Criar assinaturas de acesso compartilhado

  • 3 minutos

Uma assinatura de acesso compartilhado (SAS) é um URI (identificador de recurso uniforme) que concede direitos de acesso restrito aos recursos do Armazenamento do Azure. O SAS é uma maneira segura de compartilhar seus recursos de armazenamento sem comprometer as chaves da conta.

Você pode fornecer uma SAS para clientes que não devem ter acesso à sua chave de conta de armazenamento. Ao distribuir um URI SAS para esses clientes, você concede a eles acesso a um recurso por um período de tempo especificado.

Coisas a saber sobre assinaturas de acesso partilhado

Vamos rever algumas características de um SAS.

  • Uma SAS oferece controle granular sobre o tipo de acesso que você concede aos clientes que têm a SAS.

  • Uma SAS no nível da conta pode delegar acesso a vários serviços de Armazenamento do Azure, como blobs, arquivos, filas e tabelas.

  • Você pode especificar o intervalo de tempo para o qual uma SAS é válida, incluindo a hora de início e a hora de expiração.

  • Você especifica as permissões concedidas pelo SAS. Uma SAS para um blob pode conceder permissões de leitura e gravação para esse blob, mas não permissões de exclusão.

  • O SAS fornece controle de nível de conta e nível de serviço.

    • O SAS no nível da conta delega acesso a recursos em um ou mais serviços de Armazenamento do Azure.

    • O SAS de nível de serviço delega acesso a um recurso em apenas um serviço de Armazenamento do Azure.

    Nota

    Uma política de acesso armazenado pode fornecer outro nível de controle quando você usa uma SAS de nível de serviço no lado do servidor. Você pode agrupar SASs e fornecer outras restrições usando uma política de acesso armazenado.

  • Existem definições de configuração SAS opcionais:

    • Endereços IP. Você pode identificar um endereço IP ou um intervalo de endereços IP do qual o Armazenamento do Azure aceita a SAS. Configure esta opção para especificar um intervalo de endereços IP que pertencem à sua organização.

    • Protocolos. Você pode especificar o protocolo sobre o qual o Armazenamento do Azure aceita a SAS. Configure esta opção para restringir o acesso aos clientes usando HTTPS.

Configurar uma assinatura de acesso compartilhado

No portal do Azure, você define várias configurações para criar uma SAS. Ao analisar esses detalhes, considere como implementar assinaturas de acesso compartilhado em sua solução de segurança de armazenamento.

Screenshot of the Create a shared access signature key page.

  • Método de assinatura: escolha o método de assinatura: Chave de conta ou Chave de delegação de usuário.
  • Chave de assinatura: selecione a chave de assinatura na sua lista de chaves.
  • Permissões: selecione as permissões concedidas pela SAS, como leitura ou gravação.
  • Data/hora de início e expiração: especifique o intervalo de tempo para o qual a SAS é válida. Defina a hora de início e a hora de expiração.
  • Endereços IP permitidos: (Opcional) Identifique um endereço IP ou um intervalo de endereços IP do qual o Armazenamento do Azure aceita a SAS.
  • Protocolos permitidos: (Opcional) Selecione o protocolo pelo qual o Armazenamento do Azure aceita a SAS.