Sleutel voor gebruikers overdracht ophalenGet User Delegation Key

Met de Get User Delegation Key bewerking wordt een sleutel opgehaald die kan worden gebruikt voor het ondertekenen van een gebruikers delegering sa's (Shared Access Signature).The Get User Delegation Key operation gets a key that can be used to sign a user delegation SAS (shared access signature). Een SAS van gebruikers overdracht verleent toegang tot resources in de Blob service met behulp van de referenties van Azure Active Directory (Azure AD).A user delegation SAS grants access to resources in the Blob service using Azure Active Directory (Azure AD) credentials. De Get User Delegation Key bewerking is beschikbaar in versie 2018-11-09 en hoger.The Get User Delegation Key operation is available in version 2018-11-09 and later.

AanvraagRequest

Maak het Get User Delegation Key als volgt.Construct the Get User Delegation Key as follows. HTTPS is vereist.HTTPS is required. Vervang myaccount door de naam van uw opslagaccount.Replace myaccount with the name of your storage account.

URI voor de POST-methode aanvraagPOST Method Request URI HTTP-versieHTTP Version
https://myaccount.blob.core.windows.net/?restype=service&comp=userdelegationkey HTTP/1.1HTTP/1.1

URI voor geëmuleerde opslag serviceEmulated storage service URI

Bij het uitvoeren van een aanvraag voor de lokale opslag service geeft u de lokale hostnaam en Blob service poort op als 127.0.0.1:10000 , gevolgd door de naam van het lokale opslag account:When making a request against the local storage service, specify the local hostname and Blob service port as 127.0.0.1:10000, followed by the local storage account name:

URI voor de POST-methode aanvraagPOST Method Request URI HTTP-versieHTTP Version
http://127.0.0.1:10000/devstoreaccount1/?restype=service&comp=userdelegationkey HTTP/1.1HTTP/1.1

Zie de Azure Storage-emulator gebruiken voor ontwikkeling en testenvoor meer informatie.For more information, see Using the Azure Storage Emulator for Development and Testing.

URI-parametersURI Parameters

De volgende aanvullende para meters kunnen worden opgegeven voor de aanvraag-URI.The following additional parameters may be specified on the request URI.

ParameterParameter BeschrijvingDescription
timeout Optioneel.Optional. De timeout para meter wordt uitgedrukt in seconden.The timeout parameter is expressed in seconds. Zie time-outs instellen voor BLOB-service bewerkingenvoor meer informatie.For more information, see Setting Timeouts for Blob Service Operations.

AanvraagheadersRequest Headers

In de volgende tabel worden de vereiste en optionele aanvraag headers beschreven.The following table describes required and optional request headers.

AanvraagkoptekstRequest Header DescriptionDescription
Authorization Vereist.Required. Hiermee geeft u het autorisatie schema op.Specifies the authorization scheme. Alleen autorisatie met Azure AD wordt ondersteund.Only authorization with Azure AD is supported. Zie autoriseren met Azure Active Directoryvoor meer informatie.For more information, see Authorize with Azure Active Directory.
x-ms-version Vereist voor alle geautoriseerde aanvragen.Required for all authorized requests. Zie versie beheer voor de Azure Storage servicesvoor meer informatie.For more information, see Versioning for the Azure Storage Services.
x-ms-client-request-id Optioneel.Optional. Biedt een door de client gegenereerde, ondoorzichtige waarde met een limiet van 1 KiB tekens die wordt vastgelegd in de analyse Logboeken wanneer opslag analyse logboek registratie is ingeschakeld.Provides a client-generated, opaque value with a 1 KiB character limit that is recorded in the analytics logs when storage analytics logging is enabled. Het gebruik van deze header wordt ten zeerste aanbevolen voor het correleren van activiteiten aan clientzijde met aanvragen die door de server worden ontvangen.Using this header is highly recommended for correlating client-side activities with requests received by the server. Zie voor meer informatie over Opslaganalyse logboek registratie en logboek registratie van Azure: Logboeken gebruiken om opslag aanvragen bij te houden.For more information, see About Storage Analytics Logging and Azure Logging: Using Logs to Track Storage Requests.

