Felhasználódelegálási kulcs lekérése
A Get User Delegation Key művelet lekéri a felhasználódelegálási SAS aláírásához használható kulcsot (közös hozzáférésű jogosultságkód). A felhasználói delegálási SAS Microsoft Entra hitelesítő adatokkal biztosít hozzáférést Azure Blob Storage erőforrásokhoz. A Get User Delegation Key művelet a 2018-11-09-es és újabb verzióban érhető el.
Kérés
Hozza létre a Get User Delegation Key következőt. HTTPS szükséges. Cserélje le a myaccount nevet a tárfiók nevére.
| POST metódus kérésének URI-ja | HTTP-verzió |
|---|---|
https://myaccount.blob.core.windows.net/?restype=service&comp=userdelegationkey |
HTTP/1.1 |
Emulált tárolási szolgáltatás kérése
Amikor kérést küld a helyi tárolási szolgáltatásra, adja meg a helyi gazdagépnevet és a Blob Storage-portot 127.0.0.1:10000, majd a helyi tárfiók nevét:
| POST metódus kérésének URI-ja | HTTP-verzió |
|---|---|
http://127.0.0.1:10000/devstoreaccount1/?restype=service&comp=userdelegationkey |
HTTP/1.1 |
További információ: Az Azurite emulátor használata helyi Azure Storage-fejlesztéshez.
URI-paraméterek
A kérelem URI-ja a következő további paramétereket határozhatja meg.
| Paraméter | Leírás |
|---|---|
timeout |
Választható. A timeout paraméter másodpercben van kifejezve. További információ: Időtúllépések beállítása Blob Storage-műveletekhez. |
Kérésfejlécek
Az alábbi táblázat a szükséges és nem kötelező kérelemfejléceket ismerteti.
| Kérelem fejléce | Leírás |
|---|---|
Authorization |
Kötelező. Meghatározza az engedélyezési sémát. Csak Microsoft Entra ID engedély támogatott. További információ: Engedélyezés Microsoft Entra ID. |
x-ms-version |
Minden engedélyezett kéréshez szükséges. További információ: Az Azure Storage-szolgáltatások verziószámozása. |
x-ms-client-request-id |
Választható. Ügyfél által generált, átlátszatlan értéket biztosít egy 1 kib-os (KiB) karakterkorláttal, amelyet a naplózás konfigurálásakor rögzít a naplókban. Javasoljuk, hogy ezt a fejlécet használva korrelálja az ügyféloldali tevékenységeket a kiszolgáló által kapott kérésekkel. További információ: Monitorozási Azure Blob Storage. |
A kérés törzse
A kérelemtörzs formátuma a következő:
<?xml version="1.0" encoding="utf-8"?>
<KeyInfo>
<Start>String, formatted ISO Date</Start>
<Expiry>String, formatted ISO Date </Expiry>
</KeyInfo>
A kérelem törzsének elemeit a következő táblázat ismerteti:
| Elem | Leírás |
|---|---|
| Kezdés | Kötelező. A felhasználói delegálási SAS kezdési időpontja ISO-dátumformátumban. Az aktuális dátumtól számított hét napon belül érvényes dátumnak és időnek kell lennie. |
| Lejárat | Kötelező. A felhasználói delegálási SAS lejárati ideje ISO-dátumformátumban. Az aktuális dátumtól számított hét napon belül érvényes dátumnak és időnek kell lennie. |
Reagálás
A válasz tartalmaz egy HTTP-állapotkódot és egy válaszfejléceket.
Állapotkód
A sikeres művelet a 200-ra (OK) vonatkozó állapotkódot adja vissza.
További információ az állapotkódokról: Állapot- és hibakódok.
Válaszfejlécek
A műveletre adott válasz a következő fejléceket tartalmazza. A válasz további szabványos HTTP-fejléceket is tartalmazhat. Minden szabványos fejléc megfelel a HTTP/1.1 protokoll specifikációjának.
