Skapa ett SAS-konto
Viktig
För optimal säkerhet rekommenderar Microsoft att du använder Microsoft Entra-ID med hanterade identiteter för att auktorisera begäranden mot blob-, kö- och tabelldata när det är möjligt. Auktorisering med Microsoft Entra-ID och hanterade identiteter ger överlägsen säkerhet och enkel användning via auktorisering av delad nyckel. Mer information finns i Auktorisera med Microsoft Entra ID. Mer information om hanterade identiteter finns i Vad är hanterade identiteter för Azure-resurser.
För resurser som finns utanför Azure, till exempel lokala program, kan du använda hanterade identiteter via Azure Arc. Appar som körs på Azure Arc-aktiverade servrar kan till exempel använda hanterade identiteter för att ansluta till Azure-tjänster. Mer information finns i Autentisera mot Azure-resurser med Azure Arc-aktiverade servrar.
För scenarier där signaturer för delad åtkomst (SAS) används rekommenderar Microsoft att du använder en SAS för användardelegering. En SAS för användardelegering skyddas med Microsoft Entra-autentiseringsuppgifter i stället för kontonyckeln. Mer information om signaturer för delad åtkomst finns i Skapa en SAS-för användardelegering.
Från och med version 2015-04-05 har Azure Storage stöd för att skapa en ny typ av signatur för delad åtkomst (SAS) på lagringskontots nivå. Genom att skapa ett konto-SAS kan du:
Delegera åtkomst till åtgärder på tjänstnivå som för närvarande inte är tillgängliga med en tjänstspecifik SAS, till exempel
Get/Set Service PropertiesochGet Service Statsåtgärder.Delegera åtkomst till mer än en tjänst i ett lagringskonto i taget. Du kan till exempel delegera åtkomst till resurser i både Azure Blob Storage och Azure Files med hjälp av ett konto-SAS.
Delegera åtkomst till skriv- och borttagningsåtgärder för containrar, köer, tabeller och filresurser, som inte är tillgängliga med en objektspecifik SAS.
Ange en IP-adress eller ett intervall med IP-adresser som begäranden ska accepteras från.
Ange det HTTP-protokoll som begäranden ska accepteras från (https eller HTTP/HTTPS).
Lagrade åtkomstprinciper stöds för närvarande inte för ett konto-SAS.
Försiktighet
Signaturer för delad åtkomst är nycklar som ger behörighet till lagringsresurser och du bör skydda dem på samma sätt som du skyddar en kontonyckel. Det är viktigt att skydda en SAS från skadlig eller oavsiktlig användning. Använd diskretion när du distribuerar en SAS och ha en plan för att återkalla en komprometterad SAS. Åtgärder som använder signaturer för delad åtkomst bör endast utföras via en HTTPS-anslutning och SAS-URI:er ska endast distribueras på en säker anslutning, till exempel HTTPS.
Auktorisera ett konto-SAS
Du skyddar ett konto-SAS med hjälp av en lagringskontonyckel. När du skapar ett konto-SAS måste klientprogrammet ha kontonyckeln.
Om du vill använda Microsoft Entra-autentiseringsuppgifter för att skydda en SAS för en container eller blob du skapa en SAS-för användardelegering.
Skapa en SAS-URI för kontot
Kontots SAS-URI består av URI:n till den resurs som SAS delegerar åtkomst för, följt av en SAS-token. SAS-token är frågesträngen som innehåller all information som krävs för att auktorisera en begäran till resursen. Den anger den tjänst, resurs och behörighet som är tillgängliga för åtkomst och den tidsperiod under vilken signaturen är giltig.
