Vytvoření sdíleného přístupového podpisu účtu
Důležitý
Pro zajištění optimálního zabezpečení microsoft doporučuje Microsoft Entra ID se spravovanými identitami autorizovat požadavky na data objektů blob, fronty a tabulek, kdykoli je to možné. Autorizace s ID Microsoft Entra a spravovanými identitami poskytuje vynikající zabezpečení a snadné použití prostřednictvím autorizace sdíleného klíče. Další informace najdete v tématu Autorizace pomocíMicrosoft Entra ID . Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure.
Pro prostředky hostované mimo Azure, jako jsou místní aplikace, můžete použít spravované identity prostřednictvím služby Azure Arc. Aplikace spuštěné na serverech s podporou Azure Arc můžou například používat spravované identity pro připojení ke službám Azure. Další informace najdete v tématu Ověřování prostředků Azure pomocí serverů s podporou Azure Arc.
Ve scénářích, ve kterých se používají sdílené přístupové podpisy (SAS), microsoft doporučuje používat SAS delegování uživatele. Sas delegování uživatele je zabezpečený pomocí přihlašovacích údajů Microsoft Entra místo klíče účtu. Informace o sdílených přístupových podpisech najdete v tématu Vytvoření SAS delegování uživatele.
Od verze 2015-04-05 podporuje Azure Storage vytvoření nového typu sdíleného přístupového podpisu (SAS) na úrovni účtu úložiště. Vytvořením sdíleného přístupového podpisu účtu můžete:
Delegujte přístup k operacím na úrovni služeb, které nejsou aktuálně dostupné u sdíleného přístupového podpisu specifického pro službu, jako jsou
Get/Set Service Propertiesa operaceGet Service Stats.Delegujte přístup k více službám v účtu úložiště najednou. Přístup k prostředkům ve službě Azure Blob Storage a Azure Files můžete například delegovat pomocí sdíleného přístupového podpisu účtu.
Delegujte přístup k operacím zápisu a odstranění kontejnerů, front, tabulek a sdílených složek, které nejsou k dispozici s sas specifickými pro objekty.
Zadejte IP adresu nebo rozsah IP adres, ze kterých se mají přijímat požadavky.
Zadejte protokol HTTP, ze kterého se mají přijímat požadavky (HTTPS nebo HTTP/HTTPS).
Zásady uloženého přístupu se v současné době nepodporují pro sdílený přístupový podpis účtu.
Opatrnost
Sdílené přístupové podpisy jsou klíče, které udělují oprávnění k prostředkům úložiště, a měli byste je chránit stejně jako klíč účtu. Je důležité chránit SAS před škodlivým nebo nezamýšleným použitím. Při distribuci sdíleného přístupového podpisu použijte vlastní uvážení a vytvořte plán pro odvolání ohroženého sdíleného přístupového podpisu. Operace, které používají sdílené přístupové podpisy, by se měly provádět jenom přes připojení HTTPS a identifikátory URI SAS by se měly distribuovat jenom na zabezpečeném připojení, jako je HTTPS.
Autorizace sdíleného přístupového podpisu účtu
Sas účtu zabezpečíte pomocí klíče účtu úložiště. Při vytváření sdíleného přístupového podpisu účtu musí mít klientská aplikace klíč účtu.
Pokud chcete pomocí přihlašovacích údajů Microsoft Entra zabezpečit SAS pro kontejner nebo objekt blob, vytvořit SAS delegování uživatele.
Vytvoření identifikátoru URI SAS účtu
Identifikátor URI URI SAS účtu se skládá z identifikátoru URI prostředku, pro který bude SAS delegovat přístup, následovaný tokenem SAS. Token SAS je řetězec dotazu, který obsahuje všechny informace potřebné k autorizaci požadavku na prostředek. Určuje službu, prostředek a oprávnění, která jsou k dispozici pro přístup, a časové období, během kterého je podpis platný.
