Informatie over handtekeningen voor gedeelde toegang

  • 5 minuten

U kunt het beste geen opslagaccountsleutels met externe toepassingen delen. Als voor deze apps toegang tot uw gegevens noodzakelijk is, moet u hun verbindingen beveiligen zonder opslagaccountsleutels te gebruiken.

Voor niet-vertrouwde clients gebruikt u een SAS (Shared Access Signature, handtekening voor gedeelde toegang). Een SAS is een tekenreeks die een beveiligingstoken bevat dat kan worden gekoppeld aan een URI. U kunt een SAS gebruiken om de toegang tot opslagobjecten te delegeren en beperkingen op te geven, zoals de machtigingen en het tijdsbereik van toegang.

U kunt een klant bijvoorbeeld een SAS-token geven, zodat ze afbeeldingen kunnen uploaden naar een bestandssysteem in Blob Storage. Afzonderlijk kunt u een web-app machtigen om deze afbeeldingen te lezen. In beide gevallen geeft u slechts die toegang die nodig is om de taak uit te voeren.

Typen handtekeningen voor gedeelde toegang

U kunt een SAS op serviceniveau gebruiken om toegang tot specifieke resources in een opslagaccount toe te staan. U gebruikt dit type SAS bijvoorbeeld om een app toe te staan een lijst met bestanden op te halen in een bestandssysteem of om een bestand te downloaden.

Gebruik een SAS op accountniveau om toegang te verlenen tot alles wat een SAS op serviceniveau kan toestaan, plus extra resources en mogelijkheden. U kunt bijvoorbeeld een SAS op accountniveau gebruiken om bestandssystemen te maken.

Doorgaans gebruikt u een SAS voor een service waarbij gebruikers hun gegevens lezen en schrijven naar uw opslagaccount. Accounts waarin gebruikersgegevens worden opgeslagen, kennen twee kenmerkende ontwerpen:

  • Clients uploaden en downloaden gegevens via een front-end proxyservice, waarmee verificatie wordt uitgevoerd. Deze front-end proxyservice biedt als voordeel dat bedrijfsregels kunnen worden gevalideerd. Maar als de service grote hoeveelheden gegevens of transacties met grote volumes moet verwerken, is het misschien ingewikkeld of duur om deze service te schalen om aan de vraag te voldoen.

Diagram met een front-endproxyservicebewerking aan de clientzijde.

  • Een lichtgewicht service verifieert de client indien nodig. Vervolgens wordt er een SAS gegenereerd. Nadat de SAS is ontvangen, heeft de client rechtstreeks toegang tot opslagaccountbronnen. De SAS definieert de machtigingen en het toegangsinterval van de client. Het vermindert de noodzaak om alle gegevens te routeren via de front-endproxyservice.

Diagram met een SAS-bewerking aan de serverzijde.