Creare un SAS dell'account
Importante
Per la sicurezza ottimale, Microsoft consiglia di usare Microsoft Entra ID con identità gestite per autorizzare le richieste su BLOB, coda e dati di tabella, ogni volta che è possibile. L'autorizzazione con Microsoft Entra ID e identità gestite offre una maggiore sicurezza e facilità d'uso tramite l'autorizzazione della chiave condivisa. Per altre informazioni, vedere Autorizzare con Microsoft Entra ID. Per altre informazioni sulle identità gestite, vedere Informazioni sulle identità gestite per le risorse di Azure.
Per le risorse ospitate all'esterno di Azure, ad esempio applicazioni locali, è possibile usare identità gestite tramite Azure Arc. Ad esempio, le app in esecuzione nei server abilitati per Azure Arc possono usare identità gestite per connettersi ai servizi di Azure. Per altre informazioni, vedere Eseguire l'autenticazione con le risorse di Azure con server abilitati per Azure Arc.
Per gli scenari in cui vengono usate le firme di accesso condiviso (SAS), Microsoft consiglia di usare una firma di accesso condiviso con delega utente. Una firma di accesso condiviso di delega utente è protetta con le credenziali di Microsoft Entra anziché la chiave dell'account. Per informazioni sulle firme di accesso condiviso, vedere Create una firma di accesso condiviso di delega utente.
A partire dalla versione 2015-04-05, Archiviazione di Azure supporta la creazione di un nuovo tipo di firma di accesso condiviso (SAS) a livello dell'account di archiviazione. Creando una firma di accesso condiviso account, è possibile:
Delegare l'accesso alle operazioni a livello di servizio attualmente non disponibili con una firma di accesso condiviso specifico del servizio, ad esempio le
Get/Set Service Properties
operazioni eGet Service Stats
.Delegare l'accesso a più di un servizio in un account di archiviazione alla volta. Ad esempio, è possibile delegare l'accesso alle risorse in Archiviazione BLOB di Azure e File di Azure usando una firma di accesso condiviso account.
Delegare l'accesso alle operazioni di scrittura ed eliminazione per contenitori, code, tabelle e condivisioni file, che non sono disponibili con una firma di accesso condiviso specifico dell'oggetto.
Specificare un indirizzo IP o un intervallo di indirizzi IP da cui accettare le richieste.
Specificare il protocollo HTTP da cui accettare le richieste (HTTPS o HTTP/HTTPS).
I criteri di accesso archiviati non sono attualmente supportati per una firma di accesso condiviso dell'account.
Attenzione
Le firme di accesso condiviso sono chiavi che concedono le autorizzazioni per le risorse di archiviazione e si consiglia di proteggerle esattamente come si proteggerebbe una chiave account. È importante proteggere una firma di accesso condiviso da uso dannoso o non previsto. Usare la discrezione nella distribuzione di una firma di accesso condiviso e disporre di un piano per la revoca di una firma di accesso condiviso compromesso. Le operazioni che usano firme di accesso condiviso devono essere eseguite solo tramite una connessione HTTPS e gli URI di firma di accesso condiviso devono essere distribuiti solo in una connessione sicura, ad esempio HTTPS.
Autorizzare una firma di accesso condiviso dell'account
È possibile proteggere una firma di accesso condiviso dell'account usando una chiave dell'account di archiviazione. Quando si crea una firma di accesso condiviso account, l'applicazione client deve avere la chiave dell'account.
Per usare Microsoft Entra credenziali per proteggere una firma di accesso condiviso per un contenitore o un BLOB, creare una firma di accesso condiviso di delega utente.
Creare un URI di firma di accesso condiviso dell'account
L'URI della firma di accesso condiviso dell'account è costituito dall'URI della risorsa per cui la firma di accesso condiviso delega l'accesso condiviso, seguito da un token di firma di accesso condiviso. Il token di firma di accesso condiviso è la stringa di query che include tutte le informazioni necessarie per autorizzare una richiesta alla risorsa. Specifica il servizio, la risorsa e le autorizzazioni disponibili per l'accesso e il periodo di tempo durante il quale la firma è valida.