Zadání parametrů SAS účtu
Požadované a volitelné parametry tokenu SAS jsou popsány v následující tabulce:
| Parametr dotazu SAS | Popis |
|---|---|
api-version |
Volitelný. Určuje verzi služby úložiště, která se má použít k provedení požadavku vytvořeného pomocí identifikátoru URI SAS účtu. Další informace najdete v tématu Autorizace požadavků pomocí sdíleného přístupového podpisu. |
SignedVersion (sv) |
Požadovaný. Určuje podepsanou verzi služby úložiště, která se má použít k autorizaci požadavků provedených pomocí sdíleného přístupového podpisu tohoto účtu. Musí být nastavená na verzi 2015-04-05 nebo novější. Další informace najdete v tématu Autorizace požadavků pomocí sdíleného přístupového podpisu. |
SignedServices (ss) |
Požadovaný. Určuje podepsané služby, které jsou přístupné pomocí sdíleného přístupového podpisu účtu. Mezi možné hodnoty patří: – Objekt blob ( b)- Fronta ( q)- Tabulka ( t)- Soubor ( f)Hodnoty můžete kombinovat a poskytnout tak přístup k více než jedné službě. Například ss=bf určuje přístup ke koncovým bodům Blob Storage a Azure Files. |
SignedResourceTypes (srt) |
Požadovaný. Určuje typy podepsaných prostředků, které jsou přístupné pomocí sdíleného přístupového podpisu účtu. – Služba ( s): Přístup k rozhraním API na úrovni služby (například Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).– Kontejner ( c): Přístup k rozhraním API na úrovni kontejneru (například vytvoření,odstranění kontejneru, vytvoření/odstranění fronty, vytvoření/odstranění tabulky, vytvoření/odstranění sdílené složky, výpis objektů blob/souborů a adresářů).- Object ( o): Přístup k rozhraním API na úrovni objektu pro objekty blob, zprávy fronty, entity tabulek a soubory (například Put Blob, Query Entity, Get Messages, Create File).Hodnoty můžete kombinovat a poskytnout tak přístup k více typům prostředků. Například srt=sc určuje přístup ke službám a prostředkům kontejneru. |
SignedPermissions (sp) |
Požadovaný. Určuje podepsaná oprávnění pro SAS účtu. Oprávnění jsou platná pouze v případě, že odpovídají zadanému podepsanému typu prostředku. Pokud se neshodují, budou ignorovány. - Read ( r): Platné pro všechny podepsané typy prostředků (Service, Container a Object). Povoluje oprávnění ke čtení zadaného typu prostředku.- Zápis ( w): Platné pro všechny podepsané typy prostředků (Service, Container a Object). Povoluje přístup k zápisu pro zadaný typ prostředku, což uživateli umožňuje vytvářet a aktualizovat prostředky.- Delete ( d): Platné pro typy prostředků kontejneru a objektu s výjimkou zpráv fronty.- Odstranit verzi ( x): Platí pouze pro typ prostředku objektu blob.- Trvalé odstranění ( y): Platné pouze pro typ prostředku objektu blob.- List ( l): Platné pouze pro typy prostředků služby a kontejneru.- Add ( a): Platné pouze pro následující typy prostředků objektu: zprávy fronty, entity tabulky a doplňovací objekty blob.- Vytvoření ( c): Platné pro typy prostředků kontejneru a následující typy prostředků objektu: objekty blob a soubory. Uživatelé mohou vytvářet nové prostředky, ale nemusí přepsat existující prostředky.- Update ( u): Platné pouze pro následující typy prostředků objektu: zprávy fronty a entity tabulky.- Process ( p): Platné pouze pro následující typ prostředku objektu: zprávy fronty.- Značka ( t): Platné pouze pro následující typ prostředku objektu: objekty blob. Povoluje operace značek objektů blob.- Filter ( f): Platné pouze pro následující typ prostředku objektu: objekt blob. Povoluje filtrování podle značky objektu blob.- Nastavit zásady neměnnosti ( i): Platné pouze pro následující typ prostředku objektu: objekt blob. Povoluje nastavení nebo odstranění zásad neměnnosti a blokování z právních důvodů v objektu blob. |