Ange kontots SAS-parametrar
De obligatoriska och valfria parametrarna för SAS-token beskrivs i följande tabell:
| SAS-frågeparameter | Beskrivning |
|---|---|
api-version |
Valfri. Anger vilken lagringstjänstversion som ska användas för att köra den begäran som görs med hjälp av kontots SAS-URI. Mer information finns i Auktorisera begäranden med hjälp av en signatur för delad åtkomst. |
SignedVersion (sv) |
Krävs. Anger den signerade lagringstjänstversion som ska användas för att auktorisera begäranden som görs med det här kontots SAS. Den måste vara inställd på version 2015-04-05 eller senare. Mer information finns i Auktorisera begäranden med hjälp av en signatur för delad åtkomst. |
SignedServices (ss) |
Krävs. Anger de signerade tjänster som är tillgängliga med kontots SAS. Möjliga värden är: - Blob ( b)- Kö ( q)- Tabell ( t)- Fil ( f)Du kan kombinera värden för att ge åtkomst till mer än en tjänst. Till exempel anger ss=bf åtkomst till slutpunkterna Blob Storage och Azure Files. |
SignedResourceTypes (srt) |
Krävs. Anger de signerade resurstyper som är tillgängliga med kontots SAS. – Tjänst ( s): Åtkomst till API:er på servicenivå (till exempel Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).- Container ( c): Åtkomst till API:er på containernivå (till exempel Skapa/ta bort container, Skapa/ta bort kö, Skapa/ta bort tabell, Skapa/ta bort resurs, Lista blobbar/filer och kataloger).- Objekt ( o): Åtkomst till API:er på objektnivå för blobar, kömeddelanden, tabellentiteter och filer (till exempel Put Blob, Query Entity, Get Messages, Create File).Du kan kombinera värden för att ge åtkomst till mer än en resurstyp. Till exempel anger srt=sc åtkomst till tjänst- och containerresurser. |
SignedPermissions (sp) |
Krävs. Anger de signerade behörigheterna för kontots SAS. Behörigheter är endast giltiga om de matchar den angivna signerade resurstypen. Om de inte matchar ignoreras de. - Läs ( r): Giltig för alla signerade resurstyper (tjänst, container och objekt). Tillåter läsbehörighet till den angivna resurstypen.– Skriv ( w): Giltigt för alla signerade resurstyper (tjänst, container och objekt). Tillåter skrivåtkomst för den angivna resurstypen, så att en användare kan skapa och uppdatera resurser.- Ta bort ( d): Giltigt för resurstyper för container och objekt, förutom kömeddelanden.– Ta bort version ( x): Gäller endast för objektresurstypen Blob.– Permanent borttagning ( y): Gäller endast för objektresurstypen Blob.- Lista ( l): Gäller endast för tjänst- och containerresurstyper.– Lägg till ( a): Gäller endast för följande objektresurstyper: kömeddelanden, tabellentiteter och tilläggsblobar.– Skapa ( c): Giltigt för containerresurstyper och följande objektresurstyper: blobar och filer. Användare kan skapa nya resurser, men kanske inte skriver över befintliga resurser.- Uppdatera ( u): Gäller endast för följande objektresurstyper: kömeddelanden och tabellentiteter.– Bearbeta ( p): Gäller endast för följande objektresurstyp: kömeddelanden.- Tagg ( t): Gäller endast för följande objektresurstyp: blobar. Tillåter åtgärder för blobtaggen.– Filtrera ( f): Gäller endast för följande objektresurstyp: blob. Tillåter filtrering efter blobtagg.– Ange oföränderlighetsprincip ( i): Gäller endast för följande objektresurstyp: blob. Tillåter princip för att ange/ta bort oföränderlighet och bevarande av juridiska skäl för en blob. |
SignedStart (st) |
Valfri. Den tid då SAS blir giltig, uttryckt i något av de godkända ISO 8601 UTC-formaten. Om den utelämnas antas starttiden vara den tid då lagringstjänsten tar emot begäran. Mer information om godkända UTC-format finns i Formatera DateTime-värden. |
SignedExpiry (se) |
Krävs. Den tid då signaturen för delad åtkomst blir ogiltig, uttryckt i något av de godkända ISO 8601 UTC-formaten. Mer information om godkända UTC-format finns i Formatera DateTime-värden. |
SignedIP (sip) |
Valfri. Anger en IP-adress eller ett intervall med IP-adresser som begäranden ska accepteras från. När du anger ett intervall bör du tänka på att intervallet är inkluderande. Endast IPv4-adresser stöds. Till exempel sip=198.51.100.0 eller sip=198.51.100.10-198.51.100.20. |
SignedProtocol (spr) |
