Share via


Creare una firma di accesso condiviso del servizio per un BLOB con Python

Una firma di accesso condiviso consente di concedere l'accesso limitato a contenitori e BLOB nell'account di archiviazione. Quando si crea una firma di accesso condiviso, si specificano i vincoli, tra cui quali Archiviazione di Azure risorse a cui un client è autorizzato ad accedere, quali autorizzazioni hanno per tali risorse e per quanto tempo la firma di accesso condiviso è valida.

Ogni firma di accesso condiviso viene firmata con una chiave. È possibile firmare una firma di accesso condiviso in uno dei due modi seguenti:

  • Con una chiave creata usando le credenziali di Microsoft Entra. Una firma di accesso condiviso firmata con le credenziali di Microsoft Entra è una firma di accesso condiviso della delega utente. A un client che crea una firma di accesso condiviso della delega utente deve essere assegnato un ruolo controllo degli accessi in base al ruolo di Azure che include Microsoft.ArchiviazioneAzione /storageAccounts/blobServices/generateUserDelegationKey. Per altre informazioni, vedere Creare una firma di accesso condiviso di delega utente.
  • Con la chiave dell'account di archiviazione. Sia una firma di accesso condiviso del servizio che una firma di accesso condiviso dell'account di archiviazione sono firmate con la chiave dell'account di archiviazione. Il client che crea una firma di accesso condiviso del servizio deve avere accesso diretto alla chiave dell'account o deve essere assegnato a Microsoft.ArchiviazioneAutorizzazione /storageAccounts/listkeys/action. Per altre informazioni, vedere Creare una firma di accesso condiviso del servizio o Creare una firma di accesso condiviso dell'account.

Nota

Una firma di accesso condiviso della delega utente offre una sicurezza superiore a una firma di accesso condiviso firmata con la chiave dell'account di archiviazione. Quando possibile, Microsoft consiglia di usare una firma di accesso condiviso per la delega utente. Per altre informazioni, vedere Concedere l'accesso limitato ai dati con firme di accesso condiviso.

Questo articolo illustra come usare la chiave dell'account di archiviazione per creare una firma di accesso condiviso del servizio per un BLOB con la libreria client blob Archiviazione per Python.

Informazioni sulla firma di accesso condiviso del servizio

Una firma di accesso condiviso del servizio viene firmata con la chiave di accesso dell'account di archiviazione. Una firma di accesso condiviso del servizio delega l'accesso a una risorsa in un singolo servizio Archiviazione di Azure, ad esempio blob Archiviazione.

È anche possibile usare criteri di accesso archiviati per definire le autorizzazioni e la durata della firma di accesso condiviso. Se viene specificato il nome di un criterio di accesso archiviato esistente, tale criterio è associato alla firma di accesso condiviso. Per altre informazioni sui criteri di accesso archiviati, vedere Definire un criterio di accesso archiviato. Se non vengono forniti criteri di accesso archiviati, gli esempi di codice in questo articolo illustrano come definire le autorizzazioni e la durata per la firma di accesso condiviso.

Creare una firma di accesso condiviso del servizio per un BLOB

È possibile creare una firma di accesso condiviso del servizio per delegare l'accesso limitato a una risorsa BLOB usando il metodo seguente:

La chiave di accesso dell'account di archiviazione usata per firmare la firma di accesso condiviso viene passata al metodo come account_key argomento. Le autorizzazioni consentite vengono passate al metodo come permission argomento e sono definite nella classe BlobSasPermissions .

L'esempio di codice seguente illustra come creare una firma di accesso condiviso del servizio con autorizzazioni di lettura per una risorsa BLOB:

def create_service_sas_blob(self, blob_client: BlobClient, account_key: str):
    # Create a SAS token that's valid for one day, as an example
    start_time = datetime.datetime.now(datetime.timezone.utc)
    expiry_time = start_time + datetime.timedelta(days=1)

    sas_token = generate_blob_sas(
        account_name=blob_client.account_name,
        container_name=blob_client.container_name,
        blob_name=blob_client.blob_name,
        account_key=account_key,
        permission=BlobSasPermissions(read=True),
        expiry=expiry_time,
        start=start_time
    )

    return sas_token

Usare una firma di accesso condiviso del servizio per autorizzare un oggetto client

Nell'esempio di codice seguente viene illustrato come usare la firma di accesso condiviso del servizio creata nell'esempio precedente per autorizzare un oggetto BlobClient . Questo oggetto client può essere usato per eseguire operazioni sulla risorsa BLOB in base alle autorizzazioni concesse dalla firma di accesso condiviso.

# The SAS token string can be appended to the resource URL with a ? delimiter
# or passed as the credential argument to the client constructor
sas_url = f"{blob_client.url}?{sas_token}"

# Create a BlobClient object with SAS authorization
blob_client_sas = BlobClient.from_blob_url(blob_url=sas_url)

Risorse

Per altre informazioni sull'uso della libreria client Archiviazione BLOB di Azure per Python, vedere le risorse seguenti.

Esempi di codice

Risorse della libreria client

Vedi anche