SignedStart (st) |
Volitelný. Čas, kdy se SAS stane platným, vyjádřený v jednom z přijatých formátů ISO 8601 UTC. Pokud je vynechán, předpokládá se, že počáteční čas je čas, kdy služba úložiště obdrží požadavek. Další informace o přijatých formátech UTC naleznete v tématu Formátování hodnot DateTime. |
SignedExpiry (se) |
Požadovaný. Čas, kdy se sdílený přístupový podpis stane neplatným, vyjádřený v jednom z přijatých formátů ISO 8601 UTC. Další informace o přijatých formátech UTC naleznete v tématu Formátování hodnot DateTime. |
SignedIP (sip) |
Volitelný. Určuje IP adresu nebo rozsah IP adres, ze kterých se mají přijímat požadavky. Při zadávání rozsahu mějte na paměti, že rozsah je inkluzivní. Podporují se jenom adresy IPv4. Například sip=198.51.100.0 nebo sip=198.51.100.10-198.51.100.20. |
SignedProtocol (spr) |
Volitelný. Určuje protokol, který je povolený pro požadavek provedený pomocí sdíleného přístupového podpisu účtu. Možné hodnoty jsou HTTPS i HTTP (https,http) nebo pouze HTTPS (https). Výchozí hodnota je https,http.Všimněte si, že pouze HTTP není povolená hodnota. |
SignedEncryptionScope (ses) |
Volitelný. Označuje obor šifrování, který se má použít k šifrování obsahu požadavku. Toto pole je podporováno ve verzi 2020-12-06 a novější. |
Signature (sig) |
Požadovaný. Část podpisu identifikátoru URI slouží k autorizaci požadavku vytvořeného se sdíleným přístupovým podpisem. Řetězec na znaménko je jedinečný řetězec vytvořený z polí, která musí být ověřena k autorizaci požadavku. Podpis je kód ověřování zpráv založený na hodnotě hash (HMAC), který se vypočítá přes řetězec k podpisu a klíč pomocí algoritmu SHA256 a pak kóduje pomocí kódování Base64. |
Zadání pole signedVersion
Pole signedVersion (sv) obsahuje verzi služby sdíleného přístupového podpisu. Tato hodnota určuje verzi autorizace sdíleného klíče, kterou používá tento sdílený přístupový podpis (v poli signature). Hodnota také určuje verzi služby pro požadavky, které jsou provedeny s tímto sdíleným přístupovým podpisem.
Informace o tom, která verze se používá při provádění požadavků prostřednictvím sdíleného přístupového podpisu, najdete v tématu Správa verzí pro služby Azure Storage.
Informace o tom, jak tento parametr ovlivňuje autorizaci požadavků provedených pomocí sdíleného přístupového podpisu, najdete v tématu Delegovat přístup se sdíleným přístupovým podpisem.
| Název pole | Parametr dotazu | Popis |
|---|---|---|
signedVersion |
sv |
Požadovaný. Podporováno ve verzi 2015-04-05 a novější. Verze služby úložiště, která se má použít k autorizaci a zpracování požadavků, které provedete s tímto sdíleným přístupovým podpisem. Další informace najdete v tématu Správa verzí pro služby Azure Storage. |
Zadání IP adresy nebo rozsahu IP adres
Od verze 2015-04-05 určuje volitelné pole signedIp (sip) veřejnou IP adresu nebo rozsah veřejných IP adres, ze kterých se mají žádosti přijímat. Pokud SE IP adresa, ze které požadavek pochází, neshoduje s IP adresou nebo rozsahem adres zadaným v tokenu SAS, není požadavek autorizovaný. Podporují se jenom adresy IPv4.
Při zadávání rozsahu IP adres mějte na paměti, že rozsah je inkluzivní. Například zadání sip=198.51.100.0 nebo sip=198.51.100.10-198.51.100.20 sas omezí požadavek na tyto IP adresy.
Následující tabulka popisuje, jestli zahrnout pole signedIp v tokenu SAS pro zadaný scénář v závislosti na klientském prostředí a umístění účtu úložiště.
