Skapa en SAS för användardelegering för en container eller blob med Azure CLI

Med en signatur för delad åtkomst (SAS) kan du bevilja begränsad åtkomst till containrar och blobar i ditt lagringskonto. När du skapar en SAS anger du dess begränsningar, inklusive vilka Azure Storage-resurser en klient har åtkomst till, vilka behörigheter de har för dessa resurser och hur länge SAS är giltigt.

Varje SAS signeras med en nyckel. Du kan signera en SAS på något av två sätt:

• Med en nyckel som skapats med Microsoft Entra-autentiseringsuppgifter. En SAS som är signerad med Microsoft Entra-autentiseringsuppgifter är en SAS för användardelegering . En klient som skapar en SAS för användardelegering måste tilldelas en Azure RBAC-roll som innehåller åtgärden Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey . Mer information finns i Skapa en SAS för användardelegering.
• Med lagringskontonyckeln. Både en tjänst-SAS och ett sas-konto signeras med lagringskontonyckeln. Klienten som skapar en tjänst-SAS måste antingen ha direkt åtkomst till kontonyckeln eller tilldelas behörigheten Microsoft.Storage/storageAccounts/listkeys/action . Mer information finns i Skapa en tjänst-SAS eller Skapa ett konto-SAS.

Kommentar

En SAS för användardelegering ger överlägsen säkerhet till en SAS som är signerad med lagringskontonyckeln. Microsoft rekommenderar att du använder en SAS för användardelegering när det är möjligt. Mer information finns i Bevilja begränsad åtkomst till data med signaturer för delad åtkomst (SAS).

Den här artikeln visar hur du använder Microsoft Entra-autentiseringsuppgifter för att skapa en SAS för användardelegering för en container eller blob med Azure CLI.

Om SAS för användardelegering

En SAS-token för åtkomst till en container eller blob kan skyddas med hjälp av antingen Microsoft Entra-autentiseringsuppgifter eller en kontonyckel. En SAS som skyddas med Microsoft Entra-autentiseringsuppgifter kallas sas för användardelegering eftersom den OAuth 2.0-token som används för att signera SAS begärs för användarens räkning.

Microsoft rekommenderar att du använder Microsoft Entra-autentiseringsuppgifter när det är möjligt som bästa praxis för säkerhet, i stället för att använda kontonyckeln, som är enklare att kompromettera. När din programdesign kräver signaturer för delad åtkomst använder du Microsoft Entra-autentiseringsuppgifter för att skapa en SAS för användardelegering för överlägsen säkerhet. Mer information om SAS för användardelegering finns i Skapa en SAS för användardelegering.

Varning

Alla klienter som har en giltig SAS kan komma åt data i ditt lagringskonto enligt sas-tillstånd. Det är viktigt att skydda en SAS från skadlig eller oavsiktlig användning. Använd diskretion när du distribuerar en SAS och ha en plan för att återkalla en komprometterad SAS.

Mer information om signaturer för delad åtkomst finns i Bevilja begränsad åtkomst till Azure Storage-resurser med hjälp av signaturer för delad åtkomst (SAS).

Installera den senaste versionen av Azure CLI

Om du vill använda Azure CLI för att skydda en SAS med Microsoft Entra-autentiseringsuppgifter kontrollerar du först att du har installerat den senaste versionen av Azure CLI. Mer information om hur du installerar Azure CLI finns i Installera Azure CLI.

Om du vill skapa en SAS för användardelegering med hjälp av Azure CLI kontrollerar du att du har installerat version 2.0.78 eller senare. Om du vill kontrollera den installerade versionen använder du az --version kommandot .

Logga in med Microsoft Entra-autentiseringsuppgifter

Logga in på Azure CLI med dina Microsoft Entra-autentiseringsuppgifter. Mer information finns i Logga in med Azure CLI.

Tilldela behörigheter med Azure RBAC

Om du vill skapa en SAS för användardelegering från Azure PowerShell måste Microsoft Entra-kontot som används för att logga in på Azure CLI tilldelas en roll som innehåller åtgärden Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey . Med den här behörigheten kan Microsoft Entra-kontot begära användardelegeringsnyckeln. Användardelegeringsnyckeln används för att signera SAS för användardelegering. Rollen som tillhandahåller åtgärden Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey måste tilldelas på lagringskontots, resursgruppens eller prenumerationens nivå.

Om du inte har tillräcklig behörighet för att tilldela Azure-roller till ett Microsoft Entra-säkerhetsobjekt kan du behöva be kontoägaren eller administratören att tilldela nödvändiga behörigheter.

I följande exempel tilldelas rollen Storage Blob Data Contributor , som innehåller åtgärden Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey . Rollen är begränsad till lagringskontots nivå.

Kom ihåg att ersätta platshållarvärden i vinkelparenteser med dina egna värden:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>"

Mer information om inbyggda roller som innehåller åtgärden Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey finns i Inbyggda Roller i Azure.

