Crear una SAS de servicio para un blob con Python
Una firma de acceso compartido (SAS) le permite conceder acceso limitado a los contenedores y blobs de la cuenta de almacenamiento. Cuando crea una SAS, especifica sus restricciones, incluidos los recursos de Azure Storage a los que puede acceder un cliente, los permisos que tiene en esos recursos y el tiempo durante el cual la SAS es válida.
Cada SAS se firma con una clave. Puede firmar una SAS de dos maneras:
- Con una clave creada con las credenciales de Microsoft Entra. Una SAS firmada con credenciales de Microsoft Entra es una SAS de delegación de usuario. Un cliente que cree una SAS de delegación de usuarios debe tener asignado un rol RBAC de Azure que incluya la acción Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey. Para obtener más información, vea Creación de una SAS de delegación de usuarios.
- Con la clave de la cuenta de almacenamiento. Tanto una SAS de servicio como una SAS de cuenta se firman con la clave de la cuenta de almacenamiento. El cliente que cree una SAS de servicio debe tener acceso directo a la clave de cuenta o asignársele el permiso Microsoft.Storage/storageAccounts/listkeys/action. Para obtener más información, vea Creación de una SAS de servicio o Creación de una SAS de cuenta.
Nota
Una SAS de delegación de usuario ofrece seguridad superior para una SAS firmada con la clave de la cuenta de almacenamiento. Microsoft recomienda el uso de una SAS de delegación de usuario siempre que sea posible. Para más información, consulte Concesión de acceso limitado a datos con firmas de acceso compartido (SAS).
En este artículo, se muestra cómo usar la clave de cuenta de almacenamiento para crear un servicio de SAS para un blob con la biblioteca cliente de Blob Storage para Python.
Acerca de la SAS de servicio
Una SAS de servicio se firma con la clave de acceso de la cuenta de almacenamiento. Una SAS de servicio delega el acceso a un recurso en un único servicio de Azure Storage, como Blob Storage.
También puede usar una directiva de acceso almacenada para definir los permisos y la duración de la SAS. Si se proporciona el nombre de una directiva de acceso almacenada existente, esa directiva se asocia con la SAS. Para obtener más información sobre las directivas de acceso almacenadas, vea Definir una directiva de acceso almacenada. Si no se proporciona ninguna directiva de acceso almacenada, los ejemplos de código de este artículo muestran cómo definir los permisos y la duración de la SAS.
Creación de una SAS de servicio para un blob
Puede crear una SAS de servicio para delegar el acceso limitado a un recurso de blob mediante el método siguiente:
La clave de acceso de la cuenta de almacenamiento usada para firmar la SAS se pasa al método como el argumento account_key. Los permisos permitidos se pasan al método como el argumento permission y se definen en la clase BlobSasPermissions.
El siguiente ejemplo de código muestra cómo crear un servicio SAS con permisos de lectura para un recurso de blob:
def create_service_sas_blob(self, blob_client: BlobClient, account_key: str):
# Create a SAS token that's valid for one day, as an example
start_time = datetime.datetime.now(datetime.timezone.utc)
expiry_time = start_time + datetime.timedelta(days=1)
sas_token = generate_blob_sas(
account_name=blob_client.account_name,
container_name=blob_client.container_name,
blob_name=blob_client.blob_name,
account_key=account_key,
permission=BlobSasPermissions(read=True),
expiry=expiry_time,
start=start_time
)
return sas_token
Usar una SAS de servicio para autorizar un objeto de cliente
En el siguiente ejemplo de código, se muestra cómo usar la SAS de servicio creada en el ejemplo anterior para autorizar un objeto BlobClient. Este objeto de cliente se puede usar para realizar operaciones en el recurso de blob en función de los permisos concedidos por la SAS.
# The SAS token string can be appended to the resource URL with a ? delimiter
# or passed as the credential argument to the client constructor
sas_url = f"{blob_client.url}?{sas_token}"
# Create a BlobClient object with SAS authorization
blob_client_sas = BlobClient.from_blob_url(blob_url=sas_url)
Recursos
Para obtener más información sobre cómo usar la biblioteca cliente de Azure Blob Storage para Python, consulte los siguientes recursos.
Ejemplos de código
Recursos de la biblioteca cliente
- Documentación de referencia de la biblioteca cliente
- Código fuente de la biblioteca del cliente
- Paquete (NuGet)
Consulte también
- Grant limited access to Azure Storage resources using shared access signatures (SAS) (Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido [SAS])
- Create a service SAS (Creación de una SAS de servicio)
Comentaris
Properament: al llarg del 2024 eliminarem gradualment GitHub Issues com a mecanisme de retroalimentació del contingut i el substituirem per un nou sistema de retroalimentació. Per obtenir més informació, consulteu: https://aka.ms/ContentUserFeedback.
Envieu i consulteu els comentaris de