| Válaszfejléc | Description |
|---|---|
x-ms-request-id |
Egyedileg azonosítja a végrehajtott kérést, és a kérés hibaelhárításához használható. További információ: API-műveletek hibaelhárítása. |
x-ms-version |
A kérés végrehajtásához használt Blob Storage-verzió. |
Date |
A szolgáltatás által létrehozott UTC dátum/idő érték, amely a válasz indításának időpontját jelzi. |
x-ms-client-request-id |
A kérések és a kapcsolódó válaszok hibaelhárítására használható. A fejléc értéke megegyezik a x-ms-client-request-id fejléc értékével, ha az szerepel a kérelemben, és az érték legfeljebb 1024 látható ASCII-karaktert tartalmaz. Ha a x-ms-client-request-id fejléc nem szerepel a kérelemben, az nem jelenik meg a válaszban. |
Választörzs
A válasz törzsének formátuma a következő:
<?xml version="1.0" encoding="utf-8"?>
<UserDelegationKey>
<SignedOid>String containing a GUID value</SignedOid>
<SignedTid>String containing a GUID value</SignedTid>
<SignedStart>String formatted as ISO date</SignedStart>
<SignedExpiry>String formatted as ISO date</SignedExpiry>
<SignedService>b</SignedService>
<SignedVersion>String specifying REST api version to use to create the user delegation key</SignedVersion>
<Value>String containing the user delegation key</Value>
</UserDelegationKey>
A választörzs elemeit a következő táblázat ismerteti:
| Elem | Leírás |
|---|---|
| Aláírtoid | Egy objektum nem módosítható azonosítója a Microsoft-identitásrendszerben. |
| Aláírt azonosító | Egy GUID, amely azt a Microsoft Entra bérlőt jelöli, amelyből a felhasználó származik. |
| SignedStart | A felhasználói delegálási kulcs kezdő időpontja ISO-dátumformátumban. |
| SignedExpiry | A felhasználói delegálási kulcs lejárati ideje ISO-dátumformátumban. |
| SignedService | A szolgáltatás, amelyre a felhasználódelegálási kulcs használható, ahol a b a Blob Storage-t jelöli. |
| SignedVersion | A felhasználói delegálási kulcs lekéréséhez használt REST API-verzió. |
| Érték | A felhasználó delegálási kulcsa. |
Engedélyezés
Az Azure Storage-ban bármilyen adathozzáférési művelet meghívásához engedélyezésre van szükség. A műveletet csak a Get User Delegation Key Microsoft Entra ID használatával engedélyezheti.
Engedélyek
A felhasználódelegálási kulcsot kérő biztonsági tagnak rendelkeznie kell a megfelelő engedélyekkel. A Microsoft Entra biztonsági tag lehet felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás.
Az alábbiakban azokat az RBAC-műveletet soroljuk fel, amelyek szükségesek ahhoz, hogy egy Microsoft Entra biztonsági tag meghívja a Get User Delegation Key műveletet, és a legkevésbé kiemelt beépített Azure RBAC-szerepkört, amely tartalmazza ezt a műveletet:
- Azure RBAC-művelet:Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action
- Legkevésbé kiemelt beépített szerepkör:Storage Blob Delegator
Bármely beépített szerepkör, amely magában foglalja ezt az Azure RBAC-műveletet, explicit módon vagy helyettesítő karakterdefiníció részeként, meghívhatja a Get User Delegation Key műveletet.
A szerepkörök Azure RBAC-vel való hozzárendeléséről további információt az Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez című témakörben talál.
Mivel a Get User Delegation Key művelet a tárfiók szintjén működik, a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey műveletet a tárfiók, az erőforráscsoport vagy az előfizetés szintjén kell hatókörbe állítani. Ha a rendszerbiztonsági taghoz a korábban felsorolt beépített szerepkörök valamelyike vagy a Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey művelet tartozik, a tárfiók, az erőforráscsoport vagy az előfizetés szintjén, a rendszerbiztonsági tag kérheti a felhasználó delegálási kulcsát.
Ha a rendszerbiztonsági taghoz olyan szerepkör van hozzárendelve, amely engedélyezi az adathozzáférést, de a tároló szintjére terjed ki, a Storage Blob Delegator szerepkört a tárfiók, az erőforráscsoport vagy az előfizetés szintjén is hozzárendelheti a biztonsági taghoz. A Storage Blob Delegator szerepkör engedélyezi a rendszerbiztonsági tagoknak a felhasználói delegálási kulcs kérését.
További információ az Azure Storage RBAC-szerepköreiről: Engedélyezés az Azure Active Directoryval.
Megjegyzések
A felhasználói delegálási kulcs használatával hozzon létre egy felhasználói delegálási SAS-t. Adja meg a felhasználódelegálási SAS-jogkivonat válaszában Get User Delegation Key visszaadott mezőket. További információ: Felhasználói delegálási SAS létrehozása.
A felhasználódelegálási kulcs nem használható a Blob Storage-erőforrások közvetlen eléréséhez.
Számlázás
A díjszabási kérések a Blob Storage API-kat használó ügyfelektől, közvetlenül a Blob Storage REST API-ból vagy egy Azure Storage-ügyfélkódtárból származhatnak. Ezek a kérések tranzakciónkénti díjakat halmoznak fel. A tranzakció típusa befolyásolja a fiók terhelését. Az olvasási tranzakciók például más számlázási kategóriába tartoznak, mint az írási tranzakciók. Az alábbi táblázat a tárfiók típusa alapján a kérelmek számlázási kategóriáját Get User Delegation Key mutatja be:
| Művelet | Tárfiók típusa | Számlázási kategória |
|---|---|---|
| Felhasználódelegálási kulcs lekérése | Prémium szintű blokkblob Standard általános célú v2 |
Egyéb műveletek |
| Felhasználódelegálási kulcs lekérése | Standard általános célú v1 | Olvasási műveletek |
A megadott számlázási kategória díjszabásával kapcsolatos további információkért lásd: Azure Blob Storage Díjszabás.