Kullanıcı temsilcisi SAS’ı oluşturma
Önemli
En iyi güvenlik için Microsoft mümkün olduğunda blob, kuyruk ve tablo verilerine karşı istekleri yetkilendirmek için yönetilen kimliklerle Microsoft Entra ID kullanılmasını önerir. Microsoft Entra ID ve yönetilen kimliklerle yetkilendirme, Paylaşılan Anahtar yetkilendirmesi üzerinden üstün güvenlik ve kullanım kolaylığı sağlar. Daha fazla bilgi edinmek için bkz. Microsoft Entra ID ile yetkilendirme. Yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz. Azure kaynakları için yönetilen kimlikler nedir?
Şirket içi uygulamalar gibi Azure dışında barındırılan kaynaklar için Azure Arc aracılığıyla yönetilen kimlikleri kullanabilirsiniz. Örneğin, Azure Arc özellikli sunucularda çalışan uygulamalar, Azure hizmetlerine bağlanmak için yönetilen kimlikleri kullanabilir. Daha fazla bilgi edinmek için bkz. Azure Arc özellikli sunucularla Azure kaynaklarında kimlik doğrulaması.
Microsoft Entra kimlik bilgilerini veya hesap anahtarını kullanarak kapsayıcıya, dizine veya bloba erişim için paylaşılan erişim imzası (SAS) belirtecinin güvenliğini sağlayabilirsiniz. Microsoft Entra kimlik bilgileriyle güvenliği sağlanan SAS'ye kullanıcı temsilcisi SAS adı verilir. En iyi güvenlik uygulaması olarak, mümkün olduğunda daha kolay ele geçirilebilen hesap anahtarı yerine Microsoft Entra kimlik bilgilerini kullanmanızı öneririz. Uygulama tasarımınız paylaşılan erişim imzaları gerektirdiğinde, daha iyi güvenlik sağlamaya yardımcı olmak üzere kullanıcı temsilcisi SAS'sini oluşturmak için Microsoft Entra kimlik bilgilerini kullanın.
Her SAS bir anahtarla imzalanır. Kullanıcı temsilcisi SAS'sini oluşturmak için, önce SAS'yi imzalamak için kullandığınız bir kullanıcı temsilcisi anahtarı istemeniz gerekir. Kullanıcı temsilcisi anahtarı, hizmet SAS'sini veya hesap SAS'sini imzalamak için kullanılan hesap anahtarına benzer, ancak Microsoft Entra kimlik bilgilerinize dayanır. Kullanıcı temsilcisi anahtarını istemek için Kullanıcı Temsilcisi Anahtarını Al işlemini çağırın. Ardından SAS'yi oluşturmak için kullanıcı temsilcisi anahtarını kullanabilirsiniz.
Azure Blob Depolama ve Azure Data Lake Storage 2. Nesil için kullanıcı temsilcisi SAS desteklenir. Kullanıcı temsilcisi SAS'sinde depolanan erişim ilkeleri desteklenmez.
Dikkat
Paylaşılan erişim imzaları, depolama kaynaklarına izin veren anahtarlardır ve bunları bir hesap anahtarını koruduğu gibi korumanız gerekir. SAS'yi kötü amaçlı veya istenmeyen kullanıma karşı korumak önemlidir. SAS dağıtırken takdire bağlılığı kullanın ve güvenliği aşılmış SAS'yi iptal etmek için bir planınız var. Paylaşılan erişim imzalarını kullanan işlemler yalnızca BIR HTTPS bağlantısı üzerinden gerçekleştirilmelidir ve paylaşılan erişim imzası URI'leri yalnızca HTTPS gibi güvenli bir bağlantıda dağıtılmalıdır.
Sas güvenliğini sağlamak için hesap anahtarınızı kullanma hakkında bilgi için bkz. Hizmet SAS'sini İçerik Oluşturucu ve hesap SAS'sini İçerik Oluşturucu.
Dizin kapsamlı erişim için kullanıcı temsilcisi SAS desteği
Yetkilendirme sürümüsv
(sr=d
) 2020-02-10 veya üzeri olduğunda ve hiyerarşik ad alanı (HNS) etkinleştirildiğinde, kullanıcı temsilcisi SAS dizin kapsamını () destekler. Dizin kapsamı () semantiği kapsayıcı kapsamına ()sr=d
sr=c
benzer, ancak erişim bir dizinle ve içindeki tüm dosya ve alt dizinlerle sınırlıdır. Belirtildiğinde sr=d
sdd
sorgu parametresi de gereklidir.
Yetkilendirme sürümü 2020-02-10 için imzaya dize biçimi değişmemiştir.
Kullanıcı OID için kullanıcı temsilcisi SAS desteği
Kullanıcı temsilcisi SAS'si, yetkilendirme sürümü () 2020-02-10 veya üzeri olduğunda veya suoid
parametresinde saoid
taşınan isteğe bağlı bir kullanıcı nesnesi tanımlayıcısını (sv
OID) destekler. Bu isteğe bağlı parametre Hadoop ve Spark gibi çok kullanıcılı küme iş yükleri için gelişmiş bir yetkilendirme modeli sağlar.
SAS belirteçleri belirli bir dosya sistemi işlemiyle ve kullanıcıyla kısıtlanabilir ve bu da çok kullanıcılı bir kümeye dağıtılması daha güvenli olan daha az savunmasız bir erişim belirteci sağlar. Bu özelliklerin kullanım örneklerinden biri, Hadoop ABFS sürücüsünün Apache Ranger ile tümleştirilmesidir.
Kullanıcı temsilcisi SAS'sini yetkilendirme
İstemci, kullanıcı temsilcisi SAS'si olan bir Blob Depolama kaynağına eriştiğinde, Azure Depolama isteği SAS oluşturmak için kullanılan Microsoft Entra kimlik bilgileriyle yetkilendirilmiştir. Bu Microsoft Entra hesabı için verilen rol tabanlı erişim denetimi (RBAC) izinleri, SAS üzerinde açıkça verilen izinlerle birlikte istemcinin kaynağa erişimini belirler. Bu yaklaşım ek bir güvenlik düzeyi sağlar ve uygulama kodunuzla hesap erişim anahtarınızı depolamaktan kaçınmanıza yardımcı olur. Bu nedenlerden dolayı, Microsoft Entra kimlik bilgilerini kullanarak SAS oluşturmak en iyi güvenlik uygulamasıdır.
