Felhasználódelegálási SAS létrehozása
Fontos
Az optimális biztonság érdekében a Microsoft a Microsoft Entra ID felügyelt identitásokkal való használatát javasolja a blob-, üzenetsor- és táblaadatokkal kapcsolatos kérések engedélyezéséhez, amikor csak lehetséges. A Microsoft Entra ID és felügyelt identitásokkal történő engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezéséhez. További információ: Engedélyezés Microsoft Entra ID. A felügyelt identitásokkal kapcsolatos további információkért lásd : Mik azok az Azure-erőforrások felügyelt identitásai.
Az Azure-on kívül üzemeltetett erőforrásokhoz, például a helyszíni alkalmazásokhoz felügyelt identitásokat használhat az Azure Arcon keresztül. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak az Azure-szolgáltatásokhoz. További információ: Hitelesítés Azure-erőforrásokon azure Arc-kompatibilis kiszolgálókkal.
A tárolókhoz, címtárakhoz vagy blobokhoz való hozzáféréshez biztosíthatja a közös hozzáférésű jogosultságkód (SAS) jogkivonatot Microsoft Entra hitelesítő adatok vagy egy fiókkulcs használatával. A Microsoft Entra hitelesítő adatokkal védett SAS-t felhasználói delegálási SAS-nek nevezzük. Ajánlott biztonsági gyakorlatként azt javasoljuk, hogy a fiókkulcs helyett Microsoft Entra hitelesítő adatokat használjon, amelyek könnyebben sérülhetnek. Ha az alkalmazás kialakítása közös hozzáférésű jogosultságkódokat igényel, Microsoft Entra hitelesítő adatokkal hozzon létre egy felhasználói delegálási SAS-t a jobb biztonság érdekében.
Minden SAS egy kulccsal van aláírva. Felhasználói delegálási SAS létrehozásához először le kell kérnie egy felhasználói delegálási kulcsot, amelyet aztán az SAS aláírásához használ. A felhasználói delegálási kulcs hasonló a szolgáltatás SAS vagy fiók SAS aláírásához használt fiókkulcshoz, azzal a kivétellel, hogy az a Microsoft Entra hitelesítő adataira támaszkodik. A felhasználó delegálási kulcsának lekéréséhez hívja meg a Felhasználódelegálási kulcs lekérése műveletet. Ezután a felhasználói delegálási kulccsal hozhatja létre az SAS-t.
A felhasználói delegálási SAS Azure Blob Storage és Azure Data Lake Storage Gen2 támogatott. A tárolt hozzáférési szabályzatok nem támogatottak a felhasználói delegálási SAS-hez.
Figyelemfelhívás
A közös hozzáférésű jogosultságkódok olyan kulcsok, amelyek engedélyeket adnak a tárolási erőforrásoknak, és ugyanúgy védenie kell őket, mint egy fiókkulcsot. Fontos, hogy megvédje az SAS-t a rosszindulatú vagy nem szándékos használattól. Használja a diszkréciót az SAS terjesztéséhez, és rendelkezzen egy tervvel a sérült SAS visszavonásához. A közös hozzáférésű jogosultságkódokat használó műveleteket csak HTTPS-kapcsolaton keresztül szabad végrehajtani, és a közös hozzáférésű jogosultságkód URI-jait csak biztonságos kapcsolaton, például HTTPS-en szabad terjeszteni.
A fiókkulcs SAS-védelemhez való használatával kapcsolatos információkért lásd: Létrehozás a szolgáltatás SAS-ját és Létrehozás egy fiók SAS-ját.
Felhasználódelegálási SAS-támogatás címtár-hatókörű hozzáféréshez
A felhasználói delegálási SAS akkor támogatja a címtár hatókörét (sr=d
), ha az engedélyezési verzió (sv
) 2020-02-10 vagy újabb, és engedélyezve van egy hierarchikus névtér (HNS). A könyvtár hatókörének (sr=d
) szemantikai adatai hasonlóak a tároló hatóköréhez (sr=c
), azzal a kivételrel, hogy a hozzáférés egy könyvtárra és a benne lévő fájlokra és alkönyvtárakra korlátozódik. Ha sr=d
meg van adva, a lekérdezési sdd
paraméterre is szükség van.
A 2020-02-10 engedélyezési verzió sztring–aláírás formátuma változatlan.
Felhasználói delegálási SAS-támogatás felhasználói OID-hoz
A felhasználói delegálási SAS támogatja az opcionális felhasználói objektumazonosítót (OID), amely akkor van a vagy suoid
paraméterbensaoid
, ha az engedélyezési verzió (sv
) 2020-02-10 vagy újabb. Ez az opcionális paraméter továbbfejlesztett engedélyezési modellt biztosít a többfelhasználós fürt számítási feladataihoz, például a Hadoophoz és a Sparkhoz.
Az SAS-jogkivonatok egy adott fájlrendszerműveletre és felhasználóra korlátozhatók, amely kevésbé sebezhető hozzáférési jogkivonatot biztosít, amely biztonságosabban terjeszthető többfelhasználós fürtök között. Ezeknek a funkcióknak az egyik használati esete a Hadoop ABFS-illesztő és az Apache Ranger integrációja.
Felhasználói delegálási SAS engedélyezése
Amikor egy ügyfél egy felhasználódelegálási SAS-vel rendelkező Blob Storage-erőforráshoz fér hozzá, a rendszer engedélyezi az Azure Storage-nak küldött kérést az SAS létrehozásához használt Microsoft Entra hitelesítő adatokkal. Az adott Microsoft Entra fiókhoz megadott szerepköralapú hozzáférés-vezérlési (RBAC-) engedélyek, valamint az SAS-en kifejezetten megadott engedélyek határozzák meg az ügyfél hozzáférését az erőforráshoz. Ez a megközelítés további biztonsági szintet biztosít, és segít elkerülni, hogy a fiók hozzáférési kulcsát az alkalmazás kódjával kell tárolnia. Ezen okokból az SAS létrehozása Microsoft Entra hitelesítő adatokkal biztonsági szempontból ajánlott eljárás.
