Paylaşılan erişim imzası kullanarak erişim temsilcisi atama

Önemli

En iyi güvenlik için Microsoft mümkün olduğunda blob, kuyruk ve tablo verilerine karşı istekleri yetkilendirmek için yönetilen kimliklerle Microsoft Entra ID kullanılmasını önerir. Microsoft Entra ID ve yönetilen kimliklerle yetkilendirme, Paylaşılan Anahtar yetkilendirmesi üzerinden üstün güvenlik ve kullanım kolaylığı sağlar. Daha fazla bilgi edinmek için bkz. Microsoft Entra ID ile yetkilendirme. Yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz. Azure kaynakları için yönetilen kimlikler nedir?

Şirket içi uygulamalar gibi Azure dışında barındırılan kaynaklar için Azure Arc aracılığıyla yönetilen kimlikleri kullanabilirsiniz. Örneğin, Azure Arc özellikli sunucularda çalışan uygulamalar, Azure hizmetlerine bağlanmak için yönetilen kimlikleri kullanabilir. Daha fazla bilgi edinmek için bkz. Azure Arc özellikli sunucularla Azure kaynaklarında kimlik doğrulaması.

Paylaşılan erişim imzalarının (SAS) kullanıldığı senaryolar için Microsoft, kullanıcı temsilcisi SAS'sini kullanmanızı önerir. Kullanıcı temsilcisi SAS'sinin güvenliği hesap anahtarı yerine Microsoft Entra kimlik bilgileriyle sağlanır. Paylaşılan erişim imzaları hakkında bilgi edinmek için bkz. Kullanıcı temsilcisi SAS'İçerik Oluşturucu.

Paylaşılan erişim imzası (SAS) Azure Depolama kaynaklarına kısıtlı erişim hakları veren bir URI'dir. Depolama hesabı anahtarınızla güvenilmemesi gereken ancak belirli depolama hesabı kaynaklarına erişmesi gereken istemcilere paylaşılan erişim imzası sağlayabilirsiniz. Bu istemcilere bir SAS URI'si dağıtarak, onlara belirli bir izin kümesiyle belirli bir süre boyunca bir kaynağa erişim vererek.

SAS belirtecini oluşturan URI sorgu parametreleri, bir depolama kaynağına denetimli erişim vermek için gereken tüm bilgileri birleştirir. SAS'ye sahip bir istemci, yalnızca SAS URI'sini kullanarak Azure Depolama'ya yönelik istekte bulunabilir. SAS belirtecindeki bilgiler isteği yetkilendirmek için kullanılır.

Paylaşılan erişim imzası türleri

Azure Depolama aşağıdaki paylaşılan erişim imzası türlerini destekler:

  • Sürüm 2015-04-05 ile sunulan bir hesap SAS'i. Bu tür SAS, bir veya daha fazla depolama hizmetindeki kaynaklara erişim yetkisi verir. Hizmet SAS'sı aracılığıyla kullanılabilen tüm işlemler bir hesap SAS'i aracılığıyla da kullanılabilir.

    Hesap SAS'siyle ve Get Service Statsgibi bir hizmete uygulanan işlemlere erişimi temsilci olarak Get/Set Service Properties atayabilirsiniz. Bununla birlikte hizmet SAS ile izin verilmeyen blob kapsayıcılar, tablolar kuyruklar ve dosya paylaşımları üzerinde okuma, yazma ve silme işlemleri için yetkilendirme yapabilirsiniz.

    Daha fazla bilgi için bkz. Hesap SAS'sini İçerik Oluşturucu.

  • Hizmet SAS'i. Bu tür SAS, depolama hizmetlerinden yalnızca birindeki kaynağa erişim yetkisi verir: Azure Blob Depolama, Azure Kuyruk Depolama, Azure Tablo Depolama veya Azure Dosyalar. Daha fazla bilgi için bkz. hizmet SAS ve Hizmet SAS örnekleri İçerik Oluşturucu.

  • Sürüm 2018-11-09 ile sunulan bir kullanıcı temsilcisi SAS. Bu SAS türü Microsoft Entra kimlik bilgileriyle güvenli hale getirilir. Yalnızca Blob Depolama için desteklenir ve kapsayıcılara ve bloblara erişim vermek için bunu kullanabilirsiniz. Daha fazla bilgi için bkz. Kullanıcı temsilcisi SAS'sini İçerik Oluşturucu.

Ayrıca, bir hizmet SAS'i bir dizi imza üzerinde başka bir denetim düzeyi sağlayan bir depolanmış erişim ilkesine başvurabilir. Bu denetim, gerekirse kaynağa erişimi değiştirme veya iptal etme özelliğini içerir. Daha fazla bilgi için bkz. Saklı erişim ilkesi tanımlama.

Not

Depolanan erişim ilkeleri şu anda hesap SAS'sinde veya kullanıcı temsilcisi SAS'sinde desteklenmiyor.

Ayrıca bkz.