Creare una firma di accesso condiviso di delega utente per un contenitore o un BLOB con .NET

• .NET
• Java
• Python

Una firma di accesso condiviso (SAS) permette all'utente di concedere l'accesso limitato a contenitori e BLOB nell'account di archiviazione. Quando si crea una firma di accesso condiviso, si specificano i relativi vincoli, incluse le risorse di Archiviazione di Azure alle quali un client è autorizzato ad accedere, le autorizzazioni di cui dispone per tali risorse e la durata della validità della firma di accesso condiviso.

Ogni firma di accesso condiviso viene firmata con una chiave. Questa operazione può essere eseguita in due modi:

• Con una chiave creata utilizzando le credenziali di Microsoft Entra. Una firma di accesso condiviso firmata con le credenziali di Microsoft Entra è una firma di accesso condiviso di delega utente. A un client che crea una firma di accesso condiviso di delega utente deve essere assegnato un ruolo di Controllo degli accessi in base al ruolo di Azure che include l'azione Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey. Per altre informazioni, vedere Creare una firma di accesso condiviso di delega utente.
• Con la chiave dell'account di archiviazione. Una firma di accesso condiviso del servizio e una firma di accesso condiviso dell'account, vengono entrambe firmate con la chiave dell'account di archiviazione. Il client che crea una firma di accesso condiviso del servizio deve avere accesso diretto alla chiave dell'account o disporre dell'autorizzazione Microsoft.Storage/storageAccounts/listkeys/action. Per altre informazioni, vedere Creare una firma di accesso condiviso del servizio oppure Creare una firma di accesso condiviso dell'account.

Nota

Una firma di accesso condiviso di delega utente offre una protezione maggiore rispetto a una firma di accesso condiviso firmata con la chiave dell'account di archiviazione. Quando possibile, Microsoft consiglia di usare una firma di accesso condiviso di delega utente. Per altre informazioni, vedere Concedere accesso limitato ai dati con firme di accesso condiviso.

Questo articolo illustra come usare le credenziali di Microsoft Entra per creare una firma di accesso condiviso di delega utente per un contenitore o un BLOB usando la libreria client di Archiviazione di Azure per .NET.

Informazioni sulla firma di accesso condiviso di delega utente

Un token di firma di accesso condiviso per l'accesso a un contenitore o a un BLOB può essere protetto utilizzando le credenziali di Microsoft Entra o una chiave dell'account. Una firma di accesso condiviso protetta con le credenziali di Microsoft Entra è denominata firma di accesso condiviso di delega utente, perché il token OAuth 2.0 utilizzato per firmarla viene richiesto per conto dell'utente.

Microsoft raccomanda di usare le credenziali di Microsoft Entra, quando è possibile, come procedura consigliata per la sicurezza, invece di usare la chiave dell'account, che può essere compromessa più facilmente. Quando la progettazione dell'applicazione richiede firme di accesso condiviso, utilizzare le credenziali di Microsoft Entra per creare una firma di accesso condiviso di delega utente, per garantire maggiore sicurezza. Per altre informazioni sulla firma di accesso condiviso di delega utente, vedere Creare una firma di accesso condiviso di delega utente.

Attenzione

Qualsiasi client che disponga di una firma di accesso condiviso valida può accedere ai dati nell'account di archiviazione, in base alle autorizzazioni di tale firma. È importante proteggere una firma di accesso condiviso da eventi dannosi o imprevisti. Prestare attenzione durante la distribuzione di una firma di accesso condiviso e predisporre un piano di revoca di eventuali firme di accesso condiviso compromesse.

Per altre informazioni sulle firme di accesso condiviso, vedere Concedere accesso limitato alle risorse di archiviazione di Azure tramite firme di accesso condiviso.

Assegnare ruoli di Azure per l'accesso ai dati

Quando un'entità di sicurezza di Microsoft Entra tenta di accedere ai dati, tale entità deve avere le autorizzazioni per la risorsa. Se l'entità di sicurezza è un'identità gestita in Azure o un account utente Microsoft Entra che esegue codice nell'ambiente di sviluppo, all'entità di sicurezza deve essere assegnato un ruolo di Azure che concede l'accesso ai dati. Per informazioni sull'assegnazione delle autorizzazioni tramite il controllo degli accessi in base al ruolo di Azure, vedere Assegnare un ruolo di Azure per l'accesso ai dati BLOB.

Impostare il progetto

Per usare gli esempi di codice in questo articolo, seguire questa procedura per configurare il progetto.