Valfri. Anger det protokoll som tillåts för en begäran som görs med kontots SAS. Möjliga värden är både HTTPS och HTTP (https,http) eller endast HTTPS (https). Standardvärdet är https,http.Observera att ENDAST HTTP inte är ett tillåtet värde. |
SignedEncryptionScope (ses) |
Valfri. Anger krypteringsomfånget som ska användas för att kryptera innehållet i begäran. Det här fältet stöds med version 2020-12-06 och senare. |
Signature (sig) |
Krävs. Signaturdelen av URI:n används för att auktorisera den begäran som görs med signaturen för delad åtkomst. Sträng-till-tecken är en unik sträng som har konstruerats från de fält som måste verifieras för att godkänna begäran. Signaturen är en hash-baserad kod för meddelandeautentisering (HMAC) som beräknas över sträng-till-tecken och nyckel med hjälp av SHA256-algoritmen och sedan kodas med hjälp av Base64-kodning. |
Ange fältet signedVersion
Fältet signedVersion (sv) innehåller tjänstversionen av signaturen för delad åtkomst. Det här värdet anger den version av auktorisering av delad nyckel som används av signaturen för delad åtkomst (i fältet signature). Värdet anger även tjänstversionen för begäranden som görs med den här signaturen för delad åtkomst.
Information om vilken version som används när du kör begäranden via en signatur för delad åtkomst finns i Versionshantering för Azure Storage-tjänster.
Information om hur den här parametern påverkar auktoriseringen av begäranden som görs med en signatur för delad åtkomst finns i Delegera åtkomst med en signatur för delad åtkomst.
| Fältnamn | Frågeparameter | Beskrivning |
|---|---|---|
signedVersion |
sv |
Krävs. Stöds i version 2015-04-05 och senare. Den lagringstjänstversion som ska användas för att auktorisera och hantera begäranden som du gör med den här signaturen för delad åtkomst. Mer information finns i Versionshantering för Azure Storage-tjänster. |
Ange en IP-adress eller ETT IP-intervall
Från och med version 2015-04-05 anger det valfria fältet signedIp (sip) en offentlig IP-adress eller ett intervall med offentliga IP-adresser som begäranden ska accepteras från. Om IP-adressen som begäran kommer från inte matchar IP-adressen eller adressintervallet som anges på SAS-token, är begäran inte auktoriserad. Endast IPv4-adresser stöds.
När du anger ett intervall med IP-adresser bör du tänka på att intervallet är inkluderande. Om du till exempel anger sip=198.51.100.0 eller sip=198.51.100.10-198.51.100.20 på SAS begränsas begäran till dessa IP-adresser.
I följande tabell beskrivs om du vill inkludera fältet signedIp på en SAS-token för ett angivet scenario, baserat på klientmiljön och lagringskontots plats.
| Klientmiljö | Lagringskontoplats | Rekommendation |
|---|---|---|
| Klient som körs i Azure | I samma region som klienten | En SAS som tillhandahålls klienten i det här scenariot bör inte innehålla en utgående IP-adress för fältet signedIp. Begäranden som görs från samma region som använder en SAS med en angiven utgående IP-adress misslyckas.Använd i stället ett virtuellt Azure-nätverk för att hantera nätverkssäkerhetsbegränsningar. Begäranden till Azure Storage från samma region sker alltid via en privat IP-adress. Mer information finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk. |
| Klient som körs i Azure | I en annan region än klienten | En SAS som tillhandahålls klienten i det här scenariot kan innehålla en offentlig IP-adress eller adressintervall för fältet signedIp. En begäran som görs med SAS måste komma från den angivna IP-adressen eller adressintervallet. |
| Klienten körs lokalt eller i en annan molnmiljö | I valfri Azure-region | En SAS som tillhandahålls klienten i det här scenariot kan innehålla en offentlig IP-adress eller adressintervall för fältet signedIp. En begäran som görs med SAS måste komma från den angivna IP-adressen eller adressintervallet.Om begäran skickas via en proxy eller gateway anger du den offentliga utgående IP-adressen för proxyn eller gatewayen för fältet signedIp. |
Ange HTTP-protokollet
Från och med version 2015-04-05 anger det valfria fältet signedProtocol (spr) det protokoll som tillåts för en begäran som görs med SAS. Möjliga värden är både HTTPS och HTTP (https,http) eller endast HTTPS (https). Standardvärdet är https,http. Observera att ENDAST HTTP inte är ett tillåtet värde.
