényes engedélybeállításai közé tartoznak például a következők: rw, rd, rl, wd, wlés rl. Érvénytelen beállítások például a következők: wr, dr, lrés dw. Az engedélymegjelölés többszöri megadása nem engedélyezett.
A felhasználódelegálási SAS nem tud hozzáférést biztosítani bizonyos műveletekhez:
- A tárolók nem hozhatók létre, nem törölhetők és nem listázhatók.
- A tároló metaadatai és tulajdonságai nem olvashatók és nem írhatók.
- A tárolók nem adhatók bérbe.
Ha olyan SAS-t szeretne létrehozni, amely hozzáférést biztosít ezekhez a műveletekhez, használjon fiók SAS-t. További információ: fiók SAS-Létrehozás.
Az egyes erőforrástípusokhoz támogatott engedélyeket az alábbi táblázat ismerteti:
| Engedély | URI szimbólum | Erőforrás | Verziótámogatás | Engedélyezett műveletek |
|---|---|---|---|---|
| Olvasás | r | Tároló Címtár Blob |
Mind | Olvassa el a tárolóban vagy könyvtárban található blobok tartalmát, tiltólistát, tulajdonságait és metaadatait. Másolási művelet forrásaként használjon blobot. |
| Hozzáadás | a | Tároló Címtár Blob |
Mind | Blokk hozzáadása hozzáfűző blobhoz. |
| Létrehozás | c | Tároló Címtár Blob |
Mind | Írjon egy új blobot, pillanatképet készítsen egy blobról, vagy másolja a blobot egy új blobba. |
| Írás | w | Tároló Címtár Blob |
Mind | tartalom, tulajdonságok, metaadatok vagy tiltólista Létrehozás vagy írása. A blob pillanatképe vagy bérlete. A blob átméretezése (csak lapblobok). Másolási művelet céljaként használja a blobot. |
| Törlés | n | Tároló Címtár Blob |
Mind | Blob törlése. A 2017-07-29-es és újabb verziók esetében a Törlés engedély lehetővé teszi a blobok bérletének megszakítását is. További információt a Blobbérlet műveletben talál. |
| Verzió törlése | x | Tároló Blob |
2019-12-12 és újabb verziók | Blobverzió törlése. |
| Végleges törlés | é | Blob | 2020-02-10 és újabb verziók | Blobpillanatkép vagy -verzió végleges törlése. |
| Lista | l | Tároló Címtár |
Mind | Nem rekurzív blobok listázása. |
| Címkék | t | Blob | 2019-12-12 és újabb | Olvassa el vagy írja meg a címkéket egy blobon. |
| Áthelyezés | m | Tároló Címtár Blob |
2020-02-10 és újabb | Blob vagy könyvtár és tartalma áthelyezése új helyre. Ez a művelet opcionálisan a gyermek blob, könyvtár vagy szülőkönyvtár tulajdonosára korlátozható, ha a saoid paraméter szerepel az SAS-jogkivonatban, és a ragadós bit be van állítva a szülőkönyvtárban. |
| Végrehajtás | e | Tároló Címtár Blob |
2020-02-10 és újabb | Kérje le a rendszertulajdonságokat, és ha a hierarchikus névtér engedélyezve van a tárfiókhoz, kérje le egy blob POSIX ACL-ét. Ha a hierarchikus névtér engedélyezve van, és a hívó egy blob tulajdonosa, ez az engedély lehetővé teszi a blob tulajdonoscsoportjának, POSIX-engedélyeinek és POSIX ACL-jének beállítását. Ez nem teszi lehetővé a hívó számára a felhasználó által definiált metaadatok olvasását. |
| Tulajdonjog | o | Tároló Címtár Blob |
2020-02-10 és újabb | Ha a hierarchikus névtér engedélyezve van, ez az engedély lehetővé teszi, hogy a hívó beállítsa a tulajdonost vagy a tulajdonoscsoportot, vagy tulajdonosként viselkedjen, amikor a hívó átnevez vagy töröl egy könyvtárat vagy blobot egy olyan könyvtárban, amely rendelkezik a ragadós bitkészlettel. |
| Engedélyek | P | Tároló Címtár Blob |
2020-02-10 és újabb | Ha a hierarchikus névtér engedélyezve van, ez az engedély lehetővé teszi a hívó számára, hogy engedélyeket és POSIX ACL-eket állítson be könyvtárakon és blobokon. |
| Módosíthatatlansági szabályzat beállítása | i | Tároló Blob |
2020-06-12 és újabb | Állítsa be vagy törölje a nem módosítható szabályzatot vagy a jogi célú visszatartást egy blobon. |
IP-cím vagy IP-címtartomány megadása
A választható signedIp (sip) mező egy nyilvános IP-címet vagy egy nyilvános IP-címtartományt határoz meg, amelyből a kéréseket el kell fogadni. Ha az IP-cím, amelyről a kérés származik, nem egyezik meg az SAS-jogkivonaton megadott IP-címmel vagy címtartománynal, a kérés nincs engedélyezve. Csak az IPv4-címek támogatottak.
