Acceder a un contenedor blob mediante SAS

Introducing-Blob-Storage-In-Azure
sas

Recursos utilizados:

Azure Storage

Es la solución de almacenamiento en la nube de Microsoft.

Azure Storage ofrece almacenamiento de alta disponibilidad, escalable, duradero y seguro.

Ofrece bibliotecas cliente para desarrolladores que crean aplicaciones o servicios con .NET, Java, Python, JavaScript, C++ y Go.

También se puede gestionar mediante Powershell o CLI para ejecutar scripts o realizar la gestión desde Azure Portal.

Entre sus ventajas está:

  • Durabilidad y elevada disponibilidad. Provee de redundancia que garantiza que los datos estén seguros en caso de errores de hardware transitorios. También puede optar por replicar datos entre centros de datos o regiones geográficas para obtener protección adicional frente a catástrofes locales o desastres naturales.
  • Seguro. Los datos escritos en una cuenta de Azure Storage se cifran mediante el servicio.
  • Escalable. Está diseñado para poderse escalar de forma masiva para satisfacer las necesidades de rendimiento y almacenamiento de datos de las aplicaciones.
  • Administrado. Azure controla automáticamente el mantenimiento, las actualizaciones y los problemas críticos del hardware.
  • Accesibilidad. Es posible acceder a los datos de Azure Storage desde cualquier parte del mundo a través de HTTP o HTTPS a través de una API REST.

Servicios de datos de Azure Storage:

azure-storage

  • Azure Files: Ofrece recursos compartidos de archivos en la nube totalmente administrados para implementaciones locales y en la nube a los cuales se puede acceder mediante SMB.
  • Colas de Azure: Es un almacén de mensajería confiable entre componentes de aplicación. Permite la puesta en cola de mensajes no simultaneo entre componentes de aplicación.
  • Tablas de Azure: Permite almacenar datos NoSQL estructurados en la nube, lo que proporciona un almacén de claves y atributos con un diseño sin esquema.
  • Azure Disks: Es un volumen de almacenamiento en el nivel de bloque para máquinas virtuales de Azure que permite acceso a los datos desde un disco virtual.

Blob

Los Blobs es también un tipo de servicio de Azure Storage siendo una solución de almacenamiento de objetos de Microsoft para la nube. Este está optimizado para albergar grandes cantidades de datos no estructurados. Los datos no estructurados son datos que no siguen un modelo o definición de datos.

Este almacenamiento de blobs esta diseñado para: servir imágenes o documentos directamente a un navegador, audios, videos, análisis de datos entre otros.

Es recomendable su uso para:

  • Cuando se necesita que admita escenarios streaming y de acceso aleatorio.
  • Cuando se desea tener acceso a datos de aplicación desde cualquier sitio.
  • Al ser compatible con Azure Data Lake Storage Gen2 es recomendable para el análisis de macrodatos.

Acerca de Azure Data Lake Storage Gen2

Ofrece un sistema de archivos jerárquico, así como las ventajas del almacenamiento de blobs, que incluyen:

  • Almacenamiento de información en niveles de bajo costo
  • Alta disponibilidad
  • Consistencia fuerte
  • Capacidades de recuperación ante desastres

SAS

Las firmas de acceso compartido, permite conceder acceso limitado sobre contenedores o blobs de una cuenta de almacenamiento.

Al momento de crearlo, elegimos el tipo de almacenamiento para el que daremos permiso, especificamos sus restricciones y permisos así como el tiempo que será válida esa firma SAS.

Hay dos formas de firmar una SAS

  • Con una SAS de delegación de usuarios que está protegida con credenciales de Azure Active Directory (Azure AD) y también con los permisos especificados para la SAS. Este tipo de SAS solo se aplica de forma singular a un Blob Storage.

foto11

  • Con la clave de la cuenta de almacenamiento. Tanto una SAS de servicio como una SAS de cuenta se firman con la clave de la cuenta de almacenamiento.

Diferencia entre Acces key y SAS

La principal diferencia entre compartir mediante Access key y SAS es que con la primera otorgamos acceso total a la cuenta de almacenamiento con todos los servicios y permisos es por ello que se recomienda guardarla en un Azure Key Vault para proteger esa clave y poder administrarlas.

Si se cree que han podido ser comprometidas se recomienda rotar dichas claves.

foto12

En cambio mediante SAS es la forma de otorgar un acceso delegado seguro sobre los recursos de almacenamiento teniendo un control más granular seleccionando nosotros a cual queremos dar permiso, de que tipo y el tiempo que estará disponible o será válido el SAS.

Al momento de compartir mediante SAS se puede seleccionar desde la cuenta de almacenamiento y de esta forma otorgando acceso sobre todo un tipo de almacenamiento como un blob (con la configuración que se haya realizado) o de forma especifica, sobre un archivo dentro del blob.

De esa forma solo compartimos el blobs o blobs que queramos compartir.

Implementación

Teniendo ya nuestra cuenta de almacenamiento y nuestro blob donde tendremos un documento por ejemplo, podemos generar nuestro SAS (Shared access signature) desde el apartado de Security + networking.

Especificamos permisos sobre los servicios que decidamos permitir el acceso. Seleccionamos la fecha de duración del SAS. Damos a generar SAS.

Copiamos el Blob service SAS URL.

En la máquina con la que queramos compartir el blob descargamos la herramienta Microsoft Azure Storage Explorer.

Dependiendo de si el SAS lo hemos generado en la cuenta de almacenamiento o en el blob en particular seleccionamos el correspondiente.

Seleccionamos un nombre y pegamos el Blob service SAS URL que copiamos antes.

Conectamos y podemos comprobar que permisos tenemos sobre ese blob.

Autor: Gerson Víctor Lévano Medina

Curso: Administración de Sistemas MultiCloud Azure y AWS

Centro: Tajamar

Año académico: 2021-2022

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.