Ange krypteringsomfånget
Genom att använda fältet signedEncryptionScope på URI:n kan du ange det krypteringsomfång som klientprogrammet kan använda. Den framtvingar kryptering på serversidan med det angivna krypteringsomfånget när du laddar upp blobar (PUT) med SAS-token. GET och HEAD kommer inte att begränsas och utföras som tidigare.
I följande tabell beskrivs hur du refererar till ett signerat krypteringsomfång på URI:n:
| Fältnamn | Frågeparameter | Beskrivning |
|---|---|---|
signedEncryptionScope |
ses |
Valfri. Anger krypteringsomfånget som ska användas för att kryptera innehållet i begäran. |
Det här fältet stöds med version 2020-12-06 eller senare. Om du lägger till ses före den version som stöds returnerar tjänsten felsvarskoden 403 (förbjuden).
Om du anger standardkrypteringsomfånget för containern eller filsystemet respekterar ses frågeparametern containerkrypteringsprincipen. Om det finns ett matchningsfel mellan ses-frågeparametern och x-ms-default-encryption-scope-huvudet och x-ms-deny-encryption-scope-override-huvudet är inställt på truereturnerar tjänsten felsvarskoden 403 (Förbjuden).
När du anger x-ms-encryption-scope-huvudet och frågeparametern ses i PUT-begäran returnerar tjänsten felsvarskoden 400 (felaktig begäran) om det finns ett matchningsfel.
Konstruera signatursträngen
Om du vill konstruera signatursträngen för ett konto-SAS skapar du först sträng-till-sign från fälten som skriver begäran och kodar sedan strängen som UTF-8 och beräknar signaturen med hjälp av HMAC-SHA256-algoritmen.
Not
Fälten som ingår i sträng-till-tecken måste vara URL-avkodade.
Om du vill skapa sträng-till-sign för ett konto-SAS använder du följande format:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
Version 2020-12-06 lägger till stöd för det signerade krypteringsomfångsfältet. Om du vill skapa sträng-till-sign för ett konto-SAS använder du följande format:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Konto-SAS-behörigheter per åtgärd
Tabellerna i följande avsnitt visar olika API:er för varje tjänst och de signerade resurstyper och signerade behörigheter som stöds för varje åtgärd.
Blob-tjänst
I följande tabell visas blobtjänståtgärder och anger vilken signerad resurstyp och signerade behörigheter som ska anges när du delegerar åtkomst till dessa åtgärder.
