Criar uma delegação de usuário SAS para um blob com Java
Uma assinatura de acesso compartilhado (SAS) permite que você conceda acesso limitado a contêineres e blobs em sua conta de armazenamento. Ao criar uma SAS, você especifica suas restrições, incluindo quais recursos do Armazenamento do Azure um cliente tem permissão para acessar, quais permissões eles têm nesses recursos e por quanto tempo a SAS é válida.
Cada SAS é assinado com uma chave. Você pode assinar uma SAS de duas maneiras:
- Com uma chave criada usando credenciais do Microsoft Entra. Uma SAS assinada com credenciais do Microsoft Entra é uma SAS de delegação de usuário. Um cliente que cria uma SAS de delegação de usuário deve receber uma função RBAC do Azure que inclua a ação Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey. Para saber mais, consulte Criar uma SAS de delegação de usuário.
- Com a chave da conta de armazenamento. Tanto uma SAS de serviço quanto uma SAS de conta são assinadas com a chave da conta de armazenamento. O cliente que cria uma SAS de serviço deve ter acesso direto à chave da conta ou receber a permissão Microsoft.Storage/storageAccounts/listkeys/action . Para saber mais, consulte Criar uma SAS de serviço ou Criar uma SAS de conta.
Nota
Uma SAS de delegação de usuário oferece segurança superior a uma SAS assinada com a chave da conta de armazenamento. A Microsoft recomenda o uso de uma SAS de delegação de usuário quando possível. Para obter mais informações, consulte Conceder acesso limitado a dados com assinaturas de acesso compartilhado (SAS).
Este artigo mostra como usar as credenciais do Microsoft Entra para criar uma SAS de delegação de usuário para um blob usando a biblioteca de cliente do Armazenamento do Azure para Java.
Sobre a delegação de usuários SAS
Um token SAS para acesso a um contêiner ou blob pode ser protegido usando credenciais do Microsoft Entra ou uma chave de conta. Uma SAS protegida com credenciais do Microsoft Entra é chamada de SAS de delegação de usuário, porque o token OAuth 2.0 usado para assinar a SAS é solicitado em nome do usuário.
A Microsoft recomenda que você use as credenciais do Microsoft Entra quando possível como uma prática recomendada de segurança, em vez de usar a chave da conta, que pode ser comprometida mais facilmente. Quando o design do aplicativo exigir assinaturas de acesso compartilhado, use as credenciais do Microsoft Entra para criar uma SAS de delegação de usuário para segurança superior. Para obter mais informações sobre a SAS de delegação de usuário, consulte Criar uma SAS de delegação de usuário.
Atenção
Qualquer cliente que possua uma SAS válida pode aceder aos dados na sua conta de armazenamento conforme permitido por essa SAS. É importante proteger um SAS contra uso mal-intencionado ou não intencional. Use discrição na distribuição de um SAS e tenha um plano para revogar um SAS comprometido.
Para obter mais informações sobre assinaturas de acesso compartilhado, consulte Conceder acesso limitado aos recursos do Armazenamento do Azure usando assinaturas de acesso compartilhado (SAS).
Atribuir funções do Azure para acesso a dados
Quando uma entidade de segurança do Microsoft Entra tenta acessar dados de blob, essa entidade de segurança deve ter permissões para o recurso. Quer a entidade de segurança seja uma identidade gerenciada no Azure ou uma conta de usuário do Microsoft Entra executando código no ambiente de desenvolvimento, a entidade de segurança deve receber uma função do Azure que conceda acesso a dados de blob. Para obter informações sobre como atribuir permissões por meio do RBAC do Azure, consulte Atribuir uma função do Azure para acesso a dados de blob.
Configure o seu projeto
Para trabalhar com os exemplos de código neste artigo, adicione as seguintes diretivas de importação:
import com.azure.storage.blob.*;
import com.azure.storage.blob.models.*;
import com.azure.storage.blob.sas.*;
Obter uma credencial de token autenticada
Para obter uma credencial de token que seu código pode usar para autorizar solicitações ao Armazenamento de Blob, crie uma instância da classe DefaultAzureCredential . Para obter mais informações sobre como usar a classe DefaultAzureCredential para autorizar uma identidade gerenciada para acessar o Armazenamento de Blob, consulte Biblioteca de cliente do Azure Identity para Java.
