Dapatkan Kunci Delegasi Pengguna
Get User Delegation Key Operasi ini mendapatkan kunci yang dapat digunakan untuk menandatangani SAS delegasi pengguna (tanda tangan akses bersama). DELEGASI pengguna SAS memberikan akses ke sumber daya Azure Blob Storage dengan menggunakan kredensial Microsoft Entra. Operasi Get User Delegation Key ini tersedia dalam versi 2018-11-09 dan yang lebih baru.
Minta
Buat Get User Delegation Key sebagai berikut. HTTPS diperlukan. Ganti myaccount dengan nama akun penyimpanan Anda.
| URI permintaan metode POST | Versi HTTP |
|---|---|
https://myaccount.blob.core.windows.net/?restype=service&comp=userdelegationkey |
HTTP/1.1 |
Permintaan layanan penyimpanan yang ditimulasikan
Saat Anda membuat permintaan terhadap layanan penyimpanan lokal, tentukan nama host lokal dan port Blob Storage sebagai 127.0.0.1:10000, diikuti dengan nama akun penyimpanan lokal:
| URI permintaan metode POST | Versi HTTP |
|---|---|
http://127.0.0.1:10000/devstoreaccount1/?restype=service&comp=userdelegationkey |
HTTP/1.1 |
Untuk informasi selengkapnya, lihat Gunakan emulator Azurite untuk pengembangan Microsoft Azure Storage lokal.
Parameter URI
Parameter tambahan berikut dapat ditentukan pada URI permintaan.
| Parameter | Deskripsi |
|---|---|
timeout |
Opsional. Parameter timeout dinyatakan dalam hitung detik. Untuk informasi selengkapnya, lihat Mengatur waktu habis untuk operasi Blob Storage. |
Header permintaan
Tabel berikut ini menjelaskan header permintaan yang diperlukan dan opsional.
| Meminta kop | Deskripsi |
|---|---|
Authorization |
Wajib diisi. Menentukan skema otorisasi. Hanya otorisasi dengan Microsoft Entra ID yang didukung. Untuk informasi selengkapnya, lihat Mengotorisasi dengan Microsoft Entra ID. |
x-ms-version |
Diperlukan untuk semua permintaan yang diotorisasi. Untuk informasi selengkapnya, lihat Penerapan versi untuk layanan Azure Storage. |
x-ms-client-request-id |
Opsional. Menyediakan nilai buram yang dihasilkan klien dengan batas karakter 1 kibibyte (KiB) yang dicatat dalam log saat pengelogan dikonfigurasi. Kami sangat menyarankan Anda menggunakan header ini untuk menghubungkan aktivitas sisi klien dengan permintaan yang diterima server. Untuk informasi selengkapnya, lihat Memantau Azure Blob Storage. |
Isi permintaan
Format isi permintaan adalah sebagai berikut:
<?xml version="1.0" encoding="utf-8"?>
<KeyInfo>
<Start>String, formatted ISO Date</Start>
<Expiry>String, formatted ISO Date </Expiry>
</KeyInfo>
Elemen isi permintaan dijelaskan dalam tabel berikut:
| Elemen | Deskripsi |
|---|---|
| Mulai | Wajib diisi. Waktu mulai untuk SAS delegasi pengguna, dalam format tanggal ISO. Ini harus merupakan tanggal dan waktu yang valid dalam waktu tujuh hari dari tanggal saat ini. |
| Kedaluwarsa | Wajib diisi. Waktu kedaluwarsa SAS delegasi pengguna, dalam format tanggal ISO. Ini harus merupakan tanggal dan waktu yang valid dalam waktu tujuh hari dari tanggal saat ini. |
Respons
Respons mencakup kode status HTTP dan sekumpulan header respons.
Kode status
Operasi yang berhasil mengembalikan kode status 200 (OK).
Untuk informasi selengkapnya tentang kode status, lihat Kode status dan kesalahan.
Header respons
Respons untuk operasi ini mencakup header berikut. Respons juga dapat mencakup header HTTP standar tambahan. Semua header standar sesuai dengan spesifikasi protokol HTTP/1.1.
