توليد رموز SAS لـ Azure باستخدام PowerShell والبوابة

الدروس التعليمية

هناك عدة طرق مختلفة يمكنك من خلالها تفويض الوصول إلى الموارد في Azure. أحد الطرق هو من خلال رمز التوقيع المشترك (Shared Access Signature (SAS)). رمز SAS هو وسيلة للتحكم بشكل دقيق في كيفية الوصول الذي يمكن للعميل الوصول إليه في بيانات Azure. يمكنك التحكم في العديد من الأمور مثل الموارد التي يمكن للعميل الوصول إليها، والصلاحية التي يملكها العميل، ومدى صلاحية الرمز، وأكثر من ذلك.

استخدام شائع لرمز SAS هو تأمين حسابات تخزين Azure من خلال استخدام رمز SAS للحساب.

في هذا المقال، ستتعلم كيفية إنشاء رمز SAS لـ Azure سواء عبر بوابة Azure أو عبر PowerShell. بحلول نهاية العملية، ستكون لديك رمز SAS لتمريره إلى أوامر العميل المختلفة للمصادقة والتفويض في إدارة تخزين Azure.

المتطلبات الأساسية

ستتعلم عمليًا كيفية أداء عدة مهام مختلفة في هذا المقال. إذا كنت ترغب في متابعة، تأكد من توفر المتطلبات الأساسية التالية.

  • اشتراك Azure. إذا لم يكن لديك ذلك بعد، يمكنك طلب اشتراك تجريبي.
  • حساب تخزين Azure. يرجى الرجوع إلى إنشاء حساب تخزين لمعرفة المزيد.
  • الوحدة النمطية أز باورشيل (اختياري). هذا مطلوب فقط إذا كنت ستقوم بإنشاء رموز توقيع الوصول المشترك باستخدام باورشيل
  • Windows PowerShell 5.1 أو PowerShell Core 6+ إذا كنت تقوم بإنشاء رمز SAS عبر باورشيل

إنشاء رمز SAS باستخدام بوابة Azure

أسهل طريقة لإنشاء رمز SAS هي باستخدام بوابة Azure. من خلال استخدام بوابة Azure ، يمكنك تصفح الخيارات المختلفة بشكل رسومي.

لإنشاء رمز عبر بوابة Azure ، انتقل أولاً إلى حساب التخزين الذي ترغب في الوصول إليه في قسم الإعدادات ثم انقر على توقيع وصول مشترك. يمكنك رؤية مثال على كيفية ذلك أدناه.

يمكنك منح رموز SAS العديد من الأذونات وأوقات البدء/الانتهاء. لهذه المقالة ، ستقوم بتعيين أذونات كاملة وترك وقت انتهاء الصلاحية الافتراضي لثماني ساعات. إذا كنت ترغب في تفصيل وشرح كل إذن ، تحقق من مستندات Microsoft.

اترك جميع علامات الاختيار الافتراضية وانقر على زر إنشاء رمز SAS وسلسلة الاتصال كما هو موضح أدناه.

Generating SAS Token from the Azure Portal

بمجرد إنشاء الرمز ، ستراه مدرجًا في الصناديق أدناه زر إنشاء رمز SAS وسلسلة الاتصال كما هو موضح أدناه.

Copying the generated SAS token

في هذه النقطة ، يمكنك نسخ رمز SAS ولصق قيمته حيثما تحتاج إلى استخدامه.

إنشاء رمز SAS باستخدام PowerShell

لتجنب الحاجة إلى تسجيل الدخول إلى بوابة Azure، أو ربما، إذا كنت تولد رموز SAS للعديد من حسابات التخزين في وقت واحد، يمكنك استخدام PowerShell. تستخدم PowerShell واجهة برمجة التطبيقات REST لـ Azure لإجراء استدعاءات إلى Azure لتوليد الرمز.

