Shared Access Signatures (SAS)

Implementare Azure Security per sviluppatori

Anushika Agarwal

Cloud Data Engineer

Cos’è una shared access signature?

Concede accesso limitato a risorse di archiviazione
Non espone la chiave dell’account di archiviazione

SAS

Analogia: SAS come gettone del distributore

Token valido per tempo limitato (es. 30 secondi)
Il token consente solo un’azione specifica (es. una Coca-Cola)

Esempio distributore con SAS

Come è protetta una SAS?

Firmato con la chiave dell’account di archiviazione

Chiave account di archiviazione

Oppure con Microsoft Entra ID

Microsoft Entra ID

Tipi di SAS

User delegation SAS
- Usa le credenziali Entra di Microsoft
- Funziona con Blob e Data Lake Storage

Token SAS

Service SAS
- Usa la chiave dell’account di archiviazione
- Accesso a un solo servizio: Blob, Queue, Table o File

Account SAS
- Usa la chiave dell’account di archiviazione
- Accesso a più servizi
- Operazioni a livello di servizio

Scenario reale

Scenario:
- PeopleSphere condivide report paghe con un revisore esterno
Tipo di SAS: User Delegation SAS
Accesso mirato:
- Il revisore vede solo i report necessari
A tempo:
- L’accesso scade automaticamente
Autenticato in modo sicuro:
- Credenziali Azure di PeopleSphere

User Delegation SAS

Struttura della SAS

Componenti di una SAS

URI - Percorso risorsa
Token - Regole di accesso e firma

Token SAS

Componenti del token

Token SAS

sp: Permessi (es. r = read, w = write)
st / se: Ora inizio e scadenza
spr: Protocollo (es. solo https)
sr: Tipo risorsa (b = blob, f = file)
sv: Versione API Storage
sig: Firma per la validazione

Best practice per usare la SAS

Usa sempre HTTPS

Preferisci User Delegation SAS

Imposta scadenze brevi

Scadenza breve

Concedi i permessi minimi

Accesso minimo

Evita la SAS per accessi ad alto rischio

Dati altamente sensibili

Passons à la pratique !

Implementare Azure Security per sviluppatori

Preparing Video For Download...