Szolgáltatás SAS létrehozása tárolóhoz vagy blobhoz Java használatával

• .NET
• Java
• Python

A közös hozzáférésű jogosultságkód (SAS) lehetővé teszi, hogy korlátozott hozzáférést biztosítson a tárfiókban lévő tárolókhoz és blobokhoz. Sas létrehozásakor meg kell adnia annak korlátait, beleértve az ügyfelek számára engedélyezett Azure Storage-erőforrásokat, az ezen erőforrásokra vonatkozó engedélyeiket és az SAS érvényességének érvényességét.

Minden SAS egy kulccsal van aláírva. SAS-t kétféleképpen írhat alá:

• A Microsoft Entra hitelesítő adataival létrehozott kulccsal. A Microsoft Entra hitelesítő adataival aláírt SAS egy felhasználódelegálási SAS. A felhasználói delegálási SAS-t létrehozó ügyfélhez olyan Azure RBAC-szerepkört kell hozzárendelni, amely tartalmazza a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey műveletet. További információ: Felhasználói delegálási SAS létrehozása.
• A tárfiók kulccsal. A szolgáltatás SAS és a fiók SAS is a tárfiók kulccsal van aláírva. A szolgáltatás SAS-t létrehozó ügyfélnek közvetlen hozzáféréssel kell rendelkeznie a fiókkulcshoz, vagy hozzá kell rendelnie a Microsoft.Storage/storageAccounts/listkeys/action engedélyt. További információ: Szolgáltatás SAS létrehozása vagy fiók SAS létrehozása.

Feljegyzés

A felhasználói delegálási SAS kiváló biztonságot nyújt a tárfiók kulccsal aláírt SAS-nek. A Microsoft javasolja, hogy lehetőség szerint használjon felhasználói delegálási SAS-t. További információ: Korlátozott hozzáférés biztosítása megosztott hozzáférésű jogosultságkódokkal (SAS) rendelkező adatokhoz.

Ez a cikk bemutatja, hogyan hozhat létre szolgáltatás SAS-t egy tárolóhoz vagy blobhoz a Tárfiók kulcsával a Java Blob Storage ügyfélkódtárával.

Tudnivalók a szolgáltatás SAS-járól

A szolgáltatás SAS-jének aláírása a fiók hozzáférési kulcsával történik. A StorageSharedKeyCredential osztály használatával létrehozhatja a szolgáltatás SAS aláírásához használt hitelesítő adatokat.

Tárolt hozzáférési szabályzattal is meghatározhatja az SAS engedélyeit és időtartamát. Ha meg van adva egy meglévő tárolt hozzáférési szabályzat neve, akkor a szabályzat az SAS-hez van társítva. A tárolt hozzáférési szabályzatokról további információt a tárolt hozzáférési szabályzatok definiálása című témakörben talál. Ha nincs megadva tárolt hozzáférési szabályzat, az ebben a cikkben szereplő kód példák bemutatják, hogyan határozhatja meg az SAS engedélyeit és időtartamát.

Szolgáltatási SAS létrehozása

Az alkalmazás igényeinek megfelelően létrehozhat egy szolgáltatás SAS-t egy tárolóhoz vagy blobhoz.

Tároló

A tárolóerőforráshoz való korlátozott hozzáférés delegálásához létrehozhat egy szolgáltatás SAS-t a következő módszerrel:

• generateSas

A blobServiceSasSignatureValues-példány részeként a rendszer átadja a metódusnak az SAS-aláírás értékeit, például a lejárati időt és az aláírt engedélyeket . Az engedélyek BlobContainerSasPermission-példányként vannak megadva.

Az alábbi példakód bemutatja, hogyan hozhat létre szolgáltatás SAS-t olvasási engedélyekkel egy tárolóerőforráshoz:

public String createServiceSASContainer(BlobContainerClient containerClient) {
    // Create a SAS token that's valid for 1 day, as an example
    OffsetDateTime expiryTime = OffsetDateTime.now().plusDays(1);

    // Assign read permissions to the SAS token
    BlobContainerSasPermission sasPermission = new BlobContainerSasPermission()
            .setReadPermission(true);

    BlobServiceSasSignatureValues sasSignatureValues = new BlobServiceSasSignatureValues(expiryTime, sasPermission)
            .setStartTime(OffsetDateTime.now().minusMinutes(5));

    String sasToken = containerClient.generateSas(sasSignatureValues);
    return sasToken;
}

Blob

A szolgáltatás SAS-t úgy hozhat létre, hogy korlátozott hozzáférést delegáljon egy bloberőforráshoz a következő módszerrel:

• generateSas

A blobServiceSasSignatureValues-példány részeként a rendszer átadja a metódusnak az SAS-aláírás értékeit, például a lejárati időt és az aláírt engedélyeket . Az engedélyek BlobSasPermission-példányként vannak megadva.