SAS'ye sahip bir istemciye verilen izinler, kullanıcı temsilcisi anahtarını isteyen güvenlik sorumlusuna verilen izinlerin ve (sp
) alanı kullanılarak signedPermissions
SAS belirtecinde kaynağa verilen izinlerin kesişimidir. Güvenlik sorumlusuna RBAC aracılığıyla verilen bir izin SAS belirtecinde de verilmemişse, bu izin kaynağa erişmek için SAS'yi kullanmaya çalışan istemciye verilmez. Kullanıcı temsilcisi SAS oluştururken, RBAC aracılığıyla verilen izinlerin ve SAS belirteci aracılığıyla verilen izinlerin her ikisinin de istemcinin gerektirdiği erişim düzeyine uygun olduğundan emin olun.
Kullanıcı temsilcisi SAS'ı oluşturmak için aşağıdakileri yapın:
- Kullanıcı temsilcisi anahtarını isteyen güvenlik sorumlusuna istenen izinleri vermek için RBAC kullanın.
- Microsoft Entra ID'dan OAuth 2.0 belirteci alın.
- Kullanıcı Temsilcisi Anahtarını Al işlemini çağırarak kullanıcı temsilcisi anahtarını istemek için belirteci kullanın.
- SAS belirtecini uygun alanlarla oluşturmak için kullanıcı temsilcisi anahtarını kullanın.
RBAC ile izin atama
Kullanıcı temsilcisi anahtarını isteyen güvenlik sorumlusunun bunu yapmak için uygun izinlere sahip olması gerekir. Microsoft Entra ID güvenlik sorumlusu kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik olabilir.
Kullanıcı temsilcisi anahtarını istemek için bir güvenlik sorumlusuna Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey eylemini atamanız gerekir. Aşağıdaki yerleşik RBAC rolleri, açıkça veya joker karakter tanımının bir parçası olarak Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey eylemini içerir:
- Katkıda Bulunan
- Depolama Hesabı Katılımcısı
- Depolama Blob Verileri Katkıda Bulunanı
- Depolama Blob Verileri Sahibi
- Depolama Blob Verileri Okuyucusu
- Depolama Blobu Delegator
Kullanıcı Temsilcisi Anahtarını Al işlemi depolama hesabı düzeyinde çalıştığından, Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey eyleminin kapsamı depolama hesabı, kaynak grubu veya abonelik düzeyinde yapılmalıdır. Güvenlik sorumlusuna daha önce listelenen yerleşik rollerden veya Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey eylemini içeren özel rollerden herhangi birine depolama hesabı, kaynak grubu veya abonelik düzeyinde atanmışsa, güvenlik sorumlusu kullanıcı temsilci anahtarını isteyebilir.
Güvenlik sorumlusuna veri erişimine izin veren bir rol atanmışsa ancak kapsamı kapsayıcı düzeyine göre belirlenmişse, depolama hesabı, kaynak grubu veya abonelik düzeyinde güvenlik sorumlusuna Depolama Blobu Tanımlayıcısı rolünü de atayabilirsiniz. Depolama Blobu Temsilcisi rolü, güvenlik sorumlusuna kullanıcı temsilcisi anahtarı istemek için izinler verir.
Azure Depolama için RBAC rolleri hakkında daha fazla bilgi için bkz. Microsoft Entra ile yetkilendirme.
OAuth 2.0 belirteci alma
Kullanıcı temsilcisi anahtarını almak için önce Microsoft Entra ID'dan bir OAuth 2.0 belirteci isteyin. Kullanıcı Temsilcisi Anahtarını Al işlemine çağrıyı yetkilendirmek için belirteci Taşıyıcı düzeniyle sağlayın. Microsoft Entra ID'dan OAuth belirteci isteme hakkında daha fazla bilgi için bkz. Kimlik doğrulama akışları ve uygulama senaryoları.
Kullanıcı temsilcisi anahtarını isteme
Kullanıcı Temsilcisi Anahtarını Al işlemi çağrısı, anahtarı kullanıcı temsilcisi SAS belirtecinde parametre olarak kullanılan bir değer kümesi olarak döndürür. Bu parametreler Kullanıcı Temsilcisi Anahtarı Alma başvurusunda ve sonraki bölümde "Kullanıcı temsilcisi SAS'si oluşturma" bölümünde açıklanmıştır.
bir istemci OAuth 2.0 belirteci kullanarak bir kullanıcı temsilcisi anahtarı istediğinde, Azure Depolama güvenlik sorumlusu adına kullanıcı temsilcisi anahtarını döndürür. Kullanıcı temsilcisi anahtarıyla oluşturulan SAS'ye güvenlik sorumlusuna verilen izinler verilir.
Kullanıcı temsilci anahtarına sahip olduktan sonra, anahtarın kullanım ömrü boyunca herhangi bir sayıda kullanıcı temsilcisi paylaşılan erişim imzası oluşturmak için bu anahtarı kullanabilirsiniz. Kullanıcı temsilcisi anahtarı, almak için kullandığınız OAuth 2.0 belirtecinin bağımsız olduğundan, anahtar geçerli olduğu sürece belirtecin yenilenmesi gerekmez. Anahtarın yedi güne kadar geçerli olduğunu belirtebilirsiniz.
Kullanıcı temsilcisi SAS'si oluşturma
Aşağıdaki tabloda, kullanıcı temsilcisi SAS belirteci için desteklenen alanlar özetlenmektedir. Sonraki bölümlerde bu parametrelerin nasıl belirtileceğini gösteren ek ayrıntılar sağlanır.
