Crie um serviço SAS para um contêiner ou blob com Python

Uma SAS (Assinatura de Acesso Compartilhado) permite conceder acesso limitado a contêineres e blobs da conta de armazenamento. Ao criar uma SAS, você especificará suas restrições, inclusive que recursos do Armazenamento do Azure um cliente terá permissão para acessar, que permissões ele terá nesses recursos e por quanto tempo a SAS é válida.

Cada SAS é assinada com uma chave. Você pode assinar uma SAS de uma das duas maneiras:

• Com uma chave criada utilizando as credenciais do Microsoft Entra. Uma SAS assinada com credenciais do Microsoft Entra é uma SAS de delegação de usuário. É necessário atribuir um cliente que cria uma SAS de delegação de usuário a uma função RBAC do Azure que inclua a ação Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey. Para saber mais, consulte Criar uma SAS de delegação de usuário.
• Com uma chave da conta de armazenamento. Tanto uma SAS de serviço quanto uma SAS de conta são assinadas com a chave da conta de armazenamento. É necessário que o cliente que cria uma SAS de serviço tenha acesso direto à chave da conta ou receba a permissão Microsoft.Storage/storageAccounts/listkeys/action. Para saber mais, consulte Criar uma SAS de serviço ou Criar uma SAS de conta.

Observação

Uma SAS de delegação de usuário oferece mais segurança do que uma SAS que é assinada com a chave da conta de armazenamento. A Microsoft recomenda usar uma SAS de delegação de usuário quando possível. Para saber mais, confira Conceder acesso limitado a dados com assinaturas de acesso compartilhado (SAS).

Esse artigo mostra como usar a chave da conta de armazenamento para criar um serviço SAS para um contêiner ou blob com a biblioteca de cliente Blob Storage para Python.

Sobre a SAS de serviço

Uma SAS de serviço é assinada com a chave de acesso da conta de armazenamento. Uma SAS de serviço delega acesso a um recurso em um único serviço de Armazenamento do Microsoft Azure, como o Armazenamento de Blobs.

Você também pode usar uma política de acesso armazenada para definir as permissões e a duração da SAS. Se o nome de uma política de acesso armazenada existente for fornecido, essa política está associada com a SAS. Para saber mais sobre as políticas de acesso armazenadas, veja Definir uma política de acesso armazenada. Se nenhuma política de acesso armazenada for fornecida, os exemplos de código neste artigo mostrarão como definir permissões e duração para a SAS.

Criar uma SAS de serviço

Você pode criar uma SAS de serviço para um contêiner ou blob, com base nas necessidades do seu aplicativo.

Contêiner

Você pode criar uma SAS de serviço para delegar acesso limitado a um recurso de contêiner usando o seguinte método:

• generate_container_sas

A chave de acesso da conta de armazenamento usada para assinar a SAS é passada para o método como o argumento account_key. As permissões permitidas são passadas para o método como o argumento permission e são definidas na classe ContainerSasPermissions.

O exemplo de código a seguir mostra como criar uma SAS de serviço com permissões de leitura para um recurso de contêiner:

def create_service_sas_container(self, container_client: ContainerClient, account_key: str):
    # Create a SAS token that's valid for one day, as an example
    start_time = datetime.datetime.now(datetime.timezone.utc)
    expiry_time = start_time + datetime.timedelta(days=1)

    sas_token = generate_container_sas(
        account_name=container_client.account_name,
        container_name=container_client.container_name,
        account_key=account_key,
        permission=ContainerSasPermissions(read=True),
        expiry=expiry_time,
        start=start_time
    )

    return sas_token

Blob

Você pode criar uma SAS de serviço para delegar acesso limitado a um recurso de blob usando o seguinte método:

• generate_blob_sas

A chave de acesso da conta de armazenamento usada para assinar a SAS é passada para o método como o argumento account_key. As permissões permitidas são passadas para o método como o argumento permission e são definidas na classe BlobSasPermissions .

O exemplo de código a seguir mostra como criar uma SAS de serviço com permissões de leitura para um recurso de blob:

def create_service_sas_blob(self, blob_client: BlobClient, account_key: str):
    # Create a SAS token that's valid for one day, as an example
    start_time = datetime.datetime.now(datetime.timezone.utc)
    expiry_time = start_time + datetime.timedelta(days=1)

    sas_token = generate_blob_sas(
        account_name=blob_client.account_name,
        container_name=blob_client.container_name,
        blob_name=blob_client.blob_name,
        account_key=account_key,
        permission=BlobSasPermissions(read=True),
        expiry=expiry_time,
        start=start_time
    )

    return sas_token

Usar uma SAS de serviço para autorizar um objeto cliente

Você pode usar uma SAS de serviço para autorizar um objeto cliente a executar operações em um contêiner ou blob com base nas permissões concedidas pela SAS.

Contêiner

O exemplo de código a seguir mostra como usar a SAS de serviço criada no exemplo anterior para autorizar um objeto ContainerClient. Esse objeto cliente pode ser usado para executar operações no recurso de contêiner com base nas permissões concedidas pela SAS.

# The SAS token string can be appended to the resource URL with a ? delimiter
# or passed as the credential argument to the client constructor
sas_url = f"{container_client.url}?{sas_token}"

# Create a ContainerClient object with SAS authorization
container_client_sas = ContainerClient.from_container_url(container_url=sas_url)

Blob

O exemplo de código a seguir mostra como usar a SAS de serviço criada no exemplo anterior para autorizar um objeto BlobClient. Esse objeto de cliente pode ser usado para executar operações no recurso de blob com base nas permissões concedidas pela SAS.

# The SAS token string can be appended to the resource URL with a ? delimiter
# or passed as the credential argument to the client constructor
sas_url = f"{blob_client.url}?{sas_token}"

# Create a BlobClient object with SAS authorization
blob_client_sas = BlobClient.from_blob_url(blob_url=sas_url)

Recursos

Para saber mais sobre como usar a biblioteca cliente do Armazenamento de Blobs do Azure para Python, veja os seguintes recursos.

Exemplos de código

• Exibir exemplos de código deste artigo (GitHub)

Recursos da biblioteca de clientes

• Documentação de referência da biblioteca de clientes
• Código-fonte da biblioteca de clientes
• Pacote (NuGet)

Confira também

• Conceder acesso limitado aos recursos de Armazenamento do Azure usando as SAS (assinaturas de acesso compartilhado)
• Criar uma SAS de serviço