Criar assinaturas de acesso compartilhado

  • 3 minutos

Uma assinatura de acesso compartilhado (SAS) é um URI (identificador de recurso uniforme) que concede direitos de acesso restrito aos recursos do Armazenamento do Azure. O SAS é uma maneira segura de compartilhar seus recursos de armazenamento sem comprometer as chaves da conta.

Você pode fornecer uma SAS para clientes que não devem ter acesso à sua chave de conta de armazenamento. Ao distribuir um URI SAS para esses clientes, você concede a eles acesso a um recurso por um período de tempo especificado.

Normalmente, você usaria uma SAS para um serviço em que os usuários leem e gravam seus dados em sua conta de armazenamento. As contas que armazenam dados de utilizadores têm duas estruturas comuns:

  • Os clientes podem carregar e baixar dados por meio de um serviço de proxy front-end, que executa a autenticação. Este serviço de proxy de front-end tem a vantagem de permitir a validação de regras de negócio. Se você lida com grandes quantidades de dados ou transações de alto volume, pode ser difícil dimensionar esse serviço

Diagrama de dados usando o Serviço de Proxy de Front-End para acessar o Armazenamento do Azure.

  • Um serviço leve autentica o cliente, conforme necessário. Em seguida, gera um SAS. Os clientes que recebem o SAS podem acessar os recursos da conta de armazenamento diretamente. O SAS define as permissões e o intervalo de acesso do cliente. Ele reduz a necessidade de rotear todos os dados através do serviço de proxy front-end.

Diagrama de um SAS autenticando o acesso ao Armazenamento do Azure.

Coisas a saber sobre assinaturas de acesso partilhado

Vamos rever algumas características de um SAS.

  • Uma SAS oferece controle granular sobre o tipo de acesso que você concede aos clientes que têm a SAS.

  • Uma SAS no nível da conta pode delegar acesso a vários serviços de Armazenamento do Azure, como blobs, arquivos, filas e tabelas.

  • Você pode especificar o intervalo de tempo para o qual uma SAS é válida, incluindo a hora de início e a hora de expiração.

  • Você especifica as permissões concedidas pelo SAS. Uma SAS para um blob pode conceder permissões de leitura e gravação para esse blob, mas não permissões de exclusão.

  • O SAS fornece controle de nível de conta e nível de serviço.

    • Ao nível da conta. Use uma SAS de nível de conta para permitir o acesso a qualquer coisa que uma SAS de nível de serviço possa permitir, além de outros recursos e habilidades. Por exemplo, você pode usar uma SAS no nível da conta para permitir a capacidade de criar sistemas de arquivos.

    • Nível de serviço. Você pode usar uma SAS de nível de serviço para permitir o acesso a recursos específicos em uma conta de armazenamento. Você usaria esse tipo de SAS, por exemplo, para permitir que um aplicativo recupere uma lista de arquivos em um sistema de arquivos ou baixe um arquivo.

    Nota

    Uma política de acesso armazenado pode fornecer outro nível de controle quando você usa uma SAS de nível de serviço no lado do servidor. Você pode agrupar SASs e fornecer outras restrições usando uma política de acesso armazenado.

  • Existem definições de configuração SAS opcionais:

    • Endereços IP. Você pode identificar um endereço IP ou um intervalo de endereços IP do qual o Armazenamento do Azure aceita a SAS. Configure esta opção para especificar um intervalo de endereços IP que pertencem à sua organização.

    • Protocolos. Você pode especificar o protocolo sobre o qual o Armazenamento do Azure aceita a SAS. Configure esta opção para restringir o acesso aos clientes usando HTTPS.

Configurar uma assinatura de acesso compartilhado

No portal do Azure, você define várias configurações para criar uma SAS. Ao analisar esses detalhes, considere como implementar assinaturas de acesso compartilhado em sua solução de segurança de armazenamento.

Captura de ecrã da página Criar uma chave de assinatura de acesso partilhado.

  • Método de assinatura: escolha o método de assinatura: Chave de conta ou Chave de delegação de usuário.
  • Chave de assinatura: selecione a chave de assinatura na sua lista de chaves.
  • Permissões: selecione as permissões concedidas pela SAS, como leitura ou gravação.
  • Data/hora de início e expiração: especifique o intervalo de tempo para o qual a SAS é válida. Defina a hora de início e a hora de expiração.
  • Endereços IP permitidos: (Opcional) Identifique um endereço IP ou um intervalo de endereços IP do qual o Armazenamento do Azure aceita a SAS.
  • Protocolos permitidos: (Opcional) Selecione o protocolo pelo qual o Armazenamento do Azure aceita a SAS.