O trecho de código a seguir mostra como obter a credencial de token autenticada e usá-la para criar um cliente de serviço para armazenamento de Blob:
BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
.endpoint("https://<storage-account-name>.blob.core.windows.net/")
.credential(new DefaultAzureCredentialBuilder().build())
.buildClient();
Para saber mais sobre como autorizar o acesso ao Armazenamento de Blob a partir de seus aplicativos com o Java SDK, consulte Autenticação do Azure com Java e Identidade do Azure.
Obter a chave de delegação do usuário
Cada SAS é assinado com uma chave. Para criar uma SAS de delegação de usuário, você deve primeiro solicitar uma chave de delegação de usuário, que é usada para assinar a SAS. A chave de delegação do usuário é análoga à chave de conta usada para assinar uma SAS de serviço ou uma SAS de conta, exceto que ela depende de suas credenciais do Microsoft Entra. Quando um cliente solicita uma chave de delegação de usuário usando um token OAuth 2.0, o Armazenamento de Blob retorna a chave de delegação do usuário em nome do usuário.
Depois de ter a chave de delegação do usuário, você pode usar essa chave para criar qualquer número de assinaturas de acesso compartilhado de delegação de usuário, ao longo do tempo de vida da chave. A chave de delegação do usuário é independente do token OAuth 2.0 usado para adquiri-la, portanto, o token não precisa ser renovado se a chave ainda for válida. Você pode especificar o período de tempo em que a chave permanece válida, até um máximo de sete dias.
Use um dos seguintes métodos para solicitar a chave de delegação do usuário:
O exemplo de código a seguir mostra como solicitar a chave de delegação do usuário:
public UserDelegationKey requestUserDelegationKey(BlobServiceClient blobServiceClient) {
// Request a user delegation key that's valid for 1 day, as an example
UserDelegationKey userDelegationKey = blobServiceClient.getUserDelegationKey(
OffsetDateTime.now().minusMinutes(5),
OffsetDateTime.now().plusDays(1));
return userDelegationKey;
}
Criar uma SAS de delegação de usuário para um blob
Depois de obter a chave de delegação do usuário, você pode criar uma SAS de delegação de usuário. Você pode criar uma SAS de delegação de usuário para delegar acesso limitado a um recurso de blob usando o seguinte método de uma instância BlobClient :
A chave de delegação do usuário para assinar a SAS é passada para esse método junto com os valores especificados para BlobServiceSasSignatureValues. As permissões são especificadas como uma instância BlobSasPermission.
O exemplo de código a seguir mostra como criar uma SAS de delegação de usuário para um blob:
public String createUserDelegationSASBlob(BlobClient blobClient, UserDelegationKey userDelegationKey) {
// Create a SAS token that's valid for 1 day, as an example
OffsetDateTime expiryTime = OffsetDateTime.now().plusDays(1);
// Assign read permissions to the SAS token
BlobSasPermission sasPermission = new BlobSasPermission()
.setReadPermission(true);
BlobServiceSasSignatureValues sasSignatureValues = new BlobServiceSasSignatureValues(expiryTime, sasPermission)
.setStartTime(OffsetDateTime.now().minusMinutes(5));
String sasToken = blobClient.generateUserDelegationSas(sasSignatureValues, userDelegationKey);
return sasToken;
}
Usar uma SAS de delegação de usuário para autorizar um objeto cliente
O exemplo de código a seguir mostra como usar a delegação de usuário SAS criada no exemplo anterior para autorizar um objeto BlobClient . Este objeto de cliente pode ser usado para executar operações no recurso de blob com base nas permissões concedidas pelo SAS.
// Create a SAS token for a blob
BlobClient blobClient = blobServiceClient
.getBlobContainerClient("sample-container")
.getBlobClient("sample-blob.txt");
String sasToken = createUserDelegationSASBlob(blobClient, userDelegationKey);
// Create a new BlobClient using the SAS token
BlobClient sasBlobClient = new BlobClientBuilder()
.endpoint(blobClient.getBlobUrl())
.sasToken(sasToken)
.buildClient();
Recursos
Para saber mais sobre como criar uma SAS de delegação de usuário usando a biblioteca de cliente do Armazenamento de Blobs do Azure para Java, consulte os recursos a seguir.
Operações da API REST
O SDK do Azure para Java contém bibliotecas que se baseiam na API REST do Azure, permitindo que você interaja com operações da API REST por meio de paradigmas Java familiares. O método de biblioteca de cliente para obter uma chave de delegação de usuário usa a seguinte operação de API REST:
- Obter chave de delegação de usuário (API REST)