| Operation | Signerad tjänst | Signerad resurstyp | Signerad behörighet |
|---|---|---|---|
| Listcontainrar | Blob (b) | Tjänst (s) | Lista (l) |
| Hämta blobtjänstegenskaper | Blob (b) | Tjänst (s) | Läs (r) |
| Ange blobtjänstegenskaper | Blob (b) | Tjänst (s) | Skriva (w) |
| Hämta blobtjänststatistik | Blob (b) | Tjänst (s) | Läs (r) |
| Skapa container | Blob (b) | Container (c) | Create(c) eller Write (w) |
| Hämta containeregenskaper | Blob (b) | Container (c) | Läs (r) |
| Hämta containermetadata | Blob (b) | Container (c) | Läs (r) |
| Ange containermetadata | Blob (b) | Container (c) | Skriva (w) |
| Lånecontainer | Blob (b) | Container (c) | Skriv (w) eller Ta bort (d)1 |
| Ta bort container | Blob (b) | Container (c) | Ta bort (d)1 |
| Hitta blobar efter taggar i containern | Blob (b) | Container (c) | Filter (f) |
| Lista blobar | Blob (b) | Container (c) | Lista (l) |
| Placera blob (skapa ny blockblob) | Blob (b) | Objekt (o) | Skapa (c) eller Skriv (w) |
| Placera blob (skriv över befintlig blockblob) | Blob (b) | Objekt (o) | Skriva (w) |
| Placera blob (skapa ny sidblob) | Blob (b) | Objekt (o) | Skapa (c) eller Skriv (w) |
| Placera blob (skriv över befintlig sidblob) | Blob (b) | Objekt (o) | Skriva (w) |
| Hämta blob | Blob (b) | Objekt (o) | Läs (r) |
| Hämta blobegenskaper | Blob (b) | Objekt (o) | Läs (r) |
| Ange blobegenskaper | Blob (b) | Objekt (o) | Skriva (w) |
| Hämta blobmetadata | Blob (b) | Objekt (o) | Läs (r) |
| Ange blobmetadata | Blob (b) | Objekt (o) | Skriva (w) |
| Hämta blobtaggar | Blob (b) | Objekt (o) | Taggar (t) |
| Ange blobtaggar | Blob (b) | Objekt (o) | Taggar (t) |
| Hitta blobar efter taggar | Blob (b) | Objekt (o) | Filter (f) |
| Ta bort blob | Blob (b) | Objekt (o) | Ta bort (d)1 |
| Ta bort blobversion | Blob (b) | Objekt (o) | Ta bort version (x)2 |
| Ta bort ögonblicksbild/version permanent | Blob (b) | Objekt (o) | Permanent borttagning (y)3 |
| Låneblob | Blob (b) | Objekt (o) | Skriv (w) eller Ta bort (d)1 |
| Ögonblicksbildsblob | Blob (b) | Objekt (o) | Skapa (c) eller Skriv (w) |
| Kopiera blob (målet är ny blob) | Blob (b) | Objekt (o) | Skapa (c) eller Skriv (w) |
| Kopiera blob (målet är en befintlig blob) | Blob (b) | Objekt (o) | Skriva (w) |
| Inkrementell kopia | Blob (b) | Objekt (o) | Skapa (c) eller Skriv (w) |
| Avbryt kopieringsblob | Blob (b) | Objekt (o) | Skriva (w) |
| Placera block | Blob (b) | Objekt (o) | Skriva (w) |
| Placera blockeringslista (skapa ny blob) | Blob (b) | Objekt (o) | Skriva (w) |
| Placera blockeringslista (uppdatera befintlig blob) | Blob (b) | Objekt (o) | Skriva (w) |
| Hämta blockeringslista | Blob (b) | Objekt (o) | Läs (r) |
| Placera sida | Blob (b) | Objekt (o) | Skriva (w) |
| Hämta sidintervall | Blob (b) | Objekt (o) | Läs (r) |
| Lägg till block | Blob (b) | Objekt (o) | Lägg till (a) eller Skriv (w) |
| Rensa sida | Blob (b) | Objekt (o) | Skriva (w) |
1 Behörigheten Delete tillåter att ett lån bryts för en blob eller container med version 2017-07-29 och senare.
2 Behörigheten Delete Version tillåter borttagning av blobversioner med version 2019-12-12 och senare.
3 Behörigheten Permanent Delete tillåter permanent borttagning av en blobögonblicksbild eller version med version 2020-02-10 och senare.
Kötjänst
I följande tabell visas kötjänståtgärder och anger vilken signerad resurstyp och signerade behörigheter som ska anges när du delegerar åtkomst till dessa åtgärder.