| Klientské prostředí | Umístění účtu úložiště | Doporučení |
|---|---|---|
| Klient spuštěný v Azure | Ve stejné oblasti jako klient | Sdílený přístupový podpis poskytnutý klientovi v tomto scénáři by neměl obsahovat odchozí IP adresu pro pole signedIp. Požadavky provedené ze stejné oblasti, které používají SAS se zadanou odchozí IP adresou, selžou.Místo toho ke správě omezení zabezpečení sítě použijte virtuální síť Azure. Požadavky na Azure Storage ze stejné oblasti se vždy provádí přes privátní IP adresu. Další informace najdete v tématu Konfigurace virtuálních sítí a bran firewall Azure Storage. |
| Klient spuštěný v Azure | V jiné oblasti než klient | Sas poskytnutý klientovi v tomto scénáři může obsahovat veřejnou IP adresu nebo rozsah adres pro pole signedIp. Požadavek vytvořený pomocí sdíleného přístupového podpisu musí pocházet ze zadané IP adresy nebo rozsahu adres. |
| Klient spuštěný místně nebo v jiném cloudovém prostředí | V libovolné oblasti Azure | Sas poskytnutý klientovi v tomto scénáři může obsahovat veřejnou IP adresu nebo rozsah adres pro pole signedIp. Požadavek vytvořený pomocí sdíleného přístupového podpisu musí pocházet ze zadané IP adresy nebo rozsahu adres.Pokud požadavek prochází přes proxy server nebo bránu, zadejte veřejnou odchozí IP adresu tohoto proxy serveru nebo brány pro pole signedIp. |
Zadání protokolu HTTP
Od verze 2015-04-05 určuje volitelné pole signedProtocol (spr) protokol, který je povolený pro požadavek provedený pomocí SAS. Možné hodnoty jsou HTTPS i HTTP (https,http) nebo pouze HTTPS (https). Výchozí hodnota je https,http. Všimněte si, že pouze http není povolená hodnota.
Určení rozsahu šifrování
Pomocí pole signedEncryptionScope v identifikátoru URI můžete zadat obor šifrování, který může klientská aplikace používat. Při nahrávání objektů blob (PUT) pomocí tokenu SAS vynucuje šifrování na straně serveru se zadaným oborem šifrování. Funkce GET a HEAD nebudou omezena a provedena jako předtím.
Následující tabulka popisuje, jak odkazovat na podepsaný obor šifrování u identifikátoru URI:
| Název pole | Parametr dotazu | Popis |
|---|---|---|
signedEncryptionScope |
ses |
Volitelný. Označuje obor šifrování, který se má použít k šifrování obsahu požadavku. |
Toto pole je podporováno ve verzi 2020-12-06 nebo novější. Pokud přidáte ses před podporovanou verzi, vrátí služba kód odpovědi na chybu 403 (Zakázáno).
Pokud nastavíte výchozí obor šifrování pro kontejner nebo systém souborů, parametr dotazu ses respektuje zásady šifrování kontejneru. Pokud došlo k neshodě mezi parametrem dotazu ses a hlavičkou x-ms-default-encryption-scope a hlavička x-ms-deny-encryption-scope-override je nastavená na true, vrátí služba kód chybové odpovědi 403 (Zakázáno).
Když zadáte hlavičku x-ms-encryption-scope a parametr dotazu ses v požadavku PUT, vrátí služba kód odpovědi na chybu 400 (Chybný požadavek), pokud dojde k neshodě.
Vytvoření řetězce podpisu
Pokud chcete vytvořit řetězec podpisu pro SAS účtu, nejprve z polí, která tvoří požadavek, vytvořte řetězec k podpisu a potom řetězec zakódujte jako UTF-8 a vypočítáte podpis pomocí algoritmu HMAC-SHA256.
Poznámka
Pole zahrnutá v řetězci na znaménko musí být dekódovaná adresou URL.
K vytvoření znaménka řetězce pro SAS účtu použijte následující formát:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n"
Verze 2020-12-06 přidává podporu pro pole s podepsaným oborem šifrování. K vytvoření znaménka řetězce pro SAS účtu použijte následující formát:
StringToSign = accountname + "\n" +
signedpermissions + "\n" +
signedservice + "\n" +
signedresourcetype + "\n" +
signedstart + "\n" +
signedexpiry + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedversion + "\n" +
signedEncryptionScope + "\n"
Oprávnění SAS účtu podle operace
Tabulky v následujících částech obsahují různá rozhraní API pro každou službu a podepsané typy prostředků a podepsaná oprávnění podporovaná pro každou operaci.