Ip-címek tartományának megadásakor a tartomány befogadó. Például a sas megadása sip=168.1.5.65 vagy sip=168.1.5.60-168.1.5.70 az SAS-ben a kérést az adott IP-címekre korlátozza.
Az alábbi táblázat azt ismerteti, hogy a signedIp mező szerepeljen-e egy SAS-jogkivonaton egy adott forgatókönyvhöz az ügyfélkörnyezet és a tárfiók helye alapján.
| Ügyfélkörnyezet | Tárfiók helye | Ajánlás |
|---|---|---|
| Az Azure-ban futó ügyfél | Ugyanabban a régióban, mint az ügyfél | Az ügyfélnek ebben a forgatókönyvben biztosított SAS-nek nem szabad a mező kimenő IP-címét signedIp tartalmaznia. A megadott kimenő IP-címmel rendelkező SAS használatával ugyanazon régióból érkező kérések sikertelenek.Ehelyett használjon azure-beli virtuális hálózatot a hálózati biztonsági korlátozások kezeléséhez. Az Azure Storage-nak ugyanazon a régión belülről érkező kérések mindig magánhálózati IP-címen keresztül történnek. További információ: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása. |
| Az Azure-ban futó ügyfél | Az ügyféltől eltérő régióban | Az ebben a forgatókönyvben az ügyfélnek biztosított SAS tartalmazhat egy nyilvános IP-címet vagy címtartományt a signedIp mezőhöz. Az SAS-vel küldött kéréseknek a megadott IP-címről vagy címtartományból kell származnia. |
| A helyszínen vagy egy másik felhőkörnyezetben futó ügyfél | Bármely Azure-régióban | Az ebben a forgatókönyvben az ügyfélnek biztosított SAS tartalmazhat egy nyilvános IP-címet vagy címtartományt a signedIp mezőhöz. Az SAS-vel küldött kéréseknek a megadott IP-címről vagy címtartományból kell származnia.Ha a kérelem proxyn vagy átjárón halad át, adja meg az adott proxy vagy átjáró nyilvános kimenő IP-címét a signedIp mezőhöz. |
A HTTP-protokoll megadása
A választható signedProtocol (spr) mező az SAS-vel küldött kérések esetében engedélyezett protokollt adja meg. A lehetséges értékek csak HTTPS és HTTP (https,http) vagy HTTPS (https). Az alapértelmezett érték https,http.
Megjegyzés
A mezőhöz spr nem lehet HTTP-t megadni.
Az aláírt objektum azonosítójának megadása
A signedObjectId (skoid) mező szükséges a felhasználói delegálási SAS-hez. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Az aláírt objektumazonosító egy GUID-érték, amely a Microsoft Identitásplatform egy rendszerbiztonsági tag nem módosítható azonosítóját szolgálja ki.
Az aláírt bérlőazonosító megadása
A signedTenantId (sktid) mező szükséges a felhasználói delegálási SAS-hez. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Az aláírt bérlőazonosító egy GUID-érték, amely azt a Microsoft Entra bérlőt jelöli, amelyben a rendszerbiztonsági tag definiálva van.
