Delegowanie dostępu za pomocą sygnatury dostępu współdzielnego

Sygnatura dostępu współdzielonego to identyfikator URI, który zapewnia ograniczone prawa dostępu do zasobów usługi Azure Storage. Możesz udostępnić sygnaturę dostępu współdzielonego klientom, którym nie chcesz przekazać klucza konta magazynu, ale do których chcesz delegować dostęp do określonych zasobów konta magazynu. Dystrybuując identyfikator URI sygnatury dostępu współdzielonego do tych klientów, można przyznać im dostęp do zasobu przez określony czas i z określonym zestawem uprawnień.

Parametry zapytania URI składające się na token SAS zawierają wszystkie informacje niezbędne do udzielenia kontrolowanego dostępu do zasobu magazynu. Klient, który jest w posiadaniu sygnatury dostępu współdzielonego, może wysyłać żądania do usługi Azure Storage przy użyciu tylko tego uri sygnatury dostępu współdzielonego, a informacje zawarte w tokenie sygnatury dostępu współdzielonego są używane do autoryzowania żądania.

Typy sygnatur dostępu współdzielonego

Usługa Azure Storage obsługuje następujące typy sygnatur dostępu współdzielonych:

  • Sygnatura dostępu współdzielonego na poziomie konta wprowadzona w wersji 2015-04-05. Sygnatura dostępu współdzielonego konta deleguje dostęp do zasobów w co najmniej jednej z usług magazynu. Wszystkie operacje dostępne za pośrednictwem sygnatury dostępu współdzielonego usługi są również dostępne za pośrednictwem sygnatury dostępu współdzielonego konta. Ponadto za pomocą sygnatury dostępu współdzielonego konta można delegować dostęp do operacji, które mają zastosowanie do danej usługi, takich jak Get/Set Service Properties i Get Service Stats . Możesz również delegować dostęp do operacji odczytu, zapisu i usuwania dla kontenerów obiektów blob, tabel, kolejek i udziałów plików, co jest niedozwolone w wypadku sygnatury dostępu współdzielonego usługi. Aby uzyskać więcej informacji na temat sygnatury dostępu współdzielonego konta, zobacz Tworzenie sygnatury dostępu współdzielonego konta.

  • Sygnatura dostępu współdzielonego na poziomie usługi. Sygnatura dostępu współdzielonego usługi deleguje dostęp do zasobu tylko w jednej z usług: obiektów blob, kolejek, tabel lub plików. Aby uzyskać więcej informacji na temat sygnatury dostępu współdzielonego usługi, zobacz Tworzenie sygnatury dostępu współdzielonego usługi i Przykłady sygnatury dostępu współdzielonego usługi.

  • Sygnatura dostępu współdzielonego delegowania użytkowników wprowadzona w wersji 2018-11-09. Sygnatura dostępu współdzielonego delegowania użytkownika jest zabezpieczona przy użyciu poświadczeń usługi Azure AD. Ten typ sygnatury dostępu współdzielonego jest obsługiwany tylko Blob service i może służyć do udzielania dostępu do kontenerów i obiektów blob. Aby uzyskać więcej informacji, zobacz Tworzenie sygnatury dostępu współdzielonego delegowania użytkownika.

Ponadto sygnatura dostępu współdzielonego usługi może odwoływać się do przechowywanych zasad dostępu, które zapewniają dodatkowy poziom kontroli nad zestawem podpisów, w tym możliwość modyfikowania lub odwoływania dostępu do zasobu w razie potrzeby. Aby uzyskać więcej informacji na temat przechowywanych zasad dostępu, zobacz Define a stored access policy (Definiowanie zapisanych zasad dostępu).

Uwaga

Przechowywane zasady dostępu nie są obecnie obsługiwane dla sygnatury dostępu współdzielonego konta ani sygnatury dostępu współdzielonego delegowania użytkownika.

Zobacz też