使用共用存取簽章來委派存取權

共用存取簽章 (SAS) 是能授與對 Azure 儲存體資源之有限存取權限的 URI。 針對您無法信任對方使用您的儲存體帳戶金鑰,但又想要將特定儲存體帳戶資源的存取權委派給他們的客戶,您可以將共用存取簽章提供給他們。 藉由將共用存取簽章 URI 提供給這些客戶,您便可以搭配一組指定的權限,授與他們在一段指定時間內針對某個資源的存取權。

組成 SAS 權杖的 URI 查詢參數包含授與儲存體資源之受控制存取權所需的所有資訊。 擁有 sas 的用戶端可以對只有 sas URI 的 Azure 儲存體提出要求,而 sas 權杖中包含的資訊則是用來授權要求。

共用存取簽章的類型

Azure 儲存體支援下列類型的共用存取簽章:

  • 以2015-04-05 版引進的帳戶層級 SAS。 帳戶 SAS 則將存取權限委派給一或多個儲存體服務的資源。 可透過服務 SAS 取得的所有作業也可透過帳戶 SAS 取得。 此外,您也可以使用帳戶 SAS,將存取權委派給套用至特定服務的作業,例如 Get/Set Service PropertiesGet Service Stats 。 您也可以將 Blob 容器、資料表、佇列和檔案共用的讀取、寫入和刪除作業的存取權限,委派給本無權限的服務 SAS。 如需帳戶 SAS 的詳細資訊,請參閱 建立帳戶 sas

  • 服務層級的 SAS。 服務 SAS 只會將存取權限委派給一種儲存體服務資源:Blob、佇列、資料表或檔案服務。 如需服務 SAS 的詳細資訊,請參閱 建立服務 sas服務 sas 範例

  • 以2018-11-09 版引進的使用者委派 SAS。 使用 Azure AD 認證來保護使用者委派 SAS。 只有 Blob 服務支援這種類型的 SAS,而且可以用來授與容器和 blob 的存取權。 如需詳細資訊,請參閱建立使用者委派 SAS

此外,服務 SAS 可以參考儲存的存取原則,以提供一組簽章的額外控制層級,包括在必要時修改或撤銷資源存取權的能力。 如需預存存取原則的詳細資訊,請參閱 定義預存存取原則

注意

目前不支援帳戶 SAS 或使用者委派 SAS 的預存存取原則。

另請參閱