| Operation | Signerad tjänst | Signerad resurstyp | Signerad behörighet |
|---|---|---|---|
| Hämta kötjänstegenskaper | Kö (q) | Tjänst (s) | Läs (r) |
| Ange kötjänstegenskaper | Kö (q) | Tjänst (s) | Skriva (w) |
| Lista köer | Kö (q) | Tjänst (s) | Lista (l) |
| Hämta kötjänststatistik | Kö (q) | Tjänst (s) | Läs (r) |
| Skapa kö | Kö (q) | Container (c) | Create(c) eller Write (w) |
| Ta bort kö | Kö (q) | Container (c) | Ta bort (d) |
| Hämta kömetadata | Kö (q) | Container (c) | Läs (r) |
| Ange kömetadata | Kö (q) | Container (c) | Skriva (w) |
| Lägg till meddelande | Kö (q) | Objekt (o) | Lägg till (a) |
| Hämta meddelanden | Kö (q) | Objekt (o) | Process (p) |
| Granska meddelanden | Kö (q) | Objekt (o) | Läs (r) |
| Ta bort meddelande | Kö (q) | Objekt (o) | Process (p) |
| Rensa meddelanden | Kö (q) | Objekt (o) | Ta bort (d) |
| Uppdatera meddelande | Kö (q) | Objekt (o) | Uppdatera (u) |
Tabelltjänst
I följande tabell visas tabelltjänståtgärder och anger vilken signerad resurstyp och signerade behörigheter som ska anges när du delegerar åtkomst till dessa åtgärder.
| Operation | Signerad tjänst | Signerad resurstyp | Signerad behörighet |
|---|---|---|---|
| Hämta tabelltjänstegenskaper | Tabell (t) | Tjänst (s) | Läs (r) |
| Ange egenskaper för tabelltjänsten | Tabell (t) | Tjänst (s) | Skriva (w) |
| Hämta tabelltjänststatistik | Tabell (t) | Tjänst (s) | Läs (r) |
| Frågetabeller | Tabell (t) | Container (c) | Lista (l) |
| Skapa tabell | Tabell (t) | Container (c) | Skapa (c) eller Skriv (w) |
| Ta bort tabell | Tabell (t) | Container (c) | Ta bort (d) |
| Fråga entiteter | Tabell (t) | Objekt (o) | Läs (r) |
| Infoga entitet | Tabell (t) | Objekt (o) | Lägg till (a) |
| Infoga eller sammanfoga entitet | Tabell (t) | Objekt (o) | Lägg till (a) och uppdatera (u)1 |
| Infoga eller ersätt entitet | Tabell (t) | Objekt (o) | Lägg till (a) och uppdatera (u)1 |
| Uppdatera entitet | Tabell (t) | Objekt (o) | Uppdatera (u) |
| Sammanfoga entitet | Tabell (t) | Objekt (o) | Uppdatera (u) |
| Ta bort entitet | Tabell (t) | Objekt (o) | Ta bort (d) |
1 Lägg till och uppdatera behörigheter krävs för upsert-åtgärder i tabelltjänsten.
Filtjänst
I följande tabell visas filtjänståtgärder och anger vilken signerad resurstyp och signerade behörigheter som ska anges när du delegerar åtkomst till dessa åtgärder.
| Operation | Signerad tjänst | Signerad resurstyp | Signerad behörighet |
|---|---|---|---|
| Listresurser | Fil (f) | Tjänst (s) | Lista (l) |
| Hämta filtjänstegenskaper | Fil (f) | Tjänst (s) | Läs (r) |
| Ange egenskaper för filtjänsten | Fil (f) | Tjänst (s) | Skriva (w) |
| Hämta resursstatistik | Fil (f) | Container (c) | Läs (r) |
| Skapa resurs | Fil (f) | Container (c) | Skapa (c) eller Skriv (w) |
| Ögonblicksbildsresurs | Fil (f) | Container (c) | Skapa (c) eller Skriv (w) |
| Hämta resursegenskaper | Fil (f) | Container (c) | Läs (r) |
| Ange resursegenskaper | Fil (f) | Container (c) | Skriva (w) |
| Hämta resursmetadata | Fil (f) | Container (c) | Läs (r) |
| Ange resursmetadata | Fil (f) | Container (c) | Skriva (w) |
| Ta bort resurs | Fil (f) | Container (c) | Ta bort (d) |
| Lista kataloger och filer | Fil (f) | Container (c) | Lista (l) |