Az SAS-t használó ügyfélnek megadott engedélyek a felhasználódelegálási kulcsot kérő biztonsági tagnak adott engedélyek és az erőforrásnak a (sp
) mező használatával signedPermissions
az SAS-jogkivonaton megadott engedélyek metszetei. Ha az RBAC-n keresztül a rendszerbiztonsági tagnak adott engedély nem adható meg az SAS-jogkivonaton, akkor az engedély nem lesz megadva annak az ügyfélnek, aki az SAS használatával próbál hozzáférni az erőforráshoz. Amikor felhasználói delegálási SAS-t hoz létre, győződjön meg arról, hogy az RBAC-en keresztül megadott engedélyek és az SAS-jogkivonaton keresztül megadott engedélyek is igazodnak az ügyfél által megkövetelt hozzáférési szinthez.
Felhasználói delegálási SAS létrehozásához tegye a következőket:
- Az RBAC használatával adja meg a kívánt engedélyeket a felhasználódelegálási kulcsot kérő rendszerbiztonsági tagnak.
- OAuth 2.0-jogkivonat beszerzése Microsoft Entra ID.
- A jogkivonat használatával kérje le a felhasználói delegálási kulcsot a Felhasználódelegálási kulcs lekérése művelet meghívásával.
- A felhasználói delegálási kulccsal hozza létre az SAS-jogkivonatot a megfelelő mezőkkel.
Engedélyek hozzárendelése RBAC-vel
A felhasználódelegálási kulcsot kérő biztonsági tagnak rendelkeznie kell a megfelelő engedélyekkel. A Microsoft Entra ID biztonsági tag lehet felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás.
A felhasználó delegálási kulcsának lekéréséhez egy biztonsági taghoz kell hozzárendelnie a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey műveletet. A következő beépített RBAC-szerepkörök közé tartozik a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey művelet, explicit módon vagy helyettesítő karakterdefiníció részeként:
- Közreműködő
- Tárfiók-közreműködő
- Storage-blobadatok közreműködője
- Storage-blobadatok tulajdonosa
- Storage-blobadatok olvasója
- Storage Blob Delegator
Mivel a Felhasználói delegálási kulcs lekérése művelet a tárfiók szintjén működik, a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey műveletet a tárfiók, az erőforráscsoport vagy az előfizetés szintjén kell hatókörbe szorítani. Ha a rendszerbiztonsági taghoz a korábban felsorolt, beépített szerepkörök vagy a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey műveletet tartalmazó egyéni szerepkör van hozzárendelve, a tárfiók, az erőforráscsoport vagy az előfizetés szintjén, a rendszerbiztonsági tag ezután kérheti a felhasználó delegálási kulcsát.
Ha a rendszerbiztonsági taghoz olyan szerepkör van hozzárendelve, amely engedélyezi az adathozzáférést, de hatóköre egy tároló szintjére terjed ki, a Storage Blob Delegator szerepkört a tárfiók, az erőforráscsoport vagy az előfizetés szintjén is hozzárendelheti a biztonsági taghoz. A Storage Blob Delegator szerepkör engedélyezi a rendszerbiztonsági tagoknak a felhasználói delegálási kulcs kérését.
További információ az Azure Storage RBAC-szerepköreiről: Engedélyezés Microsoft Entra.
OAuth 2.0-jogkivonat beszerzése
A felhasználói delegálási kulcs lekéréséhez először kérjen egy OAuth 2.0-jogkivonatot Microsoft Entra ID. Adja meg a jogkivonatot a Tulajdonosi sémával a felhasználódelegálási kulcs lekérése művelet meghívásának engedélyezéséhez. Az OAuth-jogkivonat Microsoft Entra ID való lekéréséről további információt a Hitelesítési folyamatok és alkalmazásforgatókönyvek című témakörben talál.
A felhasználó delegálási kulcsának kérése
A Felhasználódelegálási kulcs lekérése művelet hívása a kulcsot a felhasználódelegálási SAS-jogkivonat paramétereiként használt értékek halmazaként adja vissza. Ezeket a paramétereket a Felhasználói delegálási kulcs lekérése referenciában, a következő szakaszban pedig a "Felhasználói delegálási SAS létrehozása" című szakaszban ismertetjük.
Amikor egy ügyfél OAuth 2.0-jogkivonattal kér felhasználói delegálási kulcsot, az Azure Storage a biztonsági tag nevében adja vissza a felhasználódelegálási kulcsot. A felhasználói delegálási kulccsal létrehozott SAS megkapja a rendszerbiztonsági tagnak megadott engedélyeket.
Miután rendelkezik a felhasználódelegálási kulccsal, a kulcs élettartama alatt tetszőleges számú felhasználói delegálási megosztott hozzáférési aláírást hozhat létre. A felhasználói delegálási kulcs független a beszerzéséhez használt OAuth 2.0-jogkivonattól, így a jogkivonatot nem kell megújítani, amíg a kulcs még érvényes. Megadhatja, hogy a kulcs legfeljebb hét napig érvényes legyen.
Felhasználói delegálási SAS létrehozása
Az alábbi táblázat összefoglalja a felhasználói delegálási SAS-jogkivonatok által támogatott mezőket. A következő szakaszok további részleteket nyújtanak a paraméterek megadásáról.