Installare i pacchetti

Installare i pacchetti seguenti:

CLI .NET

dotnet add package Azure.Identity
dotnet add package Azure.Storage.Blobs

PowerShell

Install-Package Azure.Identity
Install-Package Azure.Storage.Blobs

Configurare il codice dell'app

Aggiungere le direttive using seguenti:

using Azure;
using Azure.Identity;
using Azure.Storage.Blobs;
using Azure.Storage.Blobs.Models;
using Azure.Storage.Blobs.Specialized;
using Azure.Storage.Sas;

Ottenere una credenziale del token autenticato

Per ottenere le credenziali del token che il codice può usare per autorizzare le richieste all'archiviazione BLOB, creare un'istanza della classe DefaultAzureCredential. Per altre informazioni sull'uso della classe DefaultAzureCredential per autorizzare un'identità gestita ad accedere all'archiviazione BLOB, vedere Libreria client di Identità di Azure per .NET.

Il frammento di codice seguente illustra come ottenere le credenziali del token autenticato e usarlo per creare un client del servizio per l'archiviazione BLOB:

// Construct the blob endpoint from the account name.
string endpoint = $"https://{accountName}.blob.core.windows.net";

// Create a blob service client object using DefaultAzureCredential
BlobServiceClient blobServiceClient = new BlobServiceClient(
    new Uri(endpoint),
    new DefaultAzureCredential());

Per altre informazioni sull'autorizzazione dell'accesso all'archiviazione BLOB dalle applicazioni con .NET SDK, vedere Come autenticare le applicazioni .NET con i servizi di Azure.

Ottenere la chiave di delega utente

Ogni firma di accesso condiviso viene firmata con una chiave. Per creare una firma di accesso condiviso di delega utente, in primo luogo è necessario richiedere una chiave di delega utente, che viene quindi utilizzata per firmare la firma di accesso condiviso. La chiave di delega utente è analoga alla chiave dell'account utilizzata per firmare una firma di accesso condiviso del servizio o dell'account, a eccezione del fatto che essa si basa sulle credenziali di Microsoft Entra. Quando un client richiede una chiave di delega utente utilizzando un token OAuth 2.0, l'Archivio BLOB restituisce la chiave di delega utente per conto dell'utente.

Dopo aver ottenuto la chiave di delega utente, è possibile utilizzarla per creare un numero qualsiasi di firme di accesso condiviso di delega utente, per l'intera durata della chiave. La chiave di delega utente è indipendente dal token OAuth 2.0 utilizzato per acquisirla, quindi non è necessario rinnovare il token se la chiave è ancora valida. È possibile specificare l'intervallo di tempo di validità della chiave, fino a un massimo di sette giorni.

Utilizzare uno dei metodi seguenti per richiedere la chiave di delega utente:

• GetUserDelegationKey
• GetUserDelegationKeyAsync

Nell'esempio di codice seguente viene illustrato come richiedere la chiave di delega utente:

public static async Task<UserDelegationKey> RequestUserDelegationKey(
    BlobServiceClient blobServiceClient)
{
    // Get a user delegation key for the Blob service that's valid for 1 day
    UserDelegationKey userDelegationKey =
        await blobServiceClient.GetUserDelegationKeyAsync(
            DateTimeOffset.UtcNow,
            DateTimeOffset.UtcNow.AddDays(1));

    return userDelegationKey;
}

Creare una firma di accesso condiviso di delega utente

È possibile creare una firma di accesso condiviso di delega utente per un contenitore o un BLOB, in base alle esigenze dell'app.

Contenitore

Dopo aver ottenuto la chiave di delega utente, è possibile creare una firma di accesso condiviso di delega utente per delegare l'accesso limitato a un contenitore. L'esempio di codice seguente illustra come creare una firma di accesso condiviso di delega utente per un contenitore:

public static async Task<Uri> CreateUserDelegationSASContainer(
    BlobContainerClient containerClient,
    UserDelegationKey userDelegationKey)
{
    // Create a SAS token for the container resource that's also valid for 1 day
    BlobSasBuilder sasBuilder = new BlobSasBuilder()
    {
        BlobContainerName = containerClient.Name,
        Resource = "c",
        StartsOn = DateTimeOffset.UtcNow,
        ExpiresOn = DateTimeOffset.UtcNow.AddDays(1)
    };

    // Specify the necessary permissions
    sasBuilder.SetPermissions(BlobSasPermissions.Read | BlobSasPermissions.Write);

