Delegar o acesso através de uma assinatura de acesso partilhado
Importante
Para uma segurança ideal, a Microsoft recomenda a utilização de Microsoft Entra ID com identidades geridas para autorizar pedidos contra dados de blobs, filas e tabelas, sempre que possível. A autorização com identidades Microsoft Entra ID e geridas proporciona segurança e facilidade de utilização superiores através da autorização de Chave Partilhada. Para saber mais, consulte Autorizar com Microsoft Entra ID. Para saber mais sobre identidades geridas, veja O que são identidades geridas para recursos do Azure.
Para recursos alojados fora do Azure, como aplicações no local, pode utilizar identidades geridas através do Azure Arc. Por exemplo, as aplicações em execução em servidores compatíveis com o Azure Arc podem utilizar identidades geridas para se ligarem aos serviços do Azure. Para saber mais, veja Authenticate against Azure resources with Azure Arc-enabled servers (Autenticar nos recursos do Azure com servidores preparados para o Azure Arc).
Para cenários em que são utilizadas assinaturas de acesso partilhado (SAS), a Microsoft recomenda a utilização de uma SAS de delegação de utilizador. Uma SAS de delegação de utilizador é protegida com credenciais Microsoft Entra em vez da chave de conta. Para saber mais sobre assinaturas de acesso partilhado, veja Create uma SAS de delegação de utilizador.
Uma assinatura de acesso partilhado (SAS) é um URI que concede direitos de acesso restritos aos recursos do Armazenamento do Microsoft Azure. Pode fornecer uma assinatura de acesso partilhado aos clientes que não devem ser considerados fidedignos com a sua chave de conta de armazenamento, mas que precisam de acesso a determinados recursos da conta de armazenamento. Ao distribuir um URI de SAS a estes clientes, pode conceder-lhes acesso a um recurso durante um período de tempo especificado, com um conjunto especificado de permissões.
Os parâmetros de consulta URI que compõem o token de SAS incorporam todas as informações necessárias para conceder acesso controlado a um recurso de armazenamento. Um cliente que tenha a SAS pode fazer um pedido no Armazenamento do Azure com apenas o URI de SAS. As informações no token de SAS são utilizadas para autorizar o pedido.
Tipos de assinaturas de acesso partilhado
O Armazenamento do Azure suporta os seguintes tipos de assinaturas de acesso partilhado:
Uma SAS de conta, introduzida com a versão 2015-04-05. Este tipo de SAS delega o acesso aos recursos num ou mais dos serviços de armazenamento. Todas as operações disponíveis através de uma SAS de serviço também estão disponíveis através de uma SAS de conta.
Com a SAS da conta, pode delegar o acesso a operações que se aplicam a um serviço, como
Get/Set Service PropertieseGet Service Stats. Também pode delegar o acesso às operações de leitura, escrita e eliminação em contentores de blobs, tabelas, filas e partilhas de ficheiros que não são permitidos com um serviço SAS.Para obter mais informações, veja Create uma SAS de conta.
Uma SAS de serviço. Este tipo de SAS delega o acesso a um recurso em apenas um dos serviços de armazenamento: Armazenamento de Blobs do Azure, Armazenamento de Filas do Azure, Armazenamento de Tabelas do Azure ou Ficheiros do Azure. Para obter mais informações, veja Create exemplos de SAS de serviço e SAS de Serviço.
Uma SAS de delegação de utilizador, introduzida com a versão 2018-11-09. Este tipo de SAS está protegido com credenciais de Microsoft Entra. É suportado apenas para o Armazenamento de Blobs e pode utilizá-lo para conceder acesso a contentores e blobs. Para obter mais informações, veja Create uma SAS de delegação de utilizador.
Além disso, uma SAS de serviço pode referenciar uma política de acesso armazenado que fornece outro nível de controlo sobre um conjunto de assinaturas. Este controlo inclui a capacidade de modificar ou revogar o acesso ao recurso, se necessário. Para obter mais informações, veja Definir uma política de acesso armazenado.
Nota
Atualmente, as políticas de acesso armazenado não são suportadas para uma SAS de conta ou uma SAS de delegação de utilizador.