御成門プログラマーの日記

Microsoft AzureやAngularなどの技術情報を発信します

Azure Shared Access Signatures(共有アクセスシグネチャ、SAS)についてのまとめ【MCP 70-533試験 対策】

Shared Access Signatures(以下、SAS)とは

SASを使用することで、ストレージアカウント内のリソースへの委任アクセスが可能になります。
その際、アカウントキーを共有することがないため、ストレージリソースを共有する安全な方法です。

SASで設定できるアクセス設定

  • 実際の設定画面 f:id:tt-suzukiit:20181025180140p:plain

  • SASの有効期限
    開始日時~終了日時

  • アクセス許可の種類
    読み取り、書き込み、削除、リスト、作成、更新など

  • SASを受け入れるIPアドレスの指定
    例:「168.1.5.65」 または 「168.1.5.65-168.1.5.70」

共有アクセス署名の種類

サービスSAS
  • 1 つのストレージ サービス (BLOB、Queue、Table、Filesのいずれか) のリソースへのアクセスを委任する。
アカウントSAS
  • 1つ以上のストレージサービスのリソースへのアクセスを委任できる。
  • サービスSASを使用して実行できる全ての操作は、アカウントSASでも実行できる。
  • Get/Set Service PropertiesGet Service Statsなど、
    特定のサービスに適用される操作へのアクセスも委任できます

SASURI

このページから引用します docs.microsoft.com

URI
https://myaccount.blob.core.windows.net/sascontainer/sasblob.txt?sv=2015-04-05&st=2015-04-29T22%3A18%3A26Z&se=2015-04-30T02%3A23%3A26Z&sr=b&sp=rw&sip=168.1.5.60-168.1.5.70&spr=https&sig=Z%2FRHIX5Xcg0Mq2rqI3OlWTjEg2tYkboXr1P9ZUXDtkk%3D
名前 SASの部分 説明
Blob URI https://myaccount.blob.core.windows.net/sascontainer/sasblob.txt BLOB のアドレス。HTTPS推奨
ストレージ サービスのバージョン sv=2015-04-05 使用するバージョン
開始時刻 st=2015-04-29T22%3A18%3A26Z UTC時間で指定
有効期限 se=2015-04-30T02%3A23%3A26Z UTC時間で指定
リソース sp=rw リソースはBLOB
アクセス許可 sip=168.1.5.60-168.1.5.70 読み取り(r)、書き込み(w)
IP 範囲 sip=168.1.5.60-168.1.5.70 要求受け入れIPアドレスを指定
プロトコル spr=https HTTPSを使用する要求のみ許可
署名 sig=Z%2FRHIX5Xcg0Mq2rqI3OlWTjEg2tYkboXr1P9ZUXDtkk%3D BLOB へのアクセスを承認に使用。

保存されているアクセスポリシーを使用したSASの制御

SASの形式は下記2種類

アドホック SAS

アドホック SAS を作成すると、開始時刻、有効期限、および SAS へのアクセス許可がすべて、SAS URI で指定される。 アカウント SASアドホック SASしか選択できない。

保存されているアクセス ポリシーのあるSAS

保存されているアクセス ポリシーは、リソース コンテナー (BLOB コンテナー、テーブル、キュー、ファイル共有) で定義されており、これを使用して、1 つ以上の Shared Access Signature のコンテナーを管理できます。

参考ページ

docs.microsoft.com