SAS-mező neve | SAS-jogkivonat paramétere | Kötelező vagy választható | Verziótámogatás | Leírás |
---|---|---|---|---|
signedVersion |
sv |
Kötelező | 2018-11-09 és újabb | Az aláírásmező létrehozásához használt szolgáltatás verzióját jelzi. Azt a szolgáltatásverziót is megadja, amely az sassal érkező kéréseket kezeli. |
signedResource |
sr |
Kötelező | Mind | Meghatározza, hogy mely bloberőforrások érhetők el a közös hozzáférésű jogosultságkódon keresztül. |
signedStart |
st |
Választható | Mind | Választható. A közös hozzáférésű jogosultságkód érvényességének időpontja az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Ha ez az érték nincs megadva, a rendszer az aktuális UTC-időpontot használja a kezdési időpontként. Az elfogadott UTC-formátumokkal kapcsolatos további információkért lásd: DateTime-értékek formázása. |
signedExpiry |
se |
Kötelező | Mind | A közös hozzáférésű jogosultságkód érvénytelenné válásának időpontja az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Az elfogadott UTC-formátumokkal kapcsolatos további információkért lásd: DateTime-értékek formázása. |
signedPermissions |
sp |
Kötelező | Mind | Azt jelzi, hogy az SAS-t használó ügyfél mely műveleteket hajthatja végre az erőforráson. Az engedélyek kombinálhatók. |
signedIp |
sip |
Választható | 2015-04-05 és újabb verziók | Olyan IP-címet vagy ip-címtartományt határoz meg, amelyből a kéréseket el kell fogadni. Ha tartományt ad meg, ne feledje, hogy a tartomány befogadó. Csak az IPv4-címek támogatottak. Például sip=168.1.5.65 vagy sip=168.1.5.60-168.1.5.70 . |
signedProtocol |
spr |
Választható | 2015-04-05 és újabb verziók | Megadja az SAS-vel küldött kérések esetében engedélyezett protokollt. Adja meg ezt a mezőt, hogy megkövetelje, hogy az SAS-jogkivonattal küldött kérések HTTPS-t használjanak. |
signedObjectId |
skoid |
Kötelező | 2018.11.09-i és újabb verziók | Azonosítja a Microsoft Entra rendszerbiztonsági tagot. |
signedTenantId |
sktid |
Kötelező | 2018.11.09-i és újabb verziók | Megadja azt a Microsoft Entra bérlőt, amelyben a rendszerbiztonsági tag definiálva van. |
signedKeyStartTime |
skt |
Választható. | 2018.11.09-i és újabb verziók | Az értéket a Felhasználódelegálási kulcs lekérése művelet adja vissza. A felhasználódelegálási kulcs élettartamának kezdetét jelzi az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Ha az érték nincs megadva, a rendszer az aktuális időt feltételezi. Az elfogadott UTC-formátumokkal kapcsolatos további információkért lásd: DateTime-értékek formázása. |
signedKeyExpiryTime |
ske |
Kötelező | 2018.11.09-i és újabb verziók | Az értéket a Felhasználódelegálási kulcs lekérése művelet adja vissza. A felhasználódelegálási kulcs élettartamának végét jelzi az elfogadott ISO 8601 UTC formátumok egyikében kifejezve. Az elfogadott UTC-formátumokkal kapcsolatos további információkért lásd: DateTime-értékek formázása. |
signedKeyVersion |
skv |
Kötelező | 2018.11.09-i és újabb verziók | Az értéket a Felhasználódelegálási kulcs lekérése művelet adja vissza. A felhasználódelegálási kulcs lekéréséhez használt tárolási szolgáltatás verzióját adja meg. A mezőnek a 2018-11-09-es vagy újabb verziót kell megadnia. |
signedKeyService |
sks |
Kötelező | 2018.11.09-i és újabb verziók | Azt a szolgáltatást jelzi, amelyhez a felhasználódelegálási kulcs érvényes. Jelenleg csak a Blob Storage támogatott. |
signedAuthorizedObjectId |
saoid |
Választható | 2020-02-10 és újabb verziók | Megadja egy Microsoft Entra rendszerbiztonsági tag objektumazonosítóját, amelyet a felhasználódelegálási kulcs tulajdonosa jogosult az SAS-jogkivonat által megadott művelet végrehajtására. Nem történik további engedély-ellenőrzés a POSIX(Portable Operating System Interface) hozzáférés-vezérlési listákon (ACL-ek). |
signedUnauthorizedObjectId |
suoid |
Választható | 2020-02-10 és újabb verziók | Egy Microsoft Entra rendszerbiztonsági tag objektumazonosítóját adja meg, ha engedélyezve van egy hierarchikus névtér. Az Azure Storage POSIX ACL-ellenőrzést végez az objektumazonosítón, mielőtt engedélyezi a műveletet. |
signedCorrelationId |
scid |
Választható | 2020-02-10 és újabb verziók | Korrelálja a tárnaplókat az SAS-t létrehozó és elosztó rendszerbiztonsági tag által használt auditnaplókkal. |
signedDirectoryDepth |
sdd |
Kötelező, ha sr=d |
2020-02-10 és újabb verziók | A könyvtár gyökérmappájában lévő könyvtárak számát jelzi, amely a canonicalizedResource sztring-előjel mezőben van megadva. |
signedEncryptionScope |
ses |
Választható | 2020-12-06 és újabb verziók | A kérelem tartalmának titkosításához használandó titkosítási hatókört jelzi. |
signature |
sig |
Kötelező | Mind | Az aláírás egy kivonatalapú üzenethitelesítési kód (HMAC), amelyet az SHA256 algoritmussal, majd Base64-kódolással számítunk ki a sztring-aláírás és a kulcs alapján. |
Cache-Control válaszfejléc |
rscc |
Választható | 2013-08-15-ös és újabb verziók | Az Azure Storage a Cache-Control válaszfejlécet az SAS-jogkivonatban megadott értékre állítja. |
Content-Disposition válaszfejléc |
rscd |
Választható | 2013-08-15-ös és újabb verziók | Az Azure Storage a Content-Disposition válaszfejlécet az SAS-jogkivonatban megadott értékre állítja. |
Content-Encoding válaszfejléc |
rsce |
Választható | 2013-08-15-ös és újabb verziók | Az Azure Storage a Content-Encoding válaszfejlécet az SAS-jogkivonatban megadott értékre állítja. |
Content-Language válaszfejléc |
rscl |
Választható | 2013-08-15-ös és újabb verziók | Az Azure Storage a Content-Language válaszfejlécet az SAS-jogkivonatban megadott értékre állítja. |
Content-Type válaszfejléc |
rsct |
Választható | 2013-08-15-ös és újabb verziók | Az Azure Storage a Content-Type válaszfejlécet az SAS-jogkivonatban megadott értékre állítja. |
Az aláírt verzió mező megadása
A kötelező signedVersion
(sv
) mező a közös hozzáférésű jogosultságkód szolgáltatásverzióját adja meg. Ez az érték a mező létrehozásához signature
használt szolgáltatás verzióját jelzi, és meghatározza azt a szolgáltatásverziót, amely az ezzel a közös hozzáférésű jogosultságkóddal küldött kéréseket kezeli. A mező értékének a sv
2018-11-09-es vagy újabb verziónak kell lennie.