SAS alan adı | SAS belirteci parametresi | Gerekli veya isteğe bağlı | Sürüm desteği | Açıklama |
---|---|---|---|---|
signedVersion |
sv |
Gerekli | 2018-11-09 ve üzeri | İmza alanını oluşturmak için kullanılan hizmetin sürümünü gösterir. Ayrıca bu SAS ile yapılan istekleri işleyen hizmet sürümünü belirtir. |
signedResource |
sr |
Gerekli | Tümü | Paylaşılan erişim imzası aracılığıyla hangi blob kaynaklarının erişilebilir olduğunu belirtir. |
signedStart |
st |
İsteğe Bağlı | Tümü | İsteğe bağlı. Paylaşılan erişim imzasının geçerli olduğu zaman, kabul edilen ISO 8601 UTC biçimlerinden birinde ifade edilir. Bu değer atlanırsa, başlangıç saati olarak geçerli UTC saati kullanılır. Kabul edilen UTC biçimleri hakkında daha fazla bilgi için bkz. DateTime değerlerini biçimlendirme. |
signedExpiry |
se |
Gerekli | Tümü | Paylaşılan erişim imzası geçersiz hale geldiğinde, kabul edilen ISO 8601 UTC biçimlerinden birinde ifade edilir. Kabul edilen UTC biçimleri hakkında daha fazla bilgi için bkz. DateTime değerlerini biçimlendirme. |
signedPermissions |
sp |
Gerekli | Tümü | SAS'ye sahip bir istemcinin kaynak üzerinde gerçekleştirebileceği işlemleri gösterir. İzinler birleştirilebilir. |
signedIp |
sip |
İsteğe Bağlı | 2015-04-05 ve üzeri | İsteklerin kabul etmek için bir IP adresi veya kapsamlı bir IP adresi aralığı belirtir. Bir aralık belirttiğinizde aralığın kapsayıcı olduğunu unutmayın. Yalnızca IPv4 adresleri desteklenir. Örneğin sip=168.1.5.65 veya sip=168.1.5.60-168.1.5.70 olabilir. |
signedProtocol |
spr |
İsteğe Bağlı | 2015-04-05 ve üzeri | SAS ile yapılan istek için izin verilen protokolü belirtir. SAS belirteciyle yapılan isteklerin HTTPS kullanmasını gerektirmek için bu alanı ekleyin. |
signedObjectId |
skoid |
Gerekli | 2018-11-09 ve üzeri | bir Microsoft Entra güvenlik sorumlusu tanımlar. |
signedTenantId |
sktid |
Gerekli | 2018-11-09 ve üzeri | Bir güvenlik sorumlusunun tanımlandığı Microsoft Entra kiracısını belirtir. |
signedKeyStartTime |
skt |
İsteğe bağlı. | 2018-11-09 ve üzeri | Değer , Kullanıcı Temsilcisi Anahtarı Al işlemi tarafından döndürülür. Kabul edilen ISO 8601 UTC biçimlerinden birinde ifade edilen kullanıcı temsilcisi anahtarının ömrünün başlangıcını gösterir. Değer atlanırsa geçerli saat varsayılır. Kabul edilen UTC biçimleri hakkında daha fazla bilgi için bkz. DateTime değerlerini biçimlendirme. |
signedKeyExpiryTime |
ske |
Gerekli | 2018-11-09 ve üzeri | Değer , Kullanıcı Temsilcisi Anahtarı Al işlemi tarafından döndürülür. Kabul edilen ISO 8601 UTC biçimlerinden birinde ifade edilen kullanıcı temsilcisi anahtarının kullanım ömrünün sonunu gösterir. Kabul edilen UTC biçimleri hakkında daha fazla bilgi için bkz. DateTime değerlerini biçimlendirme. |
signedKeyVersion |
skv |
Gerekli | 2018-11-09 ve üzeri | Değer , Kullanıcı Temsilcisi Anahtarı Al işlemi tarafından döndürülür. Kullanıcı temsilci anahtarını almak için kullanılan depolama hizmeti sürümünü belirtir. Bu alan 2018-11-09 veya sonraki bir sürümü belirtmelidir. |
signedKeyService |
sks |
Gerekli | 2018-11-09 ve üzeri | Kullanıcı temsilcisi anahtarının geçerli olduğu hizmeti gösterir. Şu anda yalnızca Blob Depolama desteklenir. |
signedAuthorizedObjectId |
saoid |
İsteğe Bağlı | 2020-02-10 ve üzeri | SAS belirteci tarafından verilen eylemi gerçekleştirmek için kullanıcı temsilcisi anahtarının sahibi tarafından yetkilendirilmiş Microsoft Entra güvenlik sorumlusunun nesne kimliğini belirtir. Taşınabilir İşletim Sistemi Arabirimi (POSIX) erişim denetim listelerinde (ACL' ler) ek izin denetimi yapılmaz. |
signedUnauthorizedObjectId |
suoid |
İsteğe Bağlı | 2020-02-10 ve üzeri | Hiyerarşik ad alanı etkinleştirildiğinde Microsoft Entra güvenlik sorumlusunun nesne kimliğini belirtir. Azure Depolama, işlemi yetkilendirmeden önce nesne kimliğine karşı bir POSIX ACL denetimi gerçekleştirir. |
signedCorrelationId |
scid |
İsteğe Bağlı | 2020-02-10 ve üzeri | Depolama denetim günlüklerini SAS'yi oluşturan ve dağıtan sorumlu tarafından kullanılan denetim günlükleriyle ilişkilendirin. |
signedDirectoryDepth |
sdd |
Gerekli olduğunda sr=d |
2020-02-10 ve üzeri | Dizeden imzaya alanında belirtilen dizinin kök klasöründeki canonicalizedResource dizin sayısını gösterir. |
signedEncryptionScope |
ses |
İsteğe Bağlı | 2020-12-06 ve üzeri | İstek içeriğini şifrelemek için kullanılacak şifreleme kapsamını gösterir. |
signature |
sig |
Gerekli | Tümü | İmza, SHA256 algoritması kullanılarak imzaya dize ve anahtar üzerinden hesaplanan ve ardından Base64 kodlaması kullanılarak kodlanan karma tabanlı bir ileti kimlik doğrulama kodudur (HMAC). |
Cache-Control yanıt üst bilgisi |
rscc |
İsteğe Bağlı | 2013-08-15 ve üzeri | Azure Depolama yanıt üst bilgisini SAS belirtecinde belirtilen değere ayarlar Cache-Control . |
Content-Disposition yanıt üst bilgisi |
rscd |
İsteğe Bağlı | 2013-08-15 ve üzeri | Azure Depolama yanıt üst bilgisini SAS belirtecinde belirtilen değere ayarlar Content-Disposition . |
Content-Encoding yanıt üst bilgisi |
rsce |
İsteğe Bağlı | 2013-08-15 ve üzeri | Azure Depolama yanıt üst bilgisini SAS belirtecinde belirtilen değere ayarlar Content-Encoding . |
Content-Language yanıt üst bilgisi |
rscl |
İsteğe Bağlı | 2013-08-15 ve üzeri | Azure Depolama yanıt üst bilgisini SAS belirtecinde belirtilen değere ayarlar Content-Language . |
Content-Type yanıt üst bilgisi |
rsct |
İsteğe Bağlı | 2013-08-15 ve üzeri | Azure Depolama yanıt üst bilgisini SAS belirtecinde belirtilen değere ayarlar Content-Type . |
İmzalı sürüm alanını belirtme
Gerekli signedVersion
(sv
) alanı, paylaşılan erişim imzası için hizmet sürümünü belirtir. Bu değer, alanı oluşturmak signature
için kullanılan hizmetin sürümünü gösterir ve bu paylaşılan erişim imzası ile yapılan bir isteği işleyen hizmet sürümünü belirtir. Alanın değeri sv
2018-11-09 veya sonraki bir sürüm olmalıdır.
