Erstellen von Shared Access Signatures

  • 3 Minuten

Eine Shared Access Signature (SAS) ist ein URI (Uniform Resource Identifier), der eingeschränkte Zugriffsrechte für Azure Storage-Ressourcen erteilt. SAS stellt eine sichere Methode zur Freigabe Ihrer Speicherressourcen dar, ohne dass Sie Kompromisse bei der Sicherheit der Kontoschlüssel eingehen müssen.

Sie können Clients, die keinen Zugriff auf Ihren Speicherkontoschlüssel haben sollen, eine SAS bereitstellen. Durch Bereitstellen eines SAS-URI für diese Clients wird ihnen für einen bestimmten Zeitraum Zugriff auf eine Ressource gewährt.

SAS sind für einen Dienst ideal, bei dem Benutzer ihre Daten in Ihr Speicherkonto schreiben und dort lesen. Konten, in denen Benutzerdaten gespeichert werden, können in die folgenden zwei Kategorien aufgeteilt werden:

  • Clients laden Daten über einen Front-End-Proxydienst hoch und herunter, der die Authentifizierung übernimmt. Dieser Front-End-Proxydienst hat den Vorteil, dass er die Überprüfung von Geschäftsregeln zulässt. Wenn Sie große Datenmengen oder Transaktionen mit hohem Volumen verarbeiten, kann es schwierig sein, diesen Dienst zu skalieren.

Diagramm der Daten, die den Front-End-Proxydienst für den Zugriff auf Azure Storage verwenden.

  • Ein einfacher Dienst authentifiziert den Client nach Bedarf. Anschließend generiert er eine SAS. Clients, die die SAS empfangen, können direkt auf die Ressourcen des Speicherkontos zugreifen. Die SAS definiert die Berechtigungen und den Zugriffszeitraum des Clients. Sie bewirkt, dass nicht alle Daten über den Front-End-Proxydienst geleitet werden müssen.

Diagramm eines SAS-Authentifizierungszugriffs auf Azure Storage.

Wissenswertes zu Shared Access Signatures (SAS)

Sehen wir uns einige Merkmale einer SAS an.

  • Mit einer SAS können Sie genauestens steuern, welche Art von Zugriff Sie Clients gewähren, die über die SAS verfügen.

  • Eine SAS auf Kontoebene kann den Zugriff an mehrere Azure Storage-Dienste delegieren, z. B. Blobs, Dateien, Warteschlangen und Tabellen.

  • Sie können das Zeitintervall angeben, für das eine SAS gültig ist, einschließlich Start- und Ablaufzeit.

  • Sie geben die Berechtigungen an, die von der SAS erteilt werden. Eine SAS für einen Blob kann Lese- und Schreibberechtigungen für diesen Blob erteilen, aber keine Löschberechtigungen.

  • Eine SAS ermöglicht Steuerung auf Konto- und Dienstebene.

    • Kontoebene. Verwenden Sie eine SAS auf Kontoebene, um den Zugriff auf alle Ressourcen zu gewähren, auf die auch mit einer SAS auf Dienstebene zugegriffen werden kann, sowie auf andere Ressourcen und Funktionen. Sie können eine SAS auf Kontoebene z. B. verwenden, um zuzulassen, dass Dateisysteme erstellt werden können.

    • Dienstebene. Sie können eine SAS auf Dienstebene verwenden, um den Zugriff auf bestimmte Ressourcen in einem Speicherkonto zu gewähren. Diese Art SAS können Sie z. B. verwenden, um zuzulassen, dass eine App eine Liste von Dateien in einem Dateisystem abrufen oder eine Datei herunterladen kann.

    Hinweis

    Eine gespeicherte Zugriffsrichtlinie kann gegenüber einer serverseitigen SAS auf Dienstebene zusätzliche Steuerungsmöglichkeiten bieten. Sie können Shared Access Signatures gruppieren und andere Einschränkungen mithilfe einer gespeicherten Zugriffsrichtlinie einrichten.

  • Es gibt optionale SAS-Konfigurationseinstellungen:

    • IP-Adressen. Sie können eine IP-Adresse oder einen IP-Adressbereich bestimmen, für den Azure Storage die SAS akzeptiert. Konfigurieren Sie diese Option, um einen Bereich von IP-Adressen anzugeben, die zu Ihrer Organisation gehören.

    • Protokolle. Sie können das Protokoll angeben, über das Azure Storage die SAS akzeptiert. Konfigurieren Sie diese Option, um den Zugriff auf Clients mithilfe von HTTPS einzuschränken.

Konfigurieren einer Shared Access Signature (SAS)

Zum Erstellen einer SAS müssen Sie im Azure-Portal verschiedene Einstellungen konfigurieren. Überlegen Sie bei der Durchsicht dieser Details, wie Sie Shared Access Signatures in Ihrer auf Sicherheit ausgelegten Speicherlösung implementieren können.

Screenshot der Seite zum Erstellen eines freigegebenen SAS-Schlüssels.

  • Signaturmethode: Wählen Sie die Signaturmethode, entweder Kontoschlüssel oder Benutzerdelegierungsschlüssel.
  • Signaturschlüssel: Wählen Sie in der Liste der Schlüssel den Signaturschlüssel aus.
  • Berechtigungen: Wählen Sie die Berechtigungen aus, die der SAS erteilt werden, z. B. Lesen oder Schreiben.
  • Start- und Ablaufdatum/-uhrzeit: Geben Sie das Zeitintervall an, für das die SAS gültig ist. Legen Sie Start- und Ablaufzeit fest.
  • Zulässige IP-Adressen: (Optional) Sie können eine IP-Adresse oder einen IP-Adressbereich bestimmen, für den Azure Storage die SAS akzeptiert.
  • Zulässige Protokolle: (Optional) Wählen Sie das Protokoll aus, über das Azure Storage die SAS akzeptiert.