Membuat SAS akun
Pada versi 2015-04-05, Azure Storage mendukung pembuatan jenis baru tanda tangan akses bersama (SAS) di tingkat akun penyimpanan. Dengan membuat SAS akun, Anda dapat:
Delegasikan akses ke operasi tingkat layanan yang saat ini tidak tersedia dengan SAS khusus layanan, seperti
Get/Set Service Propertiesoperasi danGet Service Stats.Delegasikan akses ke lebih dari satu layanan di akun penyimpanan pada satu waktu. Misalnya, Anda dapat mendelegasikan akses ke sumber daya di Azure Blob Storage dan Azure Files dengan menggunakan SAS akun.
Delegasikan akses untuk menulis dan menghapus operasi untuk kontainer, antrean, tabel, dan berbagi file, yang tidak tersedia dengan SAS khusus objek.
Tentukan alamat IP atau rentang alamat IP untuk menerima permintaan.
Tentukan protokol HTTP tempat menerima permintaan (baik HTTPS atau HTTP/HTTPS).
Kebijakan akses tersimpan saat ini tidak didukung untuk SAS akun.
Perhatian
Tanda tangan akses bersama adalah kunci yang memberikan izin ke sumber daya penyimpanan, dan Anda harus melindunginya sama seperti Anda akan melindungi kunci akun. Penting untuk melindungi SAS dari penggunaan berbahaya atau tidak diinginkan. Gunakan kebijaksanaan dalam mendistribusikan SAS, dan memiliki rencana untuk mencabut SAS yang disusupi. Operasi yang menggunakan tanda tangan akses bersama harus dilakukan hanya melalui koneksi HTTPS, dan URI SAS harus didistribusikan hanya pada koneksi yang aman, seperti HTTPS.
Mengotorisasi AKUN SAS
Anda mengamankan SAS akun dengan menggunakan kunci akun penyimpanan. Saat Anda membuat SAS akun, aplikasi klien Anda harus memiliki kunci akun.
Untuk menggunakan kredensial Microsoft Entra untuk mengamankan SAS untuk kontainer atau blob, buat SAS delegasi pengguna.
Membuat URI SAS akun
Akun SAS URI terdiri dari URI ke sumber daya tempat SAS akan mendelegasikan akses, diikuti dengan token SAS. Token SAS adalah string kueri yang menyertakan semua informasi yang diperlukan untuk mengotorisasi permintaan ke sumber daya. Ini menentukan layanan, sumber daya, dan izin yang tersedia untuk akses, dan periode waktu di mana tanda tangan valid.
Tentukan parameter SAS akun
Parameter yang diperlukan dan opsional untuk token SAS dijelaskan dalam tabel berikut:
| Parameter kueri SAS | Deskripsi |
|---|---|
api-version |
Opsional. Menentukan versi layanan penyimpanan yang akan digunakan untuk menjalankan permintaan yang dibuat menggunakan akun SAS URI. Untuk informasi selengkapnya, lihat Mengotorisasi permintaan dengan menggunakan tanda tangan akses bersama. |
SignedVersion (sv) |
Wajib diisi. Menentukan versi layanan penyimpanan yang ditandatangani untuk digunakan untuk mengotorisasi permintaan yang dibuat dengan SAS akun ini. Ini harus diatur ke versi 2015-04-05 atau yang lebih baru. Untuk informasi selengkapnya, lihat Mengotorisasi permintaan dengan menggunakan tanda tangan akses bersama. |
SignedServices (ss) |
Wajib diisi. Menentukan layanan yang ditandatangani yang dapat diakses dengan SAS akun. Nilai yang mungkin termasuk: - Blob ( b)- Antrean ( q)- Tabel ( t)- File ( f)Anda dapat menggabungkan nilai untuk menyediakan akses ke lebih dari satu layanan. Misalnya, ss=bf menentukan akses ke Blob Storage dan titik akhir Azure Files. |
SignedResourceTypes (srt) |
Wajib diisi. Menentukan jenis sumber daya ditandatangani yang dapat diakses dengan SAS akun. - Layanan ( s): Akses ke API tingkat layanan (misalnya, Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).- Kontainer ( c): Akses ke API tingkat kontainer (misalnya, Buat/Hapus Kontainer, Buat/Hapus Antrean, Buat/Hapus Tabel, Buat/Hapus Berbagi, Daftar Blob/File dan Direktori).- Objek ( o): Akses ke API tingkat objek untuk blob, pesan antrean, entitas tabel, dan file (misalnya, Letakkan Blob, Entitas Kueri, Dapatkan Pesan, Buat File).Anda dapat menggabungkan nilai untuk menyediakan akses ke lebih dari satu jenis sumber daya. Misalnya, srt=sc menentukan akses ke sumber daya layanan dan kontainer. |