Az aláírt erőforrásmező megadása
A kötelező signedResource
(sr
) mező határozza meg, hogy mely erőforrások érhetők el a közös hozzáférésű jogosultságkódon keresztül. Az alábbi táblázat azt ismerteti, hogyan hivatkozhat egy blobra, tárolóra vagy könyvtárerőforrásra az SAS-jogkivonatban:
Erőforrás | Paraméter értéke | Támogatott verziók | Description |
---|---|---|---|
Blob | b | Mind | Hozzáférést biztosít a blob tartalmához és metaadataihoz. |
Blobverzió | Bv | 2018.11.09-i és újabb verziók | Hozzáférést biztosít a blobverzió tartalmához és metaadataihoz, az alapblobhoz nem. |
Blobpillanatkép | Bs | 2018.11.09-i és újabb verziók | Hozzáférést biztosít a blobpillanatkép tartalmához és metaadataihoz, az alapblobhoz azonban nem. |
Tároló | c | Mind | Hozzáférést biztosít a tárolóban lévő blobok tartalmához és metaadataihoz, valamint a tárolóban lévő blobok listájához. |
Címtár | n | 2020-02-10 és újabb verziók | Hozzáférést biztosít a címtárban lévő blobok tartalmához és metaadataihoz, valamint a címtárban lévő blobok listájához egy olyan tárfiókban, amelyen engedélyezve van a hierarchikus névtér. Ha a mezőhöz signedResource könyvtár van megadva, a signedDirectoryDepth (sdd ) paraméterre is szükség van. A címtárak mindig tárolón belül találhatók. |
Az aláírás érvényességének időtartamának megadása
A signedStart
(st
) és signedExpiry
(se
) mezők az SAS kezdő és lejárati idejét jelzik. Az signedExpiry
mező kötelező. A signedStart
mező kitöltése nem kötelező. Ha nincs megadva, a rendszer az aktuális UTC-időpontot használja kezdő időpontként.
Felhasználódelegálási SAS esetén az SAS kezdő és lejárati idejének a felhasználói delegálási kulcshoz megadott időtartamon belül kell lennie. Ha egy ügyfél a felhasználói delegálási kulcs lejárta után próbál SAS-t használni, az SAS engedélyezési hibával meghiúsul, függetlenül attól, hogy maga az SAS továbbra is érvényes-e.
Az elfogadott UTC-formátumokkal kapcsolatos további információkért lásd: DateTime-értékek formázása.
Engedélyek megadása
Az SAS-jogkivonat (sp
) mezőjéhez signedPermissions
megadott engedélyek azt jelzik, hogy az SAS-t használó ügyfél mely műveleteket hajthatja végre az erőforráson.
Az engedélyek kombinálhatók, hogy egy ügyfél több műveletet hajthat végre ugyanazzal az SAS-vel. Az SAS létrehozásakor az engedélyeket a következő sorrendben kell megadnia:
racwdxltmeop
A tároló érvényes engedélybeállításai közé tartoznak például a következők: rw
, rd
, rl
, wd
, wl
és rl
. Érvénytelen beállítások például a következők: wr
, dr
, lr
és dw
. Az engedélymegjelölés többszöri megadása nem engedélyezett.
A felhasználódelegálási SAS nem tud hozzáférést biztosítani bizonyos műveletekhez:
- A tárolók nem hozhatók létre, nem törölhetők és nem listázhatók.
- A tároló metaadatai és tulajdonságai nem olvashatók és nem írhatók.
- A tárolók nem adhatók bérbe.
Ha olyan SAS-t szeretne létrehozni, amely hozzáférést biztosít ezekhez a műveletekhez, használjon fiók SAS-t. További információ: fiók SAS-Létrehozás.
Az egyes erőforrástípusokhoz támogatott engedélyeket az alábbi táblázat ismerteti:
Engedély | URI szimbólum | Erőforrás | Verziótámogatás | Engedélyezett műveletek |
---|---|---|---|---|
Olvasás | r | Tároló Címtár Blob |
Mind | Olvassa el a tárolóban vagy könyvtárban található blobok tartalmát, tiltólistát, tulajdonságait és metaadatait. Másolási művelet forrásaként használjon blobot. |
Hozzáadás | a | Tároló Címtár Blob |
Mind | Blokk hozzáadása hozzáfűző blobhoz. |
Létrehozás | c | Tároló Címtár Blob |
Mind | Írjon egy új blobot, pillanatképet készítsen egy blobról, vagy másolja a blobot egy új blobba. |
Írás | w | Tároló Címtár Blob |
Mind | tartalom, tulajdonságok, metaadatok vagy tiltólista Létrehozás vagy írása. A blob pillanatképe vagy bérlete. A blob átméretezése (csak lapblobok). Másolási művelet céljaként használja a blobot. |
Törlés | n | Tároló Címtár Blob |
Mind | Blob törlése. A 2017-07-29-es és újabb verziók esetében a Törlés engedély lehetővé teszi a blobok bérletének megszakítását is. További információt a Blobbérlet műveletben talál. |
Verzió törlése | x | Tároló Blob |
2019-12-12 és újabb verziók | Blobverzió törlése. |
Végleges törlés | é | Blob | 2020-02-10 és újabb verziók | Blobpillanatkép vagy -verzió végleges törlése. |
Lista | l | Tároló Címtár |
Mind | Nem rekurzív blobok listázása. |
Címkék | t | Blob | 2019-12-12 és újabb | Olvassa el vagy írja meg a címkéket egy blobon. |
Áthelyezés | m | Tároló Címtár Blob |
2020-02-10 és újabb | Blob vagy könyvtár és tartalma áthelyezése új helyre. Ez a művelet opcionálisan a gyermek blob, könyvtár vagy szülőkönyvtár tulajdonosára korlátozható, ha a saoid paraméter szerepel az SAS-jogkivonatban, és a ragadós bit be van állítva a szülőkönyvtárban. |
Végrehajtás | e | Tároló Címtár Blob |
2020-02-10 és újabb | Kérje le a rendszertulajdonságokat, és ha a hierarchikus névtér engedélyezve van a tárfiókhoz, kérje le egy blob POSIX ACL-ét. Ha a hierarchikus névtér engedélyezve van, és a hívó egy blob tulajdonosa, ez az engedély lehetővé teszi a blob tulajdonoscsoportjának, POSIX-engedélyeinek és POSIX ACL-jének beállítását. Ez nem teszi lehetővé a hívó számára a felhasználó által definiált metaadatok olvasását. |
Tulajdonjog | o | Tároló Címtár Blob |
2020-02-10 és újabb | Ha a hierarchikus névtér engedélyezve van, ez az engedély lehetővé teszi, hogy a hívó beállítsa a tulajdonost vagy a tulajdonoscsoportot, vagy tulajdonosként viselkedjen, amikor a hívó átnevez vagy töröl egy könyvtárat vagy blobot egy olyan könyvtárban, amely rendelkezik a ragadós bitkészlettel. |
Engedélyek | P | Tároló Címtár Blob |
2020-02-10 és újabb | Ha a hierarchikus névtér engedélyezve van, ez az engedély lehetővé teszi a hívó számára, hogy engedélyeket és POSIX ACL-eket állítson be könyvtárakon és blobokon. |
Módosíthatatlansági szabályzat beállítása | i | Tároló Blob |
2020-06-12 és újabb | Állítsa be vagy törölje a nem módosítható szabályzatot vagy a jogi célú visszatartást egy blobon. |
IP-cím vagy IP-címtartomány megadása
A választható signedIp
(sip
) mező egy nyilvános IP-címet vagy egy nyilvános IP-címtartományt határoz meg, amelyből a kéréseket el kell fogadni. Ha az IP-cím, amelyről a kérés származik, nem egyezik meg az SAS-jogkivonaton megadott IP-címmel vagy címtartománynal, a kérés nincs engedélyezve. Csak az IPv4-címek támogatottak.
