Skapa en konto-SAS
Från och med version 2015-04-05 har Azure Storage stöd för att skapa en ny typ av signatur för delad åtkomst (SAS) på lagringskontots nivå. Genom att skapa ett konto-SAS kan du:
Delegera åtkomst till åtgärder på tjänstnivå som för närvarande inte är tillgängliga med en tjänstspecifik SAS, till exempel
Get/Set Service Propertiesåtgärderna ochGet Service Stats.Delegera åtkomst till mer än en tjänst i ett lagringskonto åt gången. Du kan till exempel delegera åtkomst till resurser i både Azure Blob Storage och Azure Files med hjälp av ett konto-SAS.
Delegera åtkomst till skriv- och borttagningsåtgärder för containrar, köer, tabeller och filresurser, som inte är tillgängliga med en objektspecifik SAS.
Ange en IP-adress eller ett intervall med IP-adresser som begäranden ska accepteras från.
Ange det HTTP-protokoll som begäranden ska accepteras från (https eller HTTP/HTTPS).
Lagrade åtkomstprinciper stöds för närvarande inte för ett konto-SAS.
Varning
Signaturer för delad åtkomst är nycklar som ger behörighet till lagringsresurser, och du bör skydda dem på samma sätt som du skyddar en kontonyckel. Det är viktigt att skydda en SAS från skadlig eller oavsiktlig användning. Använd diskretion när du distribuerar en SAS och ha en plan för att återkalla en komprometterad SAS. Åtgärder som använder signaturer för delad åtkomst bör endast utföras via en HTTPS-anslutning och SAS-URI:er ska endast distribueras på en säker anslutning, till exempel HTTPS.
Auktorisera ett konto-SAS
Du skyddar ett konto-SAS med hjälp av en lagringskontonyckel. När du skapar ett konto-SAS måste klientprogrammet ha kontonyckeln.
Om du vill använda Microsoft Entra autentiseringsuppgifter för att skydda en SAS för en container eller blob skapar du en SAS för användardelegering.
Skapa en SAS-URI för kontot
Kontots SAS-URI består av URI:n för den resurs som SAS delegerar åtkomst för, följt av en SAS-token. SAS-token är frågesträngen som innehåller all information som krävs för att auktorisera en begäran till resursen. Den anger tjänsten, resursen och behörigheterna som är tillgängliga för åtkomst och den tidsperiod under vilken signaturen är giltig.
Ange kontots SAS-parametrar
De obligatoriska och valfria parametrarna för SAS-token beskrivs i följande tabell:
| SAS-frågeparameter | Description |
|---|---|
api-version |
Valfritt. Anger vilken lagringstjänstversion som ska användas för att köra begäran som görs med hjälp av kontots SAS-URI. Mer information finns i Auktorisera begäranden med hjälp av en signatur för delad åtkomst. |
SignedVersion (sv) |
Krävs. Anger den signerade lagringstjänstversion som ska användas för att auktorisera begäranden som görs med det här kontots SAS. Den måste anges till version 2015-04-05 eller senare. Mer information finns i Auktorisera begäranden med hjälp av en signatur för delad åtkomst. |
SignedServices (ss) |
Krävs. Anger de signerade tjänster som är tillgängliga med kontots SAS. Möjliga värden är: – Blob ( b)– Kö ( q)- Tabell ( t)- Fil ( f)Du kan kombinera värden för att ge åtkomst till mer än en tjänst. Till exempel ss=bf anger åtkomst till Blob Storage och Azure Files slutpunkter. |
SignedResourceTypes (srt) |
Krävs. Anger de signerade resurstyper som är tillgängliga med kontots SAS. – Tjänst ( s): Åtkomst till API:er på servicenivå (till exempel Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).– Container ( c): Åtkomst till API:er på containernivå (till exempel Skapa/ta bort container, Skapa/ta bort kö, Skapa/ta bort tabell, Skapa/ta bort resurs, Listblobar/Filer och kataloger).- Objekt ( o): Åtkomst till API:er på objektnivå för blobar, kömeddelanden, tabellentiteter och filer (till exempel Put Blob, Query Entity, Get Messages, Create File).Du kan kombinera värden för att ge åtkomst till mer än en resurstyp. Till exempel srt=sc anger åtkomst till tjänst- och containerresurser. |