Az aláírt kulcs kezdési időpontjának megadása
A választható signedKeyStartTime (skt) mező a felhasználói delegálási kulcs élettartamának kezdetét jelzi ISO Date formátumban. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Ha a kezdési időpont nincs megadva, az aláírt kulcs kezdési időpontja az aktuális időpont.
Az aláírt kulcs lejárati idejének megadása
A signedKeyExpiryTime (ske) mező kötelező a felhasználói delegálási SAS-hez ISO Date formátumban. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Az aláírt kulcs lejárati ideje a felhasználói delegálási kulcs élettartamának végét jelzi. A lejárati idő értéke az SAS kezdő időpontjától számított legfeljebb hét nap lehet.
Az aláírt kulcsszolgáltatás megadása
A signedKeyService (sks) mező szükséges a felhasználói delegálási SAS-hez. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Az aláírt kulcs szolgáltatásmezője azt a szolgáltatást jelzi, amelyre érvényes a felhasználói delegálási kulcs. A Blob Storage aláírt kulcs szolgáltatásmezőjének értéke .b
Az aláírt kulcs verziójának megadása
A signedkeyversion (skv) mező szükséges a felhasználói delegálási SAS-hez. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. A signedkeyversion mező a felhasználói delegálási kulcs lekéréséhez használt tárolási szolgáltatás verzióját adja meg. A mezőnek a 2018-11-09-es vagy újabb verziót kell megadnia.
Aláírt objektumazonosító megadása egy biztonsági taghoz
A választható signedAuthorizedObjectId (saoid) és signedUnauthorizedObjectId (suoid) mezők lehetővé teszik az Apache Hadoop és az Apache Ranger integrációját Azure Data Lake Storage Gen2 számítási feladatokhoz. Az SAS-jogkivonaton az alábbi mezők egyikével adhatja meg a rendszerbiztonsági tag objektumazonosítóját:
- A
saoidmező egy Microsoft Entra biztonsági tag objektumazonosítóját adja meg, amelyet a felhasználódelegálási kulcs tulajdonosa jogosult az SAS-jogkivonat által megadott művelet végrehajtására. Az Azure Storage ellenőrzi az SAS-jogkivonatot, és biztosítja, hogy a felhasználói delegálási kulcs tulajdonosa rendelkezik a szükséges engedélyekkel, mielőtt az Azure Storage hozzáférést ad. Nincs további engedélyellenőrzés a POSIX ACL-eken. - A
suoidmező egy Microsoft Entra biztonsági tag objektumazonosítóját adja meg, ha egy tárfiókhoz engedélyezve van egy hierarchikus névtér. Asuoidmező csak hierarchikus névtérrel rendelkező fiókokra érvényes. Ha asuoidmező szerepel az SAS-jogkivonatban, az Azure Storage POSIX ACL-ellenőrzést végez az objektumazonosítón, mielőtt engedélyezi a műveletet. Ha ez az ACL-ellenőrzés nem sikerül, a művelet meghiúsul. A tárfiókhoz engedélyezni kell egy hierarchikus névteret, ha asuoidmező szerepel az SAS-jogkivonatban. Ellenkező esetben az engedély-ellenőrzés engedélyezési hibával hiúsul meg.
A felhasználódelegálási kulcsot kérő biztonsági tag objektumazonosítóját a rendszer a szükséges skoid mezőben rögzíti. Ha az SAS-jogkivonaton egy objektumazonosítót szeretne megadni a saoid vagy a mezővel, a mezőben azonosított skoid biztonsági taghoz hozzá kell rendelni egy RBAC-szerepkört, amely tartalmazza a Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action vagy a Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action szerepkörtsuoid. További információ ezekről a műveletekről: Azure-erőforrás-szolgáltató műveletei.
A vagy suoid mező saoid objektumazonosítójának megadásával a következő módokon korlátozhatja a címtár- vagy blobtulajdonlással kapcsolatos műveleteket is:
- Ha egy művelet létrehoz egy könyvtárat vagy blobot, az Azure Storage a könyvtár vagy blob tulajdonosát az objektumazonosító által megadott értékre állítja. Ha az objektumazonosító nincs megadva, az Azure Storage a könyvtár vagy blob tulajdonosát a paraméter által
skoidmegadott értékre állítja. - Ha a ragadós bit be van állítva a szülőkönyvtárban, és a művelet töröl vagy átnevez egy könyvtárat vagy blobot, a szülőkönyvtár tulajdonosának vagy az erőforrás tulajdonosának objektumazonosítójának meg kell egyeznie az objektumazonosító által megadott értékkel.
