Azure 儲存體 Blob 使用者委派 SAS 權杖現已正式推出
發佈日期: 一月 15, 2020
雲端儲存體通常用於為瀏覽器和行動應用程式提供內容。一般會使用應用程式發行的預先授權 URL 完成這項作業,這種 URL 不要求服務對此存取進行 Proxy 處理,即可提供特定內容的限時直接存取。
Azure 儲存體支援此模式的方式是使用共用存取簽章權杖 (SAS 權杖)。這些權杖會使用帳戶管理員控制的儲存體帳戶存取金鑰簽署授權陳述式,授與儲存體物件的特定限時存取權。雖然這種方法為用戶端提供了所需的有限存取權,但有時也表示過度佈建了這些權杖發行服務的存取權,原因是這會提供整個帳戶的完整控制權,但實際上您可能只需要特定內容的讀取權限。
今天在此宣布正式推出 (GA) 使用者委派 SAS 權杖。藉由擴充 Azure 儲存體的 Azure AD 和 Azure 角色型存取控制 (RBAC),權限較低的使用者和服務現在可以使用這種新型預先授權 URL,將其部分存取權委派給用戶端。用戶端擷取繫結至其 Azure Active Directory (AD) 帳戶的使用者委派金鑰後,即可用該金鑰建立授與其部分存取權的 SAS 權杖。
使用者委派 SAS 權杖現在可用於生產工作負載,而且 Azure 所有雲端和所有區域中皆可使用。