Criar uma SAS de delegação de usuário para um contêiner ou blob com o Java

Uma SAS (Assinatura de Acesso Compartilhado) permite conceder acesso limitado a contêineres e blobs da conta de armazenamento. Ao criar uma SAS, você especificará suas restrições, inclusive que recursos do Armazenamento do Azure um cliente terá permissão para acessar, que permissões ele terá nesses recursos e por quanto tempo a SAS é válida.

Cada SAS é assinada com uma chave. Você pode assinar uma SAS de uma das duas maneiras:

  • Com uma chave criada utilizando as credenciais do Microsoft Entra. Uma SAS assinada com credenciais do Microsoft Entra é uma SAS de delegação de usuário. É necessário atribuir um cliente que cria uma SAS de delegação de usuário a uma função RBAC do Azure que inclua a ação Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey. Para saber mais, consulte Criar uma SAS de delegação de usuário.
  • Com uma chave da conta de armazenamento. Tanto uma SAS de serviço quanto uma SAS de conta são assinadas com a chave da conta de armazenamento. É necessário que o cliente que cria uma SAS de serviço tenha acesso direto à chave da conta ou receba a permissão Microsoft.Storage/storageAccounts/listkeys/action. Para saber mais, consulte Criar uma SAS de serviço ou Criar uma SAS de conta.

Observação

Uma SAS de delegação de usuário oferece mais segurança do que uma SAS que é assinada com a chave da conta de armazenamento. A Microsoft recomenda usar uma SAS de delegação de usuário quando possível. Para saber mais, confira Conceder acesso limitado a dados com assinaturas de acesso compartilhado (SAS).

Este artigo mostra como usar as credenciais do Microsoft Entra para criar uma SAS de delegação de usuário para um contêiner ou blob usando a Biblioteca de clientes do Armazenamento do Azure para Java.

Sobre a delegação de usuários SAS

Um token SAS para acesso a um contêiner ou blob pode ser protegido usando credenciais do Microsoft Entra ou uma chave de conta. Uma SAS protegida com as credenciais do Microsoft Entra é chamada de SAS de delegação de usuário, pois o token do OAuth 2.0 usado para assinar a SAS é solicitado em nome do usuário.

A Microsoft recomenda que você use as credenciais do Microsoft Entra quando possível como uma melhor prática de segurança, em vez de usar a chave da conta, que pode ser comprometida com mais facilidade. Quando o design do aplicativo exigir assinaturas de acesso compartilhado, use as credenciais do Microsoft Entra para criar uma SAS de delegação de usuário para segurança superior. Para obter mais informações sobre o SAS de delegação de usuário, consulte Criar um SAS de delegação de usuário.

Cuidado

Qualquer cliente que possua um SAS válido pode acessar os dados em sua conta de armazenamento conforme permitido por esse SAS. É importante proteger um SAS contra uso malicioso ou não intencional. Use discrição ao distribuir um SAS e tenha um plano em vigor para revogar um SAS comprometido.

Para obter mais informações sobre assinaturas de acesso compartilhado, confira Conceder acesso limitado a recursos de Armazenamento do Azure usando SAS (assinaturas de acesso compartilhado).

Atribuir funções do Azure para acesso aos dados

Quando uma entidade de segurança do Microsoft Entra tenta acessar dados, essa entidade de segurança deve ter permissões para o recurso. Se a entidade de segurança é uma identidade gerenciada no Azure ou uma conta de usuário do Microsoft Entra executando código no ambiente de desenvolvimento, a entidade de segurança deve receber uma função do Azure que conceda acesso aos dados. Para saber mais sobre como atribuir permissões pelo RBAC do Azure, confira Atribuir uma função do Azure para acesso a dados de blob.

Configurar o seu projeto

Para trabalhar com os exemplos de código nesta seção, adicione a seguinte diretivas de importação:

import com.azure.storage.blob.*;
import com.azure.storage.blob.models.*;
import com.azure.storage.blob.sas.*;

Obter uma credencial de token autenticado

Para obter uma credencial de token que seu código possa usar para autorizar solicitações ao Armazenamento de Blobs do Azure, crie uma instância da classe DefaultAzureCredential. Para obter mais informações sobre como usar a classe DefaultAzureCredential para autorizar uma identidade gerenciada a acessar o Armazenamento de Blobs, confira Biblioteca de clientes do Azure Identity para Java.

O trecho de código a seguir mostra como obter a credencial de token autenticado e usá-la para criar um cliente de serviço para o armazenamento de blobs:

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
        .endpoint("https://<storage-account-name>.blob.core.windows.net/")
        .credential(new DefaultAzureCredentialBuilder().build())
        .buildClient();

Para saber mais sobre como autorizar o acesso ao Armazenamento de Blobs de seus aplicativos com o SDK do Java, confira Autenticação do Azure com Java e Identidade do Azure.