İmzalı kaynak alanını belirtme
Gerekli signedResource
(sr
) alanı, paylaşılan erişim imzası aracılığıyla erişilebilen kaynakları belirtir. Aşağıdaki tabloda SAS belirtecindeki bir blob, kapsayıcı veya dizin kaynağına nasıl başvuracakları açıklanmaktadır:
Kaynak | Parametre değeri | Desteklenen sürümler | Description |
---|---|---|---|
Blob | b | Tümü | Blobun içeriğine ve meta verilerine erişim verir. |
Blob sürümü | Bv | 2018-11-09 ve üzeri | Blob sürümünün içeriğine ve meta verilerine erişim verir, ancak temel bloba erişim vermez. |
Blob anlık görüntüsü | Bs | 2018-11-09 ve üzeri | Blob anlık görüntüsünün içeriğine ve meta verilerine erişim verir, ancak temel bloba erişim vermez. |
Kapsayıcı | c | Tümü | Kapsayıcıdaki herhangi bir blobun içeriğine ve meta verilerine ve kapsayıcıdaki blobların listesine erişim verir. |
Directory | d | 2020-02-10 ve üzeri | Hiyerarşik ad alanı etkinleştirilmiş bir depolama hesabında dizindeki herhangi bir blobun içeriğine ve meta verilerine ve dizindeki blobların listesine erişim verir. Alan için signedResource bir dizin belirtilirse (signedDirectoryDepth sdd ) parametresi de gereklidir. Dizin her zaman bir kapsayıcının içindedir. |
İmza geçerlilik süresini belirtin
signedStart
(st
) ve signedExpiry
(se
) alanları SAS için başlangıç ve son kullanma sürelerini belirtir.
signedExpiry
alanı gereklidir.
signedStart
alanı isteğe bağlıdır. Atlanırsa başlangıç saati olarak geçerli UTC saati kullanılır.
Kullanıcı temsilcisi SAS'sinde SAS'nin başlangıç ve son kullanma süreleri, kullanıcı temsilcisi anahtarı için tanımlanan aralık içinde olmalıdır. Kullanıcı temsilcisi anahtarının süresi dolduktan sonra bir istemci SAS kullanmayı denerse, SAS'nin kendisi hala geçerli olup olmadığına bakılmaksızın SAS bir yetkilendirme hatasıyla başarısız olur.
Kabul edilen UTC biçimleri hakkında daha fazla bilgi için bkz. DateTime değerlerini biçimlendirme.
İzinleri belirtme
SAS belirtecinde signedPermissions
(sp
) alanı için belirtilen izinler, SAS'ye sahip bir istemcinin kaynakta hangi işlemleri gerçekleştirebileceğini gösterir.
bir istemcinin aynı SAS ile birden çok işlem gerçekleştirmesine izin vermek için izinler birleştirilebilir. SAS'yi oluştururken, izinleri aşağıdaki sırayla eklemeniz gerekir:
racwdxltmeop
Kapsayıcı için geçerli izin ayarlarına örnek olarak rw
, rd
, rl
, wd
, wl
ve rl
verilebilir. Geçersiz ayarlara örnek olarak wr
, dr
, lr
ve dw
verilebilir. İzin belirtmeye birden çok kez izin verilmez.
Kullanıcı temsilcisi SAS'ı belirli işlemlere erişim izni veremiyor:
- Kapsayıcılar oluşturulamaz, silinemez veya listelenemez.
- Kapsayıcı meta verileri ve özellikleri okunamaz veya yazılamaz.
- Kapsayıcılar kiralanamaz.
Bu işlemlere erişim veren bir SAS oluşturmak için bir hesap SAS'si kullanın. Daha fazla bilgi için bkz. Hesap SAS'sini İçerik Oluşturucu.
Her kaynak türü için desteklenen izinler aşağıdaki tabloda açıklanmıştır:
İzin | URI simgesi | Kaynak | Sürüm desteği | İzin verilen işlemler |
---|---|---|---|---|
Read | r | Kapsayıcı Directory Blob |
Tümü | Kapsayıcıdaki veya dizindeki herhangi bir blobun içeriğini, blok listesini, özelliklerini ve meta verilerini okuyun. Kopyalama işleminin kaynağı olarak blob kullanın. |
Ekle | a | Kapsayıcı Directory Blob |
Tümü | Ekleme blob'una blok ekleyin. |
Oluştur | c | Kapsayıcı Directory Blob |
Tümü | Yeni blob yazma, blob anlık görüntüsü alma veya blobu yeni bir bloba kopyalama. |
Write | w | Kapsayıcı Directory Blob |
Tümü | İçerik Oluşturucu veya içerik, özellikler, meta veriler veya blok listesi yazın. Blobu anlık görüntüye alma veya kiralama. Blobu yeniden boyutlandırın (yalnızca sayfa blobu). Blobu kopyalama işleminin hedefi olarak kullanın. |
Sil | d | Kapsayıcı Directory Blob |
Tümü | Blobu silme. 2017-07-29 ve sonraki sürümler için, Silme izni blobda kirayı bozmaya da olanak tanır. Daha fazla bilgi için bkz . Kira Blobu işlemi. |
Sürümü sil | x | Kapsayıcı Blob |
2019-12-12 ve üzeri | Blob sürümünü silme. |
Kalıcı Silme | y | Blob | 2020-02-10 ve üzeri | Blob anlık görüntüsünü veya sürümünü kalıcı olarak silin. |
Liste | l | Kapsayıcı Directory |
Tümü | Blobları yinelemeli olmayan şekilde listeleyin. |
Etiketler | t | Blob | 2019-12-12 ve üzeri | Blobdaki etiketleri okuyun veya yazın. |
Move | m | Kapsayıcı Directory Blob |
2020-02-10 ve üzeri | Blobu veya dizini ve içeriğini yeni bir konuma taşıma. Parametre SAS belirtecine eklendiğinde ve yapışkan bit üst dizinde ayarlandıysa saoid , bu işlem isteğe bağlı olarak alt blob, dizin veya üst dizinin sahibiyle sınırlandırılabilir. |
Yürütme | e | Kapsayıcı Directory Blob |
2020-02-10 ve üzeri | Sistem özelliklerini alın ve depolama hesabı için hiyerarşik ad alanı etkinleştirildiyse blobun POSIX ACL'sini alın. Hiyerarşik ad alanı etkinse ve çağıran bir blobun sahibiyse, bu izin blobun sahip olan grubunu, POSIX izinlerini ve POSIX ACL'sini ayarlama olanağı verir. Çağıranın kullanıcı tanımlı meta verileri okumasına izin vermez. |
Sahiplik | o | Kapsayıcı Directory Blob |
2020-02-10 ve üzeri | Hiyerarşik ad alanı etkinleştirildiğinde, bu izin çağıranın sahip veya sahip olan grubu ayarlamasını ya da arayan, yapışkan bit kümesine sahip bir dizin içindeki bir dizini veya blobu yeniden adlandırdığında veya sildiğinde sahip olarak davranmasını sağlar. |
İzinler | p | Kapsayıcı Directory Blob |
2020-02-10 ve üzeri | Hiyerarşik ad alanı etkinleştirildiğinde, bu izin çağıranın dizinlerde ve bloblarda izinleri ve POSIX ACL'lerini ayarlamasına olanak tanır. |
Değişmezlik İlkesini Ayarlama | ı | Kapsayıcı Blob |
2020-06-12 ve üzeri | Bir blobda değişmezlik ilkesini veya yasal saklamayı ayarlayın veya silin. |
IP adresi veya IP aralığı belirtme
İsteğe bağlı signedIp
(sip
) alanı bir genel IP adresi veya isteklerin kabul edildiği bir genel IP adresi aralığı belirtir. İsteğin kaynaklandığı IP adresi SAS belirtecinde belirtilen IP adresi veya adres aralığıyla eşleşmiyorsa istek yetkilendirilmedi. Yalnızca IPv4 adresleri desteklenir.