Ip-címek tartományának megadásakor a tartomány befogadó. Például a sas megadása sip=168.1.5.65
vagy sip=168.1.5.60-168.1.5.70
az SAS-ben a kérést az adott IP-címekre korlátozza.
Az alábbi táblázat azt ismerteti, hogy a signedIp
mező szerepeljen-e egy SAS-jogkivonaton egy adott forgatókönyvhöz az ügyfélkörnyezet és a tárfiók helye alapján.
Ügyfélkörnyezet | Tárfiók helye | Ajánlás |
---|---|---|
Az Azure-ban futó ügyfél | Ugyanabban a régióban, mint az ügyfél | Az ügyfélnek ebben a forgatókönyvben biztosított SAS-nek nem szabad a mező kimenő IP-címét signedIp tartalmaznia. A megadott kimenő IP-címmel rendelkező SAS használatával ugyanazon régióból érkező kérések sikertelenek.Ehelyett használjon azure-beli virtuális hálózatot a hálózati biztonsági korlátozások kezeléséhez. Az Azure Storage-nak ugyanazon a régión belülről érkező kérések mindig magánhálózati IP-címen keresztül történnek. További információ: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása. |
Az Azure-ban futó ügyfél | Az ügyféltől eltérő régióban | Az ebben a forgatókönyvben az ügyfélnek biztosított SAS tartalmazhat egy nyilvános IP-címet vagy címtartományt a signedIp mezőhöz. Az SAS-vel küldött kéréseknek a megadott IP-címről vagy címtartományból kell származnia. |
A helyszínen vagy egy másik felhőkörnyezetben futó ügyfél | Bármely Azure-régióban | Az ebben a forgatókönyvben az ügyfélnek biztosított SAS tartalmazhat egy nyilvános IP-címet vagy címtartományt a signedIp mezőhöz. Az SAS-vel küldött kéréseknek a megadott IP-címről vagy címtartományból kell származnia.Ha a kérelem proxyn vagy átjárón halad át, adja meg az adott proxy vagy átjáró nyilvános kimenő IP-címét a signedIp mezőhöz. |
A HTTP-protokoll megadása
A választható signedProtocol
(spr
) mező az SAS-vel küldött kérések esetében engedélyezett protokollt adja meg. A lehetséges értékek csak HTTPS és HTTP (https,http
) vagy HTTPS (https
). Az alapértelmezett érték https,http
.
Megjegyzés
A mezőhöz spr
nem lehet HTTP-t megadni.
Az aláírt objektum azonosítójának megadása
A signedObjectId
(skoid
) mező szükséges a felhasználói delegálási SAS-hez. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Az aláírt objektumazonosító egy GUID-érték, amely a Microsoft Identitásplatform egy rendszerbiztonsági tag nem módosítható azonosítóját szolgálja ki.
Az aláírt bérlőazonosító megadása
A signedTenantId
(sktid
) mező szükséges a felhasználói delegálási SAS-hez. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Az aláírt bérlőazonosító egy GUID-érték, amely azt a Microsoft Entra bérlőt jelöli, amelyben a rendszerbiztonsági tag definiálva van.
Az aláírt kulcs kezdési időpontjának megadása
A választható signedKeyStartTime
(skt
) mező a felhasználói delegálási kulcs élettartamának kezdetét jelzi ISO Date formátumban. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Ha a kezdési időpont nincs megadva, az aláírt kulcs kezdési időpontja az aktuális időpont.
Az aláírt kulcs lejárati idejének megadása
A signedKeyExpiryTime
(ske
) mező kötelező a felhasználói delegálási SAS-hez ISO Date formátumban. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Az aláírt kulcs lejárati ideje a felhasználói delegálási kulcs élettartamának végét jelzi. A lejárati idő értéke az SAS kezdő időpontjától számított legfeljebb hét nap lehet.
Az aláírt kulcsszolgáltatás megadása
A signedKeyService
(sks
) mező szükséges a felhasználói delegálási SAS-hez. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. Az aláírt kulcs szolgáltatásmezője azt a szolgáltatást jelzi, amelyre érvényes a felhasználói delegálási kulcs. A Blob Storage aláírt kulcs szolgáltatásmezőjének értéke .b
Az aláírt kulcs verziójának megadása
A signedkeyversion
(skv
) mező szükséges a felhasználói delegálási SAS-hez. A Felhasználódelegálási kulcs lekérése művelet ezt az értéket adja vissza a válasz részeként. A signedkeyversion
mező a felhasználói delegálási kulcs lekéréséhez használt tárolási szolgáltatás verzióját adja meg. A mezőnek a 2018-11-09-es vagy újabb verziót kell megadnia.
