Beperkte toegang verlenen tot Azure Storage-resources met behulp van Shared Access signatures (SAS)Grant limited access to Azure Storage resources using shared access signatures (SAS)

Een Shared Access Signature (SAS) biedt beveiligde gedelegeerde toegang tot resources in uw opslag account.A shared access signature (SAS) provides secure delegated access to resources in your storage account. Met een SAS hebt u gedetailleerde controle over hoe een client toegang heeft tot uw gegevens.With a SAS, you have granular control over how a client can access your data. Bijvoorbeeld:For example:

  • Welke bronnen de client mag gebruiken.What resources the client may access.

  • Welke machtigingen ze hebben voor deze resources.What permissions they have to those resources.

  • Hoe lang de SAS geldig is.How long the SAS is valid.

Typen handtekeningen voor gedeelde toegangTypes of shared access signatures

Azure Storage ondersteunt drie typen hand tekeningen voor gedeelde toegang:Azure Storage supports three types of shared access signatures:

  • SAS voor gebruikers overdrachtUser delegation SAS

  • Service-SA'SService SAS

  • Account-SASAccount SAS

SAS voor gebruikers overdrachtUser delegation SAS

Een SAS voor gebruikers overdracht wordt beveiligd met Azure Active Directory (Azure AD)-referenties en ook door de machtigingen die zijn opgegeven voor de SAS.A user delegation SAS is secured with Azure Active Directory (Azure AD) credentials and also by the permissions specified for the SAS. Een SAS voor gebruikers overdracht is alleen van toepassing op Blob-opslag.A user delegation SAS applies to Blob storage only.

Zie een gebruiker delegering sa's (rest API) makenvoor meer informatie over de sa's van de gebruikers overdracht.For more information about the user delegation SAS, see Create a user delegation SAS (REST API).

Service-SA'SService SAS

Een service-SAS is beveiligd met de sleutel van het opslag account.A service SAS is secured with the storage account key. Een service-SAS delegeert toegang tot een bron in slechts een van de Azure Storage services: Blob-opslag, wachtrij opslag, tabel opslag of Azure Files.A service SAS delegates access to a resource in only one of the Azure Storage services: Blob storage, Queue storage, Table storage, or Azure Files.

Zie Create a Service SAS (rest API) (Engelstalig)voor meer informatie over de service-sa's.For more information about the service SAS, see Create a service SAS (REST API).

Account-SASAccount SAS

Een account-SAS wordt beveiligd met de sleutel van het opslag account.An account SAS is secured with the storage account key. Een account-SAS delegeert toegang tot resources in een of meer van de opslagservices.An account SAS delegates access to resources in one or more of the storage services. Alle bewerkingen die beschikbaar zijn via een service of de SAS voor gebruikers overdracht zijn ook beschikbaar via een account-SAS.All of the operations available via a service or user delegation SAS are also available via an account SAS.

U kunt de toegang ook delegeren naar het volgende:You can also delegate access to the following:

  • Bewerkingen op service niveau (bijvoorbeeld de bewerkingen service- Eigenschappen ophalen/instellen en service statistieken ophalen ).Service-level operations (For example, the Get/Set Service Properties and Get Service Stats operations).

  • Lees-, schrijf-en verwijder bewerkingen die niet zijn toegestaan met een service-SAS.Read, write, and delete operations that aren't permitted with a service SAS.

Maak een account SAS (rest API)voor meer informatie over de account-SAS.For more information about the account SAS, Create an account SAS (REST API).

Notitie

Micro soft raadt u aan om Azure AD-referenties, indien mogelijk, te gebruiken als een beveiligings best practice, in plaats van de account sleutel te gebruiken, wat eenvoudiger kan worden aangetast.Microsoft recommends that you use Azure AD credentials when possible as a security best practice, rather than using the account key, which can be more easily compromised. Wanneer het ontwerp van uw toepassing gedeelde toegangs handtekeningen vereist voor toegang tot Blob Storage, gebruikt u Azure AD-referenties om een gebruikers delegering SA'S te maken indien mogelijk voor superieure beveiliging.When your application design requires shared access signatures for access to Blob storage, use Azure AD credentials to create a user delegation SAS when possible for superior security. Zie toegang tot blobs en wacht rijen toestaan met Azure Active Directoryvoor meer informatie.For more information, see Authorize access to blobs and queues using Azure Active Directory.