Bir IP adresi aralığı belirttiğinizde, aralık dahil edilir. Örneğin, SAS'de veya sip=168.1.5.60-168.1.5.70
belirtilmesi sip=168.1.5.65
isteği bu IP adresleriyle kısıtlar.
Aşağıdaki tabloda, istemci ortamına ve depolama hesabının konumuna signedIp
göre belirli bir senaryo için alanın sas belirtecine eklenip eklenmeyeceği açıklanmaktadır.
İstemci ortamı | Depolama hesabı konumu | Öneri |
---|---|---|
Azure'da çalışan istemci | İstemciyle aynı bölgede | Bu senaryoda istemciye sağlanan sas alanı için signedIp giden IP adresi içermemelidir. Belirtilen giden IP adresine sahip bir SAS kullanarak aynı bölgeden yaptığınız istekler başarısız olur.Bunun yerine, ağ güvenlik kısıtlamalarını yönetmek için bir Azure sanal ağı kullanın. Aynı bölgeden Azure Depolama'ya yönelik istekler her zaman özel bir IP adresi üzerinden gerçekleşir. Daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma. |
Azure'da çalışan istemci | İstemciden farklı bir bölgede | Bu senaryoda istemciye sağlanan bir SAS, alan için signedIp genel IP adresi veya adres aralığı içerebilir. SAS ile yaptığınız istekler belirtilen IP adresinden veya adres aralığından kaynaklanmalıdır. |
Şirket içinde veya farklı bir bulut ortamında çalışan istemci | Herhangi bir Azure bölgesinde | Bu senaryoda istemciye sağlanan bir SAS, alan için signedIp genel IP adresi veya adres aralığı içerebilir. SAS ile yaptığınız istekler belirtilen IP adresinden veya adres aralığından kaynaklanmalıdır.İstek bir ara sunucu veya ağ geçidinden geçerse, alan için signedIp bu ara sunucu veya ağ geçidinin genel giden IP adresini sağlayın. |
HTTP protokolunu belirtme
İsteğe bağlı signedProtocol
(spr
) alanı, SAS ile yapılan istekler için izin verilen protokolü belirtir. Olası değerler hem HTTPS hem de HTTP (https,http
) veya yalnızca HTTPS (https
) değerleridir.
https,http
varsayılan değerdir.
Not
Alan için spr
HTTP belirtilmesi mümkün değildir.
İmzalı nesne kimliğini belirtme
(signedObjectId
skoid
) alanı, kullanıcı temsilcisi SAS'sı için gereklidir.
Get User Delegation Key işlemi yanıtın bir parçası olarak bu değeri döndürür. İmzalı nesne kimliği, Microsoft kimlik platformu bir güvenlik sorumlusu için sabit tanımlayıcıya hizmet eden bir GUID değeridir.
İmzalı kiracı kimliğini belirtin
(signedTenantId
sktid
) alanı, kullanıcı temsilcisi SAS'sı için gereklidir.
Get User Delegation Key işlemi yanıtın bir parçası olarak bu değeri döndürür. İmzalı kiracı kimliği, bir güvenlik sorumlusunun tanımlandığı Microsoft Entra kiracıyı temsil eden bir GUID değeridir.
İmzalı anahtarın başlangıç saatini belirtme
İsteğe bağlı signedKeyStartTime
(skt
) alanı, ISO Tarih biçiminde kullanıcı temsilcisi anahtarının ömrünün başlangıcını gösterir.
Get User Delegation Key işlemi yanıtın bir parçası olarak bu değeri döndürür. Başlangıç saati atlanırsa, imzalı anahtar başlangıç saatinin geçerli saat olduğu varsayılır.
İmzalı anahtarın sona erme süresini belirtin
signedKeyExpiryTime
(ske
) alanı, ISO Tarih biçiminde bir kullanıcı temsilcisi SAS için gereklidir.
Get User Delegation Key işlemi yanıtın bir parçası olarak bu değeri döndürür. İmzalı anahtarın süre sonu, kullanıcı temsilcisi anahtarının ömrünün sonunu gösterir. Son kullanma süresinin değeri SAS'nin başlangıç saatinden itibaren en fazla yedi gün olabilir.
İmzalı anahtar hizmetini belirtme
(signedKeyService
sks
) alanı, kullanıcı temsilcisi SAS'sı için gereklidir.
Get User Delegation Key işlemi yanıtın bir parçası olarak bu değeri döndürür. İmzalı anahtar hizmet alanı, kullanıcı temsilcisi anahtarının geçerli olduğu hizmeti gösterir. Blob Depolama için imzalı anahtar hizmeti alanının değeridir b
.
İmzalı anahtar sürümünü belirtme
(signedkeyversion
skv
) alanı, kullanıcı temsilcisi SAS'sı için gereklidir.
Get User Delegation Key işlemi yanıtın bir parçası olarak bu değeri döndürür. alanı, signedkeyversion
kullanıcı temsilcisi anahtarını almak için kullanılan depolama hizmeti sürümünü belirtir. Bu alan 2018-11-09 veya sonraki bir sürümü belirtmelidir.
