共有アクセス署名を使用してアクセスを委任する
共有アクセス署名 (SAS) は、Azure Storage リソースへの制限付きアクセス権を付与する URI です。 共有アクセス署名は、ストレージ アカウント キーで信頼されるべきではないが、特定のストレージ アカウント リソースへのアクセスが必要なクライアントに提供できます。 これらのクライアントに SAS URI を配布して、指定したアクセス許可セットで、指定した期間の間、リソースへのアクセスを許可できます。
SAS トークンを構成する URI クエリ パラメーターには、ストレージ リソースへの制御されたアクセスを許可するために必要なすべての情報が組み込まれています。 SAS を持つクライアントは、SAS URI のみを使用して Azure Storage に対して要求を行うことができます。 SAS トークン内の情報は、要求の承認に使用されます。
共有アクセス署名の種類
Azure Storage では、次の種類の共有アクセス署名がサポートされています。
バージョン 2015-04-05 で導入されたアカウント SAS。 この種類の SAS は、1 つ以上のストレージ サービス内のリソースへのアクセスを委任します。 サービス SAS を使用して実行できるすべての操作は、アカウント SAS でも実行できます。
アカウント SAS を使用すると、 や
Get Service StatsなどのGet/Set Service Propertiesサービスに適用される操作へのアクセスを委任できます。 サービス SAS で許可されていない BLOB コンテナー、テーブル、キューおよびファイル共有の読み取り、書き込みおよび削除操作へのアクセスも委任できます。詳細については、「アカウント SAS を作成する」を参照してください。
サービス SAS。 この種類の SAS は、Azure Blob Storage、Azure Queue Storage、Azure Table Storage、Azure Filesのいずれかのストレージ サービス内のリソースへのアクセスを委任します。 詳細については、「サービス SAS の作成」と「サービス SAS の例」を参照してください。
バージョン 2018-11-09 で導入された ユーザー委任 SAS。 この種類の SAS は、Azure Active Directory 資格情報で保護されます。 Blob Storage でのみサポートされており、それを使用してコンテナーと BLOB へのアクセスを許可できます。 詳細については、「ユーザー委任 SAS を作成する」を参照してください。
さらに、サービス SAS は、一連の署名に対する別のレベルの制御を提供する、格納されたアクセス ポリシーを参照できます。 このコントロールには、必要に応じてリソースへのアクセスを変更または取り消す機能が含まれます。 詳細については、「保存されているアクセス ポリシーの定義」を参照してください。
注意
保存されたアクセス ポリシーは、現在、アカウント SAS またはユーザー委任 SAS ではサポートされていません。