| Skapa katalog | Fil (f) | Objekt (o) | Skapa (c) eller Skriv (w) |
| Hämta katalogegenskaper | Fil (f) | Objekt (o) | Läs (r) |
| Hämta katalogmetadata | Fil (f) | Objekt (o) | Läs (r) |
| Ange katalogmetadata | Fil (f) | Objekt (o) | Skriva (w) |
| Ta bort katalog | Fil (f) | Objekt (o) | Ta bort (d) |
| Skapa fil (skapa ny) | Fil (f) | Objekt (o) | Skapa (c) eller Skriv (w) |
| Skapa fil (skriv över befintlig) | Fil (f) | Objekt (o) | Skriva (w) |
| Hämta fil | Fil (f) | Objekt (o) | Läs (r) |
| Hämta filegenskaper | Fil (f) | Objekt (o) | Läs (r) |
| Hämta filmetadata | Fil (f) | Objekt (o) | Läs (r) |
| Ange filmetadata | Fil (f) | Objekt (o) | Skriva (w) |
| Ta bort fil | Fil (f) | Objekt (o) | Ta bort (d) |
| Byt namn på fil | Fil (f) | Objekt (o) | Ta bort (d) eller skriv (w) |
| Placera intervall | Fil (f) | Objekt (o) | Skriva (w) |
| Listintervall | Fil (f) | Objekt (o) | Läs (r) |
| Avbryt kopieringsfilen | Fil (f) | Objekt (o) | Skriva (w) |
| Kopiera fil | Fil (f) | Objekt (o) | Skriva (w) |
| Rensa intervall | Fil (f) | Objekt (o) | Skriva (w) |
Sas-URI-exempel för konto
I följande exempel visas en URI för blobtjänsten med en SAS-token för kontot som läggs till i den. Kontots SAS-token ger behörigheter till tjänsten, containern och objekten. Tabellen delar upp varje del av URI:n:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Namn | SAS-del | Beskrivning |
|---|---|---|
| Resurs-URI | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Tjänstslutpunkten med parametrar för att hämta tjänstegenskaper (när den anropas med GET) eller ange tjänstegenskaper (när den anropas med SET). Baserat på värdet för fältet signerade tjänster (ss) kan denna SAS användas med antingen Blob Storage eller Azure Files. |
| Avgränsare | ? |
Avgränsaren som föregår frågesträngen. Avgränsare är inte en del av SAS-token. |
| Lagringstjänster version | sv=2022-11-02 |
För Azure Storage-tjänster version 2012-02-12 och senare anger den här parametern vilken version som ska användas. |
| Tjänster | ss=b |
SAS gäller för Blob-tjänsterna. |
| Resurstyper | srt=sco |
SAS gäller för åtgärder på servicenivå, containernivå och objektnivå. |
| Behörigheter | sp=rwlc |
Behörigheterna ger åtkomst till läs-, skriv-, list- och skapa-åtgärder. |
| Starttid | st=2019-08-01T22%3A18%3A26Z |
Anges i UTC-tid. Om du vill att SAS ska vara giltigt omedelbart utelämnar du starttiden. |
| Förfallotid | se=2019-08-10T02%3A23%3A26Z |
Anges i UTC-tid. |
| Protokoll | spr=https |
Endast begäranden som använder HTTPS tillåts. |
| Underskrift | sig=<signature> |
Används för att auktorisera åtkomst till bloben. Signaturen är en HMAC som beräknas över en sträng-till-signering och nyckel med hjälp av SHA256-algoritmen och sedan kodas med hjälp av Base64-kodning. |
Eftersom behörigheter är begränsade till tjänstnivån är tillgängliga åtgärder med den här SAS Hämta blobtjänstegenskaper (läs) och Ange blobtjänstegenskaper (skrivning). Men med en annan resurs-URI kan samma SAS-token också användas för att delegera åtkomst till Hämta blobtjänststatistik (läs).
Se även
- Delegera åtkomst med en signatur för delad åtkomst
- Skapa en SAS- för användardelegering
- Skapa en SAS-tjänst
- SAS-felkoder