Een Shared Access Signature kan een van de volgende twee vormen hebben:A shared access signature can take one of the following two forms:

  • Ad-hoc SAS.Ad hoc SAS. Wanneer u een ad-hoc SAS maakt, worden de start tijd, verloop tijd en machtigingen opgegeven in de SAS-URI.When you create an ad hoc SAS, the start time, expiry time, and permissions are specified in the SAS URI. Elk type SAS kan een ad-hoc-SAS zijn.Any type of SAS can be an ad hoc SAS.

  • Service-sa's met opgeslagen toegangs beleid.Service SAS with stored access policy. Een opgeslagen toegangs beleid wordt gedefinieerd in een resource container. Dit kan een BLOB-container, tabel, wachtrij of bestands share zijn.A stored access policy is defined on a resource container, which can be a blob container, table, queue, or file share. Het beleid voor opgeslagen toegang kan worden gebruikt om beperkingen te beheren voor een of meer hand tekeningen voor gedeelde toegang van services.The stored access policy can be used to manage constraints for one or more service shared access signatures. Wanneer u een service-SAS koppelt aan een opgeslagen toegangs beleid, neemt de SAS de beperkingen op — voor de start tijd, de verloop tijd en de machtigingen die zijn — gedefinieerd voor het opgeslagen toegangs beleid.When you associate a service SAS with a stored access policy, the SAS inherits the constraints—the start time, expiry time, and permissions—defined for the stored access policy.

Notitie

Een SAS van gebruikers of een account-SAS moet een ad-hoc-SA'S zijn.A user delegation SAS or an account SAS must be an ad hoc SAS. Opgeslagen toegangs beleid wordt niet ondersteund voor de gebruikers delegering SA'S of de account-SAS.Stored access policies are not supported for the user delegation SAS or the account SAS.

Hoe een Shared Access Signature werktHow a shared access signature works

Een Shared Access Signature is een ondertekende URI die verwijst naar een of meer opslag resources.A shared access signature is a signed URI that points to one or more storage resources. De URI bevat een token dat een speciale set query parameters bevat.The URI includes a token that contains a special set of query parameters. Het token geeft aan hoe de bronnen kunnen worden gebruikt door de client.The token indicates how the resources may be accessed by the client. Een van de query parameters, de hand tekening, wordt samengesteld op basis van de SAS-para meters en ondertekend met de sleutel die is gebruikt voor het maken van de SAS.One of the query parameters, the signature, is constructed from the SAS parameters and signed with the key that was used to create the SAS. Deze hand tekening wordt door Azure Storage gebruikt om toegang tot de opslag bron te verlenen.This signature is used by Azure Storage to authorize access to the storage resource.

Notitie

Het is niet mogelijk om de generatie van SAS-tokens te controleren.It's not possible to audit the generation of SAS tokens. Gebruikers met bevoegdheden voor het genereren van een SAS-token, hetzij met behulp van de account sleutel, hetzij via een Azure RBAC-roltoewijzing, kunnen dit doen zonder de kennis van de eigenaar van het opslag account.Any user that has privileges to generate a SAS token, either by using the account key, or via an Azure RBAC role assignment, can do so without the knowledge of the owner of the storage account. Zorg ervoor dat u de machtigingen beperkt waarmee gebruikers SAS-tokens kunnen genereren.Be careful to restrict permissions that allow users to generate SAS tokens. Als u wilt voor komen dat gebruikers een SAS genereren die is ondertekend met de account sleutel voor werk belastingen voor blobs en wacht rijen, kunt u de toegang tot gedeelde sleutels voor het opslag account niet meer toestaan.To prevent users from generating a SAS that is signed with the account key for blob and queue workloads, you can disallow Shared Key access to the storage account. Zie autorisatie met gedeelde sleutel voor komenvoor meer informatie.For more information, see Prevent authorization with Shared Key.

