- Shared Access Signatures(以下、SAS)とは
- SASで設定できるアクセス設定
- 共有アクセス署名の種類
- SASのURI例
- 保存されているアクセスポリシーを使用したSASの制御
- 参考ページ
Shared Access Signatures(以下、SAS)とは
SASを使用することで、ストレージアカウント内のリソースへの委任アクセスが可能になります。
その際、アカウントキーを共有することがないため、ストレージリソースを共有する安全な方法です。
SASで設定できるアクセス設定
実際の設定画面
SASの有効期限
開始日時~終了日時アクセス許可の種類
読み取り、書き込み、削除、リスト、作成、更新などSASを受け入れるIPアドレスの指定
例:「168.1.5.65」 または 「168.1.5.65-168.1.5.70」
共有アクセス署名の種類
サービスSAS
- 1 つのストレージ サービス (BLOB、Queue、Table、Filesのいずれか) のリソースへのアクセスを委任する。
アカウントSAS
- 1つ以上のストレージサービスのリソースへのアクセスを委任できる。
- サービスSASを使用して実行できる全ての操作は、アカウントSASでも実行できる。
- Get/Set Service Properties や Get Service Statsなど、
特定のサービスに適用される操作へのアクセスも委任できます
SASのURI例
このページから引用します docs.microsoft.com
URI例
https://myaccount.blob.core.windows.net/sascontainer/sasblob.txt?sv=2015-04-05&st=2015-04-29T22%3A18%3A26Z&se=2015-04-30T02%3A23%3A26Z&sr=b&sp=rw&sip=168.1.5.60-168.1.5.70&spr=https&sig=Z%2FRHIX5Xcg0Mq2rqI3OlWTjEg2tYkboXr1P9ZUXDtkk%3D
| 名前 | SASの部分 | 説明 |
|---|---|---|
| Blob URI | https://myaccount.blob.core.windows.net/sascontainer/sasblob.txt |
BLOB のアドレス。HTTPS推奨 |
| ストレージ サービスのバージョン | sv=2015-04-05 |
使用するバージョン |
| 開始時刻 | st=2015-04-29T22%3A18%3A26Z |
UTC時間で指定 |
| 有効期限 | se=2015-04-30T02%3A23%3A26Z |
UTC時間で指定 |
| リソース | sp=rw |
リソースはBLOB |
| アクセス許可 | sip=168.1.5.60-168.1.5.70 |
読み取り(r)、書き込み(w) |
| IP 範囲 | sip=168.1.5.60-168.1.5.70 |
要求受け入れIPアドレスを指定 |
| プロトコル | spr=https |
HTTPSを使用する要求のみ許可 |
| 署名 | sig=Z%2FRHIX5Xcg0Mq2rqI3OlWTjEg2tYkboXr1P9ZUXDtkk%3D |
BLOB へのアクセスを承認に使用。 |
保存されているアクセスポリシーを使用したSASの制御
SASの形式は下記2種類
アドホック SAS
アドホック SAS を作成すると、開始時刻、有効期限、および SAS へのアクセス許可がすべて、SAS URI で指定される。 アカウント SASはアドホック SASしか選択できない。
保存されているアクセス ポリシーのあるSAS
保存されているアクセス ポリシーは、リソース コンテナー (BLOB コンテナー、テーブル、キュー、ファイル共有) で定義されており、これを使用して、1 つ以上の Shared Access Signature のコンテナーを管理できます。
