Toegang delegeren met behulp van een shared access signature
Belangrijk
Voor optimale beveiliging raadt Microsoft het gebruik van Microsoft Entra ID met beheerde identiteiten aan om waar mogelijk aanvragen te autoriseren voor blob-, wachtrij- en tabelgegevens. Autorisatie met Microsoft Entra ID en beheerde identiteiten biedt superieure beveiliging en gebruiksgemak ten opzichte van autorisatie met gedeelde sleutels. Zie Autoriseren met Microsoft Entra ID voor meer informatie. Zie Wat zijn beheerde identiteiten voor Azure-resources voor meer informatie over beheerde identiteiten.
Voor resources die buiten Azure worden gehost, zoals on-premises toepassingen, kunt u beheerde identiteiten gebruiken via Azure Arc. Apps die worden uitgevoerd op servers met Azure Arc kunnen bijvoorbeeld beheerde identiteiten gebruiken om verbinding te maken met Azure-services. Zie Verifiëren met Azure-resources met servers met Azure Arc voor meer informatie.
Voor scenario's waarin SAS (Shared Access Signatures) worden gebruikt, raadt Microsoft aan een SAS voor gebruikersdelegatie te gebruiken. Een SAS voor gebruikersdelegatie wordt beveiligd met Microsoft Entra referenties in plaats van de accountsleutel. Zie een SAS voor gebruikersdelegering Creatie voor meer informatie over handtekeningen voor gedeelde toegang.
Een SAS (wat staat voor Shared Access Signature of handtekening voor gedeelde toegang) is een URI die beperkte toegangsrechten verleent voor Azure Storage-resources. U kunt een shared access signature opgeven voor clients die niet moeten worden vertrouwd met de sleutel van uw opslagaccount, maar die toegang nodig hebben tot bepaalde opslagaccountresources. Door een SAS-URI te distribueren naar deze clients, kunt u ze toegang verlenen tot een resource voor een opgegeven periode, met een opgegeven set machtigingen.
De URI-queryparameters waaruit het SAS-token bestaat, bevatten alle informatie die nodig is om beheerde toegang tot een opslagresource te verlenen. Een client met de SAS kan een aanvraag indienen bij Azure Storage met behulp van alleen de SAS-URI. De informatie in het SAS-token wordt gebruikt om de aanvraag te autoriseren.
Typen handtekeningen voor gedeelde toegang
Azure Storage ondersteunt de volgende typen handtekeningen voor gedeelde toegang:
Een account-SAS, geïntroduceerd met versie 2015-04-05. Dit type SAS delegeert de toegang tot resources in een of meer van de opslagservices. Alle bewerkingen die beschikbaar zijn via een service-SAS zijn ook beschikbaar via een account-SAS.
Met de account-SAS kunt u toegang delegeren tot bewerkingen die van toepassing zijn op een service, zoals
Get/Set Service PropertiesenGet Service Stats. U kunt ook toegang tot het lezen, schrijven en verwijderen van bewerkingen delegeren voor blobcontainers, tabellen, wachtrijen en bestandsshares die niet zijn toegestaan bij een service-SAS.Zie Creatie een account-SAS Creatie voor meer informatie.
Een service-SAS. Dit type SAS delegeert toegang tot een resource in slechts een van de opslagservices: Azure Blob Storage, Azure Queue Storage, Azure Table Storage of Azure Files. Zie Creatie een service-SAS en Voorbeelden van service-SAS voor meer informatie.
Een SAS voor gebruikersdelegering, geïntroduceerd met versie 2018-11-09. Dit type SAS is beveiligd met Microsoft Entra referenties. Het wordt alleen ondersteund voor Blob Storage en u kunt het gebruiken om toegang te verlenen tot containers en blobs. Zie een SAS voor gebruikersdelegering Creatie voor meer informatie.
Daarnaast kan een service-SAS verwijzen naar een opgeslagen toegangsbeleid dat een ander niveau van controle biedt over een set handtekeningen. Dit besturingselement omvat de mogelijkheid om zo nodig de toegang tot de resource te wijzigen of in te trekken. Zie Een opgeslagen toegangsbeleid definiëren voor meer informatie.
Notitie
Opgeslagen toegangsbeleid wordt momenteel niet ondersteund voor een account-SAS of een SAS voor gebruikersdelegatie.