SAS-hand tekening en autorisatieSAS signature and authorization

U kunt een SAS-token ondertekenen met een sleutel voor gebruikers overdracht of met een sleutel voor het opslag account (gedeelde sleutel).You can sign a SAS token with a user delegation key or with a storage account key (Shared Key).

Een SAS-token ondertekenen met een sleutel voor gebruikers overdrachtSigning a SAS token with a user delegation key

U kunt een SAS-token ondertekenen met behulp van een sleutel voor gebruikers overdracht die is gemaakt met behulp van de referenties van Azure Active Directory (Azure AD).You can sign a SAS token by using a user delegation key that was created using Azure Active Directory (Azure AD) credentials. Een SAS voor gebruikers overdracht is ondertekend met de sleutel gebruikers overdracht.A user delegation SAS is signed with the user delegation key.

Als u de sleutel wilt ophalen en vervolgens de SAS wilt maken, moet aan een Azure AD-beveiligingsprincipal een Azure-rol worden toegewezen die de Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey actie bevat.To get the key, and then create the SAS, an Azure AD security principal must be assigned an Azure role that includes the Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey action. Zie een gebruikers delegatie maken (rest API)voor meer informatie.For more information, see Create a user delegation SAS (REST API).

Een SAS-token ondertekenen met een account sleutelSigning a SAS token with an account key

Zowel een service-SAS als een account-SAS zijn ondertekend met de sleutel van het opslag account.Both a service SAS and an account SAS are signed with the storage account key. Een toepassing moet toegang hebben tot de account sleutel om een SAS te maken die is ondertekend met de account sleutel.To create a SAS that is signed with the account key, an application must have access to the account key.

Wanneer een aanvraag een SAS-token bevat, wordt die aanvraag geautoriseerd op basis van de manier waarop dat SAS-token is ondertekend.When a request includes a SAS token, that request is authorized based on how that SAS token is signed. De toegangs sleutel of referenties die u gebruikt om een SAS-token te maken, worden ook door Azure Storage gebruikt om toegang te verlenen aan een client die de SAS bezit.The access key or credentials that you use to create a SAS token are also used by Azure Storage to grant access to a client that possesses the SAS.

De volgende tabel bevat een overzicht van de manier waarop elk type SAS-token is geautoriseerd.The following table summarizes how each type of SAS token is authorized.

Type SASType of SAS Type autorisatieType of authorization
SAS voor gebruikers overdracht (alleen Blob-opslag)User delegation SAS (Blob storage only) Azure ADAzure AD
Service-SA'SService SAS Gedeelde sleutelShared Key
Account-SASAccount SAS Gedeelde sleutelShared Key

Micro soft raadt u aan om de SAS voor gebruikers te gebruiken wanneer dat mogelijk is voor een superieure beveiliging.Microsoft recommends using a user delegation SAS when possible for superior security.

SAS-tokenSAS token

Het SAS-token is een teken reeks die u aan de client zijde genereert, bijvoorbeeld door gebruik te maken van een van de Azure Storage-client bibliotheken.The SAS token is a string that you generate on the client side, for example by using one of the Azure Storage client libraries. Het SAS-token wordt op geen enkele manier bijgehouden door Azure Storage.The SAS token is not tracked by Azure Storage in any way. U kunt een onbeperkt aantal SAS-tokens maken aan de client zijde.You can create an unlimited number of SAS tokens on the client side. Nadat u een SAS hebt gemaakt, kunt u deze distribueren naar client toepassingen die toegang nodig hebben tot resources in uw opslag account.After you create a SAS, you can distribute it to client applications that require access to resources in your storage account.

Client toepassingen bieden de SAS-URI die moet Azure Storage als onderdeel van een aanvraag.Client applications provide the SAS URI to Azure Storage as part of a request. Vervolgens controleert de service de SAS-para meters en de hand tekening om te controleren of deze geldig is.Then, the service checks the SAS parameters and the signature to verify that it is valid. Als de service controleert of de hand tekening geldig is, wordt de aanvraag geautoriseerd.If the service verifies that the signature is valid, then the request is authorized. Anders wordt de aanvraag geweigerd met fout code 403 (verboden).Otherwise, the request is declined with error code 403 (Forbidden).

