Membuat SAS delegasi pengguna untuk kontainer atau blob dengan Azure CLI

Tanda tangan akses bersama (SAS) memungkinkan Anda memberikan akses terbatas ke kontainer dan blob di akun penyimpanan Anda. Saat Anda membuat SAS, Anda menentukan batasannya, termasuk sumber daya Azure Storage mana yang diizinkan untuk diakses klien, izin apa yang mereka miliki pada sumber daya tersebut, dan berapa lama SAS valid.

Setiap SAS ditandatangani dengan kunci. Anda dapat menandatangani SAS dengan salah satu dari dua cara:

  • Dengan kunci yang dibuat menggunakan info masuk Azure Active Directory (Azure AD). SAS yang ditandatangani dengan info masuk Azure AD adalah SAS delegasi pengguna. Klien yang membuat SAS delegasi pengguna harus diberi peran Azure RBAC yang menyertakan tindakan Microsoft.Storage /storageAccounts/blobServices/generateUserDelegationKey. Untuk informasi selengkapnya, lihat Membuat delegasi pengguna SAS.
  • Dengan kunci akun penyimpanan. SAS layanan dan SAS akun ditandatangani dengan kunci akun penyimpanan. Klien yang membuat SAS layanan harus memiliki akses langsung ke kunci akun atau ditetapkan izin microsoft.Storage/storageAccounts/listkeys/action.

Catatan

Delegasi pengguna SAS menawarkan keamanan yang unggul untuk SAS yang ditandatangani dengan kunci akun penyimpanan. Microsoft merekomendasikan menggunakan SAS delegasi pengguna jika memungkinkan. Untuk mengetahui informasi selengkapnya, lihat Memberikan akses terbatas ke data dengan tanda tangan akses bersama (SAS).

Artikel ini menunjukkan cara menggunakan informasi masuk Azure Active Directory (Azure AD) untuk membuat SAS delegasi pengguna untuk kontainer atau blob dengan Azure CLI.

Tentang delegasi pengguna SAS

Token SAS untuk akses ke kontainer atau blob dapat diamankan dengan menggunakan kredensial Azure AD atau kunci akun. SAS yang diamankan dengan kredensial Azure AD disebut delegasi pengguna SAS, karena token OAuth 2.0 yang digunakan untuk menandatangani SAS diminta atas nama pengguna.

Microsoft merekomendasikan agar Anda menggunakan kredensial Azure AD jika memungkinkan sebagai praktik terbaik keamanan, daripada menggunakan kunci akun, yang dapat lebih mudah disusupi. Saat desain aplikasi Anda memerlukan tanda tangan akses bersama, gunakan kredensial Microsoft Azure AD untuk membuat delegasi pengguna SAS untuk keamanan yang unggul. Untuk informasi selengkapnya tentang delegasi pengguna SAS, lihat Membuat delegasi pengguna SAS.

Perhatian

Setiap klien yang memiliki SAS yang valid dapat mengakses data di akun penyimpanan Anda sebagaimana diizinkan oleh SAS tersebut. Penting untuk melindungi SAS dari penggunaan berbahaya atau tidak diinginkan. Gunakan kebijaksanaan dalam mendistribusikan SAS, dan memiliki rencana untuk mencabut SAS yang disusupi.

Untuk informasi selengkapnya tentang tanda tangan akses bersama, lihat Berikan akses terbatas ke sumber Azure Storage dengan menggunakan tanda tangan akses bersama (SAS).

Menginstal versi terbaru Azure CLI

Untuk menggunakan Azure CLI guna mengamankan SAS dengan informasi masuk Microsoft Azure AD, pertama-tama pastikan Anda telah menginstal versi terbaru Azure CLI. Untuk informasi selengkapnya tentang menginstal Azure CLI, lihat Menginstal Azure CLI.

Untuk membuat SAS delegasi pengguna menggunakan Azure CLI, pastikan Anda telah menginstal versi 2.0.78 atau yang lebih baru. Untuk memeriksa versi yang terinstal, gunakan perintah az --version.

Masuk dengan informasi masuk Microsoft Azure AD

Masuk ke Azure CLI dengan informasi masuk Microsoft Azure AD Anda. Untuk informasi selengkapnya, lihat Masuk dengan Azure CLI.

Menetapkan izin dengan Azure RBAC

Untuk membuat SAS delegasi pengguna dari Azure PowerShell, akun Microsoft Azure AD yang digunakan untuk masuk ke Azure CLI harus diberi peran yang menyertakan tindakan Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey. Izin ini memungkinkan akun Microsoft Azure AD meminta kunci delegasi pengguna. Kunci delegasi pengguna digunakan untuk menandatangani SAS delegasi pengguna. Peran yang memberikan tindakan Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey harus ditetapkan pada tingkat akun penyimpanan, grup sumber daya, atau langganan.

Jika Anda tidak memiliki izin yang memadai untuk menetapkan peran Azure ke perwakilan keamanan Microsoft Azure AD, Anda mungkin perlu meminta pemilik akun atau administrator untuk menetapkan izin yang diperlukan.