SignedPermissions (sp) |
Krävs. Anger de signerade behörigheterna för kontots SAS. Behörigheter är endast giltiga om de matchar den angivna signerade resurstypen. Om de inte matchar ignoreras de. – Läs ( r): Giltig för alla signerade resurstyper (tjänst, container och objekt). Tillåter läsbehörighet till den angivna resurstypen.– Skriv ( w): Giltigt för alla signerade resurstyper (tjänst, container och objekt). Tillåter skrivåtkomst för den angivna resurstypen, så att en användare kan skapa och uppdatera resurser.– Ta bort ( d): Giltigt för resurstyperna Container och Objekt, med undantag för kömeddelanden.– Permanent borttagning ( y): Gäller endast för objektresurstypen Blob.– Lista ( l): Gäller endast för tjänst- och containerresurstyper.– Lägg till ( a): Gäller endast för följande objektresurstyper: kömeddelanden, tabellentiteter och tilläggsblobar.– Skapa ( c): Giltigt för containerresurstyper och följande objektresurstyper: blobar och filer. Användare kan skapa nya resurser, men de kanske inte skriver över befintliga resurser.– Uppdatering ( u): Gäller endast för följande objektresurstyper: kömeddelanden och tabellentiteter.– Process ( p): Gäller endast för följande objektresurstyp: kömeddelanden.– Tagg ( t): Gäller endast för följande objektresurstyp: blobar. Tillåter åtgärder för blobtaggen.– Filter ( f): Gäller endast för följande objektresurstyp: blob. Tillåter filtrering efter blobtagg.– Ange oföränderlighetsprincip ( i): Endast giltig för följande objektresurstyp: blob. Tillåter inställning/borttagning av oföränderlighetsprincip och bevarande av juridiska skäl för en blob. |
SignedStart (st) |
Valfritt. Tiden då SAS blir giltig, uttryckt i något av de godkända ISO 8601 UTC-formaten. Om den utelämnas antas starttiden vara den tid då lagringstjänsten tar emot begäran. Mer information om accepterade UTC-format finns i Formatera DateTime-värden. |
SignedExpiry (se) |
Krävs. Den tid då signaturen för delad åtkomst blir ogiltig, uttryckt i något av de godkända ISO 8601 UTC-formaten. Mer information om accepterade UTC-format finns i Formatera DateTime-värden. |
SignedIP (sip) |
Valfritt. Anger en IP-adress eller ett intervall med IP-adresser som begäranden ska accepteras från. När du anger ett intervall bör du tänka på att intervallet är inkluderande. Endast IPv4-adresser stöds. Exempel: sip=168.1.5.65 eller sip=168.1.5.60-168.1.5.70. |
SignedProtocol (spr) |
Valfritt. Anger det protokoll som tillåts för en begäran som görs med kontots SAS. Möjliga värden är både HTTPS och HTTP (https,http) eller endast HTTPS (https). Standardvärdet är https,http.Observera att endast HTTP inte är ett tillåtet värde. |
SignedEncryptionScope (ses) |
Valfritt. Anger krypteringsomfånget som ska användas för att kryptera innehållet i begäran. Det här fältet stöds med version 2020-12-06 och senare. |
Signature (sig) |
Krävs. Signaturdelen av URI:n används för att auktorisera den begäran som görs med signaturen för delad åtkomst. Sträng-till-tecken är en unik sträng som konstrueras från de fält som måste verifieras för att godkänna begäran. Signaturen är en hash-baserad kod för meddelandeautentisering (HMAC) som beräknas över sträng-till-signering och -nyckel med hjälp av SHA256-algoritmen och sedan kodas med hjälp av Base64-kodning. |
Ange fältet signedVersion
Fältet signedVersion (sv) innehåller tjänstversionen av signaturen för delad åtkomst. Det här värdet anger den version av auktoriseringen för delad nyckel som används av signaturen för delad åtkomst (i fältet signature ). Värdet anger även tjänstversionen för begäranden som görs med signaturen för delad åtkomst.
Information om vilken version som används när du kör begäranden via en signatur för delad åtkomst finns i Versionshantering för Azure Storage-tjänster.
