Membuat SAS delegasi pengguna untuk blob dengan .NET
Tanda tangan akses bersama (SAS) memungkinkan Anda memberikan akses terbatas ke kontainer dan blob di akun penyimpanan Anda. Saat Anda membuat SAS, Anda menentukan batasannya, termasuk sumber daya Azure Storage mana yang diizinkan untuk diakses klien, izin apa yang mereka miliki pada sumber daya tersebut, dan berapa lama SAS valid.
Setiap SAS ditandatangani dengan kunci. Anda dapat menandatangani SAS dengan salah satu dari dua cara:
- Dengan kunci yang dibuat menggunakan kredensial Microsoft Entra. SAS yang ditandatangani dengan kredensial Microsoft Entra adalah SAS delegasi pengguna. Klien yang membuat SAS delegasi pengguna harus diberi peran Azure RBAC yang menyertakan tindakan Microsoft.Storage /storageAccounts/blobServices/generateUserDelegationKey. Untuk mempelajari selengkapnya, lihat Membuat SAS delegasi pengguna.
- Dengan kunci akun penyimpanan. SAS layanan dan SAS akun ditandatangani dengan kunci akun penyimpanan. Klien yang membuat SAS layanan harus memiliki akses langsung ke kunci akun atau ditetapkan izin microsoft.Storage/storageAccounts/listkeys/action. Untuk mempelajari selengkapnya, lihat Membuat layanan SAS atau Membuat SAS akun.
Catatan
Delegasi pengguna SAS menawarkan keamanan yang unggul untuk SAS yang ditandatangani dengan kunci akun penyimpanan. Microsoft merekomendasikan menggunakan SAS delegasi pengguna jika memungkinkan. Untuk mengetahui informasi selengkapnya, lihat Memberikan akses terbatas ke data dengan tanda tangan akses bersama (SAS).
Artikel ini memperlihatkan cara menggunakan kredensial Microsoft Entra untuk membuat SAS delegasi pengguna untuk blob menggunakan pustaka klien Azure Storage untuk .NET.
Tentang delegasi pengguna SAS
Token SAS untuk akses ke kontainer atau blob dapat diamankan dengan menggunakan kredensial Microsoft Entra atau kunci akun. SAS yang diamankan dengan kredensial Microsoft Entra disebut SAS delegasi pengguna, karena token OAuth 2.0 yang digunakan untuk menandatangani SAS diminta atas nama pengguna.
Microsoft menyarankan agar Anda menggunakan kredensial Microsoft Entra jika memungkinkan sebagai praktik terbaik keamanan, daripada menggunakan kunci akun, yang dapat lebih mudah disusupi. Saat desain aplikasi Anda memerlukan tanda tangan akses bersama, gunakan kredensial Microsoft Entra untuk membuat SAS delegasi pengguna untuk keamanan yang unggul. Untuk informasi selengkapnya tentang delegasi pengguna SAS, lihat Membuat delegasi pengguna SAS.
Perhatian
Setiap klien yang memiliki SAS yang valid dapat mengakses data di akun penyimpanan Anda sebagaimana diizinkan oleh SAS tersebut. Penting untuk melindungi SAS dari penggunaan berbahaya atau tidak diinginkan. Gunakan kebijaksanaan dalam mendistribusikan SAS, dan memiliki rencana untuk mencabut SAS yang disusupi.
Untuk informasi selengkapnya tentang tanda tangan akses bersama, lihat Berikan akses terbatas ke sumber daya Azure Storage dengan menggunakan tanda tangan akses berbagi (SAS).
Menetapkan peran Azure untuk akses ke data
Saat perwakilan keamanan Microsoft Entra mencoba mengakses data blob, prinsip keamanan tersebut harus memiliki izin ke sumber daya. Apakah prinsip keamanan adalah identitas terkelola di Azure atau akun pengguna Microsoft Entra yang menjalankan kode di lingkungan pengembangan, prinsip keamanan harus diberi peran Azure yang memberikan akses ke data blob. Untuk informasi tentang menetapkan izin melalui Azure RBAC, lihat Menetapkan peran Azure untuk akses ke data blob.
Menyiapkan proyek Anda
Untuk bekerja dengan contoh kode dalam artikel ini, ikuti langkah-langkah ini untuk menyiapkan proyek Anda.
Memasang paket
Instal paket berikut:
dotnet add package Azure.Identity
dotnet add package Azure.Storage.Blobs
Menyiapkan kode aplikasi
Tambahkan instruksi using berikut:
using Azure;
using Azure.Identity;
using Azure.Storage.Blobs;
using Azure.Storage.Blobs.Models;
using Azure.Storage.Blobs.Specialized;
using Azure.Storage.Sas;
Dapatkan kredensial token otentik
Untuk mendapatkan kredensial token yang dapat digunakan kode Anda untuk mengotorisasi permintaan ke Blob Storage, buat instans kelas DefaultAzureCredential . Untuk informasi selengkapnya tentang menggunakan kelas DefaultAzureCredential untuk mengotorisasi identitas terkelola untuk mengakses Blob Storage, lihat Pustaka klien Azure Identity untuk .NET.
