Delegování přístupu pomocí sdíleného přístupového podpisu

Důležité

Pro zajištění optimálního zabezpečení Microsoft doporučuje používat Microsoft Entra ID se spravovanými identitami k autorizaci požadavků na data objektů blob, front a tabulek, kdykoli je to možné. Autorizace s Microsoft Entra ID a spravovanými identitami poskytuje vynikající zabezpečení a snadné použití oproti autorizaci sdíleného klíče. Další informace najdete v tématu Autorizace pomocí Microsoft Entra ID. Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure.

Pro prostředky hostované mimo Azure, jako jsou místní aplikace, můžete použít spravované identity prostřednictvím služby Azure Arc. Například aplikace spuštěné na serverech s podporou Azure Arc můžou používat spravované identity pro připojení ke službám Azure. Další informace najdete v tématu Ověřování u prostředků Azure na serverech s podporou Azure Arc.

Ve scénářích, ve kterých se používají sdílené přístupové podpisy (SAS), microsoft doporučuje použít SAS delegování uživatele. SAS delegování uživatele je zabezpečené pomocí přihlašovacích údajů Microsoft Entra místo klíče účtu. Informace o sdílených přístupových podpisech najdete v tématu Create SAS delegování uživatele.

Sdílený přístupový podpis (SAS) je identifikátor URI, který uděluje omezená přístupová práva k prostředkům Azure Storage. Sdílený přístupový podpis můžete poskytnout klientům, kteří by neměli být důvěryhodní pomocí klíče účtu úložiště, ale potřebují přístup k určitým prostředkům účtu úložiště. Když těmto klientům distribuujete identifikátor URI SAS, můžete jim na zadanou dobu udělit přístup k prostředku se zadanou sadou oprávnění.

Parametry dotazu URI, které tvoří token SAS, obsahují všechny informace potřebné k udělení řízeného přístupu k prostředku úložiště. Klient, který má SAS, může vytvořit požadavek na Azure Storage pouze pomocí identifikátoru URI SAS. Informace v tokenu SAS slouží k autorizaci požadavku.

Typy sdílených přístupových podpisů

Azure Storage podporuje následující typy sdílených přístupových podpisů:

• Sas účtu, zavedený ve verzi 2015-04-05. Tento typ SAS deleguje přístup k prostředkům v jedné nebo více službách úložiště. Všechny operace dostupné prostřednictvím sas služby jsou dostupné také prostřednictvím sas účtu.

  Pomocí SAS účtu můžete delegovat přístup k operacím, které se vztahují na službu, například Get/Set Service Properties a Get Service Stats. Můžete taky delegovat přístup k operacím čtení, zápis a odstranění pro kontejnery objektů blob, tabulky a sdílené složky, který se nedá vymezit přes SAS služby.

  Další informace najdete v tématu Create SAS účtu.

• Sas služby. Tento typ SAS deleguje přístup k prostředku jenom v jedné ze služeb úložiště: Azure Blob Storage, Azure Queue Storage, Azure Table Storage nebo Azure Files. Další informace najdete v tématu Create příklady SAS služby a SAS služby.

• Sas delegování uživatele, zavedeno ve verzi 2018-11-09. Tento typ SAS je zabezpečený pomocí přihlašovacích údajů Microsoft Entra. Podporuje se jenom pro Blob Storage a můžete ho použít k udělení přístupu ke kontejnerům a objektům blob. Další informace najdete v tématu Create SAS delegování uživatele.

Sas služby navíc může odkazovat na uložené zásady přístupu, které poskytují další úroveň kontroly nad sadou podpisů. Tento ovládací prvek zahrnuje možnost upravit nebo odvolat přístup k prostředku v případě potřeby. Další informace najdete v tématu Definování uložených zásad přístupu.

Poznámka

Uložené zásady přístupu se v současné době nepodporují pro SAS účtu nebo SAS delegování uživatele.

Viz také

• Udělení omezeného přístupu k prostředkům služby Azure Storage pomocí sdílených přístupových podpisů