Comment obtenir une signature d'accès partagée sur une blob en utilisant le dernier AZURE SDK .NET API V12?

Question

J'avais l'habitude de créer une signature d'accès partagée sur une blob à l'aide de l'API V11 Azure SDK, comme ceci:

var containerName = "mycontainer"; var blobName = "myblob"; CloudStorageAccount storageAccount = CloudStorageAccount.Parse(<StorageConnectionString>); CloudBlobClient blobClient = storageAccount.CreateCloudBlobClient(); CloudBlobContainer container = blobClient.GetContainerReference(containerName); SharedAccessBlobPermissions permission = SharedAccessBlobPermissions.Read; TimeSpan clockSkew = TimeSpan.FromMinutes(15d); TimeSpan accessDuration = TimeSpan.FromMinutes(15d); var blobSAS = new SharedAccessBlobPolicy { SharedAccessStartTime = DateTime.UtcNow.Subtract(clockSkew), SharedAccessExpiryTime = DateTime.UtcNow.Add(accessDuration) + clockSkew, Permissions = permissions }; CloudBlockBlob blob = container.GetBlockBlobReference(blobName); string sasBlobToken = blob.GetSharedAccessSignature(blobSAS); ...

Je souhaite utiliser la dernière API V12 .NET qui semble remplacer CloudBlobClient par BlobServiceClient, CloudBlobContainer par BlobContainerClient et CloudBlockBlob par _ par BlobClient.

Cependant, la méthode GetSharedAccessSignature qui est disponible sur une instance CloudBlockBlob n'est pas disponible sur une instance BlobClient.

Question

Comment obtenir une signature d'accès partagée à partir d'une instance BlobClient à l'aide du dernier AZURE SDK .NET API V12?

Kzrystof · Accepted Answer

La réponse de Sajéétharienne m'a fait chercher un blobsasbuilder classe, qui existe réellement.

Voici comment je peux en créer un sur le serveur:

// Creates a client to the BlobService using the connection string. var blobServiceClient = new BlobServiceClient(storageConnectionString); // Gets a reference to the container. var blobContainerClient = blobServiceClient.GetBlobContainerClient(<ContainerName>); // Gets a reference to the blob in the container BlobClient blobClient = containerClient.GetBlobClient(<BlobName>); // Defines the resource being accessed and for how long the access is allowed. var blobSasBuilder = new BlobSasBuilder { StartsOn = DateTime.UtcNow.Subtract(clockSkew), ExpiresOn = DateTime.UtcNow.Add(accessDuration) + clockSkew, BlobContainerName = <ContainerName>, BlobName = <BlobName>, }; // Defines the type of permission. blobSasBuilder.SetPermissions(BlobSasPermissions.Write); // Builds an instance of StorageSharedKeyCredential var storageSharedKeyCredential = new StorageSharedKeyCredential(<AccountName>, <AccountKey>); // Builds the Sas URI. BlobSasQueryParameters sasQueryParameters = blobSasBuilder.ToSasQueryParameters(storageSharedKeyCredential);

Voici comment l'utiliser du côté du client:

// Builds the URI to the blob storage. UriBuilder fullUri = new UriBuilder() { Scheme = "https", Host = string.Format("{0}.blob.core.windows.net", <AccountName>), Path = string.Format("{0}/{1}", <ContainerName>, <BlobName>), Query = sasQueryParameters.ToString() }; // Get an instance of BlobClient using the URI. var blobClient = new BlobClient(fullUri.Uri, null); // Upload stuff in the blob. await blobClient.UploadAsync(stream);

below43 · Answer

Utilisation de la bibliothèque client de stockage de blob Azure V12 pour .NET:

 BlobSasBuilder blobSasBuilder = new BlobSasBuilder() { BlobContainerName = blobContainerName, BlobName = blobName, Resource = "b", //b = blob, c = container StartsOn = DateTimeOffset.UtcNow, ExpiresOn = DateTimeOffset.UtcNow.AddMinutes(lifetimeMinutes) }; blobSasBuilder.SetPermissions(BlobSasPermissions.Read); StorageSharedKeyCredential storageSharedKeyCredential = new StorageSharedKeyCredential(accountName, accountKey); string sas = blobSasBuilder.ToSasQueryParameters(storageSharedKeyCredential).ToString();

Chris Alexander · Answer

Après une quantité juste de chasse, j'ai localisé une documentation Microsoft à ce sujet: https://docs.microsoft.com/en-us/azure/storage/blobs/storage-blob-user-délégation-sas- créer-dotnet

Ces détails à l'aide d'une clé de délégation utilisateur pour générer le SAS au lieu de la clé de compte, mais le changement est juste une surcharge différente sur .tosasqueryparamètres () comme décrit dans d'autres réponses.