Blob Service
Následující tabulka uvádí operace služby Blob Service a označuje, který podepsaný typ prostředku a podepsaná oprávnění k určení při delegování přístupu k těmto operacím.
| Operace | Podepsaná služba | Podepsaný typ prostředku | Podepsané oprávnění |
|---|---|---|---|
| Výpis kontejnerů | Objekt blob (b) | Služby (s) | Seznam (l) |
| Získání vlastností služby Blob Service | Objekt blob (b) | Služby (s) | Čtení (r) |
| Nastavení vlastností služby Blob Service | Objekt blob (b) | Služby (s) | Zápis (w) |
| Získání statistik služby Blob Service | Objekt blob (b) | Služby (s) | Čtení (r) |
| Vytvoření kontejneru | Objekt blob (b) | Kontejner (c) | Create(c) nebo Write (w) |
| Získání vlastností kontejneru | Objekt blob (b) | Kontejner (c) | Čtení (r) |
| Získání metadat kontejneru | Objekt blob (b) | Kontejner (c) | Čtení (r) |
| Nastavení metadat kontejneru | Objekt blob (b) | Kontejner (c) | Zápis (w) |
| Zapůjčení kontejneru | Objekt blob (b) | Kontejner (c) | Zápis (w) nebo odstranění (d)1 |
| Odstranění kontejneru | Objekt blob (b) | Kontejner (c) | Odstranění (d)1 |
| Vyhledání objektů blob podle značek v kontejneru | Objekt blob (b) | Kontejner (c) | Filtr (f) |
| Výpis objektů blob | Objekt blob (b) | Kontejner (c) | Seznam (l) |
| Vložení objektu blob (vytvoření nového objektu blob bloku) | Objekt blob (b) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Vložení objektu blob (přepsání existujícího objektu blob bloku) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Vložení objektu blob (vytvoření nového objektu blob stránky) | Objekt blob (b) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Vložení objektu blob (přepsání existujícího objektu blob stránky) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získání objektu blob | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Získání vlastností objektu blob | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Nastavení vlastností objektu blob | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získání metadat objektů blob | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Nastavení metadat objektů blob | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získání značek objektů blob | Objekt blob (b) | Objekt (o) | Značky (t) |
| Nastavení značek objektů blob | Objekt blob (b) | Objekt (o) | Značky (t) |
| Vyhledání objektů blob podle značek | Objekt blob (b) | Objekt (o) | Filtr (f) |
| Odstranění objektu blob | Objekt blob (b) | Objekt (o) | Odstranění (d)1 |
| Odstranění verze objektu blob | Objekt blob (b) | Objekt (o) | Odstranění verze (x)2 |
| Trvalé odstranění snímku nebo verze | Objekt blob (b) | Objekt (o) | Trvalé odstranění (y)3 |
| Zapůjčení objektu blob | Objekt blob (b) | Objekt (o) | Zápis (w) nebo odstranění (d)1 |
| Objekt blob snímku | Objekt blob (b) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Kopírování objektu blob (cíl je nový objekt blob) | Objekt blob (b) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Kopírování objektu blob (cíl je existující objekt blob) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Přírůstkové kopírování | Objekt blob (b) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Přerušení kopírování objektu blob | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Vložit blok | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Vložení seznamu bloků (vytvoření nového objektu blob) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Put Block List (aktualizace existujícího objektu blob) | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získání seznamu blokovaných položek | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Vložit stránku | Objekt blob (b) | Objekt (o) | Zápis (w) |
| Získání rozsahů stránek | Objekt blob (b) | Objekt (o) | Čtení (r) |
| Připojit blok | Objekt blob (b) | Objekt (o) | Přidání (a) nebo zápis (w) |
| Vymazat stránku | Objekt blob (b) | Objekt (o) | Zápis (w) |
1 Oprávnění Delete umožňuje přerušení zapůjčení objektu blob nebo kontejneru s verzí 2017-07-29 a novější.
2 Oprávnění Delete Version umožňuje odstranění verzí objektů blob ve verzi 2019–12.12 a novější.
3 Oprávnění Permanent Delete umožňuje trvalé odstranění snímku objektu blob nebo verze s verzí 2020-02-10 a novější.
Frontová služba
Následující tabulka uvádí operace služby Queue Service a označuje, který podepsaný typ prostředku a podepsaná oprávnění k určení, když delegujete přístup k těmto operacím.
