Delegar acesso usando uma assinatura de acesso compartilhado

Uma SAS (Assinatura de Acesso Compartilhado) é um URI que concede direitos de acesso restrito a recursos do Armazenamento do Azure. Você pode fornecer uma assinatura de acesso compartilhado para clientes que não devem ser confiáveis com sua chave de conta de armazenamento, mas que precisam de acesso a determinados recursos da conta de armazenamento. Ao distribuir um URI de SAS para esses clientes, você pode conceder a eles acesso a um recurso por um período especificado, com um conjunto especificado de permissões.

Os parâmetros de consulta URI que compõem o token SAS incorporam todas as informações necessárias para conceder acesso controlado a um recurso de armazenamento. Um cliente que tem a SAS pode fazer uma solicitação no Armazenamento do Azure usando apenas o URI de SAS. As informações no token SAS são usadas para autorizar a solicitação.

Tipos de assinaturas de acesso compartilhado

O Armazenamento do Azure dá suporte aos seguintes tipos de assinaturas de acesso compartilhado:

  • Uma SAS de conta, introduzida com a versão 2015-04-05. Esse tipo de SAS delega acesso a recursos em um ou mais dos serviços de armazenamento. Todas as operações disponíveis através de um serviço SAS também estão disponíveis por meio de uma SAS de conta.

    Com a SAS da conta, você pode delegar acesso a operações que se aplicam a um serviço, como Get/Set Service Properties e Get Service Stats. Você também pode delegar acesso a operações de leitura, gravação e exclusão em contêineres de blob, tabelas, filas e compartilhamentos de arquivos que não são permitidos com um SAS de serviço.

    Para obter mais informações, confira Criar uma SAS de conta.

  • Uma SAS de serviço. Esse tipo de SAS delega acesso a um recurso em apenas um dos serviços de armazenamento: Armazenamento de Blobs do Azure, Armazenamento de Filas do Azure, Armazenamento de Tabelas do Azure ou Arquivos do Azure. Para obter mais informações, consulte Criar uma SAS de serviço e exemplos de SAS de serviço.

  • Uma SAS de delegação de usuário, introduzida com a versão 2018-11-09. Esse tipo de SAS é protegido com credenciais do Azure Active Directory. Ele tem suporte apenas para o Armazenamento de Blobs e você pode usá-lo para conceder acesso a contêineres e blobs. Para obter mais informações, consulte Criar uma SAS de delegação de usuário.

Além disso, uma SAS de serviço pode fazer referência a uma política de acesso armazenada que fornece outro nível de controle sobre um conjunto de assinaturas. Esse controle inclui a capacidade de modificar ou revogar o acesso ao recurso, se necessário. Para obter mais informações, consulte Definir uma política de acesso armazenada.

Observação

Atualmente, não há suporte para políticas de acesso armazenadas para uma SAS de conta ou uma SAS de delegação de usuário.

Confira também