Handtekeningen voor gedeelde toegang maken

  • 3 minuten

Een Shared Access Signature (SAS) is een URI (Uniform Resource Identifier) die beperkte toegangsrechten verleent voor Azure Storage-resources. SAS is een veilige manier om uw opslagbronnen te delen zonder afbreuk te doen aan uw accountsleutels.

U kunt een SAS opgeven voor clients die geen toegang mogen hebben tot uw opslagaccountsleutel. Door een SAS-URI naar deze clients te distribueren, verleent u deze gedurende een opgegeven periode toegang tot een resource.

Doorgaans gebruikt u een SAS voor een service waarbij gebruikers hun gegevens lezen en schrijven naar uw opslagaccount. Accounts waarin gebruikersgegevens worden opgeslagen, kennen twee kenmerkende ontwerpen:

  • Clients kunnen gegevens uploaden en downloaden via een front-endproxyservice, waarmee verificatie wordt uitgevoerd. Deze front-end proxyservice biedt als voordeel dat bedrijfsregels kunnen worden gevalideerd. als u grote hoeveelheden gegevens of transacties met een groot volume verwerkt, kan het lastig zijn om deze service te schalen

Diagram van gegevens met behulp van de front-endproxyservice voor toegang tot Azure Storage.

  • Een lichtgewicht service verifieert de client indien nodig. Vervolgens wordt er een SAS gegenereerd. Clients die de SAS ontvangen, hebben rechtstreeks toegang tot opslagaccountbronnen. De SAS definieert de machtigingen en het toegangsinterval van de client. Het vermindert de noodzaak om alle gegevens te routeren via de front-endproxyservice.

Diagram van een SAS-verificatietoegang tot Azure Storage.

Dingen die u moet weten over handtekeningen voor gedeelde toegang

Laten we enkele kenmerken van een SAS bekijken.

  • Een SAS biedt u gedetailleerde controle over het type toegang dat u verleent aan clients die de SAS hebben.

  • Een SAS op accountniveau kan toegang tot meerdere Azure Storage-services delegeren, zoals blobs, bestanden, wachtrijen en tabellen.

  • U kunt het tijdsinterval opgeven waarvoor een SAS geldig is, inclusief de begintijd en de verlooptijd.

  • U geeft de machtigingen op die zijn verleend door de SAS. Een SAS voor een blob kan lees- en schrijfmachtigingen verlenen aan die blob, maar geen machtigingen verwijderen.

  • SAS biedt beheer op accountniveau en serviceniveau.

    • Accountniveau. Gebruik een SAS op accountniveau om toegang toe te staan tot alles wat een SAS op serviceniveau kan toestaan, plus andere resources en mogelijkheden. U kunt bijvoorbeeld een SAS op accountniveau gebruiken om bestandssystemen te maken.

    • Serviceniveau. U kunt een SAS op serviceniveau gebruiken om toegang tot specifieke resources in een opslagaccount toe te staan. U gebruikt dit type SAS bijvoorbeeld om een app toe te staan een lijst met bestanden op te halen in een bestandssysteem of om een bestand te downloaden.

    Notitie

    Een opgeslagen toegangsbeleid kan een ander beheerniveau bieden wanneer u een SAS op serviceniveau aan de serverzijde gebruikt. U kunt SAS's groeperen en andere beperkingen opgeven met behulp van een opgeslagen toegangsbeleid.

  • Er zijn optionele SAS-configuratie-instellingen:

    • IP-adressen. U kunt een IP-adres of bereik van IP-adressen identificeren waaruit Azure Storage de SAS accepteert. Configureer deze optie om een bereik van IP-adressen op te geven dat deel uitmaakt van uw organisatie.

    • Protocollen. U kunt het protocol opgeven waarvoor Azure Storage de SAS accepteert. Configureer deze optie om de toegang tot clients te beperken met behulp van HTTPS.

Een handtekening voor gedeelde toegang configureren

In Azure Portal configureert u verschillende instellingen om een SAS te maken. Wanneer u deze details bekijkt, kunt u overwegen hoe u handtekeningen voor gedeelde toegang in uw opslagbeveiligingsoplossing kunt implementeren.

Schermopname van de pagina Gedeelde toegangshandtekeningssleutel maken.

  • Ondertekeningsmethode: Kies de ondertekeningsmethode: Accountsleutel of Gebruikersdelegeringssleutel.
  • Ondertekeningssleutel: Selecteer de ondertekeningssleutel in uw lijst met sleutels.
  • Machtigingen: selecteer de machtigingen die zijn verleend door de SAS, zoals lezen of schrijven.
  • Begin- en vervaldatum/-tijd: geef het tijdsinterval op waarvoor de SAS geldig is. Stel de begintijd en de verlooptijd in.
  • Toegestane IP-adressen: (optioneel) Identificeer een IP-adres of bereik van IP-adressen waaruit Azure Storage de SAS accepteert.
  • Toegestane protocollen: (optioneel) Selecteer het protocol waarvoor Azure Storage de SAS accepteert.