问题标签 [azure-sas]

我使用 Azure Data Lake Storage Gen2 创建了一个 Azure 存储帐户。我想使用REST API上传文件。虽然使用共享密钥授权工作正常，但我在使用帐户 SAS时遇到问题。

对于路径创建，我使用Path - Create操作。

请求返回400 An HTTP header that's mandatory for this request is not specified.以下错误消息。

事实证明，在 Blob 存储中创建 Blob需要缺少的标头。由于 ADLS Gen2 支持这两种 API 并且都提供类似的操作，因此它将请求委托给错误的 API。

有没有办法在 ADLS Gen2 API 上使用 PUT 操作和 SAS 创建路径？

我正在尝试生成一个 blob 版本的 SAS 以允许对一个特定版本的 blob 进行读取访问。我让 SAS 生成为根 blob 工作，并尝试通过添加 BlobVersionId 为 blob 版本控制功能修改它，但是服务器返回 403。

针对特定 blob 版本修改了 SAS Builder：（不工作）

SAS URI： https ://xyz.blob.core.windows.net/container/blobname?sv=2019-12-12&st=2020-07-07T20%3A44%3A38Z&se=2020-07-07T22%3A14%3A38Z&sr=bv&sp =r&rscd=内联%3B+文件名%3Dfilename.txt&rsct=文本%2Fplain&sig=xyz

错误：

使用： Azure.Storage.Blobs 12.5.0-preview.5

我正在使用 Python Azure SDK，但遇到了以下问题。

我想要做的是生成仅在给定容器上使用的容器 SAS 令牌，为此我使用 Azure SDKgenerate_container_sas

这会返回一个看起来像的字符串se=<end_datetime>&sp=<Permission>&sv=2019-07-07&sr=c&sig=<token>

现在使用这个令牌我可以做各种各样的事情，但我遇到的麻烦是使用这个链接来临时下载某个 blob 的链接。

我试图用这种方法来做到这一点：

现在，当我尝试使用在上述方法中构建的链接时，我在以下方法中失败了b64decode。

从中我可以理解，我不打算将 SAS 令牌用于临时下载链接，我只能通过使用资源令牌或用户委托对象来做到这一点？我还尝试通过对 SAS 令牌进行编码来“愚弄”该方法，但导致 URL 出错Signature did not match

我没有找到任何关于我可以使用资源 SAS 令牌与 UserDelegationKey 做什么或不能做什么的文档，有人知道是否可以使用资源 SAS 令牌进行临时下载？

提前致谢

我对活动中心很陌生

https://docs.microsoft.com/en-us/azure/event-hubs/get-started-python-send-v2

基于上面的链接，我正在尝试为事件中心实现发布者。不幸的是，连接字符串是由共享访问密钥而不是 SAS（共享访问签名）形成的，如下所示

端点=sb:///;SharedAccessKeyName=;SharedAccessKey=

我找不到使用 SAS 令牌而不是密钥的来源。库中是否支持此功能，或者是否有其他方法可以实现此功能

谢谢！

以下代码在最后一行引发异常：

例外： </Message><AuthenticationErrorDetail>Only authentication scheme Bearer is supported</AuthenticationErrorDetail></Error>"

Caused by: com.azure.storage.blob.models.BlobStorageException: Status code 403, "<?xml version="1.0" encoding="utf-8"?><Error><Code>AuthenticationFailed</Code><Message>Server failed to authenticate the request. Make sure the value of Authorization header is formed correctly including the signature. RequestId:d375b3bf-b01e-0044-1191-9c75a8000000

我试图将.NET教程改编为 Java，但到目前为止还没有成功。

似乎这个错误与 REST API 调用有关，有什么想法吗？

有没有办法为逻辑应用 HTTP 触发器禁用 SAS 授权方案？

在文档中，我读到以下内容： “对请求端点的入站调用只能使用一种授权方案，即 SAS 或 Azure Active Directory 开放式身份验证。虽然使用一种方案不会禁用另一种方案......” - 来源：https ://docs.microsoft.com/en-us/azure/logic-apps/logic-apps-securering-a-logic-app

我正在尝试做的事情： 我想禁用 SAS 授权方案。提供正确的 SAS 参数时，不应触发逻辑应用。或者，如果无法停用 SAS 授权，则在使用 SAS 的情况下它应该返回错误。只有 OAuth 授权才能给出有效结果。这可能吗？

我在 SE 上看到了许多有关 SAS 令牌的相关问题，但不是这种情况。

我创建了一个只有读取和列出权限的 SAS 令牌，这似乎是 Microsoft 文档“创建帐户 SAS：按操作的帐户 SAS 权限”对于“列出 Blob”和“获取 Blob”操作所需的全部内容. 当我使用 azcopy 下载到 Azure VM（使用存储帐户允许的公共 IP）时，我收到错误“无法列出 blob”。

我的 SAS 令牌需要哪些权限才能执行此操作？阅读和列出不应该就足够了吗？

SAS 令牌（见下文编辑）包括：

• 签名服务ss=bblob
• SignedResourceTypessrt=co容器、对象
• SignedPermissionsp=rl读取，列出

请注意，尽管我尝试复制单个文件，但我使用该--recursive标志作为解决与复制单个文件无关的问题的解决方法。

这是 azcopy 输出（版本 10.3.4）：

确切的 SAS 令牌（编辑签名）：

?sv=2019-12-12&ss=b&srt=co&sp=rl&se=2025-11-23T23:44:28Z&st=2020-11-23T15:44:28Z&spr=https&sig=REDACTED

有没有人按照下面的示例成功为 Azure APIM 中的 Blob 存储生成 SAS？

https://docs.microsoft.com/en-us/azure/api-management/policies/generate-shared-access-signature

已替换门户中的存储访问密钥（使用密钥 1 和密钥 2），但得到相同的结果。也尝试生成新密钥，但它也不起作用。

"表达式评估失败。字典中不存在给定键。\r\n 在 System.Collections.Generic.Dictionary`2.get_Item(TKey key)", "字典中不存在给定键。"

像我这样的 azure-apim starter 更令人困惑的是 <set-variable name="resourcePath" value="TableName()" />，TableName() 是做什么的？

我正在尝试生成一个 azure 存储帐户共享访问密钥，以便我可以将它与 azcopy 一起使用，以从我的存储帐户中的所有容器中检索文件。

我已经使用 Azure 门户成功生成了一个密钥，并证明这适用于 azcopy

但是我正在努力获得一个等效的密钥来使用有效的 PowerShell 生成。

Powershell 查询 az storage container generate-sas --account-name $SaName --account-key $accountKey --permissions 'rl' --start $start --expiry $expiry --name $SaName --https-only --output tsv

Azure 门户 (GUI) 结果

PowerShell 结果

我想第一个问题是我还没有找到添加缺失的方法，并且 ss=b srt=sco (not sr) 似乎没有这些参数可用，也许如果它们在那里，sig 会有正确的哈希。

我已经在 Azure Cloudshell 以及我自己的机器上用 az 1.12.1 尝试过这个

当我们尝试将文件复制到雪花表中时，Azure blob 的雪花阶段给出错误

错误：无法访问远程文件：访问被拒绝。请检查您的凭据

我们能够列出文件但无法复制文件。

当我们从第三方源系统 (Azure Blob) 读取此文件时，会出现此问题。当我们在生成 SAS 令牌时删除读取访问权限但第三方源团队生成具有读取访问权限但仍显示错误时，我们能够在我们的环境中解决相同的问题。

第三方团队将雪花子网范围列入白名单，以避免滥用 SAS 令牌。

问候， 斯里尼瓦斯