AanvraagbodyRequest Body

De aanvraag tekst heeft de volgende indeling:The format of the request body is as follows:

<?xml version="1.0" encoding="utf-8"?>  
<KeyInfo>  
    <Start>String, formatted ISO Date</Start>
    <Expiry>String, formatted ISO Date </Expiry>
</KeyInfo>  

De volgende tabel beschrijft de elementen van de hoofd tekst van de aanvraag:The following table describes the elements of the request body:

Naam van elementElement Name DescriptionDescription
BeginStart Vereist.Required. De begin tijd voor de SAS voor gebruikers overdracht, in ISO-datum notatie.The start time for the user delegation SAS, in ISO Date format. Dit moet een geldige datum en tijd zijn binnen 7 dagen vanaf de huidige tijd.It must be a valid date and time within 7 days of the current time.
VervaldatumExpiry Vereist.Required. De verloop tijd van de SA'S van de gebruikers overdracht, in de ISO-datum notatie.The expiry time of user delegation SAS, in ISO Date format. Dit moet een geldige datum en tijd zijn binnen 7 dagen vanaf de huidige tijd.It must be a valid date and time within 7 days of the current time.

AntwoordResponse

Het antwoord bevat een HTTP-status code en een set antwoord headers.The response includes an HTTP status code and a set of response headers.

StatuscodeStatus Code

Met een geslaagde bewerking wordt de status code 200 (OK) geretourneerd.A successful operation returns status code 200 (OK).

Zie status-en fout codesvoor meer informatie over status codes.For information about status codes, see Status and Error Codes.

AntwoordheadersResponse Headers

Het antwoord voor deze bewerking bevat de volgende headers.The response for this operation includes the following headers. Het antwoord kan ook aanvullende standaard-HTTP-headers bevatten.The response may also include additional standard HTTP headers. Alle standaard headers voldoen aan de specificatie van het HTTP/1.1-protocol.All standard headers conform to the HTTP/1.1 protocol specification.

ReactieheaderResponse Header DescriptionDescription
x-ms-request-id Deze header identificeert de aanvraag die is ingediend en kan worden gebruikt voor het oplossen van problemen met de aanvraag.This header uniquely identifies the request that was made and can be used for troubleshooting the request. Zie API-bewerkingen voor problemen oplossenvoor meer informatie.For more information, see Troubleshooting API Operations.
x-ms-version Hiermee wordt de versie van de Blob service aangegeven die wordt gebruikt om de aanvraag uit te voeren.Indicates the version of the Blob service used to execute the request.
Date Een UTC-datum/tijd-waarde die wordt gegenereerd door de service die het tijdstip aangeeft waarop het antwoord is geïnitieerd.A UTC date/time value generated by the service that indicates the time at which the response was initiated.
x-ms-client-request-id Deze header kan worden gebruikt om problemen met aanvragen en bijbehorende antwoorden op te lossen.This header can be used to troubleshoot requests and corresponding responses. De waarde van deze header is gelijk aan de waarde van de x-ms-client-request-id koptekst als deze in de aanvraag aanwezig is en de waarde Maxi maal 1024 zicht bare ASCII-tekens bevat.The value of this header is equal to the value of the x-ms-client-request-id header if it is present in the request and the value is at most 1024 visible ASCII characters. Als de x-ms-client-request-id header niet aanwezig is in de aanvraag, wordt deze header niet in het antwoord weer gegeven.If the x-ms-client-request-id header is not present in the request, this header will not be present in the response.

Antwoord tekstResponse Body

De indeling van de antwoord tekst is als volgt:The format of the response body is as follows:

<?xml version="1.0" encoding="utf-8"?>
<UserDelegationKey>
    <SignedOid>String containing a GUID value</SignedOid>
    <SignedTid>String containing a GUID value</SignedTid>
    <SignedStart>String formatted as ISO date</SignedStart>
    <SignedExpiry>String formatted as ISO date</SignedExpiry>
    <SignedService>b</SignedService>
    <SignedVersion>String specifying REST api version to use to create the user delegation key</SignedVersion>
    <Value>String containing the key signature</Value>
</UserDelegationKey>

In de volgende tabel worden de elementen van de antwoord tekst beschreven:The following table describes the elements of the response body:

Naam van elementElement Name DescriptionDescription
SignedOidSignedOid De onveranderbare id voor een object in het micro soft-identiteits systeem.The immutable identifier for an object in the Microsoft identity system.
SignedTidSignedTid Een GUID die de Azure AD-Tenant vertegenwoordigt waaruit de gebruiker zich bevindt.A GUID that represents the Azure AD tenant that the user is from.
SignedStartSignedStart De begin tijd van de sleutel voor gebruikers overdracht, in ISO-datum notatie.The start time of the user delegation key, in ISO date format.
SignedExpirySignedExpiry De verloop tijd van de sleutel voor gebruikers overdracht, in de ISO-datum notatie.The expiry time of the user delegation key, in ISO date format.
SignedServiceSignedService De service van de gebruikers delegatie sleutel kan worden gebruikt voor, b vertegenwoordigt Blob service.The service of the user delegation key can be used for, b represents Blob service.
SignedVersionSignedVersion De rest API-versie die wordt gebruikt om de sleutel voor gebruikers overdracht op te halen.The rest api version used to get user delegation key.
WaardeValue De hand tekening van de sleutel voor gebruikers overdracht.The signature of the user delegation key.

AutorisatieAuthorization

De beveiligings-principal die de gebruikers delegatie sleutel aanvraagt, moet de juiste machtigingen hebben om dit te doen.The security principal that requests the user delegation key needs to have the appropriate permissions to do so. Een beveiligings-principal van Azure AD kan een gebruiker, een groep, een service-principal of een beheerde identiteit zijn.An Azure AD security principal may be a user, a group, a service principal, or a managed identity.

Als u de sleutel voor gebruikers overdracht wilt aanvragen, moet aan een beveiligingsprincipal de actie micro soft. Storage/Storage accounts/blobServices/generateUserDelegationKey worden toegewezen.To request the user delegation key, a security principal must be assigned the Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey action. De volgende ingebouwde RBAC-rollen zijn onder andere de actie micro soft. Storage/Storage accounts/blobServices/generateUserDelegationKey , hetzij expliciet, hetzij als onderdeel van een definitie van een Joker teken:The following built-in RBAC roles include the Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey action, either explicitly or as part of a wildcard definition:

Omdat de Get User Delegation Key bewerking wordt uitgevoerd op het niveau van het opslag account, moet de actie micro soft. Storage/Storage accounts/BlobServices/generateUserDelegationKey worden afgestemd op het niveau van het opslag account, de resource groep of het abonnement.Because the Get User Delegation Key operation acts at the level of the storage account, the Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey action must be scoped at the level of the storage account, the resource group, or the subscription. Als aan de beveiligingsprincipal een van de ingebouwde rollen wordt toegewezen die hierboven worden genoemd, of een aangepaste rol met de actie micro soft. Storage/Storage accounts/blobServices/generateUserDelegationKey , op het niveau van het opslag account, de resource groep of het abonnement, kan de beveiligingsprincipal de gebruikers delegerings sleutel aanvragen.If the security principal is assigned any of the built-in roles listed above, or a custom role that includes the Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey action, at the level of the storage account, the resource group, or the subscription, the security principal will be able to request the user delegation key.

Als aan de beveiligingsprincipal een rol is toegewezen die toegang tot gegevens toestaat, maar die een bereik heeft van een container, kunt u ook de rol van BLOB- delegering van de opslag toewijzen aan die beveiligingsprincipal op het niveau van het opslag account, de resource groep of het abonnement.In the case where the security principal is assigned a role that permits data access but is scoped to the level of a container, you can additionally assign the Storage Blob Delegator role to that security principal at the level of the storage account, resource group, or subscription. De rol voor het overdragen van de opslag-BLOB verleent de beveiligings-principal machtigingen voor het aanvragen van de gebruikers delegatie-sleutel.The Storage Blob Delegator role grants the security principal permissions to request the user delegation key.

Zie autoriseren met Azure Active Directoryvoor meer informatie over RBAC-rollen voor Azure Storage.For more information about RBAC roles for Azure Storage, see Authorize with Azure Active Directory.

OpmerkingenRemarks

Gebruik de sleutel gebruikers overdracht om een gebruikers delegering SA'S te maken.Use the user delegation key to create a user delegation SAS. Neem de velden op die zijn geretourneerd in het antwoord op de Get User Delegation Key in het SAS-token van de gebruikers overdracht.Include the fields returned on the response to the Get User Delegation Key in the user delegation SAS token. Zie een gebruiker delegering Sa's makenvoor meer informatie over het maken van SAS voor gebruikers overdracht.For more information about creating a user delegation SAS, see Create a user delegation SAS.

De sleutel voor gebruikers overdracht kan niet worden gebruikt om rechtstreeks toegang te krijgen tot resources in het Blob service.The user delegation key cannot be used to access resources in the Blob service directly.

Zie tevensSee also