Partilhar via


Criar uma SAS de serviço para um contêiner ou blob com Java

Uma assinatura de acesso compartilhado (SAS) permite que você conceda acesso limitado a contêineres e blobs em sua conta de armazenamento. Ao criar uma SAS, você especifica suas restrições, incluindo quais recursos do Armazenamento do Azure um cliente tem permissão para acessar, quais permissões eles têm nesses recursos e por quanto tempo a SAS é válida.

Cada SAS é assinado com uma chave. Você pode assinar uma SAS de duas maneiras:

  • Com uma chave criada usando credenciais do Microsoft Entra. Uma SAS assinada com credenciais do Microsoft Entra é uma SAS de delegação de usuário. Um cliente que cria uma SAS de delegação de usuário deve receber uma função RBAC do Azure que inclua a ação Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey. Para saber mais, consulte Criar uma SAS de delegação de usuário.
  • Com a chave da conta de armazenamento. Tanto uma SAS de serviço quanto uma SAS de conta são assinadas com a chave da conta de armazenamento. O cliente que cria uma SAS de serviço deve ter acesso direto à chave da conta ou receber a permissão Microsoft.Storage/storageAccounts/listkeys/action . Para saber mais, consulte Criar uma SAS de serviço ou Criar uma SAS de conta.

Nota

Uma SAS de delegação de usuário oferece segurança superior a uma SAS assinada com a chave da conta de armazenamento. A Microsoft recomenda o uso de uma SAS de delegação de usuário quando possível. Para obter mais informações, consulte Conceder acesso limitado a dados com assinaturas de acesso compartilhado (SAS).

Este artigo mostra como usar a chave da conta de armazenamento para criar uma SAS de serviço para um contêiner ou blob com a biblioteca de cliente de Armazenamento de Blob para Java.

Sobre o serviço SAS

Uma SAS de serviço é assinada com a chave de acesso da conta. Você pode usar a classe StorageSharedKeyCredential para criar a credencial usada para assinar a SAS de serviço.

Você também pode usar uma política de acesso armazenado para definir as permissões e a duração do SAS. Se o nome de uma política de acesso armazenado existente for fornecido, essa política será associada à SAS. Para saber mais sobre políticas de acesso armazenado, consulte Definir uma política de acesso armazenado. Se nenhuma política de acesso armazenado for fornecida, os exemplos de código neste artigo mostram como definir permissões e duração para o SAS.

Create a service SAS (Criar uma SAS de serviço)

Você pode criar uma SAS de serviço para um contêiner ou blob, com base nas necessidades do seu aplicativo.

Você pode criar uma SAS de serviço para delegar acesso limitado a um recurso de contêiner usando o seguinte método:

Os valores de assinatura SAS, como tempo de expiração e permissões assinadas, são passados para o método como parte de uma instância BlobServiceSasSignatureValues . As permissões são especificadas como uma instância BlobContainerSasPermission.

O exemplo de código a seguir mostra como criar uma SAS de serviço com permissões de leitura para um recurso de contêiner:

public String createServiceSASContainer(BlobContainerClient containerClient) {
    // Create a SAS token that's valid for 1 day, as an example
    OffsetDateTime expiryTime = OffsetDateTime.now().plusDays(1);

    // Assign read permissions to the SAS token
    BlobContainerSasPermission sasPermission = new BlobContainerSasPermission()
            .setReadPermission(true);

    BlobServiceSasSignatureValues sasSignatureValues = new BlobServiceSasSignatureValues(expiryTime, sasPermission)
            .setStartTime(OffsetDateTime.now().minusMinutes(5));

    String sasToken = containerClient.generateSas(sasSignatureValues);
    return sasToken;
}

Usar uma SAS de serviço para autorizar um objeto de cliente

Você pode usar uma SAS de serviço para autorizar um objeto cliente a executar operações em um contêiner ou blob com base nas permissões concedidas pela SAS.

Os exemplos de código a seguir mostram como usar o serviço SAS para autorizar um objeto BlobContainerClient . Esse objeto de cliente pode ser usado para executar operações no recurso de contêiner com base nas permissões concedidas pelo SAS.

Primeiro, crie um objeto BlobServiceClient assinado com a chave de acesso da conta:

String accountName = "<account-name>";
String accountKey = "<account-key>";
StorageSharedKeyCredential credential = new StorageSharedKeyCredential(accountName, accountKey);
        
BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
        .endpoint(String.format("https://%s.blob.core.windows.net/", accountName))
        .credential(credential)
        .buildClient();

Em seguida, gere o serviço SAS como mostrado no exemplo anterior e use o SAS para autorizar um objeto BlobContainerClient :

// Create a SAS token
BlobContainerClient containerClient = blobServiceClient
        .getBlobContainerClient("sample-container");
String sasToken = createServiceSASContainer(containerClient);

// Create a new BlobContainerClient using the SAS token
BlobContainerClient sasContainerClient = new BlobContainerClientBuilder()
        .endpoint(containerClient.getBlobContainerUrl())
        .sasToken(sasToken)
        .buildClient();

Recursos

Para saber mais sobre como usar a biblioteca de cliente do Armazenamento de Blobs do Azure para Java, consulte os recursos a seguir.

Amostras de código

Recursos da biblioteca do cliente

Consulte também