Shared Access Signature を作成する
Shared Access Signature (SAS) は、Azure Storage リソースへの制限付きアクセス権を付与する Uniform Resource Identifier (URI) です。 SAS を使用すると、アカウント キーを侵害されることなくストレージ リソースを共有できます。
ストレージ アカウント キーへのアクセス権を持ってはならないクライアントには、SAS を提供できます。 これらのクライアントに SAS URI を配布して、指定した期間だけリソースへのアクセスを許可します。
Shared Access Signature について知っておくべきこと
SAS のいくつかの特性を確認してみましょう。
SAS では、SAS を所有しているクライアントに付与するアクセスの種類をきめ細かく制御できます。
アカウント レベルの SAS を使うと、BLOB、ファイル、キュー、テーブルなど、複数の Azure Storage サービスへのアクセスを委任できます。
開始時刻と有効期限など、SAS が有効な期間を指定できます。
SAS によって付与されるアクセス許可を指定します。 BLOB の SAS では、その BLOB への読み取りと書き込みのアクセス許可を付与し、削除アクセス許可を付与しないことができます。
SAS は、アカウント レベルとサービス レベルの制御を提供します。
アカウント レベルの SAS では、1 つ以上の Azure Storage サービス内のリソースへのアクセスが委任されます。
サービス レベルの SAS では、1 つだけの Azure Storage サービス内のリソースへのアクセスが委任されます。
注意
サーバー側でサービス レベルの SAS を使っている場合、保存されているアクセス ポリシーで別のレベルの制御を提供できます。 SAS をグループ化し、保存されているアクセス ポリシーを使って他の制限を指定できます。
オプションの SAS 構成設定があります。
IP アドレス。 SAS を受け入れる Azure Storage の IP アドレスまたは IP アドレスの範囲を識別できます。 組織に属する IP アドレスの範囲を指定するには、このオプションを構成します。
プロトコル。 Azure Storage が SAS を受け入れるプロトコルを指定できます。 HTTPS を使ってクライアントへのアクセスを制限するには、このオプションを構成します。
Shared Access Signature を構成する
Azure portal でいくつかの設定を構成して SAS を作成します。 これらの詳細を確認するときは、ストレージ セキュリティ ソリューションに Shared Access Signature を実装する方法を検討してください。
- [署名方法]: 署名方法として、[アカウント キー] または [ユーザーの委任キー] を選びます。
- [署名キー]: キーの一覧から署名キーを選びます。
- [アクセス許可]: 読み取りや書き込みなど、SAS によって付与されるアクセス許可を選びます。
- 開始日時と有効期限の日時: SAS が有効な期間を指定します。 開始日時と有効期限の日時を設定します。
- [使用できる IP アドレス] (オプション) SAS を受け入れる Azure Storage の IP アドレスまたは IP アドレス範囲を指定します。
- [許可されるプロトコル]: (オプション) Azure Storage が SAS を受け入れるプロトコルを選びます。