Azure Blob Storage è un servizio di archiviazione scalabile per oggetti, che consente di memorizzare grandi quantità di dati non strutturati, come documenti, immagini e file multimediali. Per garantire un accesso sicuro e controllato a questi dati, Azure offre le Shared Access Signatures (SAS), token che definiscono le autorizzazioni e la durata dell'accesso.

Una User Delegation SAS è un tipo di SAS firmata utilizzando le credenziali di Microsoft Entra ID, offrendo una sicurezza superiore rispetto alle SAS firmate con la chiave dell'account di archiviazione. Questo approccio riduce il rischio associato alla gestione diretta delle chiavi dell'account, poiché l'integrazione con le Managed Identities di Azure consente un'autenticazione sicura e senza necessità di memorizzare secrets. Le Managed Identities forniscono credenziali gestite automaticamente da Azure, migliorando la sicurezza e semplificando la gestione degli accessi alle risorse. Affinché tutto funzioni correttamente, l'utente dello sviluppatore utilizzato in Visual Studio o Visual Studio Code, oppure l'utenza dell'app su Azure (user o system identity), deve avere almeno il ruolo Storage Blob Data Reader a livello di account e di container.

Per creare una User Delegation SAS in .NET, prima di tutto assicuriamoci di avere i pacchetti Azure.Identity e Azure.Storage.Blobs installati nel progetto. Il primo passo è quello di ottnere una chiave di firma temporanea sulla base dell'utente impersonificato dall'app. Utilizziamo quindi prima DefaultAzureCredential e otteniamo poi la chiave per un lungo periodo, anche di un giorno.

var credential = new DefaultAzureCredential();
var blobServiceClient = new BlobServiceClient(new Uri($"https://{accountName}.blob.core.windows.net"), credential);

var userDelegationKey = await blobServiceClient.GetUserDelegationKeyAsync(DateTimeOffset.UtcNow, DateTimeOffset.UtcNow.AddDays(1)); 

L'idea è che questa chiave venga messa in cache in modo da tenerla disponibile e poter firmare velocemente i SAS.

Ottenuta la chiave (sul momento o dalla cache) possiamo procedere alla creazione della firma. Nell'esempio seguente diamo l'accesso all'interno container per un'ora.

var sasBuilder = new BlobSasBuilder
{
    BlobContainerName = containerName,
    Resource = "c", // "b" per un blob specifico
    StartsOn = DateTimeOffset.UtcNow,
    ExpiresOn = DateTimeOffset.UtcNow.AddHours(1)
};
sasBuilder.SetPermissions(BlobContainerSasPermissions.Read | BlobContainerSasPermissions.Write);

var sasToken = sasBuilder.ToSasQueryParameters(userDelegationKey, accountName).ToString();
var sasUri = new Uri($"{blobServiceClient.Uri}/{containerName}?{sasToken}"); 

Implementando questi passaggi, possiamo generare una User Delegation SAS in .NET, garantendo un accesso sicuro e controllato alle risorse di Azure Blob Storage senza esporre le chiavi dell'account.