Specificare i parametri sas dell'account
I parametri obbligatori e facoltativi per il token di firma di accesso condiviso sono descritti nella tabella seguente:
Parametro di query sas | Descrizione |
---|---|
api-version |
Facoltativa. Specifica la versione del servizio di archiviazione da usare per eseguire la richiesta effettuata usando l'URI della firma di accesso condiviso dell'account. Per altre informazioni, vedere Autorizzare le richieste usando una firma di accesso condiviso. |
SignedVersion (sv) |
Obbligatorio. Specifica la versione del servizio di archiviazione firmata da usare per autorizzare le richieste effettuate con la firma di accesso condiviso dell'account. Deve essere impostato sulla versione 2015-04-05 o successiva. Per altre informazioni, vedere Autorizzare le richieste usando una firma di accesso condiviso. |
SignedServices (ss) |
Obbligatorio. Specifica i servizi firmati accessibili con la firma di accesso condiviso dell'account. I valori possibili sono: - BLOB ( b )- Coda ( q )- Tabella ( t )- File ( f )È possibile combinare i valori per fornire l'accesso a più di un servizio. Ad esempio, ss=bf specifica l'accesso all'archiviazione BLOB e agli endpoint di File di Azure. |
SignedResourceTypes (srt) |
Obbligatorio. Specifica i tipi di risorse firmati accessibili con la firma di accesso condiviso dell'account. - Servizio ( s ): accesso alle API a livello di servizio (ad esempio, Get/Set Service Properties, Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).- Contenitore ( c ): accesso alle API a livello di contenitore ,ad esempio Create/Elimina contenitore, Create/Elimina coda, Create/Elimina tabella, Create/Elimina condivisione, BLOB di elenco/directory.- Oggetto ( o ): accesso alle API a livello di oggetto per BLOB, messaggi di coda, entità tabella e file (ad esempio, Put BLOB, Query Entity, Get Messages, Create File).È possibile combinare valori per fornire l'accesso a più tipi di risorsa. Ad esempio, srt=sc specifica l'accesso alle risorse del servizio e del contenitore. |
SignedPermissions (sp) |
Obbligatorio. Specifica le autorizzazioni firmate per la firma di accesso condiviso dell'account. Le autorizzazioni sono valide solo se corrispondono al tipo di risorsa firmato specificato. Se non corrispondono, vengono ignorati. - Lettura ( r ): valida per tutti i tipi di risorse firmati (Servizio, Contenitore e Oggetto). Consente le autorizzazioni di lettura per il tipo di risorsa specificato.- Scrittura ( w ): valida per tutti i tipi di risorse firmati (Servizio, Contenitore e Oggetto). Consente l'accesso in scrittura per il tipo di risorsa specificato, consentendo a un utente di creare e aggiornare le risorse.- Elimina ( d ): valido per i tipi di risorse Contenitore e Oggetto, ad eccezione dei messaggi in coda.- Elimina permanente ( y ): valido solo per il tipo di risorsa Oggetto di BLOB.- Elenco ( l ): valido solo per i tipi di risorse Service e Container.- Aggiungi ( a ): valido solo per i tipi di risorse Oggetto seguenti: messaggi di coda, entità tabella e BLOB accodamento.- Create ( c ): valido per i tipi di risorse contenitore e i tipi di risorse Oggetto seguenti: BLOB e file. Gli utenti possono creare nuove risorse, ma potrebbero non sovrascrivere le risorse esistenti.- Update ( u ): valido solo per i tipi di risorse Oggetto seguenti: messaggi di coda ed entità tabella.- Processo ( p ): valido solo per il tipo di risorsa Oggetto seguente: messaggi di coda.- Tag ( t ): valido solo per il tipo di risorsa Oggetto seguente: BLOB. Consente operazioni di tag BLOB.- Filtro ( f ): valido solo per il tipo di risorsa Oggetto seguente: BLOB. Consente di filtrare in base al tag BLOB.- Impostare criteri di non modificabilità ( i ): valido solo per il tipo di risorsa oggetto seguente: BLOB. Consente di impostare/eliminare criteri di immutabilità e blocco legale in un BLOB. |
SignedStart (st) |
