Делегирование доступа с помощью подписанного URL-адреса

  • Статья
  • Чтение занимает 2 мин

Подписанный URL-адрес (SAS) — это URI, который предоставляет ограниченные права доступа к ресурсам хранилища Azure. Вы можете предоставить подписанный URL-адрес клиентам, которым не доверяете ключ учетной записи хранения, но которым хотите делегировать доступ к определенным ресурсам учетной записи. Передавая URI подписанного URL-адреса этим клиентам, вы предоставляете им доступ к ресурсу в течение определенного времени с указанным набором разрешений.

Параметры запроса в URI, которые составляют маркер SAS, содержат все необходимые сведения для предоставления контролируемого доступа к ресурсу хранилища. Клиент, который имеет в своем распоряжении подписанный URL-адрес, может выполнить запрос к службе хранилища Azure с этим URL-адресом, и для авторизации запроса используются сведения из этого маркера SAS.

Типы подписанных URL-адресов

служба хранилища Azure поддерживает следующие типы подписанных URL-адресов:

  • SAS уровня учетной записи, появилась в версии 2015-04-05. SAS учетной записи делегирует доступ к ресурсам в одной или нескольких службах хранилища. SAS учетной записи предоставляет доступ ко всем операциям, которые доступны через SAS службы. Кроме того, с помощью SAS учетной записи можно делегировать доступ к операциям, которые применяются к данной службе, например Get/Set Service Properties и Get Service Stats. Вы также можете делегировать доступ к операциям чтения, записи и удаления в контейнерах больших двоичных объектов, таблицах, очередях и общих папках, которые запрещены в SAS службы. Дополнительные сведения о SAS учетной записи см. в статье "Создание SAS учетной записи ".

  • SAS уровня обслуживания. SAS службы делегирует доступ к ресурсу только в одной из служб хранения: службе BLOB-объектов, очередей, таблиц или файлов. Дополнительные сведения о SAS службы см. в примерахsas службы и SAS службы.

  • SAS для делегирования пользователей, представленный в версии 2018-11-09. SAS для делегирования пользователей защищается учетными данными Azure AD. Такой тип SAS поддерживается только для службы BLOB-объектов и позволяет предоставлять доступ к контейнерам и BLOB-объектам. Дополнительные сведения см. в разделе Создание SAS для делегирования пользователя.

Кроме того, SAS службы может ссылаться на хранимую политику доступа, которая обеспечивает дополнительный уровень контроля над набором подписей, включая возможность изменять или отменять доступ к ресурсу при необходимости. Дополнительные сведения о хранимых политиках доступа см. в разделе "Определение хранимой политики доступа".

Примечание

Хранимые политики доступа в настоящее время не поддерживаются для SAS учетной записи или SAS делегирования пользователей.

См. также раздел