Güvenlik sorumlusu için imzalı nesne kimliği belirtme
İsteğe bağlı signedAuthorizedObjectId
(saoid
) ve signedUnauthorizedObjectId
(suoid
) alanları, Azure Data Lake Storage 2. Nesil iş yükleri için Apache Hadoop ve Apache Ranger ile tümleştirmeyi etkinleştirir. Bir güvenlik sorumlusunun nesne kimliğini belirtmek için SAS belirtecinde şu alanlardan birini kullanın:
- alanı,
saoid
SAS belirteci tarafından verilen eylemi gerçekleştirmek için kullanıcı temsilcisi anahtarının sahibi tarafından yetkilendirilmiş bir Microsoft Entra güvenlik sorumlusunun nesne kimliğini belirtir. Azure Depolama SAS belirtecini doğrular ve Azure Depolama erişim izni vermeden önce kullanıcı temsilcisi anahtarının sahibinin gerekli izinlere sahip olmasını sağlar. POSIX ACL'lerinde ek izin denetimi yapılmaz. - alanı,
suoid
depolama hesabı için hiyerarşik ad alanı etkinleştirildiğinde Microsoft Entra güvenlik sorumlusunun nesne kimliğini belirtir. Busuoid
alan yalnızca hiyerarşik ad alanına sahip hesaplar için geçerlidir. Alan SAS belirtecinesuoid
eklendiğinde, Azure Depolama işlemi yetkilendirmeden önce nesne kimliğine karşı POSIX ACL denetimi gerçekleştirir. Bu ACL denetimi başarılı olmazsa işlem başarısız olur. Alan SAS belirtecinde yer alıyorsasuoid
depolama hesabı için hiyerarşik ad alanı etkinleştirilmelidir. Aksi takdirde, izin denetimi bir yetkilendirme hatasıyla başarısız olur.
Kullanıcı temsilcisi anahtarını isteyen güvenlik sorumlusunun nesne kimliği gerekli skoid
alanda yakalanır. SAS belirtecinde veya alanıyla saoid
bir nesne kimliği belirtmek için, alanda skoid
tanımlanan güvenlik sorumlusuna Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action veya Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action içeren bir RBAC rolü atanmalıdır.suoid
Bu eylemler hakkında daha fazla bilgi için bkz. Azure kaynak sağlayıcısı işlemleri.
veya suoid
alanında nesne kimliğini saoid
belirterek, dizin veya blob sahipliğiyle ilgili işlemleri de aşağıdaki yollarla kısıtlarsınız:
- Bir işlem bir dizin veya blob oluşturursa, Azure Depolama dizin veya blobun sahibini nesne kimliği tarafından belirtilen değere ayarlar. Nesne kimliği belirtilmezse Azure Depolama, dizinin veya blobun sahibini parametresi tarafından belirtilen değere
skoid
ayarlar. - Yapışkan bit üst dizinde ayarlanırsa ve işlem bir dizini veya blobu siler veya yeniden adlandırırsa, üst dizinin sahibinin veya kaynağın sahibinin nesne kimliği, nesne kimliği tarafından belirtilen değerle eşleşmelidir.
- Bir işlem bir dizin veya blob için sahibi ayarlar ve
x-ms-owner
üst bilgi belirtilirse, nesne kimliği tarafından belirtilen değer üst bilgi tarafından belirtilen değerlex-ms-owner
eşleşmelidir. - Bir işlem bir dizin veya blob için grubu ayarlarsa ve
x-ms-group
üst bilgi belirtilirse, nesne kimliği tarafından belirtilen değer üst bilgi tarafındanx-ms-group
belirtilen grubun bir üyesi olmalıdır. - Bir işlem bir dizin veya blob için izinleri veya ACL'yi ayarlarsa, aşağıdaki iki koşuldan biri de karşılanmalıdır:
- Nesne kimliği için belirtilen değer, dizinin veya blobun sahibi olmalıdır.
- (
sp
) alanının değerisignedPermissions
, () iznineOwnership
ek olarak (o
p
) izniniPermissions
de içermelidir.
SAS belirtecini saoid
kullanarak istek yaptığınızda veya suoid
alanında belirtilen nesne kimliği tanılama günlüklerine eklenir.
saoid
Veya suoid
alanı yalnızca (sv
) alanı 2020-02-10 veya sonraki bir sürüme ayarlanmışsa signedVersion
desteklenir. SAS belirtecinde bu alanlardan yalnızca biri eklenebilir.
Bağıntı kimliği belirtme
signedCorrelationId
(scid
) alanı, depolama denetim günlüklerini SAS'yi oluşturan ve dağıtan sorumlu tarafından kullanılan denetim günlükleriyle ilişkilendirmek için kullanılabilecek bir bağıntı kimliği belirtir. Örneğin, güvenilen yetkilendirme hizmeti normalde kullanıcıların kimliğini doğrulayan ve kullanıcıları yetkilendiren, SAS oluşturan, yerel denetim günlüğüne bir giriş ekleyen ve SAS'yi bir kullanıcıya döndüren ve daha sonra SAS'yi kullanarak Azure Depolama kaynaklarına erişebilen yönetilen bir kimliğe sahiptir. Hem yerel denetim günlüğüne hem de depolama denetim günlüğüne bir bağıntı kimliği ekleyerek, bu olayların daha sonra ilişkilendirilmesine izin verirsiniz. Değer, küme ayraçları olmayan ve küçük harf karakterler içeren bir GUID değeridir.
Bu alan 2020-02-10 ve sonraki sürümlerde desteklenir.
Dizin derinliğini belirtin
signedResource
Alan bir dizin ()sr=d
belirtiyorsa, kök dizinin altındaki alt dizin sayısını belirtmek için (sdd
) alanını da belirtmeniz signedDirectoryDepth
gerekir. Alanın değeri sdd
negatif olmayan bir tamsayı olmalıdır.
Örneğin, kök dizinin https://{account}.blob.core.windows.net/{container}/
derinliği 0'dır. Kök dizin içindeki her alt dizin, derinliğe 1 ekler. Dizinin https://{account}.blob.core.windows.net/{container}/d1/d2
derinliği 2'dir.
Bu alan 2020-02-10 ve sonraki sürümlerde desteklenir.
Yanıt üst bilgilerini geçersiz kılmak için sorgu parametrelerini belirtme
Paylaşılan erişim imzası bir istekte kullanıldığında döndürülecek belirli yanıt üst bilgilerinin değerlerini tanımlamak için sorgu parametrelerinde yanıt üst bilgilerini belirtebilirsiniz. Yanıt üst bilgileri ve karşılık gelen sorgu parametreleri aşağıdaki gibidir:
Yanıt üst bilgisi adı | Karşılık gelen SAS sorgu parametresi |
---|---|
Cache-Control |
rscc |
Content-Disposition |
rscd |
Content-Encoding |
rsce |
Content-Language |
rscl |
Content-Type |
rsct |
Örneğin, sas belirtecinde rsct=binary
sorgu parametresini belirtirseniz yanıt Content-Type
üst bilgisi olarak binary
ayarlanır. Bu değer, yalnızca bu paylaşılan erişim imzasını Content-Type
kullanan bir istek için blob için depolanan üst bilgi değerini geçersiz kılar.