- Ha egy művelet beállítja egy könyvtár vagy blob tulajdonosát, és a
x-ms-ownerfejléc meg van adva, az objektumazonosító által megadott értéknek meg kell egyeznie ax-ms-ownerfejléc által megadott értékkel. - Ha egy művelet beállítja a csoportot egy könyvtárhoz vagy blobhoz, és a
x-ms-groupfejléc meg van adva, az objektumazonosító által megadott értéknek a fejléc általx-ms-groupmegadott csoport tagjának kell lennie. - Ha egy művelet beállítja egy könyvtár vagy blob engedélyeit vagy ACL-ét, az alábbi két feltétel egyikének is teljesülnie kell:
- Az objektumazonosítóhoz megadott értéknek a könyvtár vagy blob tulajdonosának kell lennie.
- A (
sp) mező értékének tartalmazniasignedPermissionskell aOwnership(o) engedélyt aPermissions(p) engedély mellett.
A vagy suoid mezőben saoid megadott objektumazonosító szerepel a diagnosztikai naplókban, amikor az SAS-jogkivonat használatával küld kéréseket.
A saoid vagy suoid mező csak akkor támogatott, ha a signedVersion (sv) mező a 2020-02-10-es vagy újabb verzióra van állítva. Ezek közül a mezők közül csak egy szerepelhet az SAS-jogkivonatban.
Korrelációs azonosító megadása
A signedCorrelationId (scid) mező olyan korrelációs azonosítót ad meg, amely a tárolónaplók és az SAS-t létrehozó és terjesztő rendszerbiztonsági tag által használt naplókkal való korrelációhoz használható. Például egy megbízható engedélyezési szolgáltatás általában egy felügyelt identitással rendelkezik, amely hitelesíti és engedélyezi a felhasználókat, létrehoz egy SAS-t, hozzáad egy bejegyzést a helyi auditnaplóhoz, és visszaadja az SAS-t egy felhasználónak, aki ezután az SAS használatával hozzáférhet az Azure Storage-erőforrásokhoz. Ha egy korrelációs azonosítót is felvesz a helyi naplóba és a tárnaplóba, lehetővé teszi, hogy ezek az események később korreláljanak. Az érték egy kapcsos zárójelek nélküli GUID, kisbetűs karakterekkel.
Ez a mező a 2020-02-10-es és újabb verzióval támogatott.
A könyvtármélység megadása
Ha a signedResource mező egy könyvtárat (sr=d) határoz meg, akkor a signedDirectoryDepth (sdd) mezőt is meg kell adnia a gyökérkönyvtár alatti alkönyvtárak számának jelzéséhez. A mező értékének sdd nem negatív egész számnak kell lennie.
A gyökérkönyvtár https://{account}.blob.core.windows.net/{container}/ például 0 mélységű. A gyökérkönyvtár minden alkönyvtára 1-gyel növeli a mélységet. A könyvtár https://{account}.blob.core.windows.net/{container}/d1/d2 mélysége 2.
Ez a mező a 2020-02-10-es és újabb verzióval támogatott.
Lekérdezési paraméterek megadása a válaszfejlécek felülbírálásához
Ha meg szeretné határozni bizonyos válaszfejlécek értékeit, amelyeket akkor kell visszaadni, ha a közös hozzáférésű jogosultságkódot használják egy kérelemben, megadhatja a válaszfejléceket a lekérdezési paraméterekben. A válaszfejlécek és a kapcsolódó lekérdezési paraméterek a következők:
| Válaszfejléc neve | Megfelelő SAS-lekérdezési paraméter |
|---|---|
Cache-Control |
rscc |
Content-Disposition |
rscd |
Content-Encoding |
rsce |
Content-Language |
rscl |
Content-Type |
rsct |
Ha például egy SAS-jogkivonaton adja meg a rsct=binary lekérdezési paramétert, a válasz fejléce Content-Type a következőre binaryvan állítva: . Ez az érték felülbírálja a Content-Type blobhoz tárolt fejlécértéket egy olyan kéréshez, amely csak ezt a közös hozzáférésű jogosultságkódot használja.
