您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

使用共享访问签名委托访问权限

共享访问签名 (SAS) 是一种 URI,可授予对 Azure 存储资源的受限访问权限。 你可以为不信任向其提供存储帐户密钥,但需要向其委派某些存储帐户资源的访问权限的客户端提供共享访问权限。 通过向这些客户端分发共享访问签名 URI,可以授予它们一组特定的权限,让其在一段指定时间内访问资源。

包含 SAS 令牌的 URI 查询参数包含授予对存储资源的受控访问权限所需的全部信息。 拥有 SAS 的客户端可以针对仅包含 SAS URI Azure 存储请求,SAS 令牌中包含的信息用于授权请求。

共享访问签名的类型

Azure 存储支持以下类型的共享访问签名:

  • 2015-04-05 版中引入的帐户级 SAS。 帐户 SAS 可委派对一个或多个存储服务中的资源的访问权限。 通过服务 SAS 提供的所有操作也可以通过帐户 SAS 提供。 此外,使用帐户 SAS,你可以委托对适用于给定服务的操作(如 和 ) Get/Set Service Properties 的访问权限 Get Service Stats 。 还可以委派对 blob 容器、表、队列和文件共享执行读取、写入和删除操作的访问权限,而这是服务 SAS 所不允许的。 有关 帐户 SAS 的信息, 请参阅创建帐户 SAS。

  • 服务级别 SAS。 服务 SAS 只能委派对以下一个存储服务中的资源的访问权限:Blob、队列、表或文件服务。 有关 服务 SAS 详细信息 ,请参阅创建服务 SAS 和服务 SAS 示例。

  • 版本 2018-11-09 中引入的用户委派 SAS。 使用凭据保护用户Azure AD SAS。 此类型的 SAS 仅受 Blob 服务支持,可用于授予对容器和 Blob 的访问权限。 有关详细信息,请参阅创建用户委托 SAS

此外,服务 SAS 可以引用存储访问策略,该策略提供对一组签名的额外控制级别,包括在必要时修改或撤销对资源的访问权限的能力。 有关存储访问策略详细信息,请参阅 定义存储访问策略

备注

帐户 SAS 或用户委派 SAS 当前不支持存储访问策略。

另请参阅