Membuat delegasi pengguna SAS untuk kontainer atau blob dengan PowerShell

Tanda tangan akses bersama (SAS) memungkinkan Anda memberikan akses terbatas ke kontainer dan blob di akun penyimpanan Anda. Saat Anda membuat SAS, Anda menentukan batasannya, termasuk sumber daya Azure Storage mana yang diizinkan untuk diakses klien, izin apa yang mereka miliki pada sumber daya tersebut, dan berapa lama SAS valid.

Setiap SAS ditandatangani dengan kunci. Anda dapat menandatangani SAS dengan salah satu dari dua cara:

  • Dengan kunci yang dibuat menggunakan kredensial Microsoft Entra. SAS yang ditandatangani dengan kredensial Microsoft Entra adalah SAS delegasi pengguna. Klien yang membuat SAS delegasi pengguna harus diberi peran Azure RBAC yang menyertakan tindakan Microsoft.Storage /storageAccounts/blobServices/generateUserDelegationKey. Untuk mempelajari selengkapnya, lihat Membuat SAS delegasi pengguna.
  • Dengan kunci akun penyimpanan. SAS layanan dan SAS akun ditandatangani dengan kunci akun penyimpanan. Klien yang membuat SAS layanan harus memiliki akses langsung ke kunci akun atau ditetapkan izin microsoft.Storage/storageAccounts/listkeys/action. Untuk mempelajari selengkapnya, lihat Membuat layanan SAS atau Membuat SAS akun.

Catatan

Delegasi pengguna SAS menawarkan keamanan yang unggul untuk SAS yang ditandatangani dengan kunci akun penyimpanan. Microsoft merekomendasikan menggunakan SAS delegasi pengguna jika memungkinkan. Untuk mengetahui informasi selengkapnya, lihat Memberikan akses terbatas ke data dengan tanda tangan akses bersama (SAS).

Artikel ini memperlihatkan cara menggunakan kredensial Microsoft Entra untuk membuat SAS delegasi pengguna untuk kontainer atau blob dengan Azure PowerShell.

Tentang delegasi pengguna SAS

Token SAS untuk akses ke kontainer atau blob dapat diamankan dengan menggunakan kredensial Microsoft Entra atau kunci akun. SAS yang diamankan dengan kredensial Microsoft Entra disebut SAS delegasi pengguna, karena token OAuth 2.0 yang digunakan untuk menandatangani SAS diminta atas nama pengguna.

Microsoft menyarankan agar Anda menggunakan kredensial Microsoft Entra jika memungkinkan sebagai praktik terbaik keamanan, daripada menggunakan kunci akun, yang dapat lebih mudah disusupi. Saat desain aplikasi Anda memerlukan tanda tangan akses bersama, gunakan kredensial Microsoft Entra untuk membuat SAS delegasi pengguna untuk keamanan yang unggul. Untuk informasi selengkapnya tentang delegasi pengguna SAS, lihat Membuat delegasi pengguna SAS.

Perhatian

Setiap klien yang memiliki SAS yang valid dapat mengakses data di akun penyimpanan Anda sebagaimana diizinkan oleh SAS tersebut. Penting untuk melindungi SAS dari penggunaan berbahaya atau tidak diinginkan. Gunakan kebijaksanaan dalam mendistribusikan SAS, dan memiliki rencana untuk mencabut SAS yang disusupi.

Untuk informasi selengkapnya tentang tanda tangan akses bersama, lihat Berikan akses terbatas ke sumber daya Azure Storage dengan menggunakan tanda tangan akses berbagi (SAS).

Menginstal modul PowerShell

Untuk membuat SAS delegasi pengguna dengan PowerShell, instal modul Az.Storage versi 1.10.0 atau yang lebih baru. Ikuti langkah-langkah berikut untuk menginstal modul versi terbaru:

  1. Hapus instalasi Azure PowerShell sebelumnya:

    • Hapus penginstalan Azure PowerShell sebelumnya dari Windows menggunakan pengaturan Aplikasi & fitur di bawah Pengaturan.
    • Hapus semua modul Azure dari %Program Files%\WindowsPowerShell\Modules.
  2. Pastikan bahwa Anda menginstal PowerShellGet versi terbaru. Buka jendela Windows PowerShell dan jalankan perintah berikut untuk menginstal versi terbaru:

    Install-Module PowerShellGet -Repository PSGallery -Force
    
  3. Tutup dan buka kembali jendela PowerShell setelah menginstal PowerShellGet.

  4. Instal versi terbaru dari Azure PowerShell:

    Install-Module Az -Repository PSGallery -AllowClobber
    
  5. Pastikan Anda telah menginstal Azure PowerShell versi 3.2.0 atau yang lebih baru. Jalankan perintah berikut untuk menginstal modul Azure Storage PowerShell versi terbaru:

    Install-Module -Name Az.Storage -Repository PSGallery -Force
    
  6. Tutup dan buka kembali jendela PowerShell.

Untuk memeriksa versi modul Az.Storage yang terinstal, jalankan perintah berikut:

Get-Module -ListAvailable -Name Az.Storage -Refresh

Untuk informasi selengkapnya tentang instalasi PowerShell, lihat Instal Azure PowerShell di Windows dengan PowerShellGet.

Masuk ke Azure PowerShell dengan ID Microsoft Entra

Panggil perintah Koneksi-AzAccount untuk masuk dengan akun Microsoft Entra Anda:

Connect-AzAccount

Untuk informasi selengkapnya tentang masuk dengan PowerShell, lihat Masuk dengan Azure PowerShell.