    // Add the SAS token to the blob URI
    BlobUriBuilder uriBuilder = new BlobUriBuilder(containerClient.Uri)
    {
        // Specify the user delegation key
        Sas = sasBuilder.ToSasQueryParameters(
            userDelegationKey,
            containerClient.GetParentBlobServiceClient().AccountName)
    };

    return uriBuilder.ToUri();
}

BLOB

Dopo aver ottenuto la chiave di delega utente, è possibile creare una firma di accesso condiviso di delega utente per delegare accesso limitato a un BLOB. Nell’esempio di codice seguente, viene illustrato come creare una firma di accesso condiviso di delega utente per un BLOB:

public static async Task<Uri> CreateUserDelegationSASBlob(
    BlobClient blobClient,
    UserDelegationKey userDelegationKey)
{
    // Create a SAS token for the blob resource that's also valid for 1 day
    BlobSasBuilder sasBuilder = new BlobSasBuilder()
    {
        BlobContainerName = blobClient.BlobContainerName,
        BlobName = blobClient.Name,
        Resource = "b",
        StartsOn = DateTimeOffset.UtcNow,
        ExpiresOn = DateTimeOffset.UtcNow.AddDays(1)
    };

    // Specify the necessary permissions
    sasBuilder.SetPermissions(BlobSasPermissions.Read | BlobSasPermissions.Write);

    // Add the SAS token to the blob URI
    BlobUriBuilder uriBuilder = new BlobUriBuilder(blobClient.Uri)
    {
        // Specify the user delegation key
        Sas = sasBuilder.ToSasQueryParameters(
            userDelegationKey,
            blobClient
            .GetParentBlobContainerClient()
            .GetParentBlobServiceClient().AccountName)
    };

    return uriBuilder.ToUri();
}

Utilizzare una firma di accesso condiviso di delega utente per autorizzare un oggetto client

È possibile usare una firma di accesso condiviso di delega utente per autorizzare un oggetto client a eseguire operazioni su un contenitore o un BLOB in base alle autorizzazioni concesse dalla firma di accesso condiviso.

Contenitore

L'esempio di codice seguente illustra come usare la firma di accesso condiviso della delega utente per autorizzare un oggetto BlobContainerClient. Questo oggetto client può essere usato per eseguire operazioni sulla risorsa contenitore in base alle autorizzazioni concesse dalla firma di accesso condiviso.

// Create a Uri object with a user delegation SAS appended
BlobContainerClient containerClient = blobServiceClient
    .GetBlobContainerClient("sample-container");
Uri containerSASURI = await CreateUserDelegationSASContainer(containerClient, userDelegationKey);

// Create a container client object with SAS authorization
BlobContainerClient containerClientSAS = new BlobContainerClient(containerSASURI);

BLOB

L’esempio di codice seguente illustra come usare la firma di accesso condiviso di delega utente per autorizzare un oggetto BlobClient. Questo oggetto client può essere usato per eseguire operazioni sulla risorsa BLOB in base alle autorizzazioni concesse dalla firma di accesso condiviso.

// Create a Uri object with a user delegation SAS appended
BlobClient blobClient = blobServiceClient
    .GetBlobContainerClient("sample-container")
    .GetBlobClient("sample-blob.txt");
Uri blobSASURI = await CreateUserDelegationSASBlob(blobClient, userDelegationKey);

// Create a blob client object with SAS authorization
BlobClient blobClientSAS = new BlobClient(blobSASURI);

Risorse

Per altre informazioni sulla creazione di una firma di accesso condiviso di delega utente tramite la libreria client di Archiviazione BLOB di Azure per .NET, vedere le risorse seguenti.

Esempi di codice

• Vedere gli esempi di codice di questo articolo (GitHub)

Operazioni dell'API REST

Azure SDK per .NET contiene librerie basate sull'API REST di Azure che consentono di interagire con le operazioni dell'API REST tramite paradigmi .NET noti. Il metodo della libreria client per ottenere una chiave di delega utente utilizza le seguenti operazioni API REST:

• Ottenere la chiave di delega utente (API REST)

Risorse libreria client

• Documentazione di riferimento della libreria client
• Codice sorgente della libreria client
• Pacchetto (NuGet)

Vedi anche

• Concedere accesso limitato alle risorse di Archiviazione di Azure tramite firme di accesso condiviso
• Creare una firma di accesso condiviso di delega utente

Contenuto correlato

• Questo articolo fa parte della Guida per sviluppatori di Archiviazione BLOB per .NET. Per altre informazioni, vedere l’elenco completo degli articoli della Guida per sviluppatori inCreare la propria app .NET.