facoltativo. Ora in cui la firma di accesso condiviso diventa valida, espressa in uno dei formati ISO 8601 UTC accettati. Se viene omesso, si presuppone che l'ora di inizio sia l'ora in cui il servizio di archiviazione riceve la richiesta. Per altre informazioni sui formati UTC accettati, vedere Formattazione dei valori DateTime. |
SignedExpiry (se) |
Obbligatorio. Ora in cui la firma di accesso condiviso non è valida, espressa in uno dei formati ISO 8601 UTC accettati. Per altre informazioni sui formati UTC accettati, vedere Formattazione dei valori DateTime. |
SignedIP (sip) |
facoltativo. Specifica un indirizzo IP o un intervallo di indirizzi IP da cui accettare le richieste. Quando si specifica un intervallo, tenere presente che l'intervallo è inclusivo. Sono supportati solo gli indirizzi IPv4. Ad esempio, sip=168.1.5.65 o sip=168.1.5.60-168.1.5.70 . |
SignedProtocol (spr) |
facoltativo. Specifica il protocollo consentito per una richiesta effettuata con la firma di accesso condiviso dell'account. I valori possibili sono solo HTTPS e HTTP (https,http ) o HTTPS (https ). Il valore predefinito è https,http .Si noti che HTTP only non è un valore consentito. |
SignedEncryptionScope (ses) |
facoltativo. Indica l'ambito di crittografia da usare per crittografare il contenuto della richiesta. Questo campo è supportato con la versione 2020-12-06 e versioni successive. |
Signature (sig) |
Obbligatorio. La parte di firma dell'URI viene usata per autorizzare la richiesta effettuata con la firma di accesso condiviso. La stringa da firmare è una stringa univoca creata dai campi che devono essere verificati per autorizzare la richiesta. La firma è un codice di autenticazione del messaggio basato su hash (HMAC) calcolato tramite la stringa da firmare e chiave usando l'algoritmo SHA256 e quindi codificato tramite codifica Base64. |
Specificare il signedVersion
campo
Il signedVersion
campo (sv
) contiene la versione del servizio della firma di accesso condiviso. Questo valore specifica la versione dell'autorizzazione della chiave condivisa usata da questa firma di accesso condiviso (nel signature
campo). Il valore specifica anche la versione del servizio per le richieste effettuate con questa firma di accesso condiviso.
Per informazioni sulla versione utilizzata quando si eseguono richieste tramite una firma di accesso condiviso, vedere Controllo delle versioni per i servizi di archiviazione di Azure.
Per informazioni su come questo parametro influisce sull'autorizzazione delle richieste effettuate con una firma di accesso condiviso, vedere Delegare l'accesso con una firma di accesso condiviso.
Nome del campo | Query parameter (Parametro di query) | Descrizione |
---|---|---|
signedVersion |
sv |
Obbligatorio. Supportato nella versione 2015-04-05 e versioni successive. Versione del servizio di archiviazione da usare per autorizzare e gestire le richieste eseguite con questa firma di accesso condiviso. Per altre informazioni, vedere Controllo delle versioni per i servizi di archiviazione di Azure. |
Specificare un indirizzo IP o un intervallo IP
A partire dalla versione 2015-04-05, il campo facoltativo signedIp
(sip
) specifica un indirizzo IP pubblico o un intervallo di indirizzi IP pubblici da cui accettare le richieste. Se l'indirizzo IP da cui proviene la richiesta non corrisponde all'indirizzo IP o all'intervallo di indirizzi specificato nel token sas, la richiesta non è autorizzata. Sono supportati solo gli indirizzi IPv4.
Quando si specifica un intervallo di indirizzi IP, tenere presente che l'intervallo è inclusivo, ad esempio, specificando sip=168.1.5.65
o sip=168.1.5.60-168.1.5.70
nella firma di accesso condiviso limita la richiesta a tali indirizzi IP.
La tabella seguente descrive se includere il signedIp
campo in un token di firma di accesso condiviso per uno scenario specificato, in base all'ambiente client e alla posizione dell'account di archiviazione.
