Criar assinaturas de acesso compartilhado

  • 3 minutos

Uma SAS (Assinatura de Acesso Compartilhado) é um URI (Identificador de Recurso Uniforme) que concede direitos de acesso restrito a recursos do Armazenamento do Azure. A SAS é uma forma segura de compartilhar seus recursos de armazenamento sem comprometer as chaves da conta.

Você pode fornecer uma SAS para clientes que não devem ter acesso à sua chave de conta de armazenamento. Ao distribuir um URI de SAS para esses clientes, você concede a eles acesso a um recurso por um período especificado.

Normalmente, você usa uma SAS para um serviço no qual os usuários leem e gravam dados em sua conta de armazenamento. As contas que armazenam dados de usuário têm dois designs típicos:

  • Os clientes podem carregar e baixar dados por meio de um serviço de proxy de front-end, que realiza a autenticação. Esse serviço de proxy de front-end tem a vantagem de permitir a validação de regras de negócios. se você manipular grandes quantidades de dados ou transações de alto volume, poderá ser difícil escalar esse serviço

Diagrama de dados usando o Serviço de Proxy de Front-End para acessar o Armazenamento do Azure.

  • Um serviço leve autentica o cliente, conforme a necessidade. Em seguida, ele gera uma SAS. Os clientes que recebem a SAS podem acessar diretamente os recursos da conta de armazenamento. A SAS define as permissões e o intervalo de acesso do cliente. Ela reduz a necessidade de encaminhar todos os dados por meio do serviço de proxy de front-end.

Diagrama de uma SAS autenticando o acesso ao Armazenamento do Azure.

Informações sobre assinaturas de acesso compartilhado

Vamos examinar algumas características de uma SAS.

  • Uma SAS oferece um controle granular sobre que tipo de acesso você concede aos clientes que têm a SAS.

  • Uma SAS no nível da conta pode delegar acesso a vários serviços de Armazenamento do Azure, como blobs, arquivos, filas e tabelas.

  • Você pode especificar o intervalo de tempo no qual uma SAS é válida, incluindo a hora de início e de expiração.

  • Especifique as permissões concedidas pela SAS. Uma SAS para um blob pode conceder permissões de leitura e gravação nesse blob, mas não permissões de exclusão.

  • A SAS fornece o controle de nível de conta e de nível de serviço.

    • Nível da conta. Use uma SAS no nível da conta para permitir acesso a tudo o que uma SAS no nível do serviço pode permitir, além de outros recursos e habilidades. Por exemplo, você pode usar uma SAS no nível da conta para permitir a habilidade de criar sistemas de arquivos.

    • Nível do serviço. Você pode usar uma SAS no nível do serviço para permitir acesso a recursos específicos em uma conta de armazenamento. Você poderia usar esse tipo de SAS, por exemplo, para permitir que um aplicativo recuperasse uma lista de arquivos em um sistema de arquivos ou baixasse um arquivo.

    Observação

    Uma política de acesso armazenada pode fornecer outro nível de controle ao você usar a SAS de nível de serviço no lado do servidor. Você pode agrupar SASs e fornecer outras restrições usando uma política de acesso armazenada.

  • Há configurações opcionais de SAS:

    • Endereços IP. Você pode identificar um endereço IP ou um intervalo de endereços IP dos quais o Armazenamento do Azure aceita a SAS. Configure essa opção para especificar um intervalo de endereços IP que pertencem à sua organização.

    • Protocolos. Você pode especificar o protocolo no qual o Armazenamento do Azure aceita a SAS. Configure essa opção para restringir o acesso aos clientes usando HTTPS.

Configurar uma assinatura de acesso compartilhado

No portal do Azure, você define várias configurações para criar uma SAS. Ao examinar esses detalhes, considere como você pode implementar assinaturas de acesso compartilhado em sua solução de segurança de armazenamento.

Captura de tela da página Criar uma chave de assinatura de acesso compartilhado.

  • Método de assinatura: escolha o método de assinatura: chave de conta ou chave de delegação do usuário.
  • Chave de assinatura: selecione a chave de assinatura na sua lista de chaves.
  • Permissões: selecione as permissões concedidas pela SAS, como leitura ou gravação.
  • Data/hora de início e expiração: especifique o intervalo de tempo no qual a SAS é válida. Defina a hora de início e de expiração.
  • Endereços IP permitidos: (opcional) você pode identificar um endereço IP ou um intervalo de endereços IP dos quais o Armazenamento do Azure aceita a SAS.
  • Protocolos permitidos: (opcional) selecione o protocolo no qual o Armazenamento do Azure aceita a SAS.