Choisir quand utiliser des signatures d’accès partagé

  • 3 minutes

Utilisez une SAP lorsque vous souhaitez fournir un accès sécurisé aux ressources de votre compte de stockage à tout client qui n’a pas d’autorisations pour ces ressources.

Un scénario courant où une SAP est utile est un service où les utilisateurs lisent et écrivent leurs propres données dans votre compte de stockage. Dans un scénario où un compte de stockage stocke les données utilisateur, il existe deux modèles de conception classiques :

  • Les clients chargent et téléchargent des données via un service proxy frontal, qui effectue l’authentification. Ce service proxy frontal présente l’avantage d’autoriser la validation des règles métier, mais pour de grandes quantités de données ou de transactions à volume élevé, la création d’un service pouvant être mis à l’échelle pour correspondre à la demande peut être coûteuse ou difficile.

    Diagramme de scénario : service proxy frontal

  • Un service léger authentifie le client en fonction des besoins, puis génère une SAP. Une fois que l’application cliente reçoit la SAP, elle peut accéder directement aux ressources du compte de stockage avec les autorisations définies par la SAP et pour l’intervalle autorisé par la SAP. La SAP atténue la nécessité de router toutes les données via le service proxy frontal.

    Diagramme de scénario : service fournisseur SAS

De nombreux services réels peuvent utiliser un hybride de ces deux approches. Par exemple, certaines données peuvent être traitées et validées via le proxy frontal, tandis que d’autres données sont enregistrées et/ou lues directement à l’aide de SAP.

En outre, une SAP est requise pour autoriser l’accès à l’objet source dans une opération de copie dans certains scénarios :

  • Lorsque vous copiez un objet blob vers un autre objet blob qui réside dans un autre compte de stockage, vous devez utiliser un SAS pour autoriser l’accès à l’objet blob source. Vous pouvez également utiliser un SAS pour autoriser l'accès au blob de destination.

  • Lorsque vous copiez un fichier dans un autre fichier qui réside dans un autre compte de stockage, vous devez utiliser une SAP pour autoriser l’accès au fichier source. Vous pouvez également utiliser une SAP pour autoriser l’accès au fichier de destination.

  • Lorsque vous copiez un objet blob dans un fichier ou un fichier dans un objet blob, vous devez utiliser une SAP pour autoriser l’accès à l’objet source, même si les objets source et de destination résident dans le même compte de stockage.