Ambiente client | Posizione dell'account di archiviazione | Recommendation |
---|---|---|
Client in esecuzione in Azure | Nella stessa area del client | Una firma di accesso condiviso fornita al client in questo scenario non deve includere un indirizzo IP in uscita per il signedIp campo. Le richieste effettuate dall'interno della stessa area che usano una firma di accesso condiviso con un indirizzo IP in uscita specificato avranno esito negativo.Usare invece una rete virtuale di Azure per gestire le restrizioni di sicurezza di rete. Le richieste ad Archiviazione di Azure dall'interno della stessa area si svolgono sempre tramite un indirizzo IP privato. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure. |
Client in esecuzione in Azure | In un'area diversa dal client | Una firma di accesso condiviso fornita al client in questo scenario può includere un indirizzo IP pubblico o un intervallo di indirizzi per il signedIp campo. Una richiesta effettuata con la firma di accesso condiviso deve derivare dall'indirizzo IP specificato o dall'intervallo di indirizzi. |
Client in esecuzione in locale o in un ambiente cloud diverso | In qualsiasi area di Azure | Una firma di accesso condiviso fornita al client in questo scenario può includere un indirizzo IP pubblico o un intervallo di indirizzi per il signedIp campo. Una richiesta effettuata con la firma di accesso condiviso deve derivare dall'indirizzo IP specificato o dall'intervallo di indirizzi.Se la richiesta passa attraverso un proxy o un gateway, specificare l'indirizzo IP in uscita pubblico di tale proxy o gateway per il signedIp campo. |
Specificare il protocollo HTTP
A partire dalla versione 2015-04-05, il campo facoltativo (spr
) specifica il protocollo consentito signedProtocol
per una richiesta effettuata con la firma di accesso condiviso. I valori possibili sono solo HTTPS e HTTP (https,http
) o HTTPS (https
). Il valore predefinito è https,http
. Si noti che solo HTTP non è un valore consentito.
Specificare l'ambito di crittografia
Usando il signedEncryptionScope
campo nell'URI, è possibile specificare l'ambito di crittografia che l'applicazione client può usare. Applica la crittografia lato server con l'ambito di crittografia specificato quando si caricano BLOB (PUT) con il token di firma di accesso condiviso. Get e HEAD non saranno limitati e eseguiti come prima.
Nella tabella seguente viene descritto come fare riferimento a un ambito di crittografia firmato nell'URI:
Nome del campo | Query parameter (Parametro di query) | Descrizione |
---|---|---|
signedEncryptionScope |
ses |
Facoltativa. Indica l'ambito di crittografia da usare per crittografare il contenuto della richiesta. |
Questo campo è supportato con la versione 2020-12-06 o successiva. Se si aggiunge la ses
versione precedente alla versione supportata, il servizio restituisce il codice di risposta di errore 403 (Non consentito).
Se si imposta l'ambito di crittografia predefinito per il contenitore o il file system, il ses
parametro di query rispetta i criteri di crittografia del contenitore. Se è presente una mancata corrispondenza tra il parametro di query e x-ms-default-encryption-scope
l'intestazione ses
e l'intestazione è impostata su true
, il servizio restituisce il x-ms-deny-encryption-scope-override
codice di risposta di errore 403 (Non consentito).
Quando si specifica l'intestazione e il x-ms-encryption-scope
ses
parametro di query nella richiesta PUT, il servizio restituisce il codice di risposta di errore 400 (richiesta non valida) se si verifica una mancata corrispondenza.
Creare la stringa di firma
Per costruire la stringa di firma per una firma di accesso condiviso dell'account, creare prima di tutto la stringa da firmare dai campi che compongono la richiesta e quindi codificare la stringa come UTF-8 e calcolare la firma usando l'algoritmo HMAC-SHA256.
Nota
I campi inclusi nella stringa da firmare devono essere decodificati dall'URL.
Per costruire la stringa da firmare per una firma di accesso condiviso dell'account, usare il formato seguente:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
La versione 2020-12-06 aggiunge il supporto per il campo ambito di crittografia firmato. Per costruire la stringa da firmare per una firma di accesso condiviso dell'account, usare il formato seguente:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Autorizzazioni di firma di accesso condiviso dell'account per operazione
Le tabelle nelle sezioni seguenti elencano varie API per ogni servizio e i tipi di risorse firmati e le autorizzazioni firmate supportate per ogni operazione.
Servizio BLOB
Nella tabella seguente sono elencate le operazioni del servizio BLOB e indica il tipo di risorsa firmato e le autorizzazioni firmate da specificare quando si delega l'accesso a tali operazioni.
