Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Tanda tangan akses bersama (SAS) memungkinkan Anda memberikan akses terbatas ke kontainer dan blob di akun penyimpanan Anda. Saat Anda membuat SAS, Anda menentukan batasannya, termasuk sumber daya Azure Storage mana yang diizinkan untuk diakses klien, izin apa yang mereka miliki pada sumber daya tersebut, dan berapa lama SAS valid.
Setiap SAS ditandatangani dengan kunci. Anda dapat menandatangani SAS dengan salah satu dari dua cara:
- Dengan kunci yang dibuat menggunakan kredensial Microsoft Entra. SAS yang ditandatangani dengan kredensial Microsoft Entra adalah SAS delegasi pengguna. Klien yang membuat SAS delegasi pengguna harus diberi peran Azure RBAC yang menyertakan tindakan Microsoft.Storage /storageAccounts/blobServices/generateUserDelegationKey. Untuk mempelajari selengkapnya, lihat Membuat SAS delegasi pengguna.
- Dengan kunci akun penyimpanan. SAS layanan dan SAS akun ditandatangani dengan kunci akun penyimpanan. Klien yang membuat SAS untuk layanan harus memiliki akses langsung ke kunci akun atau diberi izin Microsoft.Storage/storageAccounts/listkeys/action. Untuk mempelajari selengkapnya, lihat Membuat layanan SAS atau Membuat SAS akun.
Catatan
SAS yang didelegasikan kepada pengguna menawarkan keamanan yang lebih unggul dibandingkan dengan SAS yang ditandatangani menggunakan kunci akun penyimpanan. Microsoft menyarankan untuk menggunakan SAS pendelegasian pengguna jika memungkinkan. Untuk mengetahui informasi selengkapnya, lihat Memberikan akses terbatas ke data dengan tanda tangan akses bersama (SAS).
Artikel ini memperlihatkan cara menggunakan kredensial Microsoft Entra untuk membuat SAS delegasi pengguna untuk kontainer atau blob menggunakan pustaka klien Azure Storage untuk .NET.
Tentang Pendelegasian Pengguna SAS
Token SAS untuk akses ke kontainer atau blob dapat diamankan dengan menggunakan kredensial Microsoft Entra atau kunci akun. SAS yang diamankan dengan kredensial Microsoft Entra disebut SAS delegasi pengguna, karena token OAuth 2.0 yang digunakan untuk menandatangani SAS tersebut diminta atas nama pengguna.
Microsoft menyarankan agar Anda menggunakan kredensial Microsoft Entra jika memungkinkan sebagai praktik terbaik keamanan, daripada menggunakan kunci akun, yang dapat lebih mudah disusupi. Saat desain aplikasi Anda memerlukan tanda tangan akses bersama, gunakan kredensial Microsoft Entra untuk membuat SAS delegasi pengguna guna meningkatkan keamanan. Untuk informasi selengkapnya tentang delegasi pengguna SAS, lihat Membuat delegasi pengguna SAS.
Perhatian
Setiap klien yang memiliki SAS yang valid dapat mengakses data di akun penyimpanan Anda sebagaimana diizinkan oleh SAS tersebut. Penting untuk melindungi SAS dari penggunaan berbahaya atau tidak diinginkan. Gunakan kebijaksanaan dalam mendistribusikan SAS dan siapkan rencana untuk mencabut SAS yang telah disusupi.
Untuk informasi selengkapnya tentang tanda tangan akses bersama, lihat Berikan akses terbatas ke sumber daya Azure Storage dengan menggunakan tanda tangan akses berbagi (SAS).
Menetapkan peran Azure untuk akses ke data
Saat perwakilan keamanan Microsoft Entra mencoba mengakses data, prinsip keamanan tersebut harus memiliki izin ke sumber daya. Apakah prinsip keamanan adalah identitas terkelola di Azure atau akun pengguna Microsoft Entra yang menjalankan kode di lingkungan pengembangan, prinsip keamanan harus diberi peran Azure yang memberikan akses ke data. Untuk informasi tentang menetapkan izin melalui Azure RBAC, lihat Menetapkan peran Azure untuk akses ke data blob.
Menyiapkan proyek Anda
Untuk bekerja dengan contoh kode dalam artikel ini, ikuti langkah-langkah ini untuk menyiapkan proyek Anda.
Memasang paket
Instal paket berikut:
dotnet add package Azure.Identity
dotnet add package Azure.Storage.Blobs
Menyiapkan kode aplikasi
Tambahkan instruksi using berikut:
using Azure;
using Azure.Identity;
using Azure.Storage.Blobs;
using Azure.Storage.Blobs.Models;
using Azure.Storage.Blobs.Specialized;
using Azure.Storage.Sas;
Dapatkan kredensial token otentik
Untuk mendapatkan kredensial token yang dapat digunakan kode Anda untuk mengotorisasi permintaan ke Blob Storage, buat instans kelas DefaultAzureCredential . Untuk informasi selengkapnya tentang menggunakan kelas DefaultAzureCredential untuk mengotorisasi identitas terkelola untuk mengakses Blob Storage, lihat Pustaka klien Azure Identity untuk .NET.