Hier volgt een voor beeld van een SAS-URI van de service, waarin de bron-URI en het SAS-token worden weer gegeven.Here's an example of a service SAS URI, showing the resource URI and the SAS token. Omdat de SAS-token de URI-query teken reeks bevat, moet de bron-URI eerst worden gevolgd door een vraag teken en vervolgens door het SAS-token:Because the SAS token comprises the URI query string, the resource URI must be followed first by a question mark, and then by the SAS token:

Onderdelen van een SAS-URI (Service)

Wanneer moet u een Shared Access Signature gebruiken?When to use a shared access signature

Gebruik een SAS om beveiligde toegang tot resources in uw opslag account te verlenen aan elke client die anders geen machtigingen heeft voor deze resources.Use a SAS to give secure access to resources in your storage account to any client who does not otherwise have permissions to those resources.

Een veelvoorkomend scenario waarbij een SAS handig is, is een service waar gebruikers hun eigen gegevens lezen en schrijven naar uw opslag account.A common scenario where a SAS is useful is a service where users read and write their own data to your storage account. In een scenario waarin een opslagaccount gebruikersgegevens opslaat, zijn er twee typische ontwerppatronen:In a scenario where a storage account stores user data, there are two typical design patterns:

  1. Clients uploaden en downloaden gegevens via een front-endproxyservice, waarmee verificatie wordt uitgevoerd.Clients upload and download data via a front-end proxy service, which performs authentication. Met deze front-end proxy service kunt u bedrijfs regels valideren.This front-end proxy service allows the validation of business rules. Voor grote hoeveel heden gegevens of trans acties met veel volumes is het maken van een service die kan worden geschaald naar het bereik van de vraag mogelijk kostbaar of lastig.But for large amounts of data, or high-volume transactions, creating a service that can scale to match demand may be expensive or difficult.

    Scenario diagram: front-end proxy service

  2. Met een eenvoudige service wordt de client indien nodig geverifieerd en vervolgens een SAS gegenereerd.A lightweight service authenticates the client as needed and then generates a SAS. Zodra de client toepassing de SAS heeft ontvangen, kan deze rechtstreeks toegang krijgen tot Storage-account bronnen.Once the client application receives the SAS, it can access storage account resources directly. Toegangs machtigingen worden gedefinieerd door de SAS en voor het interval dat is toegestaan door de SAS.Access permissions are defined by the SAS and for the interval allowed by the SAS. Dankzij de SAS hoeven alle gegevens niet via de front-endproxyservice te worden doorgestuurd.The SAS mitigates the need for routing all data through the front-end proxy service.

    Scenario diagram: SAS-Provider service

Veel echte Services kunnen gebruikmaken van een hybride van deze twee benaderingen.Many real-world services may use a hybrid of these two approaches. Sommige gegevens kunnen bijvoorbeeld worden verwerkt en gevalideerd via de front-end-proxy.For example, some data might be processed and validated via the front-end proxy. Andere gegevens worden opgeslagen en/of worden direct gelezen met SAS.Other data is saved and/or read directly using SAS.

Daarnaast is een SAS vereist om toegang te verlenen tot het bron object in een Kopieer bewerking in bepaalde scenario's:Additionally, a SAS is required to authorize access to the source object in a copy operation in certain scenarios:

  • Wanneer u een BLOB kopieert naar een andere blob die zich in een ander opslag account bevindt.When you copy a blob to another blob that resides in a different storage account.

    U kunt eventueel ook een SAS gebruiken om toegang te verlenen tot de doel-blob.You can optionally use a SAS to authorize access to the destination blob as well.

  • Wanneer u een bestand kopieert naar een ander bestand dat zich in een ander opslag account bevindt.When you copy a file to another file that resides in a different storage account.

    U kunt eventueel ook een SAS gebruiken om toegang tot het doel bestand te verlenen.You can optionally use a SAS to authorize access to the destination file as well.

  • Wanneer u een BLOB naar een bestand of een bestand naar een BLOB kopieert.When you copy a blob to a file, or a file to a blob.