SignedPermissions (sp) |
Wajib diisi. Menentukan izin yang ditandatangani untuk SAS akun. Izin hanya valid jika cocok dengan jenis sumber daya yang ditandatangani yang ditentukan. Jika tidak cocok, mereka akan diabaikan. - Baca ( r): Berlaku untuk semua jenis sumber daya yang ditandatangani (Layanan, Kontainer, dan Objek). Mengizinkan izin baca ke jenis sumber daya yang ditentukan.- Tulis ( w): Berlaku untuk semua jenis sumber daya yang ditandatangani (Layanan, Kontainer, dan Objek). Mengizinkan akses tulis untuk jenis sumber daya yang ditentukan, memungkinkan pengguna untuk membuat dan memperbarui sumber daya.- Hapus ( d): Berlaku untuk jenis sumber daya Kontainer dan Objek, kecuali untuk pesan antrean.- Hapus Permanen ( y): Berlaku untuk jenis sumber daya Objek blob saja.- Daftar ( l): Berlaku untuk jenis sumber daya Layanan dan Kontainer saja.- Tambah ( a): Berlaku untuk jenis sumber daya Objek berikut saja: pesan antrean, entitas tabel, dan blob penambahan.- Buat ( c): Valid untuk jenis sumber daya Kontainer dan jenis sumber daya Objek berikut: blob dan file. Pengguna dapat membuat sumber daya baru, tetapi mungkin tidak menimpa sumber daya yang ada.- Perbarui ( u): Berlaku untuk jenis sumber daya Objek berikut saja: pesan antrean dan entitas tabel.- Proses ( p): Berlaku untuk jenis sumber daya Objek berikut saja: pesan antrean.- Tag ( t): Berlaku untuk jenis sumber daya Objek berikut saja: blob. Mengizinkan operasi tag blob.- Filter ( f): Berlaku untuk jenis sumber daya Objek berikut saja: blob. Mengizinkan pemfilteran menurut tag blob.- Atur Kebijakan Imutabilitas ( i): Berlaku untuk jenis sumber daya Objek berikut saja: blob. Mengizinkan kebijakan imutabilitas set/hapus dan penahanan legal pada blob. |
SignedStart (st) |
Opsional. Waktu ketika SAS menjadi valid, dinyatakan dalam salah satu format UTC ISO 8601 yang diterima. Jika dihilangkan, waktu mulai diasumsikan sebagai waktu ketika layanan penyimpanan menerima permintaan. Untuk informasi selengkapnya tentang format UTC yang diterima, lihat Memformat nilai DateTime. |
SignedExpiry (se) |
Wajib diisi. Waktu ketika tanda tangan akses bersama menjadi tidak valid, dinyatakan dalam salah satu format UTC ISO 8601 yang diterima. Untuk informasi selengkapnya tentang format UTC yang diterima, lihat Memformat nilai DateTime. |
SignedIP (sip) |
Pilihan. Menentukan alamat IP atau rentang alamat IP untuk menerima permintaan. Saat Anda menentukan rentang, perlu diingat bahwa rentangnya inklusif. Hanya alamat IPv4 yang didukung. Misalnya, sip=168.1.5.65 atau sip=168.1.5.60-168.1.5.70. |
SignedProtocol (spr) |
Pilihan. Menentukan protokol yang diizinkan untuk permintaan yang dibuat dengan AKUN SAS. Nilai yang mungkin adalah HTTPS dan HTTP (https,http) atau HTTPS saja (https). Nilai defaultnya adalah https,http.Perhatikan bahwa HTTP saja bukan nilai yang diizinkan. |
SignedEncryptionScope (ses) |
Opsional. Menunjukkan cakupan enkripsi yang akan digunakan untuk mengenkripsi konten permintaan. Bidang ini didukung dengan versi 2020-12-06 dan yang lebih baru. |
Signature (sig) |
Wajib diisi. Bagian tanda tangan URI digunakan untuk mengotorisasi permintaan yang dibuat dengan tanda tangan akses bersama. String-to-sign adalah string unik yang dibangun dari bidang yang harus diverifikasi untuk mengotorisasi permintaan. Tanda tangan adalah kode autentikasi pesan berbasis hash (HMAC) yang dihitung melalui string-to-sign dan kunci dengan menggunakan algoritma SHA256, lalu dikodekan dengan menggunakan pengodean Base64. |
Tentukan signedVersion bidang
Bidang signedVersion (sv) berisi versi layanan tanda tangan akses bersama. Nilai ini menentukan versi otorisasi Kunci Bersama yang digunakan oleh tanda tangan akses bersama ini (di signature bidang ). Nilai juga menentukan versi layanan untuk permintaan yang dibuat dengan tanda tangan akses bersama ini.
