Een account-SAS maken met .NET

• .NET
• Java
• JavaScript
• Python

Met een Shared Access Signature (SAS) kunt u beperkte toegang verlenen tot containers en blobs in uw opslagaccount. Wanneer u een SAS maakt, geeft u de beperkingen op, waaronder welke Azure Storage-resources een client mag openen, welke machtigingen ze hebben voor deze resources en hoe lang de SAS geldig is.

Elke SAS is ondertekend met een sleutel. U kunt een SAS op twee manieren ondertekenen:

• Met een sleutel die is gemaakt met behulp van Microsoft Entra-referenties. Een SAS die is ondertekend met Microsoft Entra-referenties is een SAS voor gebruikersdelegatie . Aan een client die een SAS voor gebruikersdelegering maakt, moet een Azure RBAC-rol worden toegewezen die de actie Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey bevat. Zie Een SAS voor gebruikersdelegatie maken voor meer informatie.
• Met de sleutel van het opslagaccount. Zowel een service-SAS als een account-SAS zijn ondertekend met de sleutel van het opslagaccount. De client die een service-SAS maakt, moet directe toegang hebben tot de accountsleutel of de machtiging Microsoft.Storage/storageAccounts/listkeys/action toewijzen. Zie Een service-SAS maken of Een account-SAS maken voor meer informatie.

Notitie

Een SAS voor gebruikersdelegering biedt superieure beveiliging voor een SAS die is ondertekend met de sleutel van het opslagaccount. Microsoft raadt het gebruik van een SAS voor gebruikersdelegering aan, indien mogelijk. Zie Beperkte toegang verlenen tot gegevens met Shared Access Signatures (SAS) voor meer informatie.

In dit artikel wordt beschreven hoe u de sleutel van het opslagaccount gebruikt om een account-SAS te maken met de Azure Storage-clientbibliotheek voor .NET.

Over de ACCOUNT-SAS

Er wordt een account-SAS gemaakt op het niveau van het opslagaccount. Door een account-SAS te maken, kunt u het volgende doen:

• Gedelegeerdentoegang tot bewerkingen op serviceniveau die momenteel niet beschikbaar zijn met een servicespecifieke SAS, zoals Eigenschappen van blobservice ophalen, Eigenschappen van blobservice instellen en Blob-servicestatistieken ophalen.
• Gedelegeerdentoegang tot meer dan één service in een opslagaccount tegelijk. U kunt bijvoorbeeld toegang tot resources delegeren in zowel Azure Blob Storage als Azure Files met behulp van een account-SAS.

Opgeslagen toegangsbeleid wordt niet ondersteund voor een account-SAS.

Een account-SAS maken

Een account-SAS is ondertekend met de accounttoegangssleutel. U kunt de klasse StorageSharedKeyCredential gebruiken om de referentie te maken die wordt gebruikt om de SAS te ondertekenen.

In het volgende codevoorbeeld ziet u hoe u een nieuw AccountSasBuilder-object maakt en de methode ToSasQueryParameters aanroept om de SAS-tokentekenreeks voor het account op te halen.

public static async Task<string> CreateAccountSAS(StorageSharedKeyCredential sharedKey)
{
    // Create a SAS token that's valid for one day
    AccountSasBuilder sasBuilder = new AccountSasBuilder()
    {
        Services = AccountSasServices.Blobs | AccountSasServices.Queues,
        ResourceTypes = AccountSasResourceTypes.Service,
        ExpiresOn = DateTimeOffset.UtcNow.AddDays(1),
        Protocol = SasProtocol.Https
    };

    sasBuilder.SetPermissions(AccountSasPermissions.Read |
        AccountSasPermissions.Write);

    // Use the key to get the SAS token
    string sasToken = sasBuilder.ToSasQueryParameters(sharedKey).ToString();

    return sasToken;
}

Een account-SAS van een client gebruiken

Als u de account-SAS wilt gebruiken voor toegang tot API's op serviceniveau voor de Blob-service, maakt u een BlobServiceClient-object met behulp van de account-SAS en het Blob Storage-eindpunt voor uw opslagaccount.

string accountName = "<storage-account-name>";
string accountKey = "<storage-account-key>";
StorageSharedKeyCredential storageSharedKeyCredential =
    new(accountName, accountKey);

// Create a BlobServiceClient object with the account SAS appended
string blobServiceURI = $"https://{accountName}.blob.core.windows.net";
string sasToken = await CreateAccountSAS(storageSharedKeyCredential);
BlobServiceClient blobServiceClientAccountSAS = new BlobServiceClient(
    new Uri($"{blobServiceURI}?{sasToken}"));

Resources

Zie de volgende resources voor meer informatie over het maken van een account-SAS met behulp van de Azure Blob Storage-clientbibliotheek voor .NET.

Clientbibliotheekbronnen

• Referentiedocumentatie voor clientbibliotheek
• Broncode van clientbibliotheek
• Pakket (NuGet)

Zie ook

• Beperkte toegang verlenen tot Azure Storage-resources door middel van een SAS
• Een account-SAS maken
• Zie Codevoorbeelden met .NET-versie 11.x voor gerelateerde codevoorbeelden met .NET-versie 11.x.