    U moet een SAS gebruiken, zelfs als de bron-en doel objecten zich in hetzelfde opslag account bevinden.You must use a SAS even if the source and destination objects reside within the same storage account.

Best practices bij gebruik van SASBest practices when using SAS

Wanneer u gebruikmaakt van hand tekeningen voor gedeelde toegang in uw toepassingen, moet u rekening houden met twee mogelijke Risico's:When you use shared access signatures in your applications, you need to be aware of two potential risks:

  • Als een SAS wordt gelekt, kan deze worden gebruikt door iedereen die deze verkrijgt, waardoor uw opslag account mogelijk kan worden aangetast.If a SAS is leaked, it can be used by anyone who obtains it, which can potentially compromise your storage account.

  • Als een SAS die aan een client toepassing is gegeven, verloopt en de toepassing geen nieuwe SA'S kan ophalen van uw service, kan de functionaliteit van de toepassing worden belemmerd.If a SAS provided to a client application expires and the application is unable to retrieve a new SAS from your service, then the application's functionality may be hindered.

De volgende aanbevelingen voor het gebruik van hand tekeningen voor gedeelde toegang kunnen helpen bij het oplossen van deze Risico's:The following recommendations for using shared access signatures can help mitigate these risks:

  • Gebruik altijd HTTPS om een SAS te maken of te distribueren.Always use HTTPS to create or distribute a SAS. Als een SAS wordt door gegeven via HTTP en onderschept, kan een aanvaller die een man-in-the-middle-aanval uitvoert, de SAS lezen.If a SAS is passed over HTTP and intercepted, an attacker performing a man-in-the-middle attack is able to read the SAS. Vervolgens kunnen ze die SA'S gebruiken, net zoals de beoogde gebruiker.Then, they can use that SAS just as the intended user could have. Dit kan leiden tot gevoelige gegevens of beschadiging van gegevens door de kwaadwillende gebruiker.This can potentially compromise sensitive data or allowing for data corruption by the malicious user.

  • Gebruik, indien mogelijk, een SAS voor gebruikers overdracht.Use a user delegation SAS when possible. Een SAS voor gebruikers overdracht biedt superieure beveiliging voor een service-SAS of een account-SAS.A user delegation SAS provides superior security to a service SAS or an account SAS. Een SAS voor gebruikers overdracht wordt beveiligd met Azure AD-referenties, zodat u uw account sleutel niet hoeft op te slaan met uw code.A user delegation SAS is secured with Azure AD credentials, so that you do not need to store your account key with your code.

  • Er is een intrekkings plan aanwezig voor een SAS.Have a revocation plan in place for a SAS. Zorg ervoor dat u hebt voor bereid dat u reageert als een SAS is aangetast.Make sure you are prepared to respond if a SAS is compromised.

  • Definieer een opgeslagen toegangs beleid voor een service-SAS.Define a stored access policy for a service SAS. Opgeslagen toegangs beleid biedt u de mogelijkheid om machtigingen in te trekken voor een service-SA'S zonder dat u de sleutels van het opslag account opnieuw hoeft te genereren.Stored access policies give you the option to revoke permissions for a service SAS without having to regenerate the storage account keys. Stel de verloop tijd in de toekomst (of oneindig) in en zorg ervoor dat deze regel matig wordt bijgewerkt om deze verder in de toekomst te verplaatsen.Set the expiration on these very far in the future (or infinite) and make sure it's regularly updated to move it farther into the future.

  • De bijna-termijn verloop tijden voor een ad-hoc SAS-service SAS of account-SA'S gebruiken.Use near-term expiration times on an ad hoc SAS service SAS or account SAS. Op deze manier, zelfs als er een SAS is aangetast, is deze alleen geldig voor een korte periode.In this way, even if a SAS is compromised, it's valid only for a short time. Deze procedure is vooral belang rijk als u niet kunt verwijzen naar een opgeslagen toegangs beleid.This practice is especially important if you cannot reference a stored access policy. De bijna-termijn verloop tijd beperkt ook de hoeveelheid gegevens die naar een BLOB kan worden geschreven door de beschik bare tijd voor het uploaden ervan te beperken.Near-term expiration times also limit the amount of data that can be written to a blob by limiting the time available to upload to it.

