Membuat SAS delegasi pengguna untuk kontainer atau blob dengan Java
Tanda tangan akses bersama (SAS) memungkinkan Anda memberikan akses terbatas ke kontainer dan blob di akun penyimpanan Anda. Saat Anda membuat SAS, Anda menentukan batasannya, termasuk sumber daya Azure Storage mana yang diizinkan untuk diakses klien, izin apa yang mereka miliki pada sumber daya tersebut, dan berapa lama SAS valid.
Setiap SAS ditandatangani dengan kunci. Anda dapat menandatangani SAS dengan salah satu dari dua cara:
- Dengan kunci yang dibuat menggunakan kredensial Microsoft Entra. SAS yang ditandatangani dengan kredensial Microsoft Entra adalah SAS delegasi pengguna. Klien yang membuat SAS delegasi pengguna harus diberi peran Azure RBAC yang menyertakan tindakan Microsoft.Storage /storageAccounts/blobServices/generateUserDelegationKey. Untuk mempelajari selengkapnya, lihat Membuat SAS delegasi pengguna.
- Dengan kunci akun penyimpanan. SAS layanan dan SAS akun ditandatangani dengan kunci akun penyimpanan. Klien yang membuat SAS layanan harus memiliki akses langsung ke kunci akun atau ditetapkan izin microsoft.Storage/storageAccounts/listkeys/action. Untuk mempelajari selengkapnya, lihat Membuat layanan SAS atau Membuat SAS akun.
Catatan
Delegasi pengguna SAS menawarkan keamanan yang unggul untuk SAS yang ditandatangani dengan kunci akun penyimpanan. Microsoft merekomendasikan menggunakan SAS delegasi pengguna jika memungkinkan. Untuk mengetahui informasi selengkapnya, lihat Memberikan akses terbatas ke data dengan tanda tangan akses bersama (SAS).
Artikel ini memperlihatkan cara menggunakan kredensial Microsoft Entra untuk membuat SAS delegasi pengguna untuk kontainer atau blob menggunakan pustaka klien Azure Storage untuk Java.
Tentang delegasi pengguna SAS
Token SAS untuk akses ke kontainer atau blob dapat diamankan dengan menggunakan kredensial Microsoft Entra atau kunci akun. SAS yang diamankan dengan kredensial Microsoft Entra disebut SAS delegasi pengguna, karena token OAuth 2.0 yang digunakan untuk menandatangani SAS diminta atas nama pengguna.
Microsoft menyarankan agar Anda menggunakan kredensial Microsoft Entra jika memungkinkan sebagai praktik terbaik keamanan, daripada menggunakan kunci akun, yang dapat lebih mudah disusupi. Saat desain aplikasi Anda memerlukan tanda tangan akses bersama, gunakan kredensial Microsoft Entra untuk membuat SAS delegasi pengguna untuk keamanan yang unggul. Untuk informasi selengkapnya tentang delegasi pengguna SAS, lihat Membuat delegasi pengguna SAS.
Perhatian
Setiap klien yang memiliki SAS yang valid dapat mengakses data di akun penyimpanan Anda sebagaimana diizinkan oleh SAS tersebut. Penting untuk melindungi SAS dari penggunaan berbahaya atau tidak diinginkan. Gunakan kebijaksanaan dalam mendistribusikan SAS, dan memiliki rencana untuk mencabut SAS yang disusupi.
Untuk informasi selengkapnya tentang tanda tangan akses bersama, lihat Berikan akses terbatas ke sumber daya Azure Storage dengan menggunakan tanda tangan akses berbagi (SAS).
Menetapkan peran Azure untuk akses ke data
Saat perwakilan keamanan Microsoft Entra mencoba mengakses data, prinsip keamanan tersebut harus memiliki izin ke sumber daya. Apakah prinsip keamanan adalah identitas terkelola di Azure atau akun pengguna Microsoft Entra yang menjalankan kode di lingkungan pengembangan, prinsip keamanan harus diberi peran Azure yang memberikan akses ke data. Untuk informasi tentang menetapkan izin melalui Azure RBAC, lihat Menetapkan peran Azure untuk akses ke data blob.
Menyiapkan proyek Anda
Untuk bekerja dengan contoh kode dalam artikel ini, tambahkan direktif impor berikut:
import com.azure.storage.blob.*;
import com.azure.storage.blob.models.*;
import com.azure.storage.blob.sas.*;
Dapatkan kredensial token otentik
Untuk mendapatkan kredensial token yang dapat digunakan kode Anda untuk mengotorisasi permintaan ke Blob Storage, buat instans kelas DefaultAzureCredential . Untuk informasi selengkapnya tentang menggunakan kelas DefaultAzureCredential untuk mengotorisasi identitas terkelola untuk mengakses Blob Storage, lihat Pustaka klien Azure Identity untuk Java.
Cuplikan kode berikut menunjukkan cara mendapatkan kredensial token otentik dan menggunakannya untuk membuat klien layanan penyimpanan Blob:
BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
.endpoint("https://<storage-account-name>.blob.core.windows.net/")
.credential(new DefaultAzureCredentialBuilder().build())
.buildClient();
Untuk mempelajari selengkapnya tentang mengotorisasi akses ke Blob Storage dari aplikasi Anda dengan Java SDK, lihat Autentikasi Azure dengan Java dan Azure Identity.
