Créer des signatures d’accès partagé

  • 3 minutes

Une signature d’accès partagé (SAS) est un identificateur URI (Uniform Resource Identifier) qui octroie des droits d’accès restreints aux ressources Stockage Azure. Une signature SAS est un moyen sécurisé de partager vos ressources de stockage sans compromettre vos clés de compte.

Vous pouvez fournir une signature SAS aux clients qui ne doivent pas avoir accès à votre clé de compte de stockage. Quand vous distribuez un URI SAS à ces clients, vous leur accordez l’accès à une ressource pour une période spécifiée.

Vous utilisez normalement une signature SAS pour un service dans lequel les utilisateurs lisent et écrivent leurs données dans votre compte de stockage. Les comptes qui stockent des données utilisateur ont deux conceptions typiques :

  • Les clients peuvent télécharger et charger des données via un service proxy frontal, qui effectue l'authentification. Ce service proxy front-end a l’avantage de permettre la validation des règles métier. si vous gérez de grandes quantités de données ou des transactions à volume élevé, il peut être difficile de faire évoluer ce service

Diagramme de données utilisant le service proxy frontal pour accéder au stockage Azure.

  • Un service léger authentifie le client selon les besoins. Il génère ensuite une signature SAS. Les clients recevant le SAS peuvent accéder directement aux ressources du compte de stockage. La signature SAS définit les autorisations et l’intervalle d’accès du client. Elle réduit le besoin de router toutes les données par le service proxy frontal.

Schéma d’un SAS authentifiant l’accès au stockage Azure.

Informations à connaître sur les signatures d’accès partagé

Examinons quelques caractéristiques d’une signature SAS.

  • Une signature SAS vous offre un contrôle précis sur le type d’accès que vous accordez aux clients qui la possèdent.

  • Une signature SAS au niveau du compte peut déléguer l’accès à plusieurs services de Stockage Azure, comme des objets blob, des fichiers, des files d’attente et des tables.

  • Vous pouvez spécifier l’intervalle de temps pendant lequel une signature SAS est valide, notamment la date et l’heure de début et d’expiration.

  • Vous spécifiez les autorisations accordées par la signature SAS. Une signature SAS pour un objet blob peut accorder des autorisations en lecture et en écriture sur cet objet blob, mais pas d’autorisations de suppression.

  • La signature SAS offre un contrôle au niveau du compte et au niveau du service.

    • Au niveau du compte. Utilisez un SAS au niveau du compte pour autoriser l'accès à tout ce qu'un SAS au niveau du service peut autoriser, ainsi qu'à d'autres ressources et capacités. Par exemple, vous pouvez utiliser une signature SAS au niveau du compte pour autoriser la création de systèmes de fichiers.

    • Niveau de service. Vous pouvez utiliser un SAS de niveau de service pour autoriser l'accès à des ressources spécifiques dans un compte de stockage. Vous utilisez par exemple ce type de signature SAS pour permettre à une application de récupérer la liste des fichiers d’un système de fichiers ou pour télécharger un fichier.

    Remarque

    Une stratégie d’accès stockée peut fournir un autre niveau de contrôle quand vous utilisez une signature SAS au niveau du service côté serveur. Vous pouvez regrouper des signatures SAS et fournir d’autres restrictions à l’aide d’une stratégie d’accès stockée.

  • Il existe des paramètres de configuration SAS facultatifs :

    • Adresses IP. Vous pouvez identifier une adresse IP ou plage d’adresses IP à partir de laquelle le Stockage Azure accepte la signature SAS. Configurez cette option pour spécifier une plage d’adresses IP appartenant à votre organisation.

    • Protocoles. Vous pouvez spécifier le protocole sur lequel Stockage Azure accepte la signature SAS. Configurez cette option pour restreindre l’accès aux clients à l’aide du protocole HTTP.

Configurer une signature d’accès partagé

Dans le portail Azure, vous configurez plusieurs paramètres pour créer une signature SAS. Quand vous passez en revue ces détails, réfléchissez à façon d’implémenter des signatures d’accès partagé dans votre solution de sécurité de stockage.

Capture d’écran de la page Créer une clé de signature d’accès partagé.

  • Méthode de signature : choisissez la méthode de signature : clé de compte ou clé de délégation utilisateur.
  • Clé de signature : sélectionnez la clé de signature dans votre liste de clés.
  • Autorisations : sélectionnez les autorisations accordées par la signature SAS, comme la lecture ou l’écriture.
  • Date/heure de début et d’expiration : spécifiez l’intervalle de temps de validité de la signature SAS. Définissez l’heure de début et l’heure d’expiration.
  • Adresses IP autorisées : (facultatif) identifiez une adresse IP ou une plage d’adresses IP à partir de laquelle le Stockage Azure accepte la signature SAS.
  • Protocoles autorisés : (facultatif) sélectionnez le protocole via lequel le Stockage Azure accepte la signature SAS.