Acesso delegado com assinatura de acesso partilhado

Uma assinatura de acesso partilhado (SAS) é um URI que concede direitos de acesso restritos aos recursos do Armazenamento do Microsoft Azure. Pode fornecer uma assinatura de acesso partilhado a clientes aos quais não deve confiar a sua chave de conta de armazenamento, mas aos quais deseja delegar acesso a certos recursos da conta de armazenamento. Ao distribuir um URI de assinatura de acesso partilhado a estes clientes, pode conceder-lhes acesso a um recurso por um período de tempo especificado e com um conjunto de permissões especificado.

Os parâmetros de consulta URI que compõem o token SAS incorporam todas as informações necessárias para conceder acesso controlado a um recurso de armazenamento. Um cliente que esteja na posse do SAS pode fazer um pedido contra a Azure Armazenamento apenas com o SAS URI, e a informação contida no token SAS é usada para autorizar o pedido.

Tipos de assinaturas de acesso partilhado

A Azure Armazenamento suporta os seguintes tipos de assinaturas de acesso partilhado:

  • Um SAS de nível de conta, introduzido com a versão 2015-04-05. A conta SAS delega acesso a recursos em um ou mais dos serviços de armazenamento. Todas as operações disponíveis através de um serviço SAS também estão disponíveis através de uma conta SAS. Além disso, com a conta SAS, pode delegar o acesso a operações que se aplicam a um determinado serviço, como Get/Set Service Properties e Get Service Stats . Também pode delegar o acesso às operações de leitura, escrita e eliminação em contentores de blobs, tabelas, filas e partilhas de ficheiros que não são permitidos com um serviço SAS. Consulte Criar uma conta SAS para obter mais informações sobre a conta SAS.

  • Um SAS de nível de serviço. O serviço SAS delega o acesso a um recurso em apenas um dos serviços de armazenamento: o serviço Blob, Fila, Tabela ou Ficheiro. Consulte Criar um serviço SAS e Serviço SAS Exemplos para obter mais informações sobre o serviço SAS.

  • Uma delegação de utilizadores SAS, introduzida com a versão 2018-11-09. Uma delegação de utilizador SAS está protegida com credenciais Azure AD. Este tipo de SAS é suportado apenas para o serviço Blob e pode ser usado para garantir o acesso a contentores e bolhas. Para mais informações, consulte Criar uma delegação de utilizador SAS.

Além disso, um serviço SAS pode fazer referência a uma política de acesso armazenada que forneça um nível adicional de controlo sobre um conjunto de assinaturas, incluindo a capacidade de modificar ou revogar o acesso ao recurso, se necessário. Para obter mais informações sobre as políticas de acesso armazenadas, consulte Definir uma política de acesso armazenada.

Nota

Atualmente, as políticas de acesso armazenadas não são suportadas por uma conta SAS ou uma delegação de utilizadores SAS.

Ver também