Information om hur den här parametern påverkar auktoriseringen av begäranden som görs med en signatur för delad åtkomst finns i Delegera åtkomst med en signatur för delad åtkomst.
| Fältnamn | Frågeparameter | Beskrivning |
|---|---|---|
signedVersion |
sv |
Krävs. Stöds i version 2015-04-05 och senare. Den lagringstjänstversion som ska användas för att auktorisera och hantera begäranden som du gör med signaturen för delad åtkomst. Mer information finns i Versionshantering för Azure Storage-tjänster. |
Ange en IP-adress eller ETT IP-intervall
Från och med version 2015-04-05 anger det valfria signedIp fältet (sip) en offentlig IP-adress eller ett intervall med offentliga IP-adresser som begäranden ska accepteras från. Om DEN IP-adress som begäran kommer från inte matchar IP-adressen eller adressintervallet som anges på SAS-token, är begäran inte auktoriserad. Endast IPv4-adresser stöds.
När du anger ett intervall med IP-adresser bör du tänka på att intervallet är inclusiveTill exempel anger sip=168.1.5.65 eller sip=168.1.5.60-168.1.5.70 på SAS begränsas begäran till dessa IP-adresser.
I följande tabell beskrivs om fältet ska inkluderas signedIp på en SAS-token för ett angivet scenario, baserat på klientmiljön och lagringskontots plats.
| Klientmiljö | Lagringskontoplats | Rekommendation |
|---|---|---|
| Klient som körs i Azure | I samma region som klienten | En SAS som tillhandahålls till klienten i det här scenariot bör inte innehålla en utgående IP-adress för fältet signedIp . Begäranden som görs från samma region som använder en SAS med en angiven utgående IP-adress misslyckas.Använd i stället ett virtuellt Azure-nätverk för att hantera nätverkssäkerhetsbegränsningar. Begäranden till Azure Storage från samma region sker alltid via en privat IP-adress. Mer information finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk. |
| Klient som körs i Azure | I en annan region än klienten | En SAS som tillhandahålls till klienten i det här scenariot kan innehålla en offentlig IP-adress eller adressintervall för fältet signedIp . En begäran som görs med SAS måste komma från den angivna IP-adressen eller adressintervallet. |
| Klienten körs lokalt eller i en annan molnmiljö | I alla Azure-regioner | En SAS som tillhandahålls till klienten i det här scenariot kan innehålla en offentlig IP-adress eller adressintervall för fältet signedIp . En begäran som görs med SAS måste komma från den angivna IP-adressen eller adressintervallet.Om begäran skickas via en proxy eller gateway anger du den offentliga utgående IP-adressen för den proxyn eller gatewayen signedIp för fältet. |
Ange HTTP-protokollet
Från och med version 2015-04-05 anger det valfria signedProtocol fältet (spr) det protokoll som tillåts för en begäran som görs med SAS. Möjliga värden är både HTTPS och HTTP (https,http) eller endast HTTPS (https). Standardvärdet är https,http. Observera att ENDAST HTTP inte är ett tillåtet värde.
Ange krypteringsomfånget
Genom att använda fältet signedEncryptionScope på URI:n kan du ange det krypteringsomfång som klientprogrammet kan använda. Den framtvingar kryptering på serversidan med angivet krypteringsomfång när du laddar upp blobar (PUT) med SAS-token. GET och HEAD kommer inte att begränsas och utföras som tidigare.
I följande tabell beskrivs hur du refererar till ett signerat krypteringsomfång på URI:n:
| Fältnamn | Frågeparameter | Beskrivning |
|---|---|---|
signedEncryptionScope |
ses |
Valfritt. Anger krypteringsomfånget som ska användas för att kryptera innehållet i begäran. |
Det här fältet stöds med version 2020-12-06 eller senare. Om du lägger till ses före den version som stöds returnerar tjänsten felsvarskoden 403 (Förbjuden).
Om du anger standardkrypteringsomfånget för containern eller filsystemet ses respekterar frågeparametern containerkrypteringsprincipen. Om det finns ett matchningsfel mellan ses frågeparametern och x-ms-default-encryption-scope huvudet och x-ms-deny-encryption-scope-override huvudet är inställt truepå returnerar tjänsten felsvarskoden 403 (Förbjuden).
När du anger x-ms-encryption-scope huvudet och ses frågeparametern i PUT-begäran returnerar tjänsten felsvarskoden 400 (felaktig begäran) om det finns ett matchningsfel.
Skapa signatursträngen
Om du vill skapa signatursträngen för ett konto-SAS skapar du först sträng-till-sign från fälten som skapar begäran och kodar sedan strängen som UTF-8 och beräknar signaturen med hjälp av HMAC-SHA256-algoritmen.
Anteckning
Fälten som ingår i sträng-till-signera måste vara URL-avkodade.