Cuplikan kode berikut menunjukkan cara mendapatkan kredensial token otentik dan menggunakannya untuk membuat klien layanan penyimpanan Blob:
// Construct the blob endpoint from the account name.
string endpoint = $"https://{accountName}.blob.core.windows.net";
// Create a blob service client object using DefaultAzureCredential
BlobServiceClient blobServiceClient = new BlobServiceClient(
new Uri(endpoint),
new DefaultAzureCredential());
Untuk mempelajari selengkapnya tentang mengotorisasi akses ke Blob Storage dari aplikasi Anda dengan .NET SDK, lihat Cara mengautentikasi aplikasi .NET dengan layanan Azure.
Dapatkan kunci delegasi pengguna
Setiap SAS ditandatangani dengan kunci. Untuk membuat delegasi pengguna SAS, Anda harus terlebih dahulu meminta kunci delegasi pengguna, yang digunakan untuk menandatangani SAS. Kunci delegasi pengguna dianalogikan dengan kunci akun yang digunakan untuk menandatangani SAS layanan atau SAS akun, kecuali bahwa kunci tersebut bergantung pada kredensial Microsoft Entra Anda. Saat klien meminta kunci delegasi pengguna menggunakan token OAuth 2.0, Blob Storage mengembalikan kunci delegasi pengguna atas nama pengguna.
Setelah memiliki kunci delegasi pengguna, Anda dapat menggunakan kunci itu untuk membuat sejumlah tanda tangan akses bersama delegasi pengguna, selama masa hidup kunci. Kunci delegasi pengguna independen dari token OAuth 2.0 yang digunakan untuk memperolehnya, sehingga token tidak perlu diperpanjang jika kunci masih valid. Anda dapat menentukan lamanya waktu kunci tetap valid, hingga maksimum tujuh hari.
Gunakan salah satu metode berikut untuk meminta kunci delegasi pengguna:
Contoh kode berikut menunjukkan cara meminta kunci delegasi pengguna:
public static async Task<UserDelegationKey> RequestUserDelegationKey(
BlobServiceClient blobServiceClient)
{
// Get a user delegation key for the Blob service that's valid for 1 day
UserDelegationKey userDelegationKey =
await blobServiceClient.GetUserDelegationKeyAsync(
DateTimeOffset.UtcNow,
DateTimeOffset.UtcNow.AddDays(1));
return userDelegationKey;
}
Membuat SAS delegasi pengguna untuk blob
Setelah mendapatkan kunci delegasi pengguna, Anda dapat membuat SAS delegasi pengguna untuk mendelegasikan akses terbatas ke sumber daya blob. Contoh kode berikut menunjukkan cara membuat SAS delegasi pengguna untuk blob:
public static async Task<Uri> CreateUserDelegationSASBlob(
BlobClient blobClient,
UserDelegationKey userDelegationKey)
{
// Create a SAS token for the blob resource that's also valid for 1 day
BlobSasBuilder sasBuilder = new BlobSasBuilder()
{
BlobContainerName = blobClient.BlobContainerName,
BlobName = blobClient.Name,
Resource = "b",
StartsOn = DateTimeOffset.UtcNow,
ExpiresOn = DateTimeOffset.UtcNow.AddDays(1)
};
// Specify the necessary permissions
sasBuilder.SetPermissions(BlobSasPermissions.Read | BlobSasPermissions.Write);
// Add the SAS token to the blob URI
BlobUriBuilder uriBuilder = new BlobUriBuilder(blobClient.Uri)
{
// Specify the user delegation key
Sas = sasBuilder.ToSasQueryParameters(
userDelegationKey,
blobClient
.GetParentBlobContainerClient()
.GetParentBlobServiceClient().AccountName)
};
return uriBuilder.ToUri();
}
Menggunakan SAS delegasi pengguna untuk mengotorisasi objek klien
Contoh kode berikut menunjukkan cara menggunakan SAS delegasi pengguna untuk mengotorisasi objek BlobClient . Objek klien ini dapat digunakan untuk melakukan operasi pada sumber daya blob berdasarkan izin yang diberikan oleh SAS.
// Create a Uri object with a user delegation SAS appended
BlobClient blobClient = blobServiceClient
.GetBlobContainerClient("sample-container")
.GetBlobClient("sample-blob.txt");
Uri blobSASURI = await CreateUserDelegationSASBlob(blobClient, userDelegationKey);
// Create a blob client object with SAS authorization
BlobClient blobClientSAS = new BlobClient(blobSASURI);
Sumber
Untuk mempelajari selengkapnya tentang membuat SAS delegasi pengguna menggunakan pustaka klien Azure Blob Storage untuk .NET, lihat sumber daya berikut ini.
Operasi REST API
Azure SDK untuk .NET berisi pustaka yang dibangun di atas Azure REST API, memungkinkan Anda berinteraksi dengan operasi REST API melalui paradigma .NET yang sudah dikenal. Metode pustaka klien untuk mendapatkan kunci delegasi pengguna menggunakan operasi REST API berikut:
- Dapatkan Kunci Delegasi Pengguna (REST API)