Yanıt üst bilgilerini sorgu parametreleri olarak belirten bir paylaşılan erişim imzası oluşturursanız, bu yanıt üst bilgilerini imza dizesini oluşturmak için kullanılan imza dizesine eklemeniz gerekir. Daha fazla bilgi için "İmzayı belirtme" bölümüne bakın.
Şifreleme kapsamını belirtme
() alanı, signed encryption scope
Blob Koy işlemi aracılığıyla SAS belirtecini kullanarak blobları karşıya yüklediğinizde istemci uygulamasının kullandığı bir şifreleme kapsamını belirtir.ses
signed encryption scope
SAS belirtecinde imzalı sürüm (sv
) alanı sürüm 2020-12-06 veya üzeri olduğunda bu alan desteklenir. İmzalı sürüm alanı desteklenen sürümden önceki bir sürümü belirtiyorsa, hizmet hata yanıt kodu 403 (Yasak) döndürür.
Kapsayıcı veya dosya sistemi için varsayılan şifreleme kapsamı ayarlandıysa, ses
alan kapsayıcı şifreleme ilkesine dikkat eder. Sorgu parametresi ile x-ms-default-encryption-scope
üst bilgi arasında ses
bir uyuşmazlık varsa ve x-ms-deny-encryption-scope-override
üst bilgi olarak ayarlandıysatrue
, hizmet hata yanıt kodu 403 (Yasak) döndürür.
x-ms-encryption-scope
Hem üst bilgi hem ses
de sorgu parametresi PUT isteğinde sağlanmışsa ve uyuşmazlık varsa, hizmet hata yanıt kodu 400 (Hatalı İstek) döndürür.
İmzayı belirtme
signature
(sig
) alanı, paylaşılan erişim imzasıyla istemci tarafından yapılan bir isteği yetkilendirmek için kullanılır. İmzalanan dize, isteği yetkilendirmek için doğrulanması gereken alanlardan yapılandırılmış benzersiz bir dizedir. İmza, SHA256 algoritması kullanılarak dizeden imzaya ve anahtara göre hesaplanan ve ardından Base64 kodlaması kullanılarak kodlanan bir HMAC'dir.
Kullanıcı temsilcisi SAS'sinin imza dizesini oluşturmak için, isteği oluşturan alanlardan imzaya dizeyi oluşturun, dizeyi UTF-8 olarak kodlayın ve sonra HMAC-SHA256 algoritmasını kullanarak imzayı hesaplayın. Dizeden imzaya dahil edilen alanların URL kodunun çözülmesi gerekir.
İşaret dizesinde gerekli olan alanlar, yetkilendirmesv
( alan) için kullanılan hizmet sürümüne bağlıdır. Aşağıdaki bölümlerde, kullanıcı temsilcisi SAS'sini destekleyen sürümler için imzaya dize yapılandırması açıklanmaktadır.
Sürüm 2020-12-06 ve üzeri
Yetkilendirme sürümü 2020-12-06 ve üzeri için imzalayan dize aşağıdaki biçime sahiptir:
StringToSign = signedPermissions + "\n" +
signedStart + "\n" +
signedExpiry + "\n" +
canonicalizedResource + "\n" +
signedKeyObjectId + "\n" +
signedKeyTenantId + "\n" +
signedKeyStart + "\n" +
signedKeyExpiry + "\n" +
signedKeyService + "\n" +
signedKeyVersion + "\n" +
signedAuthorizedUserObjectId + "\n" +
signedUnauthorizedUserObjectId + "\n" +
signedCorrelationId + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedVersion + "\n" +
signedResource + "\n" +
signedSnapshotTime + "\n" +
signedEncryptionScope + "\n" +
rscc + "\n" +
rscd + "\n" +
rsce + "\n" +
rscl + "\n" +
rsct
Sürüm 2020-02-10
Yetkilendirme sürümü 2020-02-10 için imzaya dize aşağıdaki biçimdedir:
StringToSign = signedPermissions + "\n" +
signedStart + "\n" +
signedExpiry + "\n" +
canonicalizedResource + "\n" +
signedKeyObjectId + "\n" +
signedKeyTenantId + "\n" +
signedKeyStart + "\n" +
signedKeyExpiry + "\n" +
signedKeyService + "\n" +
signedKeyVersion + "\n" +
signedAuthorizedUserObjectId + "\n" +
signedUnauthorizedUserObjectId + "\n" +
signedCorrelationId + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedVersion + "\n" +
signedResource + "\n" +
signedSnapshotTime + "\n" +
rscc + "\n" +
rscd + "\n" +
rsce + "\n" +
rscl + "\n" +
rsct
2020-02-10'dan önceki sürümler
2020-02-10'dan önceki yetkilendirme sürümleri için imzalayan dize aşağıdaki biçime sahiptir:
StringToSign = signedPermissions + "\n" +
signedStart + "\n" +
signedExpiry + "\n" +
canonicalizedResource + "\n" +
signedKeyObjectId + "\n" +
signedKeyTenantId + "\n" +
signedKeyStart + "\n" +
signedKeyExpiry + "\n" +
signedKeyService + "\n" +
signedKeyVersion + "\n" +
signedAuthorizedUserObjectId + "\n" +
signedUnauthorizedUserObjectId + "\n" +
signedCorrelationId + "\n" +
signedIP + "\n" +
signedProtocol + "\n" +
signedVersion + "\n" +
signedResource + "\n" +
rscc + "\n" +
rscd + "\n" +
rsce + "\n" +
rscl + "\n" +
rsct
Kurallı hale getirilmiş kaynak
Dizenin canonicalizedResource
bölümü, imzalı kaynağın kurallı yoludur. Blob Depolama uç noktasını ve kaynak adını içermesi ve URL kodunun çözülmesi gerekir. Blob yolu kapsayıcısını içermelidir. Dizin yolu, parametresine karşılık gelen sdd
alt dizin sayısını içermelidir.
Kapsayıcının kurallı hale getirilmiş kaynak dizesi, bu kapsayıcıya erişim sağlayan bir SAS için sondaki eğik çizgiyi (/) atlamalıdır.