Dapatkan kunci delegasi pengguna
Setiap SAS ditandatangani dengan kunci. Untuk membuat delegasi pengguna SAS, Anda harus terlebih dahulu meminta kunci delegasi pengguna, yang digunakan untuk menandatangani SAS. Kunci delegasi pengguna dianalogikan dengan kunci akun yang digunakan untuk menandatangani SAS layanan atau SAS akun, kecuali bahwa kunci tersebut bergantung pada kredensial Microsoft Entra Anda. Saat klien meminta kunci delegasi pengguna menggunakan token OAuth 2.0, Blob Storage mengembalikan kunci delegasi pengguna atas nama pengguna.
Setelah memiliki kunci delegasi pengguna, Anda dapat menggunakan kunci itu untuk membuat sejumlah tanda tangan akses bersama delegasi pengguna, selama masa hidup kunci. Kunci delegasi pengguna independen dari token OAuth 2.0 yang digunakan untuk memperolehnya, sehingga token tidak perlu diperpanjang jika kunci masih valid. Anda dapat menentukan lamanya waktu kunci tetap valid, hingga maksimum tujuh hari.
Gunakan salah satu metode berikut untuk meminta kunci delegasi pengguna:
Contoh kode berikut menunjukkan cara meminta kunci delegasi pengguna:
public UserDelegationKey requestUserDelegationKey(BlobServiceClient blobServiceClient) {
// Request a user delegation key that's valid for 1 day, as an example
UserDelegationKey userDelegationKey = blobServiceClient.getUserDelegationKey(
OffsetDateTime.now().minusMinutes(5),
OffsetDateTime.now().plusDays(1));
return userDelegationKey;
}
Buat SAS delegasi pengguna
Anda dapat membuat SAS delegasi pengguna untuk kontainer atau blob, berdasarkan kebutuhan aplikasi Anda.
Setelah mendapatkan kunci delegasi pengguna, Anda dapat membuat SAS delegasi pengguna. Anda dapat membuat SAS delegasi pengguna untuk mendelegasikan akses terbatas ke sumber daya kontainer menggunakan metode berikut dari instans BlobContainerClient :
Kunci delegasi pengguna untuk menandatangani SAS diteruskan ke metode ini bersama dengan nilai yang ditentukan untuk BlobServiceSasSignatureValues. Izin ditentukan sebagai instans BlobContainerSasPermission .
Contoh kode berikut menunjukkan cara membuat SAS delegasi pengguna untuk kontainer:
public String createUserDelegationSASContainer(BlobContainerClient containerClient, UserDelegationKey userDelegationKey) {
// Create a SAS token that's valid for 1 day, as an example
OffsetDateTime expiryTime = OffsetDateTime.now().plusDays(1);
// Assign read permissions to the SAS token
BlobContainerSasPermission sasPermission = new BlobContainerSasPermission()
.setReadPermission(true);
BlobServiceSasSignatureValues sasSignatureValues = new BlobServiceSasSignatureValues(expiryTime, sasPermission)
.setStartTime(OffsetDateTime.now().minusMinutes(5));
String sasToken = containerClient.generateUserDelegationSas(sasSignatureValues, userDelegationKey);
return sasToken;
}
Menggunakan SAS delegasi pengguna untuk mengotorisasi objek klien
Anda dapat menggunakan SAS delegasi pengguna untuk mengotorisasi objek klien untuk melakukan operasi pada kontainer atau blob berdasarkan izin yang diberikan oleh SAS.
Contoh kode berikut menunjukkan cara menggunakan SAS delegasi pengguna yang dibuat dalam contoh sebelumnya untuk mengotorisasi objek BlobContainerClient . Objek klien ini dapat digunakan untuk melakukan operasi pada sumber daya kontainer berdasarkan izin yang diberikan oleh SAS.
// Create a SAS token for a container
BlobContainerClient containerClient = blobServiceClient.getBlobContainerClient("sample-container");
String sasToken = createUserDelegationSASContainer(containerClient, userDelegationKey);
// Create a new BlobContainerClient using the SAS token
BlobContainerClient sasContainerClient = new BlobContainerClientBuilder()
.endpoint(containerClient.getBlobContainerUrl())
.sasToken(sasToken)
.buildClient();
Sumber
Untuk mempelajari selengkapnya tentang membuat SAS delegasi pengguna menggunakan pustaka klien Azure Blob Storage untuk Java, lihat sumber daya berikut ini.
Sampel kode
Operasi REST API
Azure SDK untuk Java berisi pustaka yang dibangun di atas Azure REST API, memungkinkan Anda berinteraksi dengan operasi REST API melalui paradigma Java yang sudah dikenal. Metode pustaka klien untuk mendapatkan kunci delegasi pengguna menggunakan operasi REST API berikut:
- Dapatkan Kunci Delegasi Pengguna (REST API)
Sumber daya pustaka klien
Lihat juga
- Berikan akses terbatas ke sumber daya Azure Storage menggunakan tanda tangan akses bersama (SAS)
- Buat SAS delegasi pengguna
Konten terkait
- Artikel ini adalah bagian dari panduan pengembang Blob Storage untuk Java. Untuk mempelajari lebih lanjut, lihat daftar lengkap artikel panduan pengembang di Membangun aplikasi Java Anda.