Aláírt objektumazonosító megadása egy biztonsági taghoz
A választható signedAuthorizedObjectId
(saoid
) és signedUnauthorizedObjectId
(suoid
) mezők lehetővé teszik az Apache Hadoop és az Apache Ranger integrációját Azure Data Lake Storage Gen2 számítási feladatokhoz. Az SAS-jogkivonaton az alábbi mezők egyikével adhatja meg a rendszerbiztonsági tag objektumazonosítóját:
- A
saoid
mező egy Microsoft Entra biztonsági tag objektumazonosítóját adja meg, amelyet a felhasználódelegálási kulcs tulajdonosa jogosult az SAS-jogkivonat által megadott művelet végrehajtására. Az Azure Storage ellenőrzi az SAS-jogkivonatot, és biztosítja, hogy a felhasználói delegálási kulcs tulajdonosa rendelkezik a szükséges engedélyekkel, mielőtt az Azure Storage hozzáférést ad. Nincs további engedélyellenőrzés a POSIX ACL-eken. - A
suoid
mező egy Microsoft Entra biztonsági tag objektumazonosítóját adja meg, ha egy tárfiókhoz engedélyezve van egy hierarchikus névtér. Asuoid
mező csak hierarchikus névtérrel rendelkező fiókokra érvényes. Ha asuoid
mező szerepel az SAS-jogkivonatban, az Azure Storage POSIX ACL-ellenőrzést végez az objektumazonosítón, mielőtt engedélyezi a műveletet. Ha ez az ACL-ellenőrzés nem sikerül, a művelet meghiúsul. A tárfiókhoz engedélyezni kell egy hierarchikus névteret, ha asuoid
mező szerepel az SAS-jogkivonatban. Ellenkező esetben az engedély-ellenőrzés engedélyezési hibával hiúsul meg.
A felhasználódelegálási kulcsot kérő biztonsági tag objektumazonosítóját a rendszer a szükséges skoid
mezőben rögzíti. Ha az SAS-jogkivonaton egy objektumazonosítót szeretne megadni a saoid
vagy a mezővel, a mezőben azonosított skoid
biztonsági taghoz hozzá kell rendelni egy RBAC-szerepkört, amely tartalmazza a Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action vagy a Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action szerepkörtsuoid
. További információ ezekről a műveletekről: Azure-erőforrás-szolgáltató műveletei.
A vagy suoid
mező saoid
objektumazonosítójának megadásával a következő módokon korlátozhatja a címtár- vagy blobtulajdonlással kapcsolatos műveleteket is:
- Ha egy művelet létrehoz egy könyvtárat vagy blobot, az Azure Storage a könyvtár vagy blob tulajdonosát az objektumazonosító által megadott értékre állítja. Ha az objektumazonosító nincs megadva, az Azure Storage a könyvtár vagy blob tulajdonosát a paraméter által
skoid
megadott értékre állítja. - Ha a ragadós bit be van állítva a szülőkönyvtárban, és a művelet töröl vagy átnevez egy könyvtárat vagy blobot, a szülőkönyvtár tulajdonosának vagy az erőforrás tulajdonosának objektumazonosítójának meg kell egyeznie az objektumazonosító által megadott értékkel.
- Ha egy művelet beállítja egy könyvtár vagy blob tulajdonosát, és a
x-ms-owner
fejléc meg van adva, az objektumazonosító által megadott értéknek meg kell egyeznie ax-ms-owner
fejléc által megadott értékkel. - Ha egy művelet beállítja a csoportot egy könyvtárhoz vagy blobhoz, és a
x-ms-group
fejléc meg van adva, az objektumazonosító által megadott értéknek a fejléc általx-ms-group
megadott csoport tagjának kell lennie. - Ha egy művelet beállítja egy könyvtár vagy blob engedélyeit vagy ACL-ét, az alábbi két feltétel egyikének is teljesülnie kell:
- Az objektumazonosítóhoz megadott értéknek a könyvtár vagy blob tulajdonosának kell lennie.
- A (
sp
) mező értékének tartalmazniasignedPermissions
kell aOwnership
(o
) engedélyt aPermissions
(p
) engedély mellett.
A vagy suoid
mezőben saoid
megadott objektumazonosító szerepel a diagnosztikai naplókban, amikor az SAS-jogkivonat használatával küld kéréseket.
A saoid
vagy suoid
mező csak akkor támogatott, ha a signedVersion
(sv
) mező a 2020-02-10-es vagy újabb verzióra van állítva. Ezek közül a mezők közül csak egy szerepelhet az SAS-jogkivonatban.
Korrelációs azonosító megadása
A signedCorrelationId
(scid
) mező olyan korrelációs azonosítót ad meg, amely a tárolónaplók és az SAS-t létrehozó és terjesztő rendszerbiztonsági tag által használt naplókkal való korrelációhoz használható. Például egy megbízható engedélyezési szolgáltatás általában egy felügyelt identitással rendelkezik, amely hitelesíti és engedélyezi a felhasználókat, létrehoz egy SAS-t, hozzáad egy bejegyzést a helyi auditnaplóhoz, és visszaadja az SAS-t egy felhasználónak, aki ezután az SAS használatával hozzáférhet az Azure Storage-erőforrásokhoz. Ha egy korrelációs azonosítót is felvesz a helyi naplóba és a tárnaplóba, lehetővé teszi, hogy ezek az események később korreláljanak. Az érték egy kapcsos zárójelek nélküli GUID, kisbetűs karakterekkel.
Ez a mező a 2020-02-10-es és újabb verzióval támogatott.
A könyvtármélység megadása
Ha a signedResource
mező egy könyvtárat (sr=d
) határoz meg, akkor a signedDirectoryDepth
(sdd
) mezőt is meg kell adnia a gyökérkönyvtár alatti alkönyvtárak számának jelzéséhez. A mező értékének sdd
nem negatív egész számnak kell lennie.
A gyökérkönyvtár https://{account}.blob.core.windows.net/{container}/
például 0 mélységű. A gyökérkönyvtár minden alkönyvtára 1-gyel növeli a mélységet. A könyvtár https://{account}.blob.core.windows.net/{container}/d1/d2
mélysége 2.
Ez a mező a 2020-02-10-es és újabb verzióval támogatott.
Lekérdezési paraméterek megadása a válaszfejlécek felülbírálásához
Ha meg szeretné határozni bizonyos válaszfejlécek értékeit, amelyeket akkor kell visszaadni, ha a közös hozzáférésű jogosultságkódot használják egy kérelemben, megadhatja a válaszfejléceket a lekérdezési paraméterekben. A válaszfejlécek és a kapcsolódó lekérdezési paraméterek a következők:
Válaszfejléc neve | Megfelelő SAS-lekérdezési paraméter |
---|---|
Cache-Control |
rscc |
Content-Disposition |
rscd |
Content-Encoding |
rsce |
Content-Language |
rscl |
Content-Type |
rsct |
Ha például egy SAS-jogkivonaton adja meg a rsct=binary
lekérdezési paramétert, a válasz fejléce Content-Type
a következőre binary
van állítva: . Ez az érték felülbírálja a Content-Type
blobhoz tárolt fejlécértéket egy olyan kéréshez, amely csak ezt a közös hozzáférésű jogosultságkódot használja.