| Operace | Podepsaná služba | Podepsaný typ prostředku | Podepsané oprávnění |
|---|---|---|---|
| Získání vlastností služby fronty | Fronta (q) | Služby (s) | Čtení (r) |
| Nastavení vlastností služby fronty | Fronta (q) | Služby (s) | Zápis (w) |
| Výpis front | Fronta (q) | Služby (s) | Seznam (l) |
| Získání statistik služby Queue Service | Fronta (q) | Služby (s) | Čtení (r) |
| Vytvoření fronty | Fronta (q) | Kontejner (c) | Create(c) nebo Write (w) |
| Odstranit frontu | Fronta (q) | Kontejner (c) | Odstranit (d) |
| Získání metadat fronty | Fronta (q) | Kontejner (c) | Čtení (r) |
| Nastavení metadat fronty | Fronta (q) | Kontejner (c) | Zápis (w) |
| Vložit zprávu | Fronta (q) | Objekt (o) | Přidat (a) |
| Získání zpráv | Fronta (q) | Objekt (o) | Proces (p) |
| Náhled zpráv | Fronta (q) | Objekt (o) | Čtení (r) |
| Odstranit zprávu | Fronta (q) | Objekt (o) | Proces (p) |
| Vymazat zprávy | Fronta (q) | Objekt (o) | Odstranit (d) |
| Aktualizovat zprávu | Fronta (q) | Objekt (o) | Aktualizace (u) |
Table Service
Následující tabulka uvádí operace služby Table Service a označuje, který podepsaný typ prostředku a podepsaná oprávnění k určení, když delegujete přístup k těmto operacím.
| Operace | Podepsaná služba | Podepsaný typ prostředku | Podepsané oprávnění |
|---|---|---|---|
| Získání vlastností služby Table Service | Tabulka (t) | Služby (s) | Čtení (r) |
| Nastavení vlastností služby Table Service | Tabulka (t) | Služby (s) | Zápis (w) |
| Získání statistik služby Table Service | Tabulka (t) | Služby (s) | Čtení (r) |
| Tabulky dotazů | Tabulka (t) | Kontejner (c) | Seznam (l) |
| Vytvoření tabulky | Tabulka (t) | Kontejner (c) | Vytvoření (c) nebo zápis (w) |
| Odstranit tabulku | Tabulka (t) | Kontejner (c) | Odstranit (d) |
| Dotazování entit | Tabulka (t) | Objekt (o) | Čtení (r) |
| Vložit entitu | Tabulka (t) | Objekt (o) | Přidat (a) |
| Vložit nebo sloučit entitu | Tabulka (t) | Objekt (o) | Přidání (a) a aktualizace (u)1 |
| Vložení nebo nahrazení entity | Tabulka (t) | Objekt (o) | Přidání (a) a aktualizace (u)1 |
| Aktualizace entity | Tabulka (t) | Objekt (o) | Aktualizace (u) |
| Sloučení entity | Tabulka (t) | Objekt (o) | Aktualizace (u) |
| Odstranit entitu | Tabulka (t) | Objekt (o) | Odstranit (d) |
1 Pro operace upsertu ve službě Table Service jsou vyžadována oprávnění k přidání a aktualizaci.
Souborová služba
Následující tabulka uvádí operace souborové služby a označuje, který podepsaný typ prostředku a podepsaná oprávnění k určení při delegování přístupu k těmto operacím.
