Делегирование доступа с помощью подписанного URL-адреса

Подписанный URL-адрес (SAS) — это URI, который предоставляет ограниченные права доступа к ресурсам хранилища Azure. Вы можете предоставить подписанный URL-адрес клиентам, которым не следует доверять ключ учетной записи хранения, но которым нужен доступ к определенным ресурсам учетной записи хранения. Передавая URI SAS этим клиентам, вы предоставляете им доступ к ресурсу в течение определенного времени с указанным набором разрешений.

Параметры запроса URI, составляющие маркер SAS, включают все сведения, необходимые для предоставления управляемого доступа к ресурсу хранилища. Клиент, имеющий SAS, может выполнить запрос к службе хранилища Azure, используя только универсальный код ресурса (URI) SAS. Сведения в маркере SAS используются для авторизации запроса.

Типы подписанных URL-адресов

Служба хранилища Azure поддерживает следующие типы подписанных URL-адресов:

• SAS учетной записи, появилась в версии 2015-04-05. Этот тип SAS делегирует доступ к ресурсам в одной или нескольких службах хранилища. SAS учетной записи предоставляет доступ ко всем операциям, которые доступны через SAS службы.

  С помощью SAS учетной записи можно делегировать доступ к операциям, которые применяются к службе, например Get/Set Service Properties и Get Service Stats. Вы также можете делегировать доступ к операциям чтения, записи и удаления в контейнерах больших двоичных объектов, таблицах, очередях и общих папках, которые запрещены в SAS службы.

  Дополнительные сведения см. в статье Создание SAS для учетной записи.

• SAS службы. Этот тип SAS делегирует доступ к ресурсу только в одной из служб хранилища: Хранилище BLOB-объектов Azure, хранилище очередей Azure, хранилище таблиц Azure или Файлы Azure. Дополнительные сведения см. в разделах Создание SAS службы и Примеры SAS службы.

• SAS для делегирования пользователей, представленный в версии 2018-11-09. Этот тип SAS защищен с помощью учетных данных Azure Active Directory. Он поддерживается только для хранилища BLOB-объектов, и его можно использовать для предоставления доступа к контейнерам и BLOB-объектам. Дополнительные сведения см. в разделе Создание SAS для делегирования пользователя.

Кроме того, SAS службы может ссылаться на хранимую политику доступа, которая обеспечивает другой уровень управления набором подписей. Этот элемент управления включает в себя возможность при необходимости изменять или отменять доступ к ресурсу. Дополнительные сведения см. в разделе Определение хранимой политики доступа.

Примечание

Хранимые политики доступа в настоящее время не поддерживаются для SAS учетной записи или SAS делегирования пользователей.

См. также раздел

• Предоставление ограниченного доступа к ресурсам службы хранилища Azure с помощью подписанных URL-адресов