Untuk informasi tentang versi mana yang digunakan saat Anda menjalankan permintaan melalui tanda tangan akses bersama, lihat Penerapan versi untuk layanan Azure Storage.
Untuk informasi tentang bagaimana parameter ini memengaruhi otorisasi permintaan yang dibuat dengan tanda tangan akses bersama, lihat Mendelegasikan akses dengan tanda tangan akses bersama.
| Nama bidang | Parameter kueri | Deskripsi |
|---|---|---|
signedVersion |
sv |
Wajib diisi. Didukung dalam versi 2015-04-05 dan yang lebih baru. Versi layanan penyimpanan yang digunakan untuk mengotorisasi dan menangani permintaan yang Anda buat dengan tanda tangan akses bersama ini. Untuk informasi selengkapnya, lihat Penerapan versi untuk layanan Azure Storage. |
Tentukan alamat IP atau rentang IP
Pada versi 2015-04-05, bidang opsional signedIp (sip) menentukan alamat IP publik atau rentang alamat IP publik untuk menerima permintaan. Jika alamat IP asal permintaan tidak cocok dengan alamat IP atau rentang alamat yang ditentukan pada token SAS, permintaan tidak diotorisasi. Hanya alamat IPv4 yang didukung.
Saat Anda menentukan rentang alamat IP, perlu diingat bahwa rentangnya inklusifMisalnya, menentukan sip=168.1.5.65 atau sip=168.1.5.60-168.1.5.70 pada SAS membatasi permintaan ke alamat IP tersebut.
Tabel berikut menjelaskan apakah akan menyertakan signedIp bidang pada token SAS untuk skenario tertentu, berdasarkan lingkungan klien dan lokasi akun penyimpanan.
| Lingkungan klien | Lokasi akun penyimpanan | Rekomendasi |
|---|---|---|
| Klien yang berjalan di Azure | Di wilayah yang sama dengan klien | SAS yang diberikan kepada klien dalam skenario ini tidak boleh menyertakan alamat IP keluar untuk bidang tersebut signedIp . Permintaan yang dibuat dari dalam wilayah yang sama yang menggunakan SAS dengan alamat IP keluar tertentu akan gagal.Sebagai gantinya, gunakan jaringan virtual Azure untuk mengelola pembatasan keamanan jaringan. Permintaan ke Azure Storage dari dalam wilayah yang sama selalu terjadi melalui alamat IP privat. Untuk informasi selengkapnya, lihat Mengonfigurasi firewall Azure Storage dan jaringan virtual. |
| Klien yang berjalan di Azure | Di wilayah yang berbeda dari klien | SAS yang diberikan kepada klien dalam skenario ini dapat mencakup alamat IP publik atau rentang alamat untuk bidang tersebut signedIp . Permintaan yang dibuat dengan SAS harus berasal dari alamat IP atau rentang alamat yang ditentukan. |
| Klien yang berjalan secara lokal atau di lingkungan cloud yang berbeda | Di wilayah Azure mana pun | SAS yang diberikan kepada klien dalam skenario ini dapat mencakup alamat IP publik atau rentang alamat untuk bidang tersebut signedIp . Permintaan yang dibuat dengan SAS harus berasal dari alamat IP atau rentang alamat yang ditentukan.Jika permintaan melewati proksi atau gateway, berikan alamat IP keluar publik dari proksi atau gateway tersebut untuk bidang tersebut signedIp . |
Tentukan protokol HTTP
Pada versi 2015-04-05, bidang opsional signedProtocol (spr) menentukan protokol yang diizinkan untuk permintaan yang dibuat dengan SAS. Nilai yang mungkin adalah HTTPS dan HTTP (https,http) atau HTTPS saja (https). Nilai defaultnya adalah https,http. Perhatikan bahwa HTTP saja bukan nilai yang diizinkan.
