Erstellen von Shared Access Signatures

Abgeschlossen

Eine Shared Access Signature (SAS) ist ein URI (Uniform Resource Identifier), der eingeschränkte Zugriffsrechte für Azure Storage-Ressourcen erteilt. SAS stellt eine sichere Methode zur Freigabe Ihrer Speicherressourcen dar, ohne dass Sie Kompromisse bei der Sicherheit der Kontoschlüssel eingehen müssen.

Sie können Clients, die keinen Zugriff auf Ihren Speicherkontoschlüssel haben sollen, eine SAS bereitstellen. Durch Bereitstellen eines SAS-URI für diese Clients wird ihnen für einen bestimmten Zeitraum Zugriff auf eine Ressource gewährt.

Wissenswertes zu Shared Access Signatures (SAS)

Sehen wir uns einige Merkmale einer SAS an.

  • Mit einer SAS können Sie genauestens steuern, welche Art von Zugriff Sie Clients gewähren, die über die SAS verfügen.

  • Eine SAS auf Kontoebene kann den Zugriff an mehrere Azure Storage-Dienste delegieren, z. B. Blobs, Dateien, Warteschlangen und Tabellen.

  • Sie können das Zeitintervall angeben, für das eine SAS gültig ist, einschließlich Start- und Ablaufzeit.

  • Sie geben die Berechtigungen an, die von der SAS erteilt werden. Eine SAS für einen Blob kann Lese- und Schreibberechtigungen für diesen Blob erteilen, aber keine Löschberechtigungen.

  • Eine SAS ermöglicht Steuerung auf Konto- und Dienstebene.

    • Einee SAS auf Kontoebene delegiert den Zugriff auf Ressourcen in einem oder mehreren Azure Storage-Diensten.

    • Eine SAS auf Dienstebene delegiert den Zugriff auf eine Ressource in nur einem Azure Storage-Dienst.

    Hinweis

    Eine gespeicherte Zugriffsrichtlinie kann gegenüber einer serverseitigen SAS auf Dienstebene zusätzliche Steuerungsmöglichkeiten bieten. Sie können Shared Access Signatures gruppieren und andere Einschränkungen mithilfe einer gespeicherten Zugriffsrichtlinie einrichten.

  • Es gibt optionale SAS-Konfigurationseinstellungen:

    • IP-Adressen. Sie können eine IP-Adresse oder einen IP-Adressbereich bestimmen, für den Azure Storage die SAS akzeptiert. Konfigurieren Sie diese Option, um einen Bereich von IP-Adressen anzugeben, die zu Ihrer Organisation gehören.

    • Protokolle. Sie können das Protokoll angeben, über das Azure Storage die SAS akzeptiert. Konfigurieren Sie diese Option, um den Zugriff auf Clients mithilfe von HTTPS einzuschränken.

Konfigurieren einer Shared Access Signature (SAS)

Zum Erstellen einer SAS müssen Sie im Azure-Portal verschiedene Einstellungen konfigurieren. Überlegen Sie bei der Durchsicht dieser Details, wie Sie Shared Access Signatures in Ihrer auf Sicherheit ausgelegten Speicherlösung implementieren können.

Screenshot of the Create a shared access signature key page.

  • Signaturmethode: Wählen Sie die Signaturmethode, entweder Kontoschlüssel oder Benutzerdelegierungsschlüssel.
  • Signaturschlüssel: Wählen Sie in der Liste der Schlüssel den Signaturschlüssel aus.
  • Berechtigungen: Wählen Sie die Berechtigungen aus, die der SAS erteilt werden, z. B. Lesen oder Schreiben.
  • Start- und Ablaufdatum/-uhrzeit: Geben Sie das Zeitintervall an, für das die SAS gültig ist. Legen Sie Start- und Ablaufzeit fest.
  • Zulässige IP-Adressen: (Optional) Sie können eine IP-Adresse oder einen IP-Adressbereich bestimmen, für den Azure Storage die SAS akzeptiert.
  • Zulässige Protokolle: (Optional) Wählen Sie das Protokoll aus, über das Azure Storage die SAS akzeptiert.