Menetapkan izin dengan Azure RBAC

Untuk membuat SAS delegasi pengguna dari Azure PowerShell, akun Microsoft Entra yang digunakan untuk masuk ke PowerShell harus diberi peran yang menyertakan tindakan Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey . Izin ini memungkinkan akun Microsoft Entra untuk meminta kunci delegasi pengguna. Kunci delegasi pengguna digunakan untuk menandatangani SAS delegasi pengguna. Peran yang memberikan tindakan Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey harus ditetapkan pada tingkat akun penyimpanan, grup sumber daya, atau langganan. Untuk informasi selengkapnya tentang izin Azure RBAC untuk membuat SAS delegasi pengguna, lihat bagian Menetapkan izin dengan Azure RBAC pada Membuat SAS delegasi pengguna.

Jika Anda tidak memiliki izin yang memadai untuk menetapkan peran Azure ke perwakilan keamanan Microsoft Entra, Anda mungkin perlu meminta pemilik atau administrator akun untuk menetapkan izin yang diperlukan.

Contoh berikut menetapkan peran Kontributor Data Blob Penyimpanan yang menyertakan tindakan Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey. Peran ini tercakup pada tingkat akun penyimpanan.

Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>"

Untuk informasi selengkapnya tentang peran bawaan yang menyertakan tindakan Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey, lihat Peran bawaan Azure.

Menggunakan kredensial Microsoft Entra untuk mengamankan SAS

Saat Anda membuat SAS delegasi pengguna dengan Azure PowerShell, kunci delegasi pengguna yang digunakan untuk menandatangani SAS dibuat untuk Anda secara implisit. Waktu mulai dan waktu kedaluwarsa yang Anda tentukan untuk SAS juga digunakan sebagai waktu mulai dan waktu kedaluwarsa untuk kunci delegasi pengguna.

Karena interval maksimum di mana kunci delegasi pengguna valid adalah 7 hari dari tanggal mulai, Anda harus menentukan waktu kedaluwarsa untuk SAS dalam 7 hari dari waktu mulai. SAS tidak valid setelah kunci delegasi pengguna kedaluwarsa, sehingga SAS dengan waktu kedaluwarsa lebih dari 7 hari akan tetap berlaku selama 7 hari.

Untuk membuat SAS delegasi pengguna untuk kontainer atau blob dengan Azure PowerShell, terlebih dahulu buat objek konteks Azure Storage baru dengan menentukan parameter -UseConnectedAccount. Parameter -UseConnectedAccount menentukan bahwa perintah membuat objek konteks di bawah akun Microsoft Entra tempat Anda masuk.

Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:

$ctx = New-AzStorageContext -StorageAccountName <storage-account> -UseConnectedAccount

Membuat SAS delegasi pengguna untuk kontainer

Untuk mengembalikan token SAS delegasi pengguna untuk kontainer, panggil perintah New-AzStorageContainerSASToken yang meneruskan objek konteks Azure Storage yang Anda buat sebelumnya.

Contoh berikut mengembalikan token SAS delegasi pengguna untuk kontainer. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:

New-AzStorageContainerSASToken -Context $ctx `
    -Name <container> `
    -Permission racwdl `
    -ExpiryTime <date-time>

Token SAS delegasi pengguna yang dikembalikan akan serupa dengan:

?sv=2018-11-09&sr=c&sig=<sig>&skoid=<skoid>&sktid=<sktid>&skt=2019-08-05T22%3A24%3A36Z&ske=2019-08-07T07%3A
00%3A00Z&sks=b&skv=2018-11-09&se=2019-08-07T07%3A00%3A00Z&sp=rwdl

Membuat SAS delegasi pengguna untuk blob

Untuk mengembalikan token SAS delegasi pengguna untuk blob, panggil perintah New-AzStorageBlobSASToken yang meneruskan objek konteks Azure Storage yang Anda buat sebelumnya.

Sintaks berikut mengembalikan SAS delegasi pengguna untuk blob. Contoh tersebut menentukan parameter -FullUri yang mengembalikan URI blob dengan token SAS yang ditambahkan. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:

New-AzStorageBlobSASToken -Context $ctx `
    -Container <container> `
    -Blob <blob> `
    -Permission racwd `
    -ExpiryTime <date-time>
    -FullUri

URI SAS delegasi pengguna yang dikembalikan akan serupa dengan:

https://storagesamples.blob.core.windows.net/sample-container/blob1.txt?sv=2018-11-09&sr=b&sig=<sig>&skoid=<skoid>&sktid=<sktid>&skt=2019-08-06T21%3A16%3A54Z&ske=2019-08-07T07%3A00%3A00Z&sks=b&skv=2018-11-09&se=2019-08-07T07%3A00%3A00Z&sp=racwd

Catatan

SAS delegasi pengguna tidak mendukung penentuan izin dengan kebijakan akses yang disimpan.

Mencabut SAS delegasi pengguna

Untuk mencabut SAS delegasi pengguna dari Azure PowerShell, panggil perintah Revoke-AzStorageAccountUserDelegationKeys. Perintah ini mencabut semua kunci delegasi pengguna yang terkait dengan akun penyimpanan yang ditentukan. Tanda tangan akses bersama apa pun yang terkait dengan kunci tersebut tidak valid.

Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:

Revoke-AzStorageAccountUserDelegationKeys -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>

Penting

Kunci delegasi pengguna dan penetapan peran Azure di-cache oleh Azure Storage, sehingga mungkin ada penundaan antara saat Anda memulai proses pencabutan dan saat SAS delegasi pengguna yang ada menjadi tidak valid.

Langkah berikutnya