Tentukan cakupan enkripsi
Dengan menggunakan signedEncryptionScope bidang pada URI, Anda dapat menentukan cakupan enkripsi yang dapat digunakan aplikasi klien. Ini memberlakukan enkripsi sisi server dengan cakupan enkripsi yang ditentukan saat Anda mengunggah blob (PUT) dengan token SAS. GET dan HEAD tidak akan dibatasi dan dilakukan seperti sebelumnya.
Tabel berikut ini menjelaskan cara merujuk ke cakupan enkripsi yang ditandatangani pada URI:
| Nama bidang | Parameter kueri | Deskripsi |
|---|---|---|
signedEncryptionScope |
ses |
Opsional. Menunjukkan cakupan enkripsi yang akan digunakan untuk mengenkripsi konten permintaan. |
Bidang ini didukung dengan versi 2020-12-06 atau yang lebih baru. Jika Anda menambahkan sebelum versi yang ses didukung, layanan mengembalikan kode respons kesalahan 403 (Terlarang).
Jika Anda mengatur cakupan enkripsi default untuk kontainer atau sistem file, ses parameter kueri mematuhi kebijakan enkripsi kontainer. Jika ada ketidakcocokan antara ses parameter kueri dan x-ms-default-encryption-scope header, dan x-ms-deny-encryption-scope-override header diatur ke true, layanan mengembalikan kode respons kesalahan 403 (Terlarang).
Saat Anda memberikan x-ms-encryption-scope header dan ses parameter kueri dalam permintaan PUT, layanan mengembalikan kode respons kesalahan 400 (Permintaan Buruk) jika ada ketidakcocokan.
Membuat string tanda tangan
Untuk membuat string tanda tangan untuk SAS akun, pertama-tama buat string-to-sign dari bidang yang menyusun permintaan, lalu kodekan string sebagai UTF-8 dan komputasi tanda tangan dengan menggunakan algoritma HMAC-SHA256.
Catatan
Bidang yang disertakan dalam string-to-sign harus didekodekan URL.
Untuk membuat string-to-sign untuk SAS akun, gunakan format berikut:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
Versi 2020-12-06 menambahkan dukungan untuk bidang cakupan enkripsi yang ditandatangani. Untuk membuat string-to-sign untuk SAS akun, gunakan format berikut:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Izin SAS akun berdasarkan operasi
Tabel di bagian berikut mencantumkan berbagai API untuk setiap layanan dan jenis sumber daya yang ditandatangani dan izin yang ditandatangani yang didukung untuk setiap operasi.
Blob service
Tabel berikut mencantumkan operasi Blob service dan menunjukkan jenis sumber daya yang ditandatangani dan izin yang ditandatangani untuk menentukan kapan Anda mendelegasikan akses ke operasi tersebut.