Obter a chave de delegação do usuário

Cada SAS é assinada com uma chave. Para criar uma SAS de delegação de usuário, você deve primeiro solicitar uma chave de delegação de usuário, que é usada para assinar a SAS. A chave de delegação do usuário é análoga à chave de conta usada para assinar uma SAS de serviço ou uma SAS de conta, exceto que ela se baseia em suas credenciais do Microsoft Entra. Quando um cliente solicita uma chave para delegação de usuários usando um token OAuth 2.0, o Armazenamento de Blobs do Azure retorna a chave para delegação de usuários em nome do usuário.

Depois de ter a chave de delegação do usuário, você pode usar essa chave para criar algumas assinaturas de acesso compartilhado de delegação de usuário, durante o tempo de vida da chave. A chave de delegação do usuário é independente do token OAuth 2.0 usado para adquiri-la, portanto, o token não precisará ser renovado se a chave ainda estiver válida. Você pode especificar o período de tempo em que a chave permanece válida de até no máximo sete dias.

Use um dos seguintes métodos para solicitar a chave de delegação do usuário:

O exemplo de código a seguir mostra como solicitar a chave de delegação de usuário:

public UserDelegationKey requestUserDelegationKey(BlobServiceClient blobServiceClient) {
    // Request a user delegation key that's valid for 1 day, as an example
    UserDelegationKey userDelegationKey = blobServiceClient.getUserDelegationKey(
        OffsetDateTime.now().minusMinutes(5),
        OffsetDateTime.now().plusDays(1));

    return userDelegationKey;
}

Criar uma SAS de delegação de usuário

Você pode criar uma SAS de delegação de usuário para um contêiner ou blob, com base nas necessidades do seu aplicativo.

Depois de obter a chave de delegação de usuário, você pode criar uma SAS de delegação de usuário. Você pode criar uma SAS de delegação de usuário para delegar acesso limitado a um recurso de contêiner usando o seguinte método de uma instância BlobContainerClient:

A chave de delegação de usuário para assinar a SAS é passada para esse método juntamente com os valores especificados para BlobServiceSasSignatureValues. As permissões são especificadas como uma instância BlobContainerSasPermission.

O exemplo de código a seguir mostra como criar uma SAS de delegação de usuário para um contêiner:

public String createUserDelegationSASContainer(BlobContainerClient containerClient, UserDelegationKey userDelegationKey) {
    // Create a SAS token that's valid for 1 day, as an example
    OffsetDateTime expiryTime = OffsetDateTime.now().plusDays(1);

    // Assign read permissions to the SAS token
    BlobContainerSasPermission sasPermission = new BlobContainerSasPermission()
            .setReadPermission(true);

    BlobServiceSasSignatureValues sasSignatureValues = new BlobServiceSasSignatureValues(expiryTime, sasPermission)
            .setStartTime(OffsetDateTime.now().minusMinutes(5));

    String sasToken = containerClient.generateUserDelegationSas(sasSignatureValues, userDelegationKey);
    return sasToken;
}

Usar uma SAS de delegação de usuário para autorizar um objeto de cliente

Você pode usar uma SAS de delegação de usuário para autorizar um objeto cliente a executar operações em um contêiner ou blob com base nas permissões concedidas pela SAS.

O exemplo de código a seguir mostra como usar a SAS de delegação de usuário criada no exemplo anterior para autorizar um objeto BlobContainerClient. Esse objeto cliente pode ser usado para executar operações no recurso de contêiner com base nas permissões concedidas pela SAS.

// Create a SAS token for a container
BlobContainerClient containerClient = blobServiceClient.getBlobContainerClient("sample-container");
String sasToken = createUserDelegationSASContainer(containerClient, userDelegationKey);

// Create a new BlobContainerClient using the SAS token
BlobContainerClient sasContainerClient = new BlobContainerClientBuilder()
        .endpoint(containerClient.getBlobContainerUrl())
        .sasToken(sasToken)
        .buildClient();

Recursos

Para saber mais sobre como criar uma SAS de delegação de usuário usando a biblioteca de clientes do Armazenamento de Blobs do Azure para Java, confira os recursos a seguir.

Exemplos de código

Operações da API REST

O SDK do Azure para Java contém bibliotecas que criam sobre a API REST do Azure, permitindo a interação com as operações de API REST por meio de paradigmas conhecidos do Java. O método da biblioteca de clientes para obter uma chave de delegação de usuário usa a seguinte operação da API REST:

Recursos da biblioteca de clientes

Confira também

  • Este artigo faz parte do guia do desenvolvedor do Armazenamento de Blobs para Java. Para saber mais, veja a lista completa de artigos do guia do desenvolvedor em Criar seu aplicativo Java.