Använd följande format för att konstruera sträng-till-signera för ett konto-SAS:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
Version 2020-12-06 lägger till stöd för det signerade krypteringsomfångsfältet. Använd följande format för att konstruera sträng-till-signera för ett konto-SAS:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Konto-SAS-behörigheter efter åtgärd
Tabellerna i följande avsnitt visar olika API:er för varje tjänst samt signerade resurstyper och signerade behörigheter som stöds för varje åtgärd.
Blob Service
I följande tabell visas blobtjänståtgärder och anger vilken signerad resurstyp och signerade behörigheter som ska anges när du delegerar åtkomst till dessa åtgärder.
| Åtgärd | Signerad tjänst | Signerad resurstyp | Signerad behörighet |
|---|---|---|---|
| Lista containrar | Blob (b) | Tjänst (s) | Lista (l) |
| Hämta blobtjänstegenskaper | Blob (b) | Tjänst (s) | Läs (r) |
| Ange egenskaper för blobtjänsten | Blob (b) | Tjänst (s) | Skriva (w) |
| Hämta statistik för blobtjänsten | Blob (b) | Tjänst (s) | Läs (r) |
| Skapa container | Blob (b) | Container (c) | Create(c) eller Write (w) |
| Hämta containeregenskaper | Blob (b) | Container (c) | Läs (r) |
| Hämta containermetadata | Blob (b) | Container (c) | Läs (r) |
| Ange containermetadata | Blob (b) | Container (c) | Skriva (w) |
| Lånecontainer | Blob (b) | Container (c) | Skriv (w) eller ta bort (d)1 |
| Ta bort container | Blob (b) | Container (c) | Ta bort (d)1 |
| Hitta blobar efter taggar i containern | Blob (b) | Container (c) | Filter (f) |
| Lista blobar | Blob (b) | Container (c) | Lista (l) |
| Placera blob (skapa ny blockblob) | Blob (b) | Objekt (o) | Skapa (c) eller skriv (w) |
| Placera blob (skriv över befintlig blockblob) | Blob (b) | Objekt (o) | Skriva (w) |
| Placera blob (skapa ny sidblob) | Blob (b) | Objekt (o) | Skapa (c) eller skriv (w) |
| Placera blob (skriv över befintlig sidblob) | Blob (b) | Objekt (o) | Skriva (w) |
| Hämta blob | Blob (b) | Objekt (o) | Läs (r) |
| Hämta blobegenskaper | Blob (b) | Objekt (o) | Läs (r) |
| Ange blobegenskaper | Blob (b) | Objekt (o) | Skriva (w) |
| Hämta blobmetadata | Blob (b) | Objekt (o) | Läs (r) |
| Ange blobmetadata | Blob (b) | Objekt (o) | Skriva (w) |
| Hämta blobtaggar | Blob (b) | Objekt (o) | Taggar (t) |
| Ange blobtaggar | Blob (b) | Objekt (o) | Taggar (t) |
| Hitta blobar efter taggar | Blob (b) | Objekt (o) | Filter (f) |
| Ta bort blob | Blob (b) | Objekt (o) | Ta bort (d)1 |
| Ta bort ögonblicksbild/version permanent | Blob (b) | Objekt (o) | Permanent borttagning (y) |
| Låna blob | Blob (b) | Objekt (o) | Skriv (w) eller ta bort (d)1 |
| Ta ögonblicksbild av blob | Blob (b) | Objekt (o) | Skapa (c) eller skriv (w) |
| Kopiera blob (målet är ny blob) | Blob (b) | Objekt (o) | Skapa (c) eller skriv (w) |
| Kopiera blob (målet är en befintlig blob) | Blob (b) | Objekt (o) | Skriva (w) |
| Inkrementell kopia | Blob (b) | Objekt (o) | Skapa (c) eller skriv (w) |
| Avbryt kopieringsblob | Blob (b) | Objekt (o) | Skriva (w) |
| Placera block | Blob (b) | Objekt (o) | Skriva (w) |
| Placera blockeringslista (skapa ny blob) | Blob (b) | Objekt (o) | Skriva (w) |
| Placera blockeringslista (uppdatera befintlig blob) | Blob (b) | Objekt (o) | Skriva (w) |
| Hämta blockeringslista | Blob (b) | Objekt (o) | Läsa (r) |
| Placera sida | Blob (b) | Objekt (o) | Skriva (w) |
| Hämta sidintervall | Blob (b) | Objekt (o) | Läsa (r) |
| Lägg till block | Blob (b) | Objekt (o) | Lägg till (a) eller skriv (w) |
| Rensa sida | Blob (b) | Objekt (o) | Skriva (w) |
1 Behörigheten Delete tillåter att ett lån bryts för en blob eller container med version 2017-07-29 och senare.
Kötjänst
I följande tabell visas kötjänståtgärder och anger vilken signerad resurstyp och signerade behörigheter som ska anges när du delegerar åtkomst till dessa åtgärder.
