Shared Access Signatures (SAS)

Azure-beveiliging implementeren voor developers

Anushika Agarwal

Cloud Data Engineer

Wat is een shared access signature?

Geeft beperkte toegang tot storage-resources
Stelt de storage account key niet bloot

SAS

Analogie: SAS als automaattoken

Token geldig voor beperkte tijd (bijv. 30 sec)
Token staat maar één specifieke actie toe (bijv. één Coca-Cola)

SAS Vending Machine Example

Hoe wordt een SAS beveiligd?

Ondertekend met storage account key

Storage Account key

Of met Microsoft Entra ID

Microsoft Entra ID

SAS-typen

User delegation SAS
- Gebruikt Microsoft Entra-inloggegevens
- Werkt met Blob en Data Lake Storage

SAS Tokens

Service SAS
- Gebruikt storage account key
- Toegang tot één service: Blob, Queue, Table of File

Account SAS
- Gebruikt storage account key
- Toegang tot meerdere services
- Bewerkingen op serviceniveau

Praktijkscenario

Scenario:
- PeopleSphere deelt loonrapporten met een externe auditor
SAS-type: User Delegation SAS
Afgebakende toegang:
- Auditor ziet alleen de nodige rapporten
Tijdsgebonden:
- Toegang verloopt automatisch
Veilig geverifieerd:
- Azure-inloggegevens van PeopleSphere

User Delegation SAS

SAS-structuur begrijpen

Onderdelen van een SAS

URI - Resourcepad
Token - Toegangsregels & handtekening

SAS Token

Tokenonderdelen

SAS Token

sp: Machtigingen (bv. r = read, w = write)
st / se: Start- en eindtijd
spr: Protocol (bv. alleen https)
sr: Resourcetype (b = blob, f = file)
sv: Storage API-versie
sig: Handtekening voor validatie

Best practices voor SAS-gebruik

Gebruik altijd HTTPS

Geef de voorkeur aan User Delegation SAS

Stel korte verlooptijden in

Short Expiry

Ken minimale rechten toe

Grant Least Access

Vermijd SAS voor hoog risico-toegang

Highly sensitive data

Laten we oefenen!

Azure-beveiliging implementeren voor developers

Preparing Video For Download...