Azure CLI 生成存储账户SAS令牌的正确使用方式

问题背景

在使用Azure存储服务时，共享访问签名(SAS)令牌是一种常用的授权机制。许多开发者在通过Azure门户手动创建SAS令牌后，尝试使用Azure CLI自动生成相同功能的令牌时遇到了授权失败的问题。

关键差异分析

通过Azure门户生成的SAS令牌和Azure CLI生成的令牌在结构上存在明显差异：

1. 令牌结构不同：

   • 门户生成的令牌以API版本开头(如"2022-11-02")
   • CLI生成的令牌则直接以参数列表开始

2. 编码方式不同：

   • CLI生成的令牌默认进行URL编码
   • 门户生成的令牌则是解码后的形式

3. 参数顺序不同：

   • 门户令牌将API版本(sv)放在最前面
   • CLI令牌将sv参数放在中间位置

正确使用方法

使用Azure CLI生成SAS令牌时，需要注意以下几点：

1. 令牌拼接方式： 不要像门户令牌那样在前面添加"sv="，因为CLI生成的令牌已经包含所有必要参数。

2. URL构造： 构造请求URL时，应该直接将整个CLI生成的SAS令牌作为查询字符串附加，而不需要额外处理。

3. 编码处理： 虽然CLI生成的令牌是URL编码的，但在HTTP请求中可以直接使用，不需要手动解码。

实际应用示例

以下是正确使用Azure CLI生成和使用SAS令牌的PowerShell示例：

# 生成SAS令牌
$sasToken = az storage account generate-sas `
    --account-name $accountName `
    --services bt `
    --resource-types sco `
    --permissions rlatfx `
    --expiry 2030-01-01T00:00:00Z `
    --start 2025-02-23T23:46:03Z `
    --account-key $storageKey `
    -o tsv

# 构造请求URL
$requestUrl = "https://$storageAccount.table.core.windows.net/$tableName?$sasToken"

# 发送请求
$response = Invoke-RestMethod -Uri $requestUrl -Method Get -Headers $headers

最佳实践建议

1. 令牌权限：确保生成令牌时指定的权限(--permissions)与服务操作所需权限匹配。

2. 有效期设置：合理设置令牌的起始时间(--start)和过期时间(--expiry)。

3. 服务范围：正确指定服务类型(--services)，如blob(b)、table(t)、queue(q)、file(f)等。

4. 资源类型：准确设置资源类型(--resource-types)，如服务(s)、容器(c)、对象(o)等。

5. 密钥管理：妥善保管使用的存储账户密钥(--account-key)，避免泄露。

通过理解这些差异和正确使用方法，开发者可以顺利地在自动化脚本中使用Azure CLI生成的SAS令牌访问存储资源。