Quelques extraits de clé de l'article pour atteindre cet objectif. Créez d'abord votre blobserviceclient:

// Construct the blob endpoint from the account name. string blobEndpoint = string.Format("https://{0}.blob.core.windows.net", accountName); // Create a new Blob service client with Azure AD credentials. BlobServiceClient blobClient = new BlobServiceClient(new Uri(blobEndpoint), new DefaultAzureCredential());

Obtenez la clé de délégation utilisateur, celle-ci sera utilisée pour générer le SAS:

// Get a user delegation key for the Blob service that's valid for seven days. // You can use the key to generate any number of shared access signatures over the lifetime of the key. UserDelegationKey key = await blobClient.GetUserDelegationKeyAsync(DateTimeOffset.UtcNow, DateTimeOffset.UtcNow.AddDays(7));

Enfin créer le SAS URI:

// Create a SAS token that's valid for one hour. BlobSasBuilder sasBuilder = new BlobSasBuilder() { BlobContainerName = containerName, BlobName = blobName, Resource = "b", StartsOn = DateTimeOffset.UtcNow, ExpiresOn = DateTimeOffset.UtcNow.AddHours(1) }; // Specify read permissions for the SAS. sasBuilder.SetPermissions(BlobSasPermissions.Read); // Use the key to get the SAS token. string sasToken = sasBuilder.ToSasQueryParameters(key, accountName).ToString(); // Construct the full URI, including the SAS token. UriBuilder fullUri = new UriBuilder() { Scheme = "https", Host = string.Format("{0}.blob.core.windows.net", accountName), Path = string.Format("{0}/{1}", containerName, blobName), Query = sasToken };

Sajeetharan · Answer

Vous pouvez faire comme

SharedAccessBlobPolicy sasConstraints = new SharedAccessBlobPolicy { // Expiration is in 12 hours. SharedAccessExpiryTime = DateTime.UtcNow.AddHours(12), Permissions = permissions };

et transmettre les valeurs

 // Generate the shared access signature on the container, setting the constraints directly on the signature CloudBlobContainer container = blobClient.GetContainerReference(containerName); string sasContainerToken = container.GetSharedAccessSignature(sasConstraints);

Avec v12, vous pouvez faire

 StorageSharedKeyCredential Credential = new StorageSharedKeyCredential(accountName, accountKey); // Use the key to get the SAS token. string sasToken = accountSasBuilder.ToSasQueryParameters(Credential).ToString();

SAMPLE CODE

Phil Stollery · Answer

private string BuildSASUri(BlobClient blob) { // Create a user SAS that only allows reading for a minute BlobSasBuilder sas = new BlobSasBuilder { BlobContainerName = blob.BlobContainerName, BlobName = blob.Name, Resource = "b", ExpiresOn = DateTimeOffset.UtcNow.AddMinutes(1) }; // Allow read access sas.SetPermissions(BlobSasPermissions.Read); var storageSharedKeyCredential = new StorageSharedKeyCredential( _iconfiguration.GetValue<string>("StorageAccount:AccountName"), _iconfiguration.GetValue<string>("StorageAccount:AccountKey") ); return sas.ToSasQueryParameters(storageSharedKeyCredential).ToString(); }

Ce qui précède est mon code de travail.

Cependant, je ne sais pas comment créer une politique d'accès stockée avec V12. Cela devrait être ceci: https://docs.microsoft.com/en-us/dotnet/api/azure.storage.blobs.blobcontainerclient.setaccesspolicy?View=AZURE-DOTNET

Mais je pense que Microsoft a complètement oublié de fournir un moyen de créer blobsignedentifier.

Les docs sont obsolètes: https://docs.microsoft.com/en-us/azure/storage/common/storage-storestore-access-policy-define-Dotot?toc=%2fazure%2fstorage% 2fblobs% 2ftoc.json

Qui utilise microsoft.azure.storage.blob, mais https://www.nuget.org/packages/microsoft.azure.storage.blob/ Dit Ne l'utilisez plus.