Erstellen einer Dienst-SAS für ein Blob mit Java

• .NET
• Java
• Python

Eine Shared Access Signature (SAS) ermöglicht Ihnen, eingeschränkten Zugriff auf Container und Blobs in Ihrem Speicherkonto zu gewähren. Wenn Sie eine SAS erstellen, geben Sie ihre Einschränkungen an, einschließlich der Azure Storage-Ressourcen, auf die Clients zugreifen dürfen, welche Berechtigungen sie für diese Ressourcen haben und wie lange die SAS gültig ist.

Jede SAS wird mit einem Schlüssel signiert. Zum Signieren einer SAS stehen zwei Möglichkeiten zur Verfügung:

• Mit einem Schlüssel, der mit Microsoft Entra-Anmeldeinformationen erstellt wurde. Eine SAS, die mit Microsoft Entra-Anmeldeinformationen signiert wurde, ist eine SAS für die Benutzerdelegierung. Einem Client, der eine SAS für die Benutzerdelegierung erstellt, muss eine Azure RBAC-Rolle zugewiesen werden, in der die Aktion Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey enthalten ist. Weitere Informationen finden Sie unter Erstellen einer SAS für die Benutzerdelegierung.
• Mit dem Speicherkontoschlüssel. Sowohl eine Dienst-SAS als auch eine Konto-SAS wird mit dem Speicherkontoschlüssel signiert. Der Client, der eine Dienst-SAS erstellt, muss entweder direkten Zugriff auf den Kontoschlüssel haben, oder ihm muss die Berechtigung Microsoft.Storage /storageAccounts/listkeys/action zugewiesen werden. Weitere Informationen finden Sie unter Erstellen einer Dienst-SAS oder Erstellen einer Konto-SAS.

Hinweis

Eine SAS für die Benutzerdelegierung bietet überragende Sicherheit für eine SAS, die mit dem Speicherkontoschlüssel signiert wird. Microsoft empfiehlt, nach Möglichkeit eine SAS für die Benutzerdelegierung zu verwenden. Weitere Informationen finden Sie unter Gewähren von eingeschränktem Zugriff auf Daten mithilfe von SAS (Shared Access Signature).

In diesem Artikel wird beschrieben, wie Sie den Speicherkontoschlüssel zum Erstellen einer Dienst-SAS für ein Blob mit der Blob Storage-Clientbibliothek für Java verwenden.

Informationen zur Dienst-SAS

Eine Dienst-SAS wird mit dem Kontozugriffsschlüssel signiert. Sie können die StorageSharedKeyCredential-Klasse verwenden, um die Anmeldeinformationen zu erstellen, die zum Signieren der Dienst-SAS verwendet werden.

Sie können auch eine gespeicherte Zugriffsrichtlinie verwenden, um die Berechtigungen und die Dauer der SAS zu definieren. Wenn der Name einer vorhandenen gespeicherten Zugriffsrichtlinie angegeben wird, wird diese Richtlinie der SAS zugewiesen. Weitere Informationen zu gespeicherten Zugriffsrichtlinien finden Sie unter Definieren einer gespeicherten Zugriffsrichtlinie. Die Codebeispiele in diesem Artikel veranschaulichen, wie Berechtigungen und Dauer für die SAS definiert werden, wenn keine gespeicherte Zugriffsrichtlinie bereitgestellt wird.

Erstellen einer Dienst-SAS für ein Blob

Mit folgender Methode können Sie eine Service-SAS zur Benutzerdelegation erstellen, um den begrenzten Zugriff auf eine Blob-Ressource zu delegieren:

• generateSas

SAS-Signaturwerte wie Ablaufzeit und signierte Berechtigungen werden als Teil einer BlobServiceSasSignatureValues-Instanz an die Methode übergeben. Berechtigungen werden als BlobSasPermission-Instanz angegeben.

Das folgende Codebeispiel veranschaulicht, wie Sie eine Dienst-SAS mit Leseberechtigung für eine Blob-Ressource erstellen:

public String createServiceSASBlob(BlobClient blobClient) {
    // Create a SAS token that's valid for 1 day, as an example
    OffsetDateTime expiryTime = OffsetDateTime.now().plusDays(1);

    // Assign read permissions to the SAS token
    BlobSasPermission sasPermission = new BlobSasPermission()
            .setReadPermission(true);

    BlobServiceSasSignatureValues sasSignatureValues = new BlobServiceSasSignatureValues(expiryTime, sasPermission)
            .setStartTime(OffsetDateTime.now().minusMinutes(5));

    String sasToken = blobClient.generateSas(sasSignatureValues);
    return sasToken;
}

Verwenden einer Dienst-SAS zum Autorisieren eines Clientobjekts

Das folgende Codebeispiel zeigt, wie Sie den im vorherigen Beispiel erstellten Service-SAS verwenden, um ein BlobClient-Objekt zu autorisieren. Dieses Clientobjekt kann verwendet werden, um Vorgänge für die Blobressource basierend auf den von der SAS erteilten Berechtigungen auszuführen.

Erstellen Sie zuerst ein BlobServiceClient-Objekt, das mit dem Kontozugriffsschlüssel signiert wird:

String accountName = "<account-name>";
String accountKey = "<account-key>";
StorageSharedKeyCredential credential = new StorageSharedKeyCredential(accountName, accountKey);
        
BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
        .endpoint(String.format("https://%s.blob.core.windows.net/", accountName))
        .credential(credential)
        .buildClient();

Generieren Sie dann die Dienst-SAS, wie im vorhergehenden Beispiel gezeigt, und verwenden Sie diese SAS zum Generieren eines BlobClient-Objekts:

// Create a SAS token
BlobClient blobClient = blobServiceClient
        .getBlobContainerClient("sample-container")
        .getBlobClient("sample-blob.txt");
String sasToken = createServiceSASBlob(blobClient);

// Create a new BlobClient using the SAS token
BlobClient sasBlobClient = new BlobClientBuilder()
        .endpoint(blobClient.getBlobUrl())
        .sasToken(sasToken)
        .buildClient();

Ressourcen

Weitere Informationen zum Verwenden der Azure Blob Storage-Clientbibliothek für Java finden Sie in den folgenden Ressourcen.

Ressourcen zur Clientbibliothek

• Referenzdokumentation zur Clientbibliothek
• Quellcode der Clientbibliothek
• Maven-Paket

Weitere Informationen

• Gewähren von eingeschränktem Zugriff auf Azure Storage-Ressourcen mithilfe von SAS (Shared Access Signature)
• Erstellen einer Dienst-SAS