Ha olyan közös hozzáférésű jogosultságkódot hoz létre, amely lekérdezési paraméterekként adja meg a válaszfejléceket, az aláírási sztring létrehozásához használt sztringbe kell foglalnia ezeket a válaszfejléceket. További információt az "Aláírás megadása" című szakaszban talál.
A titkosítási hatókör megadása
A signed encryption scope (ses) mező egy titkosítási hatókört határoz meg, amelyet az ügyfélalkalmazás a blobok feltöltésekor használ az SAS-jogkivonat használatával a Blob put művelettel. A signed encryption scope mező akkor támogatott, ha az SAS-jogkivonat aláírt verziója (sv) mezője a 2020-12-06-os vagy újabb verzió. Ha az aláírt verzió mező a támogatott verziónál korábbi verziót ad meg, a szolgáltatás a 403-es (Tiltott) hibaválaszkódot adja vissza.
Ha az alapértelmezett titkosítási hatókör be van állítva a tárolóhoz vagy a fájlrendszerhez, a ses mező tiszteletben tartja a tárolótitkosítási szabályzatot. Ha a lekérdezési paraméter és x-ms-default-encryption-scope a ses fejléc nem egyezik, és a x-ms-deny-encryption-scope-override fejléc trueértéke , a szolgáltatás a 403-at (Tiltott) hibaválaszkódot adja vissza.
Ha a x-ms-encryption-scope fejléc és a ses lekérdezési paraméter is meg van adva a PUT kérelemben, és eltérés van, a szolgáltatás a 400-ás hibaválaszkódot adja vissza (hibás kérés).
Az aláírás megadása
A signature (sig) mező egy ügyfél közös hozzáférésű jogosultságkóddal rendelkező kérésének engedélyezésére szolgál. A sztring-előjel egy egyedi sztring, amely a kérelem engedélyezéséhez ellenőrizendő mezőkből lett létrehozva. Az aláírás egy HMAC, amely az SHA256 algoritmussal kiszámított sztring-jel és kulcs alapján van kiszámítva, majd Base64 kódolással kódolva.
A felhasználói delegálási SAS aláírási sztringjének létrehozásához hozza létre a sztringet a kérést alkotó mezőkből, kódolja a sztringet UTF-8 formátumban, majd számítsa ki az aláírást a HMAC-SHA256 algoritmussal. A sztring-előjel mezőinek URL-dekódoltnak kell lenniük.
A sztring-aláírás mezői az engedélyezéshez használt szolgáltatásverziótól (sv mezőtől) függnek. Az alábbi szakaszok a felhasználói delegálási SAS-t támogató verziók sztring–aláírás konfigurációját ismertetik.
2020-12-06-os és újabb verzió
A 2020-12-06-os és újabb engedélyezési verzióhoz tartozó sztring–aláírás formátuma a következő:
StringToSign = signedPermissions + "\n" +
signedStart + "\n" +
signedExpiry + "\n" +
canonicalizedResource + "\n" +
signedKeyObjectId + "\n" +
signedKeyTenantId + "\n" +
signedKeyStart + "\n" +
signedKeyExpiry + "\n" +
signedKeyService + "\n" +
signedKeyVersion + "\n" +
signedAuthorizedUserObjectId + "\n" +
signedUnauthorizedUserObjectId + "\n" +
signedCorrelationId + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedVersion + "\n" +
signedResource + "\n" +
signedSnapshotTime + "\n" +
signedEncryptionScope + "\n" +
rscc + "\n" +
rscd + "\n" +
rsce + "\n" +
rscl + "\n" +
rsct
2020-02-10-es verzió
A 2020-02-10-es engedélyezési verzió sztring–aláírás formátuma a következő:
StringToSign = signedPermissions + "\n" +
signedStart + "\n" +
signedExpiry + "\n" +
canonicalizedResource + "\n" +
signedKeyObjectId + "\n" +
signedKeyTenantId + "\n" +
signedKeyStart + "\n" +
signedKeyExpiry + "\n" +
signedKeyService + "\n" +
signedKeyVersion + "\n" +
signedAuthorizedUserObjectId + "\n" +
signedUnauthorizedUserObjectId + "\n" +
signedCorrelationId + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedVersion + "\n" +
signedResource + "\n" +
signedSnapshotTime + "\n" +
rscc + "\n" +
rscd + "\n" +
rsce + "\n" +
rscl + "\n" +
rsct
2020-02-10-nél korábbi verziók
A 2020-02-10-nél korábbi engedélyezési verziók sztring–aláírás formátuma a következő:
StringToSign = signedPermissions + "\n" +
signedStart + "\n" +
signedExpiry + "\n" +
canonicalizedResource + "\n" +
signedKeyObjectId + "\n" +
signedKeyTenantId + "\n" +
signedKeyStart + "\n" +
signedKeyExpiry + "\n" +
signedKeyService + "\n" +
signedKeyVersion + "\n" +
signedAuthorizedUserObjectId + "\n" +
signedUnauthorizedUserObjectId + "\n" +
signedCorrelationId + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedVersion + "\n" +
signedResource + "\n" +
rscc + "\n" +
rscd + "\n" +
rsce + "\n" +
rscl + "\n" +
rsct
Canonicalized resource
A canonicalizedResource sztring része az aláírt erőforráshoz vezető canonical elérési út. Tartalmaznia kell a Blob Storage-végpontot és az erőforrás nevét, és URL-címmel kell dekódolni. A blobelérési útvonalnak tartalmaznia kell a tárolóját. A címtár elérési útjának tartalmaznia kell a paraméternek megfelelő sdd alkönyvtárak számát.
A tároló canonicalizált erőforrás-sztringjének ki kell hagynia a tárolóhoz hozzáférést biztosító SAS záró perjelét (/).
Az alábbi példák bemutatják, hogyan hozhatja létre a canonicalizedResource sztring részét az erőforrás típusától függően.
Példa tárolóra (Azure Blob Storage)
URL = https://myaccount.blob.core.windows.net/music
canonicalizedResource = "/blob/myaccount/music"
Példa blobra (Azure Blob Storage)
URL = https://myaccount.blob.core.windows.net/music/intro.mp3
canonicalizedResource = "/blob/myaccount/music/intro.mp3"
Példa tárolóra (Azure Data Lake Storage Gen2)
URL = https://myaccount.dfs.core.windows.net/music
canonicalizedResource = "/blob/myaccount/music"
Példa könyvtárra (Azure Data Lake Storage Gen2)
URL = https://myaccount.dfs.core.windows.net/music/instruments/guitar/
canonicalizedResource = "/blob/myaccount/music/instruments/guitar/"
Példa blobra (Azure Data Lake Storage Gen2)
URL = https://myaccount.dfs.core.windows.net/music/intro.mp3
canonicalizedResource = "/blob/myaccount/music/intro.mp3"
Választható mezők
Ha egy mező nem kötelező, és nem szerepel az SAS-jogkivonatban, adjon meg egy üres sztringet a mezőhöz. Ügyeljen arra, hogy az üres sztring után adja meg az új vonal karakterét (\n).
Példa a felhasználódelegálási SAS-ra
Az alábbi példában egy blob URI-ja látható, amelyhez hozzá van fűzve egy felhasználódelegálási SAS-jogkivonat. A felhasználódelegálási SAS-jogkivonat olvasási és írási engedélyeket biztosít a blobhoz.
