Dela via


Skapa en tjänst-SAS för en container eller blob med Python

Med en signatur för delad åtkomst (SAS) kan du bevilja begränsad åtkomst till containrar och blobar i ditt lagringskonto. När du skapar en SAS anger du dess begränsningar, inklusive vilka Azure Storage-resurser en klient har åtkomst till, vilka behörigheter de har för dessa resurser och hur länge SAS är giltigt.

Varje SAS signeras med en nyckel. Du kan signera en SAS på något av två sätt:

  • Med en nyckel som skapats med Microsoft Entra-autentiseringsuppgifter. En SAS som är signerad med Microsoft Entra-autentiseringsuppgifter är en SAS för användardelegering . En klient som skapar en SAS för användardelegering måste tilldelas en Azure RBAC-roll som innehåller åtgärden Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey . Mer information finns i Skapa en SAS för användardelegering.
  • Med lagringskontonyckeln. Både en tjänst-SAS och ett sas-konto signeras med lagringskontonyckeln. Klienten som skapar en tjänst-SAS måste antingen ha direkt åtkomst till kontonyckeln eller tilldelas behörigheten Microsoft.Storage/storageAccounts/listkeys/action . Mer information finns i Skapa en tjänst-SAS eller Skapa ett konto-SAS.

Kommentar

En SAS för användardelegering ger överlägsen säkerhet till en SAS som är signerad med lagringskontonyckeln. Microsoft rekommenderar att du använder en SAS för användardelegering när det är möjligt. Mer information finns i Bevilja begränsad åtkomst till data med signaturer för delad åtkomst (SAS).

Den här artikeln visar hur du använder lagringskontonyckeln för att skapa en tjänst-SAS för en container eller blob med Blob Storage-klientbiblioteket för Python.

Om tjänsten SAS

En tjänst-SAS är signerad med åtkomstnyckeln för lagringskontot. En tjänst-SAS delegerar åtkomst till en resurs i en enda Azure Storage-tjänst, till exempel Blob Storage.

Du kan också använda en lagrad åtkomstprincip för att definiera behörigheter och varaktighet för SAS. Om namnet på en befintlig lagrad åtkomstprincip anges associeras den principen med SAS. Mer information om lagrade åtkomstprinciper finns i Definiera en lagrad åtkomstprincip. Om ingen lagrad åtkomstprincip anges visar kodexemplen i den här artikeln hur du definierar behörigheter och varaktighet för SAS.

Skapa en tjänst-SAS

Du kan skapa en tjänst-SAS för en container eller blob baserat på appens behov.

Du kan skapa en tjänst-SAS för att delegera begränsad åtkomst till en containerresurs med hjälp av följande metod:

Åtkomstnyckeln för lagringskontot som används för att signera SAS skickas till metoden som account_key argument. Tillåtna behörigheter skickas till metoden som permission argument och definieras i klassen ContainerSasPermissions .

I följande kodexempel visas hur du skapar en tjänst-SAS med läsbehörighet för en containerresurs:

def create_service_sas_container(self, container_client: ContainerClient, account_key: str):
    # Create a SAS token that's valid for one day, as an example
    start_time = datetime.datetime.now(datetime.timezone.utc)
    expiry_time = start_time + datetime.timedelta(days=1)

    sas_token = generate_container_sas(
        account_name=container_client.account_name,
        container_name=container_client.container_name,
        account_key=account_key,
        permission=ContainerSasPermissions(read=True),
        expiry=expiry_time,
        start=start_time
    )

    return sas_token

Använda en tjänst-SAS för att auktorisera ett klientobjekt

Du kan använda en tjänst-SAS för att auktorisera ett klientobjekt för att utföra åtgärder på en container eller blob baserat på de behörigheter som beviljas av SAS.

I följande kodexempel visas hur du använder tjänsten SAS som skapades i det tidigare exemplet för att auktorisera ett ContainerClient-objekt . Det här klientobjektet kan användas för att utföra åtgärder på containerresursen baserat på de behörigheter som beviljas av SAS.

# The SAS token string can be appended to the resource URL with a ? delimiter
# or passed as the credential argument to the client constructor
sas_url = f"{container_client.url}?{sas_token}"

# Create a ContainerClient object with SAS authorization
container_client_sas = ContainerClient.from_container_url(container_url=sas_url)

Resurser

Mer information om hur du använder Azure Blob Storage-klientbiblioteket för Python finns i följande resurser.

Kodexempel

Klientbiblioteksresurser

Se även