Aşağıdaki örneklerde, kaynağın canonicalizedResource
türüne bağlı olarak dizenin bir kısmının nasıl inşası gösterilmektedir.
Kapsayıcı örneği (Azure Blob Depolama)
URL = https://myaccount.blob.core.windows.net/music
canonicalizedResource = "/blob/myaccount/music"
Blob örneği (Azure Blob Depolama)
URL = https://myaccount.blob.core.windows.net/music/intro.mp3
canonicalizedResource = "/blob/myaccount/music/intro.mp3"
Kapsayıcı örneği (Azure Data Lake Storage 2. Nesil)
URL = https://myaccount.dfs.core.windows.net/music
canonicalizedResource = "/blob/myaccount/music"
Dizin örneği (Azure Data Lake Storage 2. Nesil)
URL = https://myaccount.dfs.core.windows.net/music/instruments/guitar/
canonicalizedResource = "/blob/myaccount/music/instruments/guitar/"
Blob örneği (Azure Data Lake Storage 2. Nesil)
URL = https://myaccount.dfs.core.windows.net/music/intro.mp3
canonicalizedResource = "/blob/myaccount/music/intro.mp3"
İsteğe bağlı alanlar
Bir alan isteğe bağlıysa ve SAS belirtecinin bir parçası olarak sağlanmadıysa, alan için boş bir dize belirtin. Boş dizenin arkasına yeni satır karakterini (\n) eklediğinizden emin olun.
Kullanıcı temsilcisi SAS örneği
Aşağıdaki örnekte, kullanıcı temsilcisi SAS belirtecinin eklendiği bir blob URI'si gösterilmektedir. Kullanıcı temsilcisi SAS belirteci bloba okuma ve yazma izinleri sağlar.
https://myaccount.blob.core.windows.net/sascontainer/blob1.txt?sp=rw&st=2023-05-24T01:13:55Z&se=2023-05-24T09:13:55Z&skoid=<object-id>&sktid=<tenant-id>&skt=2023-05-24T01:13:55Z&ske=2023-05-24T09:13:55Z&sks=b&skv=2022-11-02&sip=168.1.5.60-168.1.5.70&spr=https&sv=2022-11-02&sr=b&sig=<signature>
URI'nin her bölümü aşağıdaki tabloda açıklanmıştır:
Name | SAS bölümü | Description |
---|---|---|
Kaynak URI'sı | https://myaccount.blob.core.windows.net/sascontainer/blob1.txt |
Blobun adresi. HTTPS kullanmanızı kesinlikle öneririz. |
Sınırlayıcı | ? |
Sorgu dizesinden önce gelen sınırlayıcı. Sınırlayıcı SAS belirtecinin bir parçası değil. |
İzinler | sp=rw |
SAS tarafından verilen izinler Okuma (r) ve Yazma (w) izinlerini içerir. |
Başlangıç saati | st=2023-05-24T01:13:55Z |
UTC saatinde belirtilir. SAS'nin hemen geçerli olmasını istiyorsanız başlangıç saatini atlarsınız. |
Süre sonu | se=2023-05-24T09:13:55Z |
UTC saatinde belirtilir. |
Nesne kimliği | skoid=<object-id> |
Microsoft Entra güvenlik sorumlusu. |
Kiracı Kimliği | sktid=<tenant-id> |
Güvenlik sorumlusunun kaydedildiği Microsoft Entra kiracı. |
Anahtar başlangıç saati | skt=2023-05-24T01:13:55Z |
Kullanıcı temsilcisi anahtarının ömrünün başlangıcı. |
Anahtar süre sonu | ske=2023-05-24T09:13:55Z |
Kullanıcı temsilcisi anahtarının ömrünün sonu. |
Anahtar hizmeti | sks=b |
Hizmet değeri için yalnızca Blob hizmeti desteklenir. |
Anahtar sürümü | skv=2022-11-02 |
Kullanıcı temsilci anahtarını almak için kullanılan depolama hizmeti sürümü. |
IP aralığı | sip=168.1.5.60-168.1.5.70 |
İsteğin kabul edildiği IP adresi aralığı. |
Protokol | spr=https |
Yalnızca HTTPS kullanan isteklere izin verilir. |
Blob hizmeti sürümü | sv=2022-11-02 |
Azure Depolama sürüm 2012-02-12 ve üzeri için bu parametre kullanılacak sürümü gösterir. |
Kaynak | sr=b |
Kaynak bir blobdur. |
İmza | sig=<signature> |
Bloba erişimi yetkilendirmek için kullanılır. İmza, SHA256 algoritması kullanılarak bir dizeden imzaya ve anahtara göre hesaplanan ve ardından Base64 kodlaması kullanılarak kodlanan bir HMAC'dir. |
Kullanıcı temsilcisi SAS'sini iptal etme
Bir SAS'nin gizliliğinin ihlal edildiğini düşünüyorsanız iptal etmelisiniz. Kullanıcı temsilcisi SAS'sini iptal etmek için kullanıcı temsilcisi anahtarını iptal edebilir veya SAS'yi oluşturmak için kullanılan güvenlik sorumlusunun RBAC rol atamalarını değiştirebilir veya kaldırabilirsiniz.
Önemli
Hem kullanıcı temsilcisi anahtarı hem de RBAC rol atamaları Azure Depolama tarafından önbelleğe alınır, bu nedenle iptal işlemini başlatmanız ile mevcut kullanıcı temsilcisi SAS'sinin geçersiz olması arasında bir gecikme olabilir.
Kullanıcı temsilcisi anahtarını iptal etme
Kullanıcı Temsilcisi Anahtarlarını İptal Et işlemini çağırarak kullanıcı temsilcisi anahtarını iptal edebilirsiniz. Kullanıcı temsilcisi anahtarını iptal ettiğinizde, bu anahtarı kullanan paylaşılan erişim imzaları geçersiz olur. Daha sonra Kullanıcı Temsilcisi Anahtarını Al işlemini yeniden çağırabilir ve anahtarı kullanarak yeni paylaşılan erişim imzaları oluşturabilirsiniz. Bu, kullanıcı temsilcisi SAS'sini iptal etmenin en hızlı yoludur.
Rol atamalarını değiştirme veya kaldırma
SAS oluşturmak için kullanılan güvenlik sorumlusunun RBAC rol atamasını değiştirebilir veya kaldırabilirsiniz. İstemci bir kaynağa erişmek için SAS'yi kullandığında Azure Depolama, SAS'nin güvenliğini sağlamak için kimlik bilgileri kullanılan güvenlik sorumlusunun kaynak için gerekli izinlere sahip olduğunu doğrular.