Ha olyan közös hozzáférésű jogosultságkódot hoz létre, amely lekérdezési paraméterekként adja meg a válaszfejléceket, az aláírási sztring létrehozásához használt sztringbe kell foglalnia ezeket a válaszfejléceket. További információt az "Aláírás megadása" című szakaszban talál.
A titkosítási hatókör megadása
A signed encryption scope
(ses
) mező egy titkosítási hatókört határoz meg, amelyet az ügyfélalkalmazás a blobok feltöltésekor használ az SAS-jogkivonat használatával a Blob put művelettel. A signed encryption scope
mező akkor támogatott, ha az SAS-jogkivonat aláírt verziója (sv
) mezője a 2020-12-06-os vagy újabb verzió. Ha az aláírt verzió mező a támogatott verziónál korábbi verziót ad meg, a szolgáltatás a 403-es (Tiltott) hibaválaszkódot adja vissza.
Ha az alapértelmezett titkosítási hatókör be van állítva a tárolóhoz vagy a fájlrendszerhez, a ses
mező tiszteletben tartja a tárolótitkosítási szabályzatot. Ha a lekérdezési paraméter és x-ms-default-encryption-scope
a ses
fejléc nem egyezik, és a x-ms-deny-encryption-scope-override
fejléc true
értéke , a szolgáltatás a 403-at (Tiltott) hibaválaszkódot adja vissza.
Ha a x-ms-encryption-scope
fejléc és a ses
lekérdezési paraméter is meg van adva a PUT kérelemben, és eltérés van, a szolgáltatás a 400-ás hibaválaszkódot adja vissza (hibás kérés).
Az aláírás megadása
A signature
(sig
) mező egy ügyfél közös hozzáférésű jogosultságkóddal rendelkező kérésének engedélyezésére szolgál. A sztring-előjel egy egyedi sztring, amely a kérelem engedélyezéséhez ellenőrizendő mezőkből lett létrehozva. Az aláírás egy HMAC, amely az SHA256 algoritmussal kiszámított sztring-jel és kulcs alapján van kiszámítva, majd Base64 kódolással kódolva.
A felhasználói delegálási SAS aláírási sztringjének létrehozásához hozza létre a sztringet a kérést alkotó mezőkből, kódolja a sztringet UTF-8 formátumban, majd számítsa ki az aláírást a HMAC-SHA256 algoritmussal. A sztring-előjel mezőinek URL-dekódoltnak kell lenniük.
A sztring-aláírás mezői az engedélyezéshez használt szolgáltatásverziótól (sv
mezőtől) függnek. Az alábbi szakaszok a felhasználói delegálási SAS-t támogató verziók sztring–aláírás konfigurációját ismertetik.
2020-12-06-os és újabb verzió
A 2020-12-06-os és újabb engedélyezési verzióhoz tartozó sztring–aláírás formátuma a következő:
StringToSign = signedPermissions + "\n" +
signedStart + "\n" +
signedExpiry + "\n" +
canonicalizedResource + "\n" +
signedKeyObjectId + "\n" +
signedKeyTenantId + "\n" +
signedKeyStart + "\n" +
signedKeyExpiry + "\n" +
signedKeyService + "\n" +
signedKeyVersion + "\n" +
signedAuthorizedUserObjectId + "\n" +
signedUnauthorizedUserObjectId + "\n" +
signedCorrelationId + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedVersion + "\n" +
signedResource + "\n" +
signedSnapshotTime + "\n" +
signedEncryptionScope + "\n" +
rscc + "\n" +
rscd + "\n" +
rsce + "\n" +
rscl + "\n" +
rsct
2020-02-10-es verzió
A 2020-02-10-es engedélyezési verzió sztring–aláírás formátuma a következő:
StringToSign = signedPermissions + "\n" +
signedStart + "\n" +
signedExpiry + "\n" +
canonicalizedResource + "\n" +
signedKeyObjectId + "\n" +
signedKeyTenantId + "\n" +
signedKeyStart + "\n" +
signedKeyExpiry + "\n" +
signedKeyService + "\n" +
signedKeyVersion + "\n" +
signedAuthorizedUserObjectId + "\n" +
signedUnauthorizedUserObjectId + "\n" +
signedCorrelationId + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedVersion + "\n" +
signedResource + "\n" +
signedSnapshotTime + "\n" +
rscc + "\n" +
rscd + "\n" +
rsce + "\n" +
rscl + "\n" +
rsct
2020-02-10-nél korábbi verziók
A 2020-02-10-nél korábbi engedélyezési verziók sztring–aláírás formátuma a következő:
StringToSign = signedPermissions + "\n" +
signedStart + "\n" +
signedExpiry + "\n" +
canonicalizedResource + "\n" +
signedKeyObjectId + "\n" +
signedKeyTenantId + "\n" +
signedKeyStart + "\n" +
signedKeyExpiry + "\n" +
signedKeyService + "\n" +
signedKeyVersion + "\n" +
signedAuthorizedUserObjectId + "\n" +
signedUnauthorizedUserObjectId + "\n" +
signedCorrelationId + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedVersion + "\n" +
signedResource + "\n" +
rscc + "\n" +
rscd + "\n" +
rsce + "\n" +
rscl + "\n" +
rsct
Canonicalized resource
A canonicalizedResource
sztring része az aláírt erőforráshoz vezető canonical elérési út. Tartalmaznia kell a Blob Storage-végpontot és az erőforrás nevét, és URL-címmel kell dekódolni. A blobelérési útvonalnak tartalmaznia kell a tárolóját. A címtár elérési útjának tartalmaznia kell a paraméternek megfelelő sdd
alkönyvtárak számát.
A tároló canonicalizált erőforrás-sztringjének ki kell hagynia a tárolóhoz hozzáférést biztosító SAS záró perjelét (/).
Az alábbi példák bemutatják, hogyan hozhatja létre a canonicalizedResource
sztring részét az erőforrás típusától függően.
