Delegare l'accesso tramite una firma di accesso condiviso
Importante
Per una sicurezza ottimale, Microsoft consiglia di usare Microsoft Entra ID con identità gestite per autorizzare le richieste sui dati BLOB, code e tabelle, quando possibile. L'autorizzazione con Microsoft Entra ID e identità gestite offre sicurezza e facilità d'uso superiori rispetto all'autorizzazione con chiave condivisa. Per altre informazioni, vedere Autorizzare con Microsoft Entra ID. Per altre informazioni sulle identità gestite, vedere Informazioni sulle identità gestite per le risorse di Azure.
Per le risorse ospitate all'esterno di Azure, ad esempio le applicazioni locali, è possibile usare le identità gestite tramite Azure Arc. Ad esempio, le app in esecuzione nei server abilitati per Azure Arc possono usare le identità gestite per connettersi ai servizi di Azure. Per altre informazioni, vedere Eseguire l'autenticazione con le risorse di Azure con i server abilitati per Azure Arc.
Per gli scenari in cui vengono usate le firme di accesso condiviso, Microsoft consiglia di usare una firma di accesso condiviso delega utente. Una firma di accesso condiviso della delega utente è protetta con le credenziali Microsoft Entra anziché la chiave dell'account. Per informazioni sulle firme di accesso condiviso, vedere Create una firma di accesso condiviso di delega utente.
Una firma di accesso condiviso è un URI che concede diritti di accesso limitati alle risorse di Archiviazione di Azure. È possibile fornire una firma di accesso condiviso ai client che non devono essere considerati attendibili con la chiave dell'account di archiviazione, ma che devono accedere a determinate risorse dell'account di archiviazione. Distribuendo un URI di firma di accesso condiviso a tali client, è possibile concedere loro l'accesso a una risorsa per un periodo di tempo specificato con un determinato set di autorizzazioni.
I parametri di query URI che compongono il token di firma di accesso condiviso incorporano tutte le informazioni necessarie per concedere l'accesso controllato a una risorsa di archiviazione. Un client con firma di accesso condiviso può effettuare una richiesta in Archiviazione di Azure usando solo l'URI di firma di accesso condiviso. Le informazioni nel token di firma di accesso condiviso vengono usate per autorizzare la richiesta.
Tipi di firme di accesso condiviso
Archiviazione di Azure supporta i tipi di firme di accesso condiviso seguenti:
Una firma di accesso condiviso dell'account, introdotta con la versione 2015-04-05. Questo tipo di firma di accesso condiviso delega l'accesso alle risorse in uno o più servizi di archiviazione. Tutte le operazioni disponibili tramite la firma di accesso condiviso del servizio lo sono anche tramite la firma di accesso condiviso dell'account.
Con la firma di accesso condiviso dell'account è possibile delegare l'accesso alle operazioni che si applicano a un servizio, ad esempio
Get/Set Service Properties
eGet Service Stats
. È anche possibile delegare l'accesso alle operazioni di lettura, scrittura ed eliminazioni in contenitori BLOB, tabelle, code e condivisioni file, che con una firma di accesso condiviso del servizio non è consentito.Per altre informazioni, vedere Creare un SAS dell'account.
Firma di accesso condiviso del servizio. Questo tipo di firma di accesso condiviso delega l'accesso a una risorsa in uno dei servizi di archiviazione: Archiviazione BLOB di Azure, Archiviazione code di Azure, Archiviazione tabelle di Azure o File di Azure. Per altre informazioni, vedere Create un esempio di firma di accesso condiviso del servizio e firma di accesso condiviso del servizio.
Una firma di accesso condiviso di delega utente, introdotta con la versione 09-11-2018. Questo tipo di firma di accesso condiviso è protetto con credenziali Microsoft Entra. È supportato solo per l'archiviazione BLOB ed è possibile usarlo per concedere l'accesso a contenitori e BLOB. Per altre informazioni, vedere Creare una firma di accesso condiviso di delega utente.
Inoltre, una firma di accesso condiviso del servizio può fare riferimento a un criterio di accesso archiviato che fornisce un altro livello di controllo su un set di firme. Questo controllo include la possibilità di modificare o revocare l'accesso alla risorsa, se necessario. Per altre informazioni, vedere Definire un criterio di accesso archiviato.
Nota
I criteri di accesso archiviati non sono attualmente supportati per una firma di accesso condiviso dell'account o una firma di accesso condiviso della delega utente.