| Header respons | Deskripsi |
|---|---|
x-ms-request-id |
Secara unik mengidentifikasi permintaan yang dibuat dan dapat digunakan untuk memecahkan masalah permintaan. Untuk informasi selengkapnya, lihat Memecahkan masalah operasi API. |
x-ms-version |
Versi Blob Storage yang digunakan untuk menjalankan permintaan. |
Date |
Nilai tanggal/waktu UTC yang dihasilkan oleh layanan, yang menunjukkan waktu saat respons dimulai. |
x-ms-client-request-id |
Dapat digunakan untuk memecahkan masalah permintaan dan respons yang sesuai. Nilai header ini sama dengan nilai x-ms-client-request-id header jika ada dalam permintaan dan nilainya berisi tidak lebih dari 1.024 karakter ASCII yang terlihat. x-ms-client-request-id Jika header tidak ada dalam permintaan, header tidak akan ada dalam respons. |
Isi Respons
Format isi respons adalah sebagai berikut:
<?xml version="1.0" encoding="utf-8"?>
<UserDelegationKey>
<SignedOid>String containing a GUID value</SignedOid>
<SignedTid>String containing a GUID value</SignedTid>
<SignedStart>String formatted as ISO date</SignedStart>
<SignedExpiry>String formatted as ISO date</SignedExpiry>
<SignedService>b</SignedService>
<SignedVersion>String specifying REST api version to use to create the user delegation key</SignedVersion>
<Value>String containing the user delegation key</Value>
</UserDelegationKey>
Elemen isi respons dijelaskan dalam tabel berikut:
| Elemen | Deskripsi |
|---|---|
| SignedOid | Pengidentifikasi yang tidak dapat diubah untuk objek dalam sistem identitas Microsoft. |
| SignedTid | GUID yang mewakili penyewa Microsoft Entra asal pengguna. |
| SignedStart | Waktu mulai kunci delegasi pengguna, dalam format tanggal ISO. |
| SignedExpiry | Waktu kedaluwarsa kunci delegasi pengguna, dalam format tanggal ISO. |
| SignedService | Layanan tempat kunci delegasi pengguna dapat digunakan, di mana b mewakili Blob Storage. |
| SignedVersion | Versi REST API yang digunakan untuk mendapatkan kunci delegasi pengguna. |
| Nilai | Kunci delegasi pengguna. |
Authorization
Otorisasi diperlukan saat memanggil operasi akses data apa pun di Azure Storage. Anda hanya dapat mengotorisasi Get User Delegation Key operasi menggunakan Microsoft Entra ID.
Izin
Prinsip keamanan yang meminta kunci delegasi pengguna harus memiliki izin yang sesuai untuk melakukannya. Prinsip keamanan Microsoft Entra mungkin pengguna, grup, perwakilan layanan, atau identitas terkelola.
Tercantum di bawah ini adalah tindakan RBAC yang diperlukan agar prinsip keamanan Microsoft Entra memanggil Get User Delegation Key operasi, dan peran Azure RBAC bawaan yang paling tidak istimewa yang mencakup tindakan ini:
- Tindakan Azure RBAC:Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action
- Peran bawaan dengan hak istimewa paling sedikit:Delegator Blob Penyimpanan
Setiap peran bawaan yang menyertakan tindakan Azure RBAC ini, baik secara eksplisit atau sebagai bagian dari definisi kartubebas, diizinkan untuk memanggil Get User Delegation Key operasi.
Untuk mempelajari selengkapnya tentang menetapkan peran menggunakan Azure RBAC, lihat Menetapkan peran Azure untuk akses ke data blob.
Get User Delegation Key Karena operasi bertindak pada tingkat akun penyimpanan, tindakan Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey harus dilingkupkan pada tingkat akun penyimpanan, grup sumber daya, atau langganan. Jika prinsip keamanan diberi salah satu peran bawaan yang tercantum sebelumnya, atau peran kustom yang menyertakan tindakan Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey , pada tingkat akun penyimpanan, grup sumber daya, atau langganan, prinsip keamanan akan dapat meminta kunci delegasi pengguna.
Jika prinsip keamanan diberi peran yang mengizinkan akses data tetapi terlingkup ke tingkat kontainer, Anda juga dapat menetapkan peran Delegator Blob Penyimpanan ke prinsip keamanan tersebut di tingkat akun penyimpanan, grup sumber daya, atau langganan. Peran Delegator Blob Penyimpanan memberikan izin utama keamanan untuk meminta kunci delegasi pengguna.
Untuk informasi selengkapnya tentang peran RBAC untuk Azure Storage, lihat Mengotorisasi dengan Azure Active Directory.
Keterangan
Gunakan kunci delegasi pengguna untuk membuat SAS delegasi pengguna. Sertakan bidang yang dikembalikan pada respons terhadap Get User Delegation Key dalam token SAS delegasi pengguna. Untuk informasi selengkapnya, lihat Membuat delegasi pengguna SAS.
Kunci delegasi pengguna tidak dapat digunakan untuk mengakses sumber daya Blob Storage secara langsung.
Billing
Permintaan harga dapat berasal dari klien yang menggunakan API Blob Storage, baik langsung melalui BLob Storage REST API, atau dari pustaka klien Azure Storage. Permintaan ini mengumpulkan biaya per transaksi. Jenis transaksi memengaruhi bagaimana akun ditagih. Misalnya, membaca transaksi bertambah ke kategori penagihan yang berbeda dari transaksi tulis. Tabel berikut ini memperlihatkan kategori penagihan untuk Get User Delegation Key permintaan berdasarkan jenis akun penyimpanan:
| Operasi | Jenis akun penyimpanan | Kategori penagihan |
|---|---|---|
| Dapatkan Kunci Delegasi Pengguna | Objek besar biner blok premium Tujuan umum standar v2 |
Operasi lainnya |
| Dapatkan Kunci Delegasi Pengguna | Tujuan umum standar v1 | Membacakan operasi |
Untuk mempelajari tentang harga untuk kategori penagihan yang ditentukan, lihat harga Azure Blob Storage.