Tworzenie sygnatur dostępu współdzielonego

  • 3 min

Sygnatura dostępu współdzielonego (SAS) to jednolity identyfikator zasobu (URI), który udziela ograniczonych praw dostępu do zasobów usługi Azure Storage. Sygnatura dostępu współdzielonego to bezpieczny sposób udostępniania zasobów magazynu bez naruszania kluczy konta.

Sygnaturę dostępu współdzielonego można udostępnić klientom, którzy nie powinni mieć dostępu do klucza konta magazynu. Rozpowszechniając identyfikator URI sygnatury dostępu współdzielonego do tych klientów, można udzielić im dostępu do zasobu przez określony okres czasu.

Zazwyczaj używasz sygnatury dostępu współdzielonego dla usługi, w której użytkownicy odczytują i zapisują swoje dane na koncie magazynu. Konta, które przechowują dane użytkownika, mają dwie typowe konstrukcje:

  • Klienci mogą przekazywać i pobierać dane za pośrednictwem usługi serwera proxy frontonu, która wykonuje uwierzytelnianie. Ta usługa serwera proxy frontonu ma możliwość weryfikacji reguł biznesowych. Jeśli obsługujesz duże ilości danych lub transakcji o dużej ilości danych, skalowanie tej usługi może być trudne

Diagram danych korzystających z usługi serwera proxy frontonu w celu uzyskania dostępu do usługi Azure Storage.

  • Uproszczona usługa uwierzytelnia klienta zgodnie z potrzebami. Następnie generuje sygnaturę dostępu współdzielonego. Klienci odbierający sygnaturę dostępu współdzielonego mogą bezpośrednio uzyskiwać dostęp do zasobów konta magazynu. Sygnatura dostępu współdzielonego definiuje uprawnienia i interwał dostępu klienta. Zmniejsza to konieczność kierowania wszystkich danych przez usługę serwera proxy frontonu.

Diagram przedstawiający uwierzytelnianie sygnatury dostępu współdzielonego do usługi Azure Storage.

Informacje o sygnaturach dostępu współdzielonego

Przyjrzyjmy się niektórym cechom sygnatury dostępu współdzielonego.

  • Sygnatura dostępu współdzielonego zapewnia szczegółową kontrolę nad typem dostępu udzielanego klientom, którzy mają sygnaturę dostępu współdzielonego.

  • Sygnatura dostępu współdzielonego na poziomie konta może delegować dostęp do wielu usług Azure Storage, takich jak obiekty blob, pliki, kolejki i tabele.

  • Możesz określić interwał czasu, dla którego sygnatura dostępu współdzielonego jest prawidłowa, w tym czas rozpoczęcia i czas wygaśnięcia.

  • Należy określić uprawnienia przyznane przez sygnaturę dostępu współdzielonego. Sygnatura dostępu współdzielonego dla obiektu blob może udzielać uprawnień do odczytu i zapisu do tego obiektu blob, ale nie usuwać uprawnień.

  • Sygnatura dostępu współdzielonego zapewnia kontrolę na poziomie konta i na poziomie usługi.

    • Poziom konta. Użyj sygnatury dostępu współdzielonego na poziomie konta, aby zezwolić na dostęp do wszystkich elementów, na które może zezwalać sygnatura dostępu współdzielonego na poziomie usługi, a także inne zasoby i możliwości. Na przykład można użyć sygnatury dostępu współdzielonego na poziomie konta, aby umożliwić tworzenie systemów plików.

    • Poziom usług. Sygnatura dostępu współdzielonego na poziomie usługi umożliwia dostęp do określonych zasobów na koncie magazynu. Tego typu sygnatury dostępu współdzielonego można na przykład użyć, aby umożliwić aplikacji pobranie listy plików w systemie plików lub pobranie pliku.

    Uwaga

    Przechowywane zasady dostępu mogą zapewnić inny poziom kontroli podczas korzystania z sygnatury dostępu współdzielonego na poziomie usługi po stronie serwera. Można grupować usługi SAS i udostępniać inne ograniczenia przy użyciu przechowywanych zasad dostępu.

  • Istnieją opcjonalne ustawienia konfiguracji sygnatury dostępu współdzielonego:

    • Adresy IP. Możesz zidentyfikować adres IP lub zakres adresów IP, z których usługa Azure Storage akceptuje sygnaturę dostępu współdzielonego. Skonfiguruj tę opcję, aby określić zakres adresów IP należących do organizacji.

    • Protokoły. Możesz określić protokół, za pomocą którego usługa Azure Storage akceptuje sygnaturę dostępu współdzielonego. Skonfiguruj tę opcję, aby ograniczyć dostęp do klientów przy użyciu protokołu HTTPS.

Konfigurowanie sygnatury dostępu współdzielonego

W witrynie Azure Portal skonfigurujesz kilka ustawień w celu utworzenia sygnatury dostępu współdzielonego. Podczas przeglądania tych szczegółów zastanów się, jak można zaimplementować sygnatury dostępu współdzielonego w rozwiązaniu zabezpieczeń magazynu.

Zrzut ekranu przedstawiający stronę Tworzenie klucza sygnatury dostępu współdzielonego.

  • Metoda podpisywania: wybierz metodę podpisywania: Klucz konta lub Klucz delegowania użytkownika.
  • Klucz podpisywania: wybierz klucz podpisywania z listy kluczy.
  • Uprawnienia: wybierz uprawnienia przyznane przez sygnaturę dostępu współdzielonego, takie jak odczyt lub zapis.
  • Data/godzina rozpoczęcia i wygaśnięcia: określ interwał czasu, dla którego sygnatura dostępu współdzielonego jest prawidłowa. Ustaw godzinę rozpoczęcia i czas wygaśnięcia.
  • Dozwolone adresy IP: (opcjonalnie) Zidentyfikuj adres IP lub zakres adresów IP, z których usługa Azure Storage akceptuje sygnaturę dostępu współdzielonego.
  • Dozwolone protokoły: (opcjonalnie) Wybierz protokół, za pośrednictwem którego usługa Azure Storage akceptuje sygnaturę dostępu współdzielonego.