| Åtgärd | Signerad tjänst | Signerad resurstyp | Signerad behörighet |
|---|---|---|---|
| Hämta kötjänstegenskaper | Kö (q) | Tjänst (s) | Läsa (r) |
| Ange kötjänstegenskaper | Kö (q) | Tjänst (s) | Skriva (w) |
| Lista köer | Kö (q) | Tjänst (s) | Lista (l) |
| Hämta kötjänststatistik | Kö (q) | Tjänst (s) | Läsa (r) |
| Skapa kö | Kö (q) | Container (c) | Skapa(c) eller skriva (w) |
| Ta bort kö | Kö (q) | Container (c) | Ta bort (d) |
| Hämta kömetadata | Kö (q) | Container (c) | Läsa (r) |
| Ange kömetadata | Kö (q) | Container (c) | Skriva (w) |
| Placera meddelande | Kö (q) | Objekt (o) | Lägg till (a) |
| Hämta meddelanden | Kö (q) | Objekt (o) | Process (p) |
| Peek meddelanden | Kö (q) | Objekt (o) | Läsa (r) |
| Ta bort meddelande | Kö (q) | Objekt (o) | Process (p) |
| Rensa meddelanden | Kö (q) | Objekt (o) | Ta bort (d) |
| Uppdatera meddelande | Kö (q) | Objekt (o) | Uppdatera (u) |
Tabelltjänst
I följande tabell visas tabelltjänståtgärder och anger vilken signerad resurstyp och signerade behörigheter som ska anges när du delegerar åtkomst till dessa åtgärder.
| Åtgärd | Signerad tjänst | Signerad resurstyp | Signerad behörighet |
|---|---|---|---|
| Hämta tabelltjänstegenskaper | Tabell (t) | Tjänst (s) | Läsa (r) |
| Ange egenskaper för tabelltjänsten | Tabell (t) | Tjänst (s) | Skriva (w) |
| Hämta statistik för tabelltjänst | Tabell (t) | Tjänst (s) | Läsa (r) |
| Frågetabeller | Tabell (t) | Container (c) | Lista (l) |
| Skapa tabell | Tabell (t) | Container (c) | Skapa (c) eller skriva (w) |
| Ta bort tabell | Tabell (t) | Container (c) | Ta bort (d) |
| Fråga entiteter | Tabell (t) | Objekt (o) | Läsa (r) |
| Infoga entitet | Tabell (t) | Objekt (o) | Lägg till (a) |
| Infoga eller sammanfoga entitet | Tabell (t) | Objekt (o) | Lägg till (a) och uppdatera (u)1 |
| Infoga eller ersätt entitet | Tabell (t) | Objekt (o) | Lägg till (a) och uppdatera (u)1 |
| Uppdatera entitet | Tabell (t) | Objekt (o) | Uppdatera (u) |
| Sammanfoga entitet | Tabell (t) | Objekt (o) | Uppdatera (u) |
| Ta bort entitet | Tabell (t) | Objekt (o) | Ta bort (d) |
1 Behörigheterna Lägg till och Uppdatera krävs för upsert-åtgärder i tabelltjänsten.
Filtjänst
I följande tabell visas filtjänståtgärder och anger vilken signerad resurstyp och signerade behörigheter som ska anges när du delegerar åtkomst till dessa åtgärder.