  • Laat clients automatisch de SA'S vernieuwen als dat nodig is.Have clients automatically renew the SAS if necessary. Clients moeten de SA'S goed vernieuwen voordat het verloopt, om tijd te bieden voor nieuwe pogingen als de service die de SAS biedt, niet beschikbaar is.Clients should renew the SAS well before the expiration, in order to allow time for retries if the service providing the SAS is unavailable. Dit kan in sommige gevallen onnodig zijn.This might be unnecessary in some cases. U kunt bijvoorbeeld voor komen dat de SA'S worden gebruikt voor een klein aantal directe, korte bedrijfs activiteiten.For example, you might intend for the SAS to be used for a small number of immediate, short-lived operations. Deze bewerkingen worden naar verwachting binnen de verloop periode voltooid.These operations are expected to be completed within the expiration period. Als gevolg hiervan wordt u niet verwacht dat de SA'S worden vernieuwd.As a result, you are not expecting the SAS to be renewed. Als u echter een-client hebt die regel matig aanvragen maakt via SAS, is de kans dat de verval datum is verlopen.However, if you have a client that is routinely making requests via SAS, then the possibility of expiration comes into play.

  • Wees voorzichtig met de start tijd van SAS.Be careful with SAS start time. Als u de begin tijd voor een SAS instelt op de huidige tijd, kunnen fouten in de eerste paar minuten in aflopende omstandigheden optreden.If you set the start time for a SAS to the current time, failures might occur intermittently for the first few minutes. Dit wordt veroorzaakt door verschillende machines met iets andere huidige tijden (ook wel Clock scheefheid genoemd).This is due to different machines having slightly different current times (known as clock skew). In het algemeen stelt u de start tijd in op ten minste 15 minuten in het verleden.In general, set the start time to be at least 15 minutes in the past. U kunt de service ook niet instellen, waardoor deze onmiddellijk in alle gevallen geldig is.Or, don't set it at all, which will make it valid immediately in all cases. Dit geldt ook voor verloop tijd. Vergeet niet dat u tot wel 15 minuten aan de hand van een wille keurige aanvraag kunt zien.The same generally applies to expiry time as well--remember that you may observe up to 15 minutes of clock skew in either direction on any request. Voor clients die gebruikmaken van een REST-versie vóór 2012-02-12, is de maximale duur voor een SAS die niet verwijst naar een opgeslagen toegangs beleid, 1 uur.For clients using a REST version prior to 2012-02-12, the maximum duration for a SAS that does not reference a stored access policy is 1 hour. Beleids regels die een langere periode dan 1 uur opgeven, mislukken.Any policies that specify a longer term than 1 hour will fail.

  • Wees voorzichtig met de SAS DateTime-indeling.Be careful with SAS datetime format. Voor sommige hulpprogram ma's (zoals AzCopy) hebt u datum notaties nodig voor ' +% Y-% m-% dT% H:%M:% SZ '.For some utilities (such as AzCopy), you need datetime formats to be '+%Y-%m-%dT%H:%M:%SZ'. Deze indeling omvat met name de seconden.This format specifically includes the seconds.

  • De resource moet specifiek zijn voor toegang tot de bron.Be specific with the resource to be accessed. Een beveiligings best practice is om een gebruiker te voorzien van de mini maal vereiste bevoegdheden.A security best practice is to provide a user with the minimum required privileges. Als een gebruiker alleen lees toegang nodig heeft tot één entiteit, dan verlenen zij Lees-en schrijf toegang tot de ene entiteit en niet lezen/schrijven/verwijderen voor alle entiteiten.If a user only needs read access to a single entity, then grant them read access to that single entity, and not read/write/delete access to all entities. Dit helpt ook de schade te beperken als een SAS is aangetast omdat de SAS minder kracht in de handen van een aanvaller heeft.This also helps lessen the damage if a SAS is compromised because the SAS has less power in the hands of an attacker.

