现已推出

Azure 存储 Blob 用户委派 SAS 令牌现已正式发布

发布日期:一月 15, 2020

云存储通常用作浏览器和移动应用程序的内容源。这通常是使用应用程序颁发的预授权 URL 实现的,该 URL 提供直接对特定内容的限时访问权限,而无需代理此访问权限的服务。

Azure 存储通过使用共享访问签名令牌(SAS 令牌)来支持此模式。这些令牌通过使用存储帐户访问密钥(由帐户管理员控制)对授权声明进行签名,从而授予对存储对象的特定的限时访问权限。虽然这种方法提供了所需的对客户端的有限访问权限,但有时表现出对这些令牌颁发服务的访问权限的过度预配,因为这会提供对整个帐户的完全控制权限,而实际上可能只需要对特定内容的读取访问权限。

今天,我们宣布正式发布用户委派 SAS 令牌。通过为 Azure 存储扩展 Azure AD 和基于 Azure 角色的访问控制 (RBAC),拥有较低权限的用户和服务现在可以使用这种新的预授权 URL 将其访问权限的子集委托给客户端。客户端检索绑定到其 Azure Active Directory (AD) 帐户的用户委派密钥,然后使用它来创建 SAS 令牌,授予自身访问权限的子集

用户委派 SAS 令牌现在支持用于生产工作负荷,并已在所有云中和 Azure 的所有区域中发布。

单击此处可访问用户委派 SAS 令牌说明,单击此处可详细了解 SAS。

  • Blob 存储
  • Features
  • Security