لإنشاء رمز SAS عبر PowerShell، أولاً، قم بفتح نافذة تحكم PowerShell وقم بالمصادقة باستخدام Connect-AzAccount. بمجرد المصادقة، ثم ابحث عن حساب التخزين الذي ترغب في الوصول إليه. يمكنك أدناه رؤية مثال على استعلام حساب تخزين يُسمى demo_account في مجموعة الموارد demo_rg. باستخدام قيمة $context، بعد ذلك ستمرر هذا إلى أمر إنشاء الرمز. 

$context = (Get-AzStorageAccount -ResourceGroupName 'demo_rg' -AccountName 'demo_account').context

بمجرد العثور على سياق حساب التخزين، ثم قم بإنشاء رمز SAS باستخدام أمر New-AzStorageAccountSASToken. يوضح المثال أدناه إنشاء رمز SAS يمنح الإذن الكامل لحساب التخزين وجميع المكونات الفرعية. 

New-AzStorageAccountSASToken -Context $context -Service Blob,File,Table,Queue -ResourceType Service,Container,Object -Permission racwdlup

عند إنشاء رموز SAS باستخدام New-AzStorageAccountSASToken، سيكون الرمز صالحًا لمدة ساعة واحدة. إذا كنت ترغب في تمديد هذا الوقت، يمكنك استخدام معلمة ExpiryTime.

تقييد أذونات رمز SAS

إحدى الأسباب لاستخدام رمز SAS هي منح الوصول إلى أطراف أخرى لفترة زمنية محدودة ومجموعة من الأذونات. أنشأ المثال السابق رمز SAS بأذونات وصول كاملة. إعطاء الوصول الكامل ليس دائما الحالة الأفضل.

المعلمات Service تحدد الوصول إلى خدمة أو خدمات معينة. على سبيل المثال، استخدم blob للسماح بالوصول فقط إلى خدمة تخزين Azure Blob. الخدمات الأخرى تشمل File، Table، و Queue.

المعلمة ResourceType تحد الوصول إلى أنواع محددة من الموارد. باستخدام container كقيمة، على سبيل المثال، يُسمح بالوصول إلى موارد الحاوية فقط. أنواع الموارد الصالحة الأخرى هي Service و Object.

المعلمة Permission تسمح لك بتحديد الأذونات المسموح بها. حدد أذونة واحدة أو أكثر حسب الحاجة. قيمة rwd تعادل إعطاء قراءة، كتابة، و حذف الأذونات. القيم الصالحة للأذونات الأخرى هي (l)ist، (a)dd، (u)pdate، و (p)rocess.

استخدام رمز SAS

هناك العديد من الطرق لاستخدام رمز SAS المُولَّد. واحدة من أكثر الطرق شيوعًا هي استخدامه في سياق التخزين. سياق التخزين هو الطريقة التي يمكنك من خلالها “تعبئة” بيانات الاعتماد ثم تمريرها إلى مختلف الأوامر.

A common way to use the SAS token is via PowerShell. Using the New-AzStorageContext command that’s part of the Az PowerShell module. You can see an example below using the SAS token to upload a file to an existing storage container.

$StorageAccountName = 'foo'
 $ContainerName = 'bar'
 Create a storage context
 $sasToken = ''
 $StorageContext = New-AzStorageContext $StorageAccountName -SasToken $sasToken
 Upload a file
 $storageContainer = Get-AzStorageContainer -Name $ContainerName -Context $StorageContext
 $storageContainer | Set-AzStorageBlobContent –File 'C:\file.txt' –Blob 'file.txt'

ملخص

يمكن إنشاء رمز SAS بطرق مختلفة. في هذا المقال، تعلمت بعض الطرق الأكثر شيوعًا. بمجرد إنشاءه، يمكن استخدام رمز SAS بعدة طرق مختلفة ولكن القرار حول الطريقة يعود إليك.

Source:
https://adamtheautomator.com/azure-sas-token/