| Operace | Podepsaná služba | Podepsaný typ prostředku | Podepsané oprávnění |
|---|---|---|---|
| Výpis sdílených složek | Soubor (f) | Služby (s) | Seznam (l) |
| Získání vlastností souborové služby | Soubor (f) | Služby (s) | Čtení (r) |
| Nastavení vlastností souborové služby | Soubor (f) | Služby (s) | Zápis (w) |
| Získání statistik služby Share | Soubor (f) | Kontejner (c) | Čtení (r) |
| Vytvořit sdílenou složku | Soubor (f) | Kontejner (c) | Vytvoření (c) nebo zápis (w) |
| Sdílená složka snímků | Soubor (f) | Kontejner (c) | Vytvoření (c) nebo zápis (w) |
| Získání vlastností sdílené složky | Soubor (f) | Kontejner (c) | Čtení (r) |
| Nastavení vlastností sdílené složky | Soubor (f) | Kontejner (c) | Zápis (w) |
| Získání metadat sdílené složky | Soubor (f) | Kontejner (c) | Čtení (r) |
| Nastavení metadat sdílené složky | Soubor (f) | Kontejner (c) | Zápis (w) |
| Odstranit sdílenou složku | Soubor (f) | Kontejner (c) | Odstranit (d) |
| Výpis adresářů a souborů | Soubor (f) | Kontejner (c) | Seznam (l) |
| Vytvořit adresář | Soubor (f) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Získání vlastností adresáře | Soubor (f) | Objekt (o) | Čtení (r) |
| Získání metadat adresáře | Soubor (f) | Objekt (o) | Čtení (r) |
| Nastavení metadat adresáře | Soubor (f) | Objekt (o) | Zápis (w) |
| Odstranit adresář | Soubor (f) | Objekt (o) | Odstranit (d) |
| Vytvořit soubor (vytvořit nový) | Soubor (f) | Objekt (o) | Vytvoření (c) nebo zápis (w) |
| Vytvoření souboru (přepsání existujícího) | Soubor (f) | Objekt (o) | Zápis (w) |
| Získat soubor | Soubor (f) | Objekt (o) | Čtení (r) |
| Získání vlastností souboru | Soubor (f) | Objekt (o) | Čtení (r) |
| Získání metadat souborů | Soubor (f) | Objekt (o) | Čtení (r) |
| Nastavení metadat souborů | Soubor (f) | Objekt (o) | Zápis (w) |
| Odstranit soubor | Soubor (f) | Objekt (o) | Odstranit (d) |
| Přejmenovat soubor | Soubor (f) | Objekt (o) | Odstranění (d) nebo zápis (w) |
| Put Range | Soubor (f) | Objekt (o) | Zápis (w) |
| Rozsahy seznamů | Soubor (f) | Objekt (o) | Čtení (r) |
| Přerušit kopírování souboru | Soubor (f) | Objekt (o) | Zápis (w) |
| Kopírovat soubor | Soubor (f) | Objekt (o) | Zápis (w) |
| Vymazat oblast | Soubor (f) | Objekt (o) | Zápis (w) |
Příklad identifikátoru URI SAS účtu
Následující příklad ukazuje identifikátor URI služby Blob Service s připojeným tokenem SAS účtu. Token SAS účtu poskytuje oprávnění ke službě, kontejneru a objektům. Tabulka rozdělí jednotlivé části identifikátoru URI:
https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
| Jméno | Část SAS | Popis |
|---|---|---|
| Identifikátor URI prostředku | https://myaccount.blob.core.windows.net/?restype=service&comp=properties |
Koncový bod služby s parametry pro získání vlastností služby (při zavolání pomocí GET) nebo nastavení vlastností služby (při zavolání pomocí set). Na základě hodnoty pole podepsaných služeb (ss) je možné tento SAS použít se službou Blob Storage nebo službou Azure Files. |
| Oddělovač | ? |
Oddělovač, který předchází řetězci dotazu. Oddělovač není součástí tokenu SAS. |
| Verze služeb úložiště | sv=2022-11-02 |
U služeb Azure Storage verze 2012-02-12 a novějších určuje tento parametr, kterou verzi použít. |
| Služby | ss=b |
Sas se vztahuje na služby Blob Services. |
| Typy prostředků | srt=sco |
Sas se vztahuje na operace na úrovni služeb, na úrovni kontejneru a na úrovni objektů. |
| Dovolení | sp=rwlc |
Oprávnění uděluje přístup k operacím čtení, zápisu, výpisu a vytváření. |
| Čas zahájení | st=2019-08-01T22%3A18%3A26Z |
Zadané v čase UTC. Pokud chcete, aby byl SAS platný okamžitě, vynechejte čas zahájení. |
| Doba vypršení platnosti | se=2019-08-10T02%3A23%3A26Z |
Zadané v čase UTC. |
| Protokol | spr=https |
Jsou povoleny pouze požadavky, které používají PROTOKOL HTTPS. |
| Podpis | sig=<signature> |
Slouží k autorizaci přístupu k objektu blob. Podpis je HMAC vypočítaný přes řetězec-znaménko a klíč pomocí algoritmu SHA256 a pak kódovaný pomocí kódování Base64. |
Vzhledem k tomu, že oprávnění jsou omezená na úroveň služby, přístupné operace s tímto SAS jsou získání vlastností služby Blob Service (čtení) a nastavení vlastností služby Blob Service (zápis). S jiným identifikátorem URI prostředků se ale stejný token SAS dá použít také k delegování přístupu k získání statistik služby Blob Service (čtení).