Cuplikan kode berikut menunjukkan cara mendapatkan kredensial token otentik dan menggunakannya untuk membuat klien layanan penyimpanan Blob:
// Construct the blob endpoint from the account name.
string endpoint = $"https://{accountName}.blob.core.windows.net";
// Create a blob service client object using DefaultAzureCredential
BlobServiceClient blobServiceClient = new BlobServiceClient(
new Uri(endpoint),
new DefaultAzureCredential());
Untuk mempelajari selengkapnya tentang mengotorisasi akses ke Blob Storage dari aplikasi Anda dengan .NET SDK, lihat Cara mengautentikasi aplikasi .NET dengan layanan Azure.
Dapatkan kunci delegasi pengguna
Setiap SAS ditandatangani dengan kunci. Untuk membuat delegasi pengguna SAS, Anda harus terlebih dahulu meminta kunci delegasi pengguna, yang digunakan untuk menandatangani SAS. Kunci delegasi pengguna dianalogikan dengan kunci akun yang digunakan untuk menandatangani SAS layanan atau SAS akun, kecuali bahwa kunci tersebut bergantung pada kredensial Microsoft Entra Anda. Saat klien meminta kunci delegasi pengguna menggunakan token OAuth 2.0, Blob Storage mengembalikan kunci delegasi pengguna atas nama pengguna.
Setelah memiliki kunci delegasi pengguna, Anda dapat menggunakan kunci itu untuk membuat sejumlah tanda tangan akses bersama delegasi pengguna, selama masa hidup kunci. Kunci delegasi pengguna independen dari token OAuth 2.0 yang digunakan untuk memperolehnya, sehingga token tidak perlu diperpanjang jika kunci masih valid. Anda dapat menentukan lamanya waktu kunci tetap valid, hingga maksimum tujuh hari.
Gunakan salah satu metode berikut untuk meminta kunci delegasi pengguna:
Contoh kode berikut menunjukkan cara meminta kunci delegasi pengguna:
public static async Task<UserDelegationKey> RequestUserDelegationKey(
BlobServiceClient blobServiceClient)
{
// Get a user delegation key for the Blob service that's valid for 1 day
UserDelegationKey userDelegationKey =
await blobServiceClient.GetUserDelegationKeyAsync(
DateTimeOffset.UtcNow,
DateTimeOffset.UtcNow.AddDays(1));
return userDelegationKey;
}
Buat SAS delegasi pengguna
Anda dapat membuat SAS delegasi pengguna untuk kontainer atau blob, berdasarkan kebutuhan aplikasi Anda.
Setelah mendapatkan kunci delegasi pengguna, Anda dapat membuat SAS delegasi pengguna untuk mendelegasikan akses terbatas ke kontainer. Contoh kode berikut menunjukkan cara membuat SAS delegasi pengguna untuk kontainer:
public static async Task<Uri> CreateUserDelegationSASContainer(
BlobContainerClient containerClient,
UserDelegationKey userDelegationKey)
{
// Create a SAS token for the container resource that's also valid for 1 day
BlobSasBuilder sasBuilder = new BlobSasBuilder()
{
BlobContainerName = containerClient.Name,
Resource = "c",
StartsOn = DateTimeOffset.UtcNow,
ExpiresOn = DateTimeOffset.UtcNow.AddDays(1)
};
// Specify the necessary permissions
sasBuilder.SetPermissions(BlobSasPermissions.Read | BlobSasPermissions.Write);
// Add the SAS token to the blob URI
BlobUriBuilder uriBuilder = new BlobUriBuilder(containerClient.Uri)
{
// Specify the user delegation key
Sas = sasBuilder.ToSasQueryParameters(
userDelegationKey,
containerClient.GetParentBlobServiceClient().AccountName)
};
return uriBuilder.ToUri();
}
Menggunakan SAS delegasi pengguna untuk mengotorisasi objek klien
Anda dapat menggunakan SAS delegasi pengguna untuk mengotorisasi objek klien untuk melakukan operasi pada kontainer atau blob berdasarkan izin yang diberikan oleh SAS.
Berikut ini adalah contoh kode yang menunjukkan cara untuk mengotorisasi objek BlobContainerClient dengan menggunakan SAS delegasi pengguna. Objek klien ini dapat digunakan untuk melakukan operasi pada sumber daya kontainer berdasarkan izin yang diberikan oleh SAS.
// Create a Uri object with a user delegation SAS appended
BlobContainerClient containerClient = blobServiceClient
.GetBlobContainerClient("sample-container");
Uri containerSASURI = await CreateUserDelegationSASContainer(containerClient, userDelegationKey);
// Create a container client object with SAS authorization
BlobContainerClient containerClientSAS = new BlobContainerClient(containerSASURI);
Sumber
Untuk mempelajari selengkapnya tentang membuat SAS dengan delegasi pengguna menggunakan pustaka klien Azure Blob Storage dari .NET, lihat sumber daya berikut.
Sampel kode
Operasi REST API
Azure SDK untuk .NET berisi pustaka yang dibangun di atas Azure REST API, memungkinkan Anda berinteraksi dengan operasi REST API melalui paradigma .NET yang sudah dikenal. Metode pustaka klien untuk mendapatkan kunci delegasi pengguna menggunakan operasi REST API berikut:
- Dapatkan Kunci Delegasi Pengguna (REST API)
Sumber daya pustaka klien
Lihat juga
- Berikan akses terbatas ke sumber daya Azure Storage menggunakan tanda tangan akses bersama (SAS)
- Buat SAS untuk delegasi pengguna
Konten terkait
- Artikel ini adalah bagian dari panduan pengembang Blob Storage untuk .NET. Untuk mempelajari lebih lanjut, lihat daftar lengkap artikel panduan pengembang di Membangun aplikasi .NET Anda.