| Operasi | Layanan yang ditandatangani | Jenis sumber daya yang ditandatangani | Izin yang ditandatangani |
|---|---|---|---|
| Daftar Kontainer | Blob (b) | Layanan (s) | Daftar (l) |
| Mendapatkan Properti Blob Service | Blob (b) | Layanan (s) | Baca (r) |
| Mengatur Properti Blob Service | Blob (b) | Layanan (s) | Tulis (w) |
| Dapatkan Statistik Blob Service | Blob (b) | Layanan (s) | Baca (r) |
| Buat Kontainer | Blob (b) | Kontainer (c) | Create(c) atau Write (w) |
| Mendapatkan Properti Kontainer | Blob (b) | Kontainer (c) | Baca (r) |
| Mendapatkan Metadata Kontainer | Blob (b) | Kontainer (c) | Baca (r) |
| Mengatur Metadata Kontainer | Blob (b) | Kontainer (c) | Tulis (w) |
| Sewa Kontainer | Blob (b) | Kontainer (c) | Tulis (w) atau Hapus (d)1 |
| Hapus Kontainer | Blob (b) | Kontainer (c) | Hapus (d)1 |
| Menemukan Blob menurut Tag di Kontainer | Blob (b) | Kontainer (c) | Filter (f) |
| Daftar Blob | Blob (b) | Kontainer (c) | Daftar (l) |
| Put Blob (buat blob blok baru) | Blob (b) | Objek (o) | Buat (c) atau Tulis (w) |
| Letakkan Blob (timpa blob blok yang ada) | Blob (b) | Objek (o) | Tulis (w) |
| Letakkan Blob (buat blob halaman baru) | Blob (b) | Objek (o) | Buat (c) atau Tulis (w) |
| Letakkan Blob (timpa blob halaman yang ada) | Blob (b) | Objek (o) | Tulis (w) |
| Get Blob | Blob (b) | Objek (o) | Baca (r) |
| Get Properti Blob | Blob (b) | Objek (o) | Baca (r) |
| Set properti Blob | Blob (b) | Objek (o) | Tulis (w) |
| Get Metadata Blob | Blob (b) | Objek (o) | Baca (r) |
| Set Metadata Blob | Blob (b) | Objek (o) | Tulis (w) |
| Dapatkan Tag Blob | Blob (b) | Objek (o) | Tag (t) |
| Atur Tag Blob | Blob (b) | Objek (o) | Tag (t) |
| Temukan Blob menurut Tag | Blob (b) | Objek (o) | Filter (f) |
| Menghapus blob | Blob (b) | Objek (o) | Hapus (d)1 |
| Menghapus rekam jepret / versi secara permanen | Blob (b) | Objek (o) | Hapus Permanen (y) |
| Blob Sewa | Blob (b) | Objek (o) | Tulis (w) atau Hapus (d)1 |
| Blob Rekam Jepret | Blob (b) | Objek (o) | Buat (c) atau Tulis (w) |
| Salin Blob (tujuan adalah blob baru) | Blob (b) | Objek (o) | Buat (c) atau Tulis (w) |
| Salin Blob (tujuan adalah blob yang ada) | Blob (b) | Objek (o) | Tulis (w) |
| Salinan Inkremental | Blob (b) | Objek (o) | Buat (c) atau Tulis (w) |
| Batalkan Menyalin Blob | Blob (b) | Objek (o) | Tulis (w) |
| Blok Put | Blob (b) | Objek (o) | Tulis (w) |
| Letakkan Daftar Blokir (buat blob baru) | Blob (b) | Objek (o) | Tulis (w) |
| Letakkan Daftar Blokir (perbarui blob yang ada) | Blob (b) | Objek (o) | Tulis (w) |
| Dapatkan Daftar Blokir | Blob (b) | Objek (o) | Baca (r) |
| Put Halaman | Blob (b) | Objek (o) | Tulis (w) |
| Dapatkan Rentang Halaman | Blob (b) | Objek (o) | Baca (r) |
| Tambahkan Blok | Blob (b) | Objek (o) | Tambahkan (a) atau Tulis (w) |
| Hapus Halaman | Blob (b) | Objek (o) | Tulis (w) |
1 Izin Delete memungkinkan melanggar sewa pada blob atau kontainer dengan versi 2017-07-29 dan yang lebih baru.
Layanan antrean
Tabel berikut mencantumkan operasi layanan Antrean dan menunjukkan jenis sumber daya yang ditandatangani dan izin yang ditandatangani untuk ditentukan saat Anda mendelegasikan akses ke operasi tersebut.