Operazione | Servizio firmato | Tipo di risorsa firmato | Autorizzazione firmata |
---|---|---|---|
List Containers | BLOB (b) | Servizio (s) | Elenco (l) |
Get Blob Service Properties | BLOB (b) | Servizio (s) | Lettura (r) |
Set Blob Service Properties | BLOB (b) | Servizio (s) | Scrittura (w) |
Get Blob Service Stats | BLOB (b) | Servizio (s) | Lettura (r) |
Create Container | BLOB (b) | Contenitore (c) | Create(c) o Scrittura (w) |
Get Container Properties | BLOB (b) | Contenitore (c) | Lettura (r) |
Get Container Metadata | BLOB (b) | Contenitore (c) | Lettura (r) |
Set Container Metadata | BLOB (b) | Contenitore (c) | Scrittura (w) |
Lease Container | BLOB (b) | Contenitore (c) | Scrivere (w) o eliminare (d)1 |
Delete Container | BLOB (b) | Contenitore (c) | Eliminazione (d)1 |
Trovare BLOB per tag nel contenitore | BLOB (b) | Contenitore (c) | Filtro (f) |
List Blobs | BLOB (b) | Contenitore (c) | Elenco (l) |
Put BLOB (creare un nuovo BLOB in blocchi) | BLOB (b) | Oggetto (o) | Create (c) o scrittura (w) |
Put BLOB (sovrascrivi BLOB in blocchi esistenti) | BLOB (b) | Oggetto (o) | Scrittura (w) |
Put BLOB (creare un nuovo BLOB di pagine) | BLOB (b) | Oggetto (o) | Create (c) o scrittura (w) |
Put BLOB (sovrascrivere il BLOB di pagine esistente) | BLOB (b) | Oggetto (o) | Scrittura (w) |
Get Blob | BLOB (b) | Oggetto (o) | Lettura (r) |
Get Blob Properties | BLOB (b) | Oggetto (o) | Lettura (r) |
Set Blob Properties | BLOB (b) | Oggetto (o) | Scrittura (w) |
Get Blob Metadata | BLOB (b) | Oggetto (o) | Lettura (r) |
Set Blob Metadata | BLOB (b) | Oggetto (o) | Scrittura (w) |
Ottenere tag BLOB | BLOB (b) | Oggetto (o) | Tag (t) |
Impostare tag BLOB | BLOB (b) | Oggetto (o) | Tag (t) |
Trovare BLOB per tag | BLOB (b) | Oggetto (o) | Filtro (f) |
Delete Blob | BLOB (b) | Oggetto (o) | Eliminazione (d)1 |
Eliminare definitivamente snapshot/versione | BLOB (b) | Oggetto (o) | Eliminazione permanente (y) |
Lease Blob | BLOB (b) | Oggetto (o) | Scrivere (w) o eliminare (d)1 |
Snapshot Blob | BLOB (b) | Oggetto (o) | Create (c) o scrittura (w) |
Copia BLOB (destinazione è un nuovo BLOB) | BLOB (b) | Oggetto (o) | Create (c) o scrittura (w) |
Copia BLOB (destinazione è un BLOB esistente) | BLOB (b) | Oggetto (o) | Scrittura (w) |
Copia incrementale | BLOB (b) | Oggetto (o) | Create (c) o scrittura (w) |
Abort Copy Blob | BLOB (b) | Oggetto (o) | Scrittura (w) |
Put Block | BLOB (b) | Oggetto (o) | Scrittura (w) |
Put Block List (crea nuovo BLOB) | BLOB (b) | Oggetto (o) | Scrittura (w) |
Put Block List (aggiornare il BLOB esistente) | BLOB (b) | Oggetto (o) | Scrittura (w) |
Get Block List | BLOB (b) | Oggetto (o) | Lettura (r) |
Put Page | BLOB (b) | Oggetto (o) | Scrittura (w) |
Get Page Ranges | BLOB (b) | Oggetto (o) | Lettura (r) |
Blocco di accodamento | BLOB (b) | Oggetto (o) | Aggiungere (a) o scrivere (w) |
Cancella pagina | BLOB (b) | Oggetto (o) | Scrittura (w) |
1 L'autorizzazione Delete
consente di interrompere un lease in un BLOB o in un contenitore con la versione 2017-07-29 e successive.
