Delen via


Een service-SAS maken voor een container of blob met Python

Met een Shared Access Signature (SAS) kunt u beperkte toegang verlenen tot containers en blobs in uw opslagaccount. Wanneer u een SAS maakt, geeft u de beperkingen op, waaronder welke Azure Storage-resources een client mag openen, welke machtigingen ze hebben voor deze resources en hoe lang de SAS geldig is.

Elke SAS is ondertekend met een sleutel. U kunt een SAS op twee manieren ondertekenen:

  • Met een sleutel die is gemaakt met behulp van Microsoft Entra-referenties. Een SAS die is ondertekend met Microsoft Entra-referenties is een SAS voor gebruikersdelegatie . Aan een client die een SAS voor gebruikersdelegering maakt, moet een Azure RBAC-rol worden toegewezen die de actie Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey bevat. Zie Een SAS voor gebruikersdelegatie maken voor meer informatie.
  • Met de sleutel van het opslagaccount. Zowel een service-SAS als een account-SAS zijn ondertekend met de sleutel van het opslagaccount. De client die een service-SAS maakt, moet directe toegang hebben tot de accountsleutel of de machtiging Microsoft.Storage/storageAccounts/listkeys/action toewijzen. Zie Een service-SAS maken of Een account-SAS maken voor meer informatie.

Notitie

Een SAS voor gebruikersdelegering biedt superieure beveiliging voor een SAS die is ondertekend met de sleutel van het opslagaccount. Microsoft raadt het gebruik van een SAS voor gebruikersdelegering aan, indien mogelijk. Zie Beperkte toegang verlenen tot gegevens met Shared Access Signatures (SAS) voor meer informatie.

In dit artikel wordt beschreven hoe u de sleutel van het opslagaccount gebruikt om een service-SAS te maken voor een container of blob met de Blob Storage-clientbibliotheek voor Python.

Over de service-SAS

Een service-SAS is ondertekend met de toegangssleutel van het opslagaccount. Een service-SAS delegeert de toegang tot een resource in één Azure Storage-service, zoals Blob Storage.

U kunt ook een opgeslagen toegangsbeleid gebruiken om de machtigingen en duur van de SAS te definiëren. Als de naam van een bestaand opgeslagen toegangsbeleid wordt opgegeven, is dat beleid gekoppeld aan de SAS. Zie Een opgeslagen toegangsbeleid definiëren voor meer informatie over opgeslagen toegangsbeleid. Als er geen opgeslagen toegangsbeleid is opgegeven, ziet u in de codevoorbeelden in dit artikel hoe u machtigingen en duur voor de SAS definieert.

Een service-SAS maken

U kunt een service-SAS maken voor een container of blob, op basis van de behoeften van uw app.

U kunt een service-SAS maken om beperkte toegang tot een containerresource te delegeren met behulp van de volgende methode:

De toegangssleutel voor het opslagaccount dat wordt gebruikt om de SAS te ondertekenen, wordt als argument account_key doorgegeven aan de methode. Toegestane machtigingen worden als argument permission doorgegeven aan de methode en worden gedefinieerd in de klasse ContainerSasPermissions .

In het volgende codevoorbeeld ziet u hoe u een service-SAS maakt met leesmachtigingen voor een containerresource:

def create_service_sas_container(self, container_client: ContainerClient, account_key: str):
    # Create a SAS token that's valid for one day, as an example
    start_time = datetime.datetime.now(datetime.timezone.utc)
    expiry_time = start_time + datetime.timedelta(days=1)

    sas_token = generate_container_sas(
        account_name=container_client.account_name,
        container_name=container_client.container_name,
        account_key=account_key,
        permission=ContainerSasPermissions(read=True),
        expiry=expiry_time,
        start=start_time
    )

    return sas_token

Een service-SAS gebruiken om een clientobject te autoriseren

U kunt een service-SAS gebruiken om een clientobject te autoriseren om bewerkingen uit te voeren op een container of blob op basis van de machtigingen die zijn verleend door de SAS.

In het volgende codevoorbeeld ziet u hoe u de service-SAS gebruikt die in het eerdere voorbeeld is gemaakt om een ContainerClient-object te autoriseren. Dit clientobject kan worden gebruikt om bewerkingen uit te voeren op de containerresource op basis van de machtigingen die zijn verleend door de SAS.

# The SAS token string can be appended to the resource URL with a ? delimiter
# or passed as the credential argument to the client constructor
sas_url = f"{container_client.url}?{sas_token}"

# Create a ContainerClient object with SAS authorization
container_client_sas = ContainerClient.from_container_url(container_url=sas_url)

Resources

Zie de volgende resources voor meer informatie over het gebruik van de Azure Blob Storage-clientbibliotheek voor Python.

Codevoorbeelden

Clientbibliotheekbronnen

Zie ook