| Operasi | Layanan yang ditandatangani | Jenis sumber daya yang ditandatangani | Izin yang ditandatangani |
|---|---|---|---|
| Mendapatkan Properti Layanan Antrean | Antrean (q) | Layanan (s) | Baca (r) |
| Mengatur Properti Layanan Antrean | Antrean (q) | Layanan (s) | Tulis (w) |
| Daftar Antrean | Antrean (q) | Layanan (s) | Daftar (l) |
| Dapatkan Statistik Layanan Antrean | Antrean (q) | Layanan (s) | Baca (r) |
| Buat Antrean | Antrean (q) | Kontainer (c) | Create(c) atau Write (w) |
| Hapus Antrean | Antrean (q) | Kontainer (c) | Hapus (d) |
| Dapatkan Metadata Antrean | Antrean (q) | Kontainer (c) | Baca (r) |
| Mengatur Metadata Antrean | Antrean (q) | Kontainer (c) | Tulis (w) |
| Letakkan Pesan | Antrean (q) | Objek (o) | Tambahkan (a) |
| Dapatkan Pesan | Antrean (q) | Objek (o) | Proses (p) |
| Pesan Intip | Antrean (q) | Objek (o) | Baca (r) |
| Hapus Pesan | Antrean (q) | Objek (o) | Proses (p) |
| Hapus Pesan | Antrean (q) | Objek (o) | Hapus (d) |
| Perbarui Pesan | Antrean (q) | Objek (o) | Perbarui (u) |
Layanan Table
Tabel berikut ini mencantumkan operasi layanan Tabel dan menunjukkan jenis sumber daya yang ditandatangani dan izin yang ditandatangani untuk ditentukan saat Anda mendelegasikan akses ke operasi tersebut.
| Operasi | Layanan yang ditandatangani | Jenis sumber daya yang ditandatangani | Izin yang ditandatangani |
|---|---|---|---|
| Mendapatkan Properti Layanan Tabel | Tabel (t) | Layanan (s) | Baca (r) |
| Mengatur Properti Layanan Tabel | Tabel (t) | Layanan (s) | Tulis (w) |
| Dapatkan Statistik Layanan Tabel | Tabel (t) | Layanan (s) | Baca (r) |
| Tabel Kueri | Tabel (t) | Kontainer (c) | Daftar (l) |
| Buat Tabel | Tabel (t) | Kontainer (c) | Buat (c) atau Tulis (w) |
| Hapus Tabel | Tabel (t) | Kontainer (c) | Hapus (d) |
| Entitas Kueri | Tabel (t) | Objek (o) | Baca (r) |
| Sisipkan Entitas | Tabel (t) | Objek (o) | Tambahkan (a) |
| Sisipkan atau Gabungkan Entitas | Tabel (t) | Objek (o) | Tambahkan (a) dan Perbarui (u)1 |
| Sisipkan atau Ganti Entitas | Tabel (t) | Objek (o) | Tambahkan (a) dan Perbarui (u)1 |
| Perbarui Entitas | Tabel (t) | Objek (o) | Perbarui (u) |
| Entitas Penggabungan | Tabel (t) | Objek (o) | Perbarui (u) |
| Hapus Entitas | Tabel (t) | Objek (o) | Hapus (d) |
1 Izin Tambahkan dan Perbarui diperlukan untuk operasi upsert pada layanan Tabel.
Layanan file
Tabel berikut ini mencantumkan operasi layanan File dan menunjukkan jenis sumber daya yang ditandatangani dan izin yang ditandatangani untuk ditentukan saat Anda mendelegasikan akses ke operasi tersebut.