Servizio di accodamento
La tabella seguente elenca le operazioni del servizio di accodamento e indica il tipo di risorsa firmato e le autorizzazioni firmate da specificare quando si delega l'accesso a tali operazioni.
Operazione | Servizio firmato | Tipo di risorsa firmato | Autorizzazione firmata |
---|---|---|---|
Get Queue Service Properties | Coda (q) | Servizio (s) | Lettura (r) |
Set Queue Service Properties | Coda (q) | Servizio (s) | Scrittura (w) |
Elenca code | Coda (q) | Servizio (s) | Elenco (l) |
Get Queue Service Stats | Coda (q) | Servizio (s) | Lettura (r) |
Creare una coda | Coda (q) | Contenitore (c) | Create(c) o Scrittura (w) |
Eliminazione code | Coda (q) | Contenitore (c) | Elimina (d) |
Operazione Get Queue Metadata | Coda (q) | Contenitore (c) | Lettura (r) |
Operazione Set Queue Metadata | Coda (q) | Contenitore (c) | Scrittura (w) |
Put Message | Coda (q) | Oggetto (o) | Add (a) |
Get Messages | Coda (q) | Oggetto (o) | Processo (p) |
Peek Messages | Coda (q) | Oggetto (o) | Lettura (r) |
Eliminazione di messaggi | Coda (q) | Oggetto (o) | Processo (p) |
Clear Messages | Coda (q) | Oggetto (o) | Eliminazione (d) |
Aggiornamento del messaggio | Coda (q) | Oggetto (o) | Aggiornamento (u) |
Servizio tabelle
Nella tabella seguente sono elencate le operazioni del servizio tabelle e indica il tipo di risorsa firmato e le autorizzazioni firmate da specificare quando si delega l'accesso a tali operazioni.
Operazione | Servizio firmato | Tipo di risorsa firmato | Autorizzazione firmata |
---|---|---|---|
Get Table Service Properties | Tabella (t) | Servizio (s) | Lettura (r) |
Set Table Service Properties | Tabella (t) | Servizio (s) | Scrittura (w) |
Get Table Service Stats | Tabella (t) | Servizio (s) | Lettura (r) |
Query su tabelle | Tabella (t) | Contenitore (c) | Elenco (l) |
Create Table | Tabella (t) | Contenitore (c) | Create (c) o Write (w) |
Elimina tabella | Tabella (t) | Contenitore (c) | Eliminazione (d) |
Query Entities | Tabella (t) | Oggetto (o) | Lettura (r) |
Insert Entity | Tabella (t) | Oggetto (o) | Add (a) |
Insert Or Merge Entity | Tabella (t) | Oggetto (o) | Aggiungere (a) e Aggiornare (u)1 |
Insert Or Replace Entity | Tabella (t) | Oggetto (o) | Aggiungere (a) e Aggiornare (u)1 |
Update Entity | Tabella (t) | Oggetto (o) | Aggiornamento (u) |
Merge Entity | Tabella (t) | Oggetto (o) | Aggiornamento (u) |
Delete Entity | Tabella (t) | Oggetto (o) | Eliminazione (d) |
1 Sono necessarie autorizzazioni di aggiunta e aggiornamento per le operazioni upsert nel servizio Tabelle.
Servizio file
Nella tabella seguente sono elencate le operazioni del servizio file e indica il tipo di risorsa firmato e le autorizzazioni firmate da specificare quando si delega l'accesso a tali operazioni.
