Informazioni sulle firme di accesso condiviso

Completato

È consigliabile non condividere le chiavi dell'account di archiviazione con applicazioni di terze parti esterne. Se queste app devono accedere ai dati, è necessario proteggere le connessioni senza usare le chiavi dell'account di archiviazione.

Per i client non attendibili, usare una firma di accesso condiviso (SAS). Una firma di accesso condiviso è una stringa che contiene un token di sicurezza che può essere associato a un URI. È possibile usare una firma di accesso condiviso per delegare l'accesso agli oggetti di archiviazione e specificare i vincoli, ad esempio le autorizzazioni e l'intervallo di tempo di accesso.

È possibile ad esempio assegnare a un cliente un token di firma di accesso condiviso in modo che possa caricare immagini in un file system nell'archiviazione BLOB. Separatamente, è possibile concedere a un'app Web l'autorizzazione per la lettura delle immagini. In entrambi i casi viene concesso all'applicazione solo l'accesso necessario per eseguire l'attività.

Tipi di firme di accesso condiviso

È possibile usare una firma di accesso condiviso a livello di servizio per consentire l'accesso a risorse specifiche in un account di archiviazione. È ad esempio possibile usare questo tipo di firma di accesso condiviso per consentire a un'app di recuperare un elenco di file in un file system o scaricare un file.

Usare una firma di accesso condiviso a livello di account per consentire l'accesso a tutti gli elementi a cui è possibile accedere tramite una firma di accesso condiviso a livello di servizio, nonché a risorse e capacità aggiuntive. È possibile ad esempio usare una firma di accesso condiviso a livello di account per consentire la creazione di file system.

Le firme di accesso condiviso vengono usate in genere per un servizio in cui gli utenti eseguono operazioni di lettura e scrittura dei dati nell'account di archiviazione. Gli account che archiviano i dati utente hanno due progettazioni tipiche:

  • I client caricano e scaricano dati tramite un servizio proxy front-end che esegue l'autenticazione. Il servizio proxy front-end ha il vantaggio di consentire la convalida delle regole business. Se tuttavia il servizio deve gestire grandi quantità di dati o transazioni con volumi elevati, può risultare complesso o dispendioso ridimensionare il servizio per soddisfare la domanda.

Diagramma che mostra un'operazione del servizio proxy front-end sul lato client.

  • Un servizio semplificato autentica il client in base alle necessità e quindi genera una firma di accesso condiviso. Dopo aver ricevuto la firma di accesso condiviso, il client può accedere direttamente alle risorse dell'account di archiviazione. La firma di accesso condiviso definisce le autorizzazioni e l'intervallo di accesso del client. Riduce la necessità di instradare tutti i dati tramite il servizio proxy front-end.

Diagramma che mostra un'operazione SAS sul lato server.