Создание подписанных URL-адресов

  • 3 мин

Подписанный URL-адрес (SAS) — это универсальный идентификатор ресурса (URI), предоставляющий права доступа с ограниченным доступом для служба хранилища Azure ресурсов. SAS — это безопасный способ предоставления общего доступа к ресурсам хранилища без опасности для ключей учетной записи.

Вы можете предоставлять подписанные URL-адреса (SAS) клиентам, у которых не должно быть доступа к ключу вашей учетной записи хранения. Распространяя URI SAS среди этих клиентов, вы предоставляете им доступ к ресурсу в течение определенного периода времени.

Типичным сценарием использования SAS является служба, где пользователи считывают и записывают свои данные в вашей учетной записи хранения. Учетные записи, в которых хранятся данные пользователей, имеют две типичные структуры:

  • Клиенты могут отправлять и скачивать данные через интерфейсную прокси-службу, которая выполняет проверку подлинности. Эта служба интерфейсного прокси-сервера позволяет проверять бизнес-правила. При обработке больших объемов данных или транзакций с большим объемом данных может быть сложно масштабировать эту службу.

Схема данных с помощью службы прокси переднего плана для доступа к служба хранилища Azure.

  • Упрощенная служба аутентифицирует клиента по мере необходимости. Затем она создает SAS. Клиенты, получающие SAS, могут напрямую получить доступ к ресурсам учетной записи хранения. SAS определяет разрешения и интервал доступа клиента. SAS уменьшает потребность в маршрутизации всех данных через службу интерфейсного прокси-сервера.

Схема проверки подлинности SAS к служба хранилища Azure.

Сведения о подписанных URL-адресах

Рассмотрим некоторые характеристики SAS.

  • SAS обеспечивает детальный контроль над типом доступа, предоставляемым клиентам, у которых есть SAS.

  • SAS уровня учетной записи может делегировать доступ к нескольким службам служба хранилища Azure, таким как большие двоичные объекты, файлы, очереди и таблицы.

  • Можно указать интервал времени, для которого действителен SAS, включая время начала и время окончания срока действия.

  • Вы указываете разрешения, предоставленные SAS. SAS для большого двоичного объекта может предоставлять разрешения на чтение и запись для этого большого двоичного объекта, но не удалять разрешения.

  • SAS предоставляет управление уровнем учетной записи и уровнем обслуживания.

    • Уровень учетной записи. Используйте SAS уровня учетной записи, чтобы разрешить доступ ко всему, что может разрешить SAS уровня обслуживания, а также другие ресурсы и возможности. Например, SAS уровня учетной записи можно использовать, чтобы разрешить создание файловых систем.

    • Уровень обслуживания. С помощью SAS уровня обслуживания можно разрешить доступ к определенным ресурсам в учетной записи хранения. Этот тип SAS можно использовать, например, чтобы разрешить приложению получить список файлов в файловой системе или скачать файл.

    Примечание.

    Хранимая политика доступа может обеспечить другой уровень управления при использовании SAS уровня обслуживания на стороне сервера. Вы можете группировать SAS и предоставлять другие ограничения с помощью хранимой политики доступа.

  • Существуют необязательные параметры конфигурации SAS:

    • IP-адреса. Вы можете определить IP-адрес или диапазон IP-адресов, из которых служба хранилища Azure принимает SAS. Настройте этот параметр, чтобы указать диапазон IP-адресов, принадлежащих вашей организации.

    • Протоколы. Можно указать протокол, по которому служба хранилища Azure принимает SAS. Настройте этот параметр, чтобы ограничить доступ к клиентам с помощью HTTPS.

Настройка подписанного URL-адреса

В портал Azure вы настроите несколько параметров для создания SAS. При просмотре этих сведений рассмотрите, как можно реализовать подписанные URL-адреса в решении безопасности хранилища.

Снимок экрана: страница

  • Метод подписывания: выберите метод подписывания: ключ учетной записи или ключ делегирования пользователей.
  • Ключ подписывания: выберите ключ подписывания из списка ключей.
  • Разрешения. Выберите разрешения, предоставленные SAS, например чтение или запись.
  • Дата и срок действия: укажите интервал времени, для которого действителен SAS. Задайте время начала и время истечения срока действия.
  • Разрешенные IP-адреса: (необязательно) Определите IP-адрес или диапазон IP-адресов, из которых служба хранилища Azure принимает SAS.
  • Разрешенные протоколы: (необязательно) Выберите протокол, по которому служба хранилища Azure принимает SAS.