Opis sygnatur dostępu współdzielonego

  • 5 min

Dobrą praktyką jest nieudostępnianie kluczy kont magazynu aplikacjom zewnętrznym innych firm. Jeśli te aplikacje muszą mieć dostęp do danych, należy zapewnić im łączność bez korzystania z kluczy kont magazynu.

Dla niezaufanych klientów używaj sygnatur dostępu współdzielonego (SAS). Sygnatura dostępu współdzielonego to ciąg zawierający token zabezpieczający, który można dołączyć do identyfikatora URI. Sygnatura dostępu współdzielonego umożliwia delegowanie dostępu do obiektów magazynu i określenie ograniczeń, takich jak uprawnienia i zakres czasu dostępu.

Możesz na przykład nadać klientowi token SAS, aby mógł przekazać obrazy do systemu plików w usłudze Blob Storage. Oddzielnie możesz nadać aplikacji internetowej uprawnienia do odczytywania tych obrazów. W obu przypadkach zezwala się tylko na taki dostęp, który jest aplikacji niezbędny do realizacji zadania.

Typy sygnatur dostępu współdzielonego

Sygnatura dostępu współdzielonego na poziomie usługi umożliwia dostęp do określonych zasobów na koncie magazynu. Tego typu sygnatury dostępu współdzielonego można na przykład użyć, aby umożliwić aplikacji pobranie listy plików w systemie plików lub pobranie pliku.

Użyj sygnatury dostępu współdzielonego na poziomie konta, aby zezwolić na dostęp do dowolnych elementów, na które może zezwalać sygnatura dostępu współdzielonego na poziomie usługi oraz dodatkowe zasoby i możliwości. Na przykład można użyć sygnatury dostępu współdzielonego na poziomie konta, aby umożliwić tworzenie systemów plików.

Zazwyczaj używasz sygnatury dostępu współdzielonego dla usługi, w której użytkownicy odczytują i zapisują swoje dane na koncie magazynu. Konta, które przechowują dane użytkownika, mają dwie typowe konstrukcje:

  • Klienci przekazują i pobierają dane za pośrednictwem usługi serwera proxy frontonu, która przeprowadza uwierzytelnianie. Ta usługa serwera proxy frontonu ma możliwość weryfikacji reguł biznesowych. Jeśli jednak usługa musi obsługiwać duże ilości danych lub transakcji o dużej ilości danych, może się okazać, że skalowanie tej usługi jest skomplikowane lub kosztowne w celu dopasowania jej do zapotrzebowania.

Diagram przedstawiający operację usługi serwera proxy frontonu po stronie klienta.

  • Uproszczona usługa uwierzytelnia klienta zgodnie z potrzebami. Następnie generuje sygnaturę dostępu współdzielonego. Po otrzymaniu sygnatury dostępu współdzielonego klient może uzyskać bezpośredni dostęp do zasobów konta magazynu. Sygnatura dostępu współdzielonego definiuje uprawnienia i interwał dostępu klienta. Zmniejsza to konieczność kierowania wszystkich danych przez usługę serwera proxy frontonu.

Diagram przedstawiający operację sygnatury dostępu współdzielonego po stronie serwera.