| Operasi | Layanan yang ditandatangani | Jenis sumber daya yang ditandatangani | Izin yang ditandatangani |
|---|---|---|---|
| Daftar Berbagi | File (f) | Layanan (s) | Daftar (l) |
| Mendapatkan Properti Layanan File | File (f) | Layanan (s) | Baca (r) |
| Mengatur Properti Layanan File | File (f) | Layanan (s) | Tulis (w) |
| Dapatkan Statistik Berbagi | File (f) | Kontainer (c) | Baca (r) |
| Buat Berbagi | File (f) | Kontainer (c) | Buat (c) atau Tulis (w) |
| Berbagi Rekam Jepret | File (f) | Kontainer (c) | Buat (c) atau Tulis (w) |
| Dapatkan Properti Berbagi | File (f) | Kontainer (c) | Baca (r) |
| Mengatur Properti Berbagi | File (f) | Kontainer (c) | Tulis (w) |
| Dapatkan Metadata Berbagi | File (f) | Kontainer (c) | Baca (r) |
| Mengatur Berbagi Metadata | File (f) | Kontainer (c) | Tulis (w) |
| Hapus Berbagi | File (f) | Kontainer (c) | Hapus (d) |
| Daftar Direktori dan File | File (f) | Kontainer (c) | Daftar (l) |
| Buat Direktori | File (f) | Objek (o) | Buat (c) atau Tulis (w) |
| Dapatkan Properti Direktori | File (f) | Objek (o) | Baca (r) |
| Dapatkan Metadata Direktori | File (f) | Objek (o) | Baca (r) |
| Atur Metadata Direktori | File (f) | Objek (o) | Tulis (w) |
| Hapus Direktori | File (f) | Objek (o) | Hapus (d) |
| Buat File (buat baru) | File (f) | Objek (o) | Buat (c) atau Tulis (w) |
| Buat File (timpa yang sudah ada) | File (f) | Objek (o) | Tulis (w) |
| Dapatkan File | File (f) | Objek (o) | Baca (r) |
| Dapatkan Properti File | File (f) | Objek (o) | Baca (r) |
| Dapatkan Metadata File | File (f) | Objek (o) | Baca (r) |
| Atur Metadata File | File (f) | Objek (o) | Tulis (w) |
| Hapus File | File (f) | Objek (o) | Hapus (d) |
| Ganti Nama File | File (f) | Objek (o) | Hapus (d) atau Tulis (w) |
| Letakkan Rentang | File (f) | Objek (o) | Tulis (w) |
| Rentang Daftar | File (f) | Objek (o) | Baca (r) |
| Batalkan Salin File | File (f) | Objek (o) | Tulis (w) |
| Salin File | File (f) | Objek (o) | Tulis (w) |
| Hapus Rentang | File (f) | Objek (o) | Tulis (w) |
Contoh URI SAS Akun
Contoh berikut menunjukkan URI Blob service dengan token SAS akun yang ditambahkan ke dalamnya. Token SAS akun menyediakan izin ke layanan, kontainer, dan objek. Tabel memecah setiap bagian URI:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Nama | Bagian SAS | Deskripsi |
|---|---|---|
| URI Sumber Daya | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Titik akhir layanan, dengan parameter untuk mendapatkan properti layanan (saat dipanggil dengan GET) atau mengatur properti layanan (saat dipanggil dengan SET). Berdasarkan nilai bidang layanan yang ditandatangani (ss), SAS ini dapat digunakan dengan Blob Storage atau Azure Files. |
| Pembatas | ? |
Pemisah yang mendahului string kueri. Pemisah bukan bagian dari token SAS. |
| Versi layanan penyimpanan | sv=2022-11-02 |
Untuk layanan Azure Storage versi 2012-02-12 dan yang lebih baru, parameter ini menunjukkan versi mana yang akan digunakan. |
| Layanan | ss=b |
SAS berlaku untuk layanan Blob. |
| Jenis sumber daya | srt=sco |
SAS berlaku untuk operasi tingkat layanan, tingkat kontainer, dan tingkat objek. |
| Izin | sp=rwlc |
Izin memberikan akses untuk membaca, menulis, mencantumkan, dan membuat operasi. |
| Waktu mulai | st=2019-08-01T22%3A18%3A26Z |
Ditentukan dalam waktu UTC. Jika Anda ingin SAS untuk segera berlaku, hilangkan waktu mulai. |
| Waktu kedaluwarsa | se=2019-08-10T02%3A23%3A26Z |
Ditentukan dalam waktu UTC. |
| Protokol | spr=https |
Hanya permintaan yang menggunakan HTTPS yang diizinkan. |
| Tanda Tangan | sig=<signature> |
Digunakan untuk mengotorisasi akses ke blob. Tanda tangan adalah HMAC yang dihitung melalui string-to-sign dan kunci dengan menggunakan algoritma SHA256, lalu dikodekan dengan menggunakan pengodean Base64. |
Karena izin dibatasi untuk tingkat layanan, operasi yang dapat diakses dengan SAS ini adalah Dapatkan Properti Layanan Blob (baca) dan Atur Properti Layanan Blob (tulis). Namun, dengan URI sumber daya yang berbeda, token SAS yang sama juga dapat digunakan untuk mendelegasikan akses ke Dapatkan Statistik Layanan Blob (baca).