Az alábbi példakód bemutatja, hogyan hozhat létre szolgáltatás SAS-t olvasási engedélyekkel egy bloberőforráshoz:

public String createServiceSASBlob(BlobClient blobClient) {
    // Create a SAS token that's valid for 1 day, as an example
    OffsetDateTime expiryTime = OffsetDateTime.now().plusDays(1);

    // Assign read permissions to the SAS token
    BlobSasPermission sasPermission = new BlobSasPermission()
            .setReadPermission(true);

    BlobServiceSasSignatureValues sasSignatureValues = new BlobServiceSasSignatureValues(expiryTime, sasPermission)
            .setStartTime(OffsetDateTime.now().minusMinutes(5));

    String sasToken = blobClient.generateSas(sasSignatureValues);
    return sasToken;
}

Szolgáltatás SAS használata ügyfélobjektum engedélyezéséhez

A szolgáltatás SAS használatával engedélyezheti egy ügyfélobjektum számára, hogy műveleteket hajtson végre egy tárolón vagy blobon az SAS által megadott engedélyek alapján.

Tároló

Az alábbi példakód bemutatja, hogyan engedélyezheti a BlobContainerClient objektumot a szolgáltatás SAS-jének használatával. Ez az ügyfélobjektum használható a tárolóerőforrás műveleteinek végrehajtására az SAS által megadott engedélyek alapján.

Először hozzon létre egy BlobServiceClient objektumot, amely a fiók hozzáférési kulcsával van aláírva:

String accountName = "<account-name>";
String accountKey = "<account-key>";
StorageSharedKeyCredential credential = new StorageSharedKeyCredential(accountName, accountKey);
        
BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
        .endpoint(String.format("https://%s.blob.core.windows.net/", accountName))
        .credential(credential)
        .buildClient();

Ezután hozza létre a szolgáltatás SAS-t a korábbi példában látható módon, és használja az SAS-t egy BlobContainerClient-objektum engedélyezéséhez:

// Create a SAS token
BlobContainerClient containerClient = blobServiceClient
        .getBlobContainerClient("sample-container");
String sasToken = createServiceSASContainer(containerClient);

// Create a new BlobContainerClient using the SAS token
BlobContainerClient sasContainerClient = new BlobContainerClientBuilder()
        .endpoint(containerClient.getBlobContainerUrl())
        .sasToken(sasToken)
        .buildClient();

Blob

Az alábbi példakód bemutatja, hogyan használhatja a korábbi példában létrehozott szolgáltatás SAS-t egy BlobClient-objektum engedélyezéséhez. Ez az ügyfélobjektum az SAS által megadott engedélyek alapján a bloberőforráson végzett műveletek végrehajtására használható.

Először hozzon létre egy BlobServiceClient objektumot, amely a fiók hozzáférési kulcsával van aláírva:

String accountName = "<account-name>";
String accountKey = "<account-key>";
StorageSharedKeyCredential credential = new StorageSharedKeyCredential(accountName, accountKey);
        
BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
        .endpoint(String.format("https://%s.blob.core.windows.net/", accountName))
        .credential(credential)
        .buildClient();

Ezután hozza létre a szolgáltatás SAS-t a korábbi példában látható módon, és használja az SAS-t egy BlobClient-objektum engedélyezéséhez:

// Create a SAS token
BlobClient blobClient = blobServiceClient
        .getBlobContainerClient("sample-container")
        .getBlobClient("sample-blob.txt");
String sasToken = createServiceSASBlob(blobClient);

// Create a new BlobClient using the SAS token
BlobClient sasBlobClient = new BlobClientBuilder()
        .endpoint(blobClient.getBlobUrl())
        .sasToken(sasToken)
        .buildClient();

Források

Az Azure Blob Storage Java-ügyfélkódtárának használatáról az alábbi forrásokból tudhat meg többet.

Kódminták

• Kódminták megtekintése ebből a cikkből (GitHub)

Ügyfélkódtár erőforrásai

• Ügyfélkódtár referenciadokumentációja
• Ügyfélkódtár forráskódja
• Csomag (Maven)

Lásd még

• Korlátozott hozzáférés engedélyezése az Azure Storage-erőforrásokhoz közös hozzáférésű jogosultságkódokkal
• Szolgáltatási SAS létrehozása