Operazione | Servizio firmato | Tipo di risorsa firmato | Autorizzazione firmata |
---|---|---|---|
Elenco di condivisioni | File (f) | Servizio (s) | Elenco (l) |
Get File Service Properties | File (f) | Servizio (s) | Lettura (r) |
Set File Service Properties | File (f) | Servizio (s) | Scrittura (w) |
Get Share Stats | File (f) | Contenitore (c) | Lettura (r) |
Create Share | File (f) | Contenitore (c) | Create (c) o Write (w) |
condivisione snapshot | File (f) | Contenitore (c) | Create (c) o Write (w) |
Ottenere le proprietà di condivisione | File (f) | Contenitore (c) | Lettura (r) |
Set Share Properties | File (f) | Contenitore (c) | Scrittura (w) |
Get Share Metadata | File (f) | Contenitore (c) | Lettura (r) |
Set Share Metadata | File (f) | Contenitore (c) | Scrittura (w) |
Delete Share | File (f) | Contenitore (c) | Eliminazione (d) |
Elenco di directory e file | File (f) | Contenitore (c) | Elenco (l) |
Creazione di directory | File (f) | Oggetto (o) | Create (c) o Write (w) |
Get Directory Properties | File (f) | Oggetto (o) | Lettura (r) |
Ottenere i metadati della directory | File (f) | Oggetto (o) | Lettura (r) |
Set Directory Metadata | File (f) | Oggetto (o) | Scrittura (w) |
Delete Directory | File (f) | Oggetto (o) | Eliminazione (d) |
Create file (crea nuovo) | File (f) | Oggetto (o) | Create (c) o Write (w) |
file Create (sovrascrivere esistente) | File (f) | Oggetto (o) | Scrittura (w) |
Get File | File (f) | Oggetto (o) | Lettura (r) |
Get File Properties | File (f) | Oggetto (o) | Lettura (r) |
Recupera metadati di file | File (f) | Oggetto (o) | Lettura (r) |
Set File Metadata | File (f) | Oggetto (o) | Scrittura (w) |
Elimina file | File (f) | Oggetto (o) | Eliminazione (d) |
Rinomina file | File (f) | Oggetto (o) | Elimina (d) o Write (w) |
Put Range | File (f) | Oggetto (o) | Scrittura (w) |
List Ranges | File (f) | Oggetto (o) | Lettura (r) |
Abort Copy File | File (f) | Oggetto (o) | Scrittura (w) |
Copia file | File (f) | Oggetto (o) | Scrittura (w) |
Intervallo chiaro | File (f) | Oggetto (o) | Scrittura (w) |
Esempio di URI di firma di accesso condiviso dell'account
Nell'esempio seguente viene illustrato un URI del servizio BLOB con un token di firma di accesso condiviso dell'account aggiunto. Il token di firma di accesso condiviso dell'account fornisce le autorizzazioni per il servizio, il contenitore e gli oggetti. La tabella suddivide ogni parte dell'URI:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
Nome | Parte firma di accesso condiviso | Descrizione |
---|---|---|
URI della risorsa | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
L'endpoint del servizio, con parametri per ottenere le proprietà del servizio (quando viene chiamato con GET) o impostando le proprietà del servizio (quando viene chiamato con SET). In base al valore del campo servizi firmati (ss ), questa firma di accesso condiviso può essere usata con Archiviazione BLOB o File di Azure. |
Delimitatore | ? |
Delimitatore che precede la stringa di query. Il delimitatore non fa parte del token di firma di accesso condiviso. |
Versione dei servizi di archiviazione | sv=2022-11-02 |
Per i servizi di archiviazione di Azure versione 2012-02-12 e versioni successive, questo parametro indica quale versione usare. |
Servizi | ss=b |
La firma di accesso condiviso si applica ai servizi BLOB. |
Tipi di risorsa | srt=sco |
La firma di accesso condiviso si applica alle operazioni a livello di servizio, a livello di contenitore e a livello di oggetto. |
Autorizzazioni | sp=rwlc |
Le autorizzazioni concedono l'accesso a operazioni di lettura, scrittura, elenco e creazione. |
Ora di inizio | st=2019-08-01T22%3A18%3A26Z |
Specificata nell'ora UTC. Se si desidera che la firma di accesso condiviso sia immediatamente valida, omettere l'ora di inizio. |
Scadenza | se=2019-08-10T02%3A23%3A26Z |
Specificata nell'ora UTC. |
Protocollo | spr=https |
Sono consentite solo le richieste che usano HTTPS. |
Firma | sig=<signature> |
Usata per autorizzare l'accesso al BLOB. La firma è un HMAC calcolato su una stringa da firmare e chiave usando l'algoritmo SHA256 e quindi codificato usando la codifica Base64. |
Poiché le autorizzazioni sono limitate al livello di servizio, le operazioni accessibili con questa firma di accesso condiviso sono Proprietà del servizio BLOB (lettura) e Imposta proprietà del servizio BLOB (scrittura). Con un URI di risorsa diverso, lo stesso token di firma di accesso condiviso può tuttavia essere usato per delegare l'accesso all'operazione Get Blob Service Stats (lettura).