Partager via


Créer des jetons SAS pour les conteneurs de stockage

Ce contenu s’applique à : coche v4.0 (GA) coche v3.1 (GA) coche v3.0 (GA) coche v2.1 (GA)

Dans cet article, apprenez à créer une délégation d’utilisateur et des jetons de signature d’accès partagé (SAP), en utilisant soit le Portail Azure, soit l’Explorateur Stockage Azure. Les jetons SAS de délégation d’utilisateur sont sécurisés avec des informations d’identification Microsoft Entra. Un jeton SAS fournit un accès délégué sécurisé aux ressources dans votre compte de stockage Azure.

Capture d’écran de l’URI du stockage avec un jeton SAS ajouté.

À un niveau élevé, voici comment fonctionnent les jetons SAP :

  • Votre application envoie d’abord le jeton SAS à Stockage Azure dans le cadre d’une requête d’API REST.

  • Ensuite, si le service de stockage confirme que la signature SAS est valide, la requête est autorisée. Si le jeton SAS est jugé non valide, la requête est refusée et le code d’erreur 403 (Interdit) s’affiche.

Le Stockage Blob Azure offre trois types de ressources :

  • Les comptes de Stockage fournissent un espace de noms unique dans Azure pour vos données.
  • Les conteneurs de stockage de données se trouvent dans des comptes de stockage et organisent des ensembles d’objets blob.
  • Les objets blob se trouvent dans des conteneurs et stockent du texte et des données binaires, comme des fichiers, du texte et des images.

Quand utiliser un jeton SAP

  • Modèles personnalisés d’entraînement. Votre ensemble assemblé de documents d’entraînement doit être chargé dans un conteneur Stockage Blob Azure. Vous pouvez choisir d’utiliser un jeton SAP pour accorder un accès à vos documents d’entraînement.

  • Utilisation de conteneurs de stockage avec accès public. Vous pouvez choisir d’utiliser un jeton SAP pour accorder un accès limité à vos ressources de stockage qui disposent d’un accès public en lecture.

    Important

    • Si votre compte de stockage Azure est protégé par un réseau virtuel ou un pare-feu, vous ne pouvez pas accorder d’accès à l’aide d’un jeton SAP. Vous devrez utiliser une identité managée pour accorder l’accès à votre ressource de stockage.

    • Une identité managée prend en charge les comptes de Stockage Blob Azure accessibles en privé et publiquement.

    • Les jetons SAP accordent des autorisations aux ressources de stockage et doivent être protégés de la même manière qu’une clé de compte.

    • Les opérations qui utilisent des jetons SAS ne doivent être effectuées que sur une connexion HTTPS, et les URI SAS ne doivent être distribués que sur une connexion sécurisée, comme HTTPS.

Prérequis

Pour commencer, vous avez besoin des éléments suivants :

  • Un compte Azure actif. Si vous n’en avez pas, vous pouvez créer un compte gratuit.

  • Une ressource Intelligence documentaire ou multiservice.

  • Un compte de Stockage Blob Azure de performances standard. Vous devez aussi créer des conteneurs pour stocker et organiser vos données d’objet blob dans votre compte de stockage. Si vous ignorez comment créer un compte de stockage Azure avec un conteneur de stockage, suivez les démarrages rapides suivants :

    • Créer un compte de stockage. Lorsque vous créez votre compte de stockage, sélectionnez les performances Standard dans le champ Détails de l’instance>Performance.
    • Créer un conteneur. Lors de la création de votre conteneur, définissez le champ Niveau d’accès public sur Conteneur (accès en lecture anonyme pour les conteneurs et les blobs) dans la fenêtre Nouveau conteneur.

Charger les documents

  1. Connectez-vous au portail Azure.

    • Sélectionnez Votre compte de stockageStockage de donnéesConteneurs.

    Capture d’écran illustrant le menu Stockage des données dans le portail Azure.

  2. Sélectionnez un conteneur dans la liste.

  3. Sélectionnez Télécharger dans le menu en haut de la page.

    Capture d’écran illustrant le bouton Charger du conteneur dans le portail Azure.

  4. La fenêtre Charger l’objet blob s’affiche. Sélectionnez vos fichiers à charger.

    Capture d’écran illustrant la fenêtre Charger l’objet blob dans le portail Azure.

    Remarque

    Par défaut, l’API REST utilise des documents situés à la racine de votre conteneur. Vous pouvez aussi utiliser des données organisées en sous-dossiers si cela est spécifié dans l’appel de l’API. Pour plus d’informations, consultez Organiser vos données dans des sous-dossiers.

Générer des jetons SAP

Une fois les prérequis remplis et vos documents chargés, vous pouvez générer des jetons SAP. Deux chemins existent à partir de ce point : l’un utilise le portail Azure et l’autre utilise l’Explorateur Stockage Azure. Sélectionnez l’un des deux onglets suivants pour plus d’informations.

Le portail Azure est une console web qui vous permet de gérer votre abonnement et vos ressources Azure via une interface graphique utilisateur (GUI).

  1. Connectez-vous au portail Azure.

  2. Accédez à votre compte de stockage>conteneurs>votre conteneur.

  3. Sélectionnez Générer une signature d’accès partagé dans le menu situé en haut de la page.

  4. Sélectionnez Méthode de signature → Clé de délégation d’utilisateur.

  5. Définissez des Autorisations en cochant ou en décochant la case appropriée.

    • Assurez-vous que les autorisations Lecture, Ecriture, Suppressionet Liste sont sélectionnées.

    Capture d’écran illustrant les champs d’autorisation SAS dans le portail Azure.

    Important

  6. Spécifiez les heures de début et d’expiration de la clé signée.

    • Quand vous créez un jeton SAP, la durée par défaut est de 48 heures. Passé ce délai, vous devrez créer un nouveau jeton.
    • Pensez à définir une durée plus longue pour la période d’utilisation de votre compte de stockage pour les opérations du service Document Intelligence.
    • La valeur du délai d’expiration est déterminée par l’utilisation de la méthode de signature par clé de compte ou par clé de délégation d’utilisateur(-trice) :
  7. Le champ Adresses IP autorisées est facultatif. Il spécifie une adresse IP ou une plage d’adresses IP à partir desquelles des requêtes doivent être acceptées. Si l’adresse IP de la requête e ne correspond pas à l’adresse IP ou à la plage d’adresses spécifiée sur le jeton SAS, l’autorisation échoue. L’adresse IP ou une plage d’adresses IP doit être ou contenir des adresses IP publiques et non privées. Pour plus d’informations, consultez, Spécifier une adresse IP ou une plage d’adresses IP.

  8. Le champ Protocoles autorisés est facultatif. Il spécifie le protocole autorisé pour une requête effectuée avec le jeton SAP. La valeur par défaut est HTTPS.

  9. Sélectionnez Générer un jeton SAS et une URL.

  10. La chaîne de requête Jeton SAS blob et l’URL SAS blob s’affichent en bas dans la fenêtre. Pour utiliser le jeton SAS blob, ajoutez-le à un URI de service de stockage.

  11. Copiez et collez les valeurs Jeton SAS blob et URL SAS blob en lieu sûr. Les valeurs ne s’affichent qu’une seule fois et ne peuvent pas être récupérées après la fermeture de la fenêtre.

  12. Pour construire une URL de signature d’accès partagé (SAS), ajoutez le jeton SAS (URI) à l’URL d’un service de stockage.