| Åtgärd | Signerad tjänst | Signerad resurstyp | Signerad behörighet |
|---|---|---|---|
| Lista resurser | Fil (f) | Tjänst (s) | Lista (l) |
| Hämta filtjänstegenskaper | Fil (f) | Tjänst (s) | Läsa (r) |
| Ange egenskaper för filtjänst | Fil (f) | Tjänst (s) | Skriva (w) |
| Hämta resursstatistik | Fil (f) | Container (c) | Läsa (r) |
| Skapa resurs | Fil (f) | Container (c) | Skapa (c) eller skriva (w) |
| Ögonblicksbildsresurs | Fil (f) | Container (c) | Skapa (c) eller skriva (w) |
| Hämta resursegenskaper | Fil (f) | Container (c) | Läsa (r) |
| Ange resursegenskaper | Fil (f) | Container (c) | Skriva (w) |
| Hämta resursmetadata | Fil (f) | Container (c) | Läsa (r) |
| Ange resursmetadata | Fil (f) | Container (c) | Skriva (w) |
| Ta bort resurs | Fil (f) | Container (c) | Ta bort (d) |
| Lista kataloger och filer | Fil (f) | Container (c) | Lista (l) |
| Skapa katalog | Fil (f) | Objekt (o) | Skapa (c) eller skriva (w) |
| Hämta katalogegenskaper | Fil (f) | Objekt (o) | Läsa (r) |
| Hämta katalogmetadata | Fil (f) | Objekt (o) | Läsa (r) |
| Ange katalogmetadata | Fil (f) | Objekt (o) | Skriva (w) |
| Ta bort katalog | Fil (f) | Objekt (o) | Ta bort (d) |
| Skapa fil (skapa ny) | Fil (f) | Objekt (o) | Skapa (c) eller skriva (w) |
| Skapa fil (skriv över befintlig) | Fil (f) | Objekt (o) | Skriva (w) |
| Hämta fil | Fil (f) | Objekt (o) | Läsa (r) |
| Hämta filegenskaper | Fil (f) | Objekt (o) | Läsa (r) |
| Hämta filmetadata | Fil (f) | Objekt (o) | Läsa (r) |
| Ange filmetadata | Fil (f) | Objekt (o) | Skriva (w) |
| Ta bort fil | Fil (f) | Objekt (o) | Ta bort (d) |
| Byt namn på fil | Fil (f) | Objekt (o) | Ta bort (d) eller skriva (w) |
| Placera intervall | Fil (f) | Objekt (o) | Skriva (w) |
| Listintervall | Fil (f) | Objekt (o) | Läsa (r) |
| Avbryt kopieringsfilen | Fil (f) | Objekt (o) | Skriva (w) |
| Kopiera fil | Fil (f) | Objekt (o) | Skriva (w) |
| Rensa område | Fil (f) | Objekt (o) | Skriva (w) |
Sas-URI-exempel för konto
I följande exempel visas en URI för blobtjänsten med en SAS-token för kontot tillagd. Kontots SAS-token ger behörigheter till tjänsten, containern och objekten. Tabellen delar upp varje del av URI:n:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Name | SAS-del | Description |
|---|---|---|
| Resurs-URI | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Tjänstslutpunkten, med parametrar för att hämta tjänstegenskaper (när den anropas med GET) eller ange tjänstegenskaper (när den anropas med SET). Baserat på värdet för fältet signerade tjänster (ss) kan denna SAS användas med antingen Blob Storage eller Azure Files. |
| Avgränsare | ? |
Avgränsaren som föregår frågesträngen. Avgränsare är inte en del av SAS-token. |
| Lagringstjänstversion | sv=2022-11-02 |
För Azure Storage-tjänster version 2012-02-12 och senare anger den här parametern vilken version som ska användas. |
| Tjänster | ss=b |
SAS gäller för Blob Services. |
| Resurstyper | srt=sco |
SAS gäller för åtgärder på tjänstnivå, containernivå och objektnivå. |
| Behörigheter | sp=rwlc |
Behörigheterna beviljar åtkomst till läs-, skriv-, list- och skapandeåtgärder. |
| Starttid | st=2019-08-01T22%3A18%3A26Z |
Anges i UTC-tid. Om du vill att SAS ska vara giltig omedelbart utelämnar du starttiden. |
| Förfallotid | se=2019-08-10T02%3A23%3A26Z |
Anges i UTC-tid. |
| Protokoll | spr=https |
Endast begäranden som använder HTTPS tillåts. |
| Signatur | sig=<signature> |
Används för att auktorisera åtkomst till bloben. Signaturen är en HMAC som beräknas över en sträng-till-signering och nyckel med hjälp av SHA256-algoritmen och sedan kodas med hjälp av Base64-kodning. |
Eftersom behörigheterna är begränsade till tjänstnivån är tillgängliga åtgärder med den här SAS :en Hämta blobtjänstegenskaper (läsa) och Ange blobtjänstegenskaper (skrivning). Men med en annan resurs-URI kan samma SAS-token också användas för att delegera åtkomst till Hämta blobtjänststatistik (läs).