Opret signaturer for delt adgang
En SAS (Shared Access Signature) er en URI (Uniform Resource Identifier), der giver begrænset adgangsrettigheder til Azure Storage-ressourcer. SAS er en sikker måde at dele dine lagerressourcer på uden at gå på kompromis med dine kontonøgler.
Du kan angive en SAS til klienter, der ikke skal have adgang til din lagerkontonøgle. Når du distribuerer en SAS-URI til disse klienter, giver du dem adgang til en ressource i et bestemt tidsrum.
Du vil typisk bruge en SAS til en tjeneste, hvor brugerne læser og skriver deres data til din lagerkonto. Konti, der gemmer brugerdata, har to typiske design:
- Klienter kan uploade og downloade data via en frontend-proxytjeneste, som udfører godkendelse. Denne frontendproxytjeneste har den fordel, at den tillader validering af forretningsregler. Hvis du håndterer store mængder data eller transaktioner med store mængder, kan det være svært at skalere denne tjeneste
- En letvægtstjeneste godkender klienten efter behov. Derefter genererer den en SAS. Klienter, der modtager SAS, kan få direkte adgang til lagerkontoressourcer. SAS definerer klientens tilladelser og adgangsinterval. Det reducerer behovet for at dirigere alle data gennem front end-proxytjenesten.
Ting, du skal vide om delte adgangssignaturer
Lad os gennemgå nogle egenskaber ved en SAS.
En SAS giver dig detaljeret kontrol over den type adgang, du giver til kunder, der har SAS.
En SAS på kontoniveau kan delegere adgang til flere Azure Storage-tjenester, f.eks. blobs, filer, køer og tabeller.
Du kan angive det tidsinterval, hvor SAS er gyldigt, herunder starttidspunktet og udløbstidspunktet.
Du angiver de tilladelser, der er tildelt af SAS. En SAS for en blob kan give læse- og skrivetilladelser til den pågældende blob, men ikke slette tilladelser.
SAS giver kontrol på kontoniveau og serviceniveau.
på kontoniveau. Brug et SAS- på kontoniveau til at give adgang til alt, hvad sas på tjenesteniveau kan tillade, samt andre ressourcer og evner. Du kan f.eks. bruge en SAS på kontoniveau til at give mulighed for at oprette filsystemer.
på serviceniveau. Du kan bruge en SAS-på serviceniveau til at give adgang til bestemte ressourcer på en lagerkonto. Du skal f.eks. bruge denne type SAS til at give en app tilladelse til at hente en liste over filer i et filsystem eller til at downloade en fil.
Seddel
En lagret adgangspolitik kan give et andet kontrolniveau, når du bruger sas på tjenesteniveau på serversiden. Du kan gruppere SAS'er og angive andre begrænsninger ved hjælp af en gemt adgangspolitik.
Der er valgfri SAS-konfigurationsindstillinger:
IP-adresser. Du kan identificere en IP-adresse eller et interval af IP-adresser, som Azure Storage accepterer SAS fra. Konfigurer denne indstilling for at angive et interval af IP-adresser, der tilhører din organisation.
protokoller. Du kan angive den protokol, som Azure Storage accepterer SAS for. Konfigurer denne indstilling for at begrænse adgangen til klienter ved hjælp af HTTPS.
Konfigurer en signatur for delt adgang
På Azure Portal kan du konfigurere flere indstillinger for at oprette en SAS. Når du gennemser disse oplysninger, skal du overveje, hvordan du kan implementere signaturer med delt adgang i din lagersikkerhedsløsning.
- signeringsmetode: Vælg signeringsmetoden: Kontonøgle eller Brugerdelegeringsnøgle.
- signeringsnøgle: Vælg signeringsnøglen på listen over nøgler.
- tilladelser: Vælg de tilladelser, der er tildelt af SAS, f.eks. læse eller skrive.
- start- og udløbsdato/-klokkeslæt: Angiv det tidsinterval, sas'et skal være gyldigt for. Angiv starttidspunktet og udløbstidspunktet.
- Tilladte IP-adresser: (valgfrit) Identificer en IP-adresse eller et interval af IP-adresser, som Azure Storage accepterer SAS fra.
- Tilladte protokoller: (valgfrit) Vælg den protokol, som Azure Storage accepterer SAS over.