選擇何時使用共用存取簽章

  • 3 分鐘

當您想要將儲存體帳戶中資源的安全存取權提供給任何不具備這些資源權限的用戶端時,請使用 SAS。

SAS 很實用的一個常見案例,就是讓使用者在您的儲存體帳戶中讀取和寫入其資料的服務。 在儲存體帳戶儲存使用者資料的案例中,典型的設計模式有兩種:

  • 用戶端透過會執行驗證的前端 Proxy 服務來上傳與下載資料。 此前端 Proxy 服務具有允許驗證商務規則的優勢,但在有大量資料或大量交易的情況下,建立可調整以符合需求的服務可能十分昂貴或困難。

    Scenario diagram: Front-end proxy service

  • 輕量型服務可視需要驗證用戶端,然後產生 SAS。 在用戶端應用程式收到 SAS 之後,即可使用 SAS 所定義的權限,並在 SAS 允許的間隔內直接存取儲存體帳戶資源。 SAS 可減輕透過前端 Proxy 服務路由所有資料的需求。

    Scenario diagram: SAS provider service

許多真實世界的服務可能會混合運用這兩種方法。 例如,某些資料可能會透過前端 Proxy 來處理和驗證,其他資料則會直接使用 SAS 來儲存和/或讀取。

此外,在某些情況下,需要在複製作業中使用 SAS 來授權對來源物件的存取權:

  • 當您將 Blob 複製到位於不同儲存體帳戶的另一個 Blob 時,必須使用 SAS 來授權對來源 Blob 的存取權。 您也可以選擇性地使用 SAS 來授權對目的地 Blob 的存取權。

  • 當您將檔案複製到位於不同儲存體帳戶的另一個檔案時,必須使用 SAS 來授權對來源檔案的存取權。 您也可以選擇性地使用 SAS 來授權對目的地檔案的存取權。

  • 當您將 Blob 複製到檔案,或將檔案複製到 Blob 時,必須使用 SAS 來授權對來源物件的存取權,即使來源和目的地物件位於相同儲存體帳戶也一樣。