Principy sdílených přístupových podpisů

  • 5 min

Doporučuje se nesdílet klíče účtu úložiště s externími aplikacemi třetích stran. Pokud tyto aplikace potřebují přístup k vašim datům, bude nutné zabezpečit připojení bez použití klíčů účtu úložiště.

Pro nedůvěryhodné klienty použijte sdílený přístupový podpis (SAS). SAS je řetězec obsahující token zabezpečení, který lze připojit k identifikátoru URI. Sas můžete použít k delegování přístupu k objektům úložiště a k určení omezení, jako jsou oprávnění a časový rozsah přístupu.

Zákazníkovi můžete například udělit token SAS, aby mohl nahrávat obrázky do systému souborů v úložišti objektů blob. Samostatně můžete webové aplikaci udělit oprávnění ke čtení těchto obrázků. V obou případech povolíte jenom přístup, který aplikace potřebuje k provedení dané úlohy.

Typy sdílených přístupových podpisů

Sdílený přístupový podpis na úrovni služby můžete použít k povolení přístupu ke konkrétním prostředkům v účtu úložiště. Tento typ SAS byste použili například k tomu, aby aplikace mohla načíst seznam souborů v systému souborů nebo stáhnout soubor.

Pomocí sdíleného přístupového podpisu na úrovni účtu můžete povolit přístup k čemukoli, co může sdílený přístupový podpis na úrovni služby povolit, a navíc k dalším prostředkům a schopnostem. Pomocí sdíleného přístupového podpisu na úrovni účtu můžete například umožnit vytváření systémů souborů.

Obvykle byste použili SAS pro službu, ve které uživatelé čtou a zapisují data do vašeho účtu úložiště. Účty, které ukládají data uživatelů, mají dva typické návrhy:

  • Klienti nahrávají a stahují data přes front-endovou proxy službu, která provádí ověřování. Tato front-endová proxy služba má výhodu v tom, že umožňuje ověření obchodních pravidel. Pokud ale služba musí zpracovávat velké objemy dat nebo vysokoobjemové transakce, může být obtížné nebo nákladné škálovat tuto službu tak, aby odpovídala poptávce.

Diagram znázorňující operaci front-endové proxy služby na straně klienta

  • Odlehčená služba podle potřeby ověřuje klienta. V dalším kroku vygeneruje SAS. Po přijetí sdíleného přístupového podpisu může klient přistupovat k prostředkům účtu úložiště přímo. Sas definuje oprávnění klienta a interval přístupu. Snižuje potřebu směrovat všechna data přes front-endovou proxy službu.

Diagram znázorňující operaci SAS na straně serveru