Contoh berikut menetapkan peran Kontributor Data Blob Penyimpanan yang menyertakan tindakan Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey. Peran ini tercakup pada tingkat akun penyimpanan.

Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>"

Untuk informasi selengkapnya tentang peran bawaan yang menyertakan tindakan Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey, lihat Peran bawaan Azure.

Menggunakan informasi masuk Microsoft Azure AD untuk mengamankan SAS

Saat Anda membuat SAS delegasi pengguna dengan Azure CLI, kunci delegasi pengguna yang digunakan untuk menandatangani SAS dibuat untuk Anda secara implisit. Waktu mulai dan waktu kedaluwarsa yang Anda tentukan untuk SAS juga digunakan sebagai waktu mulai dan waktu kedaluwarsa untuk kunci delegasi pengguna.

Karena interval maksimum di mana kunci delegasi pengguna valid adalah 7 hari dari tanggal mulai, Anda harus menentukan waktu kedaluwarsa untuk SAS dalam 7 hari dari waktu mulai. SAS tidak valid setelah kunci delegasi pengguna kedaluwarsa, sehingga SAS dengan waktu kedaluwarsa lebih dari 7 hari akan tetap berlaku selama 7 hari.

Saat membuat SAS delegasi pengguna, --auth-mode login dan --as-user parameters diperlukan. Tentukan login untuk parameter --auth-mode sehingga permintaan yang dibuat ke Azure Storage diotorisasi dengan informasi masuk Microsoft Azure AD Anda. Tentukan parameter --as-user untuk menunjukkan bahwa SAS yang dikembalikan harus menjadi SAS delegasi pengguna.

Membuat SAS delegasi pengguna untuk kontainer

Untuk membuat SAS delegasi pengguna untuk kontainer dengan Azure CLI, panggil perintah az storage container generate-sas.

Izin yang didukung untuk SAS delegasi pengguna pada kontainer termasuk Tambah, Buat, Hapus, Daftar, Baca, dan Tulis. Izin dapat ditentukan sendiri-sendiri atau digabungkan. Untuk informasi selengkapnya tentang izin ini, lihat Membuat SAS delegasi pengguna.

Contoh berikut mengembalikan token SAS delegasi pengguna untuk kontainer. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:

az storage container generate-sas \
    --account-name <storage-account> \
    --name <container> \
    --permissions acdlrw \
    --expiry <date-time> \
    --auth-mode login \
    --as-user

Token SAS delegasi pengguna yang dikembalikan akan serupa dengan:

se=2019-07-27&sp=r&sv=2018-11-09&sr=c&skoid=<skoid>&sktid=<sktid>&skt=2019-07-26T18%3A01%3A22Z&ske=2019-07-27T00%3A00%3A00Z&sks=b&skv=2018-11-09&sig=<signature>

Membuat SAS delegasi pengguna untuk blob

Untuk membuat SAS delegasi pengguna untuk blob dengan Azure CLI, panggil perintah az storage blob generate-sas.

Izin yang didukung untuk SAS delegasi pengguna pada blob termasuk Tambah, Buat, Hapus, Baca, dan Tulis. Izin dapat ditentukan sendiri-sendiri atau digabungkan. Untuk informasi selengkapnya tentang izin ini, lihat Membuat SAS delegasi pengguna.

Sintaks berikut mengembalikan SAS delegasi pengguna untuk blob. Contoh tersebut menentukan parameter --full-uri yang mengembalikan URI blob dengan token SAS yang ditambahkan. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:

az storage blob generate-sas \
    --account-name <storage-account> \
    --container-name <container> \
    --name <blob> \
    --permissions acdrw \
    --expiry <date-time> \
    --auth-mode login \
    --as-user \
    --full-uri

URI SAS delegasi pengguna yang dikembalikan akan serupa dengan:

https://storagesamples.blob.core.windows.net/sample-container/blob1.txt?se=2019-08-03&sp=rw&sv=2018-11-09&sr=b&skoid=<skoid>&sktid=<sktid>&skt=2019-08-02T2
2%3A32%3A01Z&ske=2019-08-03T00%3A00%3A00Z&sks=b&skv=2018-11-09&sig=<signature>

Catatan

SAS delegasi pengguna tidak mendukung penentuan izin dengan kebijakan akses yang disimpan.

Mencabut SAS delegasi pengguna

Untuk mencabut SAS delegasi pengguna dari Azure CLI, panggil perintah az storage account revoke-delegation-keys. Perintah ini mencabut semua kunci delegasi pengguna yang terkait dengan akun penyimpanan yang ditentukan. Tanda tangan akses bersama apa pun yang terkait dengan kunci tersebut tidak valid.

Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:

az storage account revoke-delegation-keys \
    --name <storage-account> \
    --resource-group <resource-group>

Penting

Kunci delegasi pengguna dan penetapan peran Azure di-cache oleh Azure Storage, sehingga mungkin ada penundaan antara saat Anda memulai proses pencabutan dan saat SAS delegasi pengguna yang ada menjadi tidak valid.

Langkah berikutnya