Példa tárolóra (Azure Blob Storage)
URL = https://myaccount.blob.core.windows.net/music
canonicalizedResource = "/blob/myaccount/music"
Példa blobra (Azure Blob Storage)
URL = https://myaccount.blob.core.windows.net/music/intro.mp3
canonicalizedResource = "/blob/myaccount/music/intro.mp3"
Példa tárolóra (Azure Data Lake Storage Gen2)
URL = https://myaccount.dfs.core.windows.net/music
canonicalizedResource = "/blob/myaccount/music"
Példa könyvtárra (Azure Data Lake Storage Gen2)
URL = https://myaccount.dfs.core.windows.net/music/instruments/guitar/
canonicalizedResource = "/blob/myaccount/music/instruments/guitar/"
Példa blobra (Azure Data Lake Storage Gen2)
URL = https://myaccount.dfs.core.windows.net/music/intro.mp3
canonicalizedResource = "/blob/myaccount/music/intro.mp3"
Választható mezők
Ha egy mező nem kötelező, és nem szerepel az SAS-jogkivonatban, adjon meg egy üres sztringet a mezőhöz. Ügyeljen arra, hogy az üres sztring után adja meg az új vonal karakterét (\n).
Példa a felhasználódelegálási SAS-ra
Az alábbi példában egy blob URI-ja látható, amelyhez hozzá van fűzve egy felhasználódelegálási SAS-jogkivonat. A felhasználódelegálási SAS-jogkivonat olvasási és írási engedélyeket biztosít a blobhoz.
https://myaccount.blob.core.windows.net/sascontainer/blob1.txt?sp=rw&st=2023-05-24T01:13:55Z&se=2023-05-24T09:13:55Z&skoid=<object-id>&sktid=<tenant-id>&skt=2023-05-24T01:13:55Z&ske=2023-05-24T09:13:55Z&sks=b&skv=2022-11-02&sip=168.1.5.60-168.1.5.70&spr=https&sv=2022-11-02&sr=b&sig=<signature>
Az URI egyes részeit a következő táblázat ismerteti:
Name | SAS-rész | Description |
---|---|---|
Erőforrás URI-ja | https://myaccount.blob.core.windows.net/sascontainer/blob1.txt |
A blob címe. Erősen javasoljuk, hogy HTTPS-t használjon. |
Elválasztó | ? |
A lekérdezési sztring előtti elválasztó. Az elválasztó nem része az SAS-jogkivonatnak. |
Engedélyek | sp=rw |
Az SAS által megadott engedélyek közé tartozik az Olvasás (r) és az Írás (w). |
Kezdési idő | st=2023-05-24T01:13:55Z |
Utc idő szerint megadva. Ha azt szeretné, hogy az SAS azonnal érvényes legyen, hagyja ki a kezdési időpontot. |
Lejárati idő | se=2023-05-24T09:13:55Z |
Utc idő szerint megadva. |
Objektumazonosító | skoid=<object-id> |
Egy Microsoft Entra rendszerbiztonsági tag. |
Bérlőazonosító | sktid=<tenant-id> |
Az Microsoft Entra bérlő, ahol a rendszerbiztonsági tag regisztrálva van. |
Kulcs kezdési időpontja | skt=2023-05-24T01:13:55Z |
A felhasználódelegálási kulcs élettartamának kezdete. |
Kulcs lejárati ideje | ske=2023-05-24T09:13:55Z |
A felhasználódelegálási kulcs élettartamának vége. |
Kulcsszolgáltatás | sks=b |
A szolgáltatásérték csak a Blob szolgáltatást támogatja. |
Kulcsverzió | skv=2022-11-02 |
A felhasználódelegálási kulcs lekéréséhez használt tárolási szolgáltatás verziója. |
IP-címtartomány | sip=168.1.5.60-168.1.5.70 |
Azon IP-címek tartománya, amelyekről a kérések fogadva lesznek. |
Protokoll | spr=https |
Csak HTTPS-t használó kérések engedélyezettek. |
Blobszolgáltatás verziója | sv=2022-11-02 |
Az Azure Storage 2012-02-12-es és újabb verziói esetében ez a paraméter jelzi a használni kívánt verziót. |
Erőforrás | sr=b |
Az erőforrás egy blob. |
Aláírás | sig=<signature> |
A blobhoz való hozzáférés engedélyezésére szolgál. Az aláírás egy HMAC, amely az SHA256 algoritmus használatával egy sztring-előjel és kulcs alapján van kiszámítva, majd Base64 kódolással kódolva. |
Felhasználódelegálási SAS visszavonása
Ha úgy véli, hogy egy SAS biztonsága sérült, akkor vissza kell vonnia. A felhasználódelegálási SAS-t visszavonhatja a felhasználódelegálási kulcs visszavonásával, vagy az SAS létrehozásához használt rendszerbiztonsági tag RBAC-szerepkör-hozzárendeléseinek módosításával vagy eltávolításával.
Fontos
A felhasználódelegálási kulcsot és az RBAC-szerepkör-hozzárendeléseket az Azure Storage gyorsítótárazza, így a visszavonási folyamat elindítása és egy meglévő felhasználói delegálási SAS érvénytelenné válása között késés lehet.
A felhasználódelegálási kulcs visszavonása
A felhasználói delegálási kulcs visszavonásához hívja meg a Felhasználói delegálási kulcsok visszavonása műveletet. Ha visszavonja a felhasználódelegálási kulcsot, a kulcsra támaszkodó közös hozzáférésű jogosultságkódok érvénytelenek lesznek. Ezután meghívhatja ismét a Felhasználódelegálási kulcs lekérése műveletet, és a kulccsal új közös hozzáférésű jogosultságkódokat hozhat létre. Ez a leggyorsabb módja a felhasználói delegálási SAS visszavonásának.
Szerepkör-hozzárendelések módosítása vagy eltávolítása
Az SAS létrehozásához használt rendszerbiztonsági tag RBAC-szerepkör-hozzárendelését módosíthatja vagy eltávolíthatja. Amikor egy ügyfél SAS-t használ egy erőforrás eléréséhez, az Azure Storage ellenőrzi, hogy az a rendszerbiztonsági tag, akinek a hitelesítő adataival védte az SAS-t, rendelkezik-e az erőforráshoz szükséges engedélyekkel.