Använda Microsoft Entra-autentiseringsuppgifter för att skydda en SAS

När du skapar en SAS för användardelegering med Azure CLI skapas den användardelegeringsnyckel som används för att signera SAS åt dig implicit. Starttiden och förfallotiden som du anger för SAS används också som starttid och förfallotid för användarens delegeringsnyckel.

Eftersom det maximala intervallet för användardelegeringsnyckeln är giltig är 7 dagar från startdatumet, bör du ange en förfallotid för SAS som är inom 7 dagar från starttiden. SAS är ogiltigt när användardelegeringsnyckeln har upphört att gälla, så en SAS med en förfallotid på mer än 7 dagar är fortfarande bara giltig i 7 dagar.

När du skapar en SAS --auth-mode login för användardelegering krävs och --as-user parameters . Ange inloggning för parametern --auth-mode så att begäranden som görs till Azure Storage auktoriseras med dina Microsoft Entra-autentiseringsuppgifter. Ange parametern --as-user för att ange att SAS som returneras ska vara en SAS för användardelegering.

Skapa en SAS för användardelegering för en container

Om du vill skapa en SAS för användardelegering för en container med Azure CLI anropar du kommandot az storage container generate-sas .

Behörigheter som stöds för en SAS för användardelegering i en container är Add, Create, Delete, List, Read och Write. Behörigheter kan anges separat eller kombineras. Mer information om dessa behörigheter finns i Skapa en SAS för användardelegering.

I följande exempel returneras en SAS-token för användardelegering för en container. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden:

az storage container generate-sas \
    --account-name <storage-account> \
    --name <container> \
    --permissions acdlrw \
    --expiry <date-time> \
    --auth-mode login \
    --as-user

Sas-token för användardelegering som returneras liknar:

se=2019-07-27&sp=r&sv=2018-11-09&sr=c&skoid=<skoid>&sktid=<sktid>&skt=2019-07-26T18%3A01%3A22Z&ske=2019-07-27T00%3A00%3A00Z&sks=b&skv=2018-11-09&sig=<signature>

Kommentar

SAS-token som returneras av Blob Storage innehåller inte avgränsartecknet (?) för URL-frågesträngen. Om du lägger till SAS-token till en resurs-URL, kom ihåg att även lägga till avgränsartecknet.

Skapa en SAS för användardelegering för en blob

Om du vill skapa en SAS för användardelegering för en blob med Azure CLI anropar du kommandot az storage blob generate-sas .

Behörigheter som stöds för en SAS för användardelegering på en blob är Add, Create, Delete, Read och Write. Behörigheter kan anges separat eller kombineras. Mer information om dessa behörigheter finns i Skapa en SAS för användardelegering.

Följande syntax returnerar en SAS för användardelegering för en blob. Exemplet anger parametern --full-uri , som returnerar blob-URI:n med den SAS-token som läggs till. Kom ihåg att ersätta platshållarvärdena inom hakparenteser med dina egna värden:

az storage blob generate-sas \
    --account-name <storage-account> \
    --container-name <container> \
    --name <blob> \
    --permissions acdrw \
    --expiry <date-time> \
    --auth-mode login \
    --as-user \
    --full-uri

Den sas-URI för användardelegering som returneras liknar:

https://storagesamples.blob.core.windows.net/sample-container/blob1.txt?se=2019-08-03&sp=rw&sv=2018-11-09&sr=b&skoid=<skoid>&sktid=<sktid>&skt=2019-08-02T2
2%3A32%3A01Z&ske=2019-08-03T00%3A00%3A00Z&sks=b&skv=2018-11-09&sig=<signature>

Kommentar

SAS-token som returneras av Azure CLI innehåller inte avgränsartecknet (?) för URL-frågesträngen. Om du lägger till SAS-token till en resurs-URL, kom ihåg att lägga till avgränsartecknet i resurs-URL:en innan du lägger till SAS-token.

En sas för användardelegering har inte stöd för att definiera behörigheter med en lagrad åtkomstprincip.

Återkalla en SAS för användardelegering

Om du vill återkalla en SAS för användardelegering från Azure CLI anropar du kommandot az storage account revoke-delegation-keys . Det här kommandot återkallar alla användardelegeringsnycklar som är associerade med det angivna lagringskontot. Alla signaturer för delad åtkomst som är associerade med dessa nycklar är ogiltiga.

Kom ihåg att ersätta platshållarvärden i vinkelparenteser med dina egna värden:

az storage account revoke-delegation-keys \
    --name <storage-account> \
    --resource-group <resource-group>

Viktigt!

Både användardelegeringsnyckeln och Azure-rolltilldelningarna cachelagras av Azure Storage, så det kan uppstå en fördröjning mellan när du initierar återkallningsprocessen och när en befintlig SAS för användardelegering blir ogiltig.

Nästa steg

• Skapa en sas för användardelegering (REST API)
• Hämta nyckelåtgärd för användardelegering