https://myaccount.blob.core.windows.net/sascontainer/blob1.txt?sp=rw&st=2023-05-24T01:13:55Z&se=2023-05-24T09:13:55Z&skoid=<object-id>&sktid=<tenant-id>&skt=2023-05-24T01:13:55Z&ske=2023-05-24T09:13:55Z&sks=b&skv=2022-11-02&sip=168.1.5.60-168.1.5.70&spr=https&sv=2022-11-02&sr=b&sig=<signature>
Az URI egyes részeit a következő táblázat ismerteti:
| Name | SAS-rész | Description |
|---|---|---|
| Erőforrás URI-ja | https://myaccount.blob.core.windows.net/sascontainer/blob1.txt |
A blob címe. Erősen javasoljuk, hogy HTTPS-t használjon. |
| Elválasztó | ? |
A lekérdezési sztring előtti elválasztó. Az elválasztó nem része az SAS-jogkivonatnak. |
| Engedélyek | sp=rw |
Az SAS által megadott engedélyek közé tartozik az Olvasás (r) és az Írás (w). |
| Kezdési idő | st=2023-05-24T01:13:55Z |
Utc idő szerint megadva. Ha azt szeretné, hogy az SAS azonnal érvényes legyen, hagyja ki a kezdési időpontot. |
| Lejárati idő | se=2023-05-24T09:13:55Z |
Utc idő szerint megadva. |
| Objektumazonosító | skoid=<object-id> |
Egy Microsoft Entra rendszerbiztonsági tag. |
| Bérlőazonosító | sktid=<tenant-id> |
Az Microsoft Entra bérlő, ahol a rendszerbiztonsági tag regisztrálva van. |
| Kulcs kezdési időpontja | skt=2023-05-24T01:13:55Z |
A felhasználódelegálási kulcs élettartamának kezdete. |
| Kulcs lejárati ideje | ske=2023-05-24T09:13:55Z |
A felhasználódelegálási kulcs élettartamának vége. |
| Kulcsszolgáltatás | sks=b |
A szolgáltatásérték csak a Blob szolgáltatást támogatja. |
| Kulcsverzió | skv=2022-11-02 |
A felhasználódelegálási kulcs lekéréséhez használt tárolási szolgáltatás verziója. |
| IP-címtartomány | sip=168.1.5.60-168.1.5.70 |
Azon IP-címek tartománya, amelyekről a kérések fogadva lesznek. |
| Protokoll | spr=https |
Csak HTTPS-t használó kérések engedélyezettek. |
| Blobszolgáltatás verziója | sv=2022-11-02 |
Az Azure Storage 2012-02-12-es és újabb verziói esetében ez a paraméter jelzi a használni kívánt verziót. |
| Erőforrás | sr=b |
Az erőforrás egy blob. |
| Aláírás | sig=<signature> |
A blobhoz való hozzáférés engedélyezésére szolgál. Az aláírás egy HMAC, amely az SHA256 algoritmus használatával egy sztring-előjel és kulcs alapján van kiszámítva, majd Base64 kódolással kódolva. |
Felhasználódelegálási SAS visszavonása
Ha úgy véli, hogy egy SAS biztonsága sérült, akkor vissza kell vonnia. A felhasználódelegálási SAS-t visszavonhatja a felhasználódelegálási kulcs visszavonásával, vagy az SAS létrehozásához használt rendszerbiztonsági tag RBAC-szerepkör-hozzárendeléseinek módosításával vagy eltávolításával.
Fontos
A felhasználódelegálási kulcsot és az RBAC-szerepkör-hozzárendeléseket az Azure Storage gyorsítótárazza, így a visszavonási folyamat elindítása és egy meglévő felhasználói delegálási SAS érvénytelenné válása között késés lehet.
A felhasználódelegálási kulcs visszavonása
A felhasználói delegálási kulcs visszavonásához hívja meg a Felhasználói delegálási kulcsok visszavonása műveletet. Ha visszavonja a felhasználódelegálási kulcsot, a kulcsra támaszkodó közös hozzáférésű jogosultságkódok érvénytelenek lesznek. Ezután meghívhatja ismét a Felhasználódelegálási kulcs lekérése műveletet, és a kulccsal új közös hozzáférésű jogosultságkódokat hozhat létre. Ez a leggyorsabb módja a felhasználói delegálási SAS visszavonásának.
Szerepkör-hozzárendelések módosítása vagy eltávolítása
Az SAS létrehozásához használt rendszerbiztonsági tag RBAC-szerepkör-hozzárendelését módosíthatja vagy eltávolíthatja. Amikor egy ügyfél SAS-t használ egy erőforrás eléréséhez, az Azure Storage ellenőrzi, hogy az a rendszerbiztonsági tag, akinek a hitelesítő adataival védte az SAS-t, rendelkezik-e az erőforráshoz szükséges engedélyekkel.