  • U begrijpt dat uw account wordt gefactureerd voor gebruik, inclusief via een SAS.Understand that your account will be billed for any usage, including via a SAS. Als u schrijf toegang voor een BLOB biedt, kan een gebruiker ervoor kiezen om een 200 GB-BLOB te uploaden.If you provide write access to a blob, a user may choose to upload a 200 GB blob. Als u de gebruikers ook lees toegang hebt gegeven, kunnen ze het 10 keer downloaden, waardoor er 2 TB worden bespaard op basis van de kosten voor u.If you've given them read access as well, they may choose to download it 10 times, incurring 2 TB in egress costs for you. U kunt ook beperkte machtigingen opgeven om de mogelijke acties van kwaadwillende gebruikers te helpen voor komen.Again, provide limited permissions to help mitigate the potential actions of malicious users. Gebruik SA'S met een korte levens duur om deze dreiging te verminderen (maar mindful aan de eind tijd te scheefen).Use short-lived SAS to reduce this threat (but be mindful of clock skew on the end time).

  • Valideer gegevens die zijn geschreven met behulp van een SAS.Validate data written using a SAS. Wanneer een client toepassing gegevens naar uw opslag account schrijft, houd er dan rekening mee dat er problemen met die gegevens kunnen optreden.When a client application writes data to your storage account, keep in mind that there can be problems with that data. Als u van plan bent om gegevens te valideren, voert u die validatie uit nadat de gegevens zijn geschreven en voordat deze door uw toepassing worden gebruikt.If you plan to validate data, perform that validation after the data is written and before it is used by your application. Deze oefening beschermt ook tegen beschadigde of schadelijke gegevens die naar uw account worden geschreven, hetzij door een gebruiker die de SA'S heeft aangeschaft, hetzij door een gebruiker die misbruik maakt van een gelekte SAS.This practice also protects against corrupt or malicious data being written to your account, either by a user who properly acquired the SAS, or by a user exploiting a leaked SAS.

  • Weet wanneer u geen SAS wilt gebruiken.Know when not to use a SAS. Soms is het gebruik van een SAS niet alleen voor de Risico's die zijn gekoppeld aan een bepaalde bewerking ten opzichte van uw opslag account.Sometimes the risks associated with a particular operation against your storage account outweigh the benefits of using a SAS. Voor dergelijke bewerkingen maakt u een middelste laag service die naar uw opslag account schrijft na het uitvoeren van de validatie, verificatie en controle van bedrijfs regels.For such operations, create a middle-tier service that writes to your storage account after performing business rule validation, authentication, and auditing. Soms is het eenvoudiger om de toegang op andere manieren te beheren.Also, sometimes it's simpler to manage access in other ways. Als u bijvoorbeeld alle blobs in een container openbaar leesbaar wilt maken, kunt u de container openbaar maken, in plaats van een SAS aan elke client voor toegang te bieden.For example, if you want to make all blobs in a container publicly readable, you can make the container Public, rather than providing a SAS to every client for access.

  • Gebruik Azure Monitor en Azure Storage Logboeken om uw toepassing te bewaken.Use Azure Monitor and Azure Storage logs to monitor your application. Autorisatie fouten kunnen optreden vanwege een storing in uw SAS-Provider service.Authorization failures can occur because of an outage in your SAS provider service. Ze kunnen ook optreden wanneer een opgeslagen toegangs beleid per ongeluk wordt verwijderd.They can also occur from an inadvertent removal of a stored access policy. U kunt de logboek registratie van Azure Monitor en opslag analyse gebruiken om elke Prikker in deze typen autorisatie fouten te observeren.You can use Azure Monitor and storage analytics logging to observe any spike in these types of authorization failures. Zie Azure Storage metrische gegevens in azure monitor en Azure Opslaganalyse logboek registratievoor meer informatie.For more information, see Azure Storage metrics in Azure Monitor and Azure Storage Analytics logging.

Aan de slag met SASGet started with SAS

Raadpleeg de volgende artikelen voor elk SAS-type om aan de slag te gaan met hand tekeningen voor gedeelde toegang.To get started with shared access signatures, see the following articles for each SAS type.

SAS voor gebruikers overdrachtUser delegation SAS

Service-SA'SService SAS

Account-SASAccount SAS

Volgende stappenNext steps