Skapa signaturer för delad åtkomst
En signatur för delad åtkomst (SAS) är en enhetlig resursidentifierare (URI) som ger begränsad åtkomstbehörighet till Azure Storage-resurser. SAS är ett säkert sätt att dela dina lagringsresurser utan att äventyra dina kontonycklar.
Du kan ange en SAS till klienter som inte ska ha åtkomst till din lagringskontonyckel. Genom att distribuera en SAS-URI till dessa klienter ger du dem åtkomst till en resurs under en angiven tidsperiod.
Du använder vanligtvis en SAS för en tjänst där användare läser och skriver sina data till ditt lagringskonto. Konton som lagrar användardata har två vanliga utformningar:
- Klienter kan ladda upp och ladda ned data via en klientdelsproxytjänst som utför autentisering. Fördelen med den här proxytjänsten i klientdelen är att den tillåter validering av affärsregler. Om du hanterar stora mängder data eller transaktioner med stora volymer kan det vara svårt att skala den här tjänsten
- En enkel tjänst autentiserar klienten efter behov. Därefter genererar den en SAS. Klienter som tar emot SAS kan komma åt lagringskontoresurser direkt. SAS definierar klientens behörigheter och åtkomstintervall. Det minskar behovet av att dirigera alla data via klientdelsproxytjänsten.
Saker att veta om signaturer för delad åtkomst
Nu ska vi gå igenom några egenskaper för en SAS.
En SAS ger dig detaljerad kontroll över vilken typ av åtkomst du beviljar till klienter som har SAS.
En SAS på kontonivå kan delegera åtkomst till flera Azure Storage-tjänster, till exempel blobbar, filer, köer och tabeller.
Du kan ange det tidsintervall som en SAS är giltig för, inklusive starttid och förfallotid.
Du anger de behörigheter som beviljas av SAS. En SAS för en blob kan bevilja läs- och skrivbehörighet till den bloben, men inte ta bort behörigheter.
SAS tillhandahåller kontroll på kontonivå och servicenivå.
Kontonivå. Använd en SAS på kontonivå för att tillåta åtkomst till allt som en SAS på servicenivå kan tillåta, plus andra resurser och förmågor. Du kan till exempel använda en SAS på kontonivå för att tillåta möjligheten att skapa filsystem.
Servicenivå. Du kan använda en SAS på tjänstnivå för att tillåta åtkomst till specifika resurser i ett lagringskonto. Du skulle till exempel använda den här typen av SAS för att tillåta att en app hämtar en lista över filer i ett filsystem eller för att ladda ned en fil.
Kommentar
En lagrad åtkomstprincip kan ge en annan kontrollnivå när du använder en SAS på tjänstnivå på serversidan. Du kan gruppera SAS och ange andra begränsningar med hjälp av en lagrad åtkomstprincip.
Det finns valfria SAS-konfigurationsinställningar:
IP-adresser. Du kan identifiera en IP-adress eller ett IP-adressintervall som Azure Storage accepterar SAS från. Konfigurera det här alternativet för att ange ett intervall med IP-adresser som tillhör din organisation.
Protokoll. Du kan ange det protokoll som Azure Storage accepterar SAS över. Konfigurera det här alternativet för att begränsa åtkomsten till klienter med hjälp av HTTPS.
Konfigurera en signatur för delad åtkomst
I Azure Portal konfigurerar du flera inställningar för att skapa en SAS. När du granskar den här informationen bör du överväga hur du kan implementera signaturer för delad åtkomst i din lagringssäkerhetslösning.
- Signeringsmetod: Välj signeringsmetod: Kontonyckel eller Användardelegeringsnyckel.
- Signeringsnyckel: Välj signeringsnyckeln i listan med nycklar.
- Behörigheter: Välj de behörigheter som beviljas av SAS, till exempel läsning eller skrivning.
- Start- och förfallodatum/-tid: Ange det tidsintervall som SAS är giltigt för. Ange starttid och förfallotid.
- Tillåtna IP-adresser: (Valfritt) Identifiera en IP-adress eller ett intervall med IP-adresser som Azure Storage accepterar SAS från.
- Tillåtna protokoll: (Valfritt) Välj det protokoll som Azure Storage accepterar SAS över.