스토리지 컨테이너에 대한 SAS 토큰 만들기
이 콘텐츠는 v4.0(GA) v3.1(GA) v3.0(GA) v2.1(GA)에 적용됩니다.
이 문서에서는 Azure Portal 또는 Azure Storage Explorer를 사용하여 사용자 위임, SAS(공유 액세스 서명) 토큰을 만드는 방법을 알아봅니다. 사용자 위임 SAS 토큰은 Microsoft Entra 자격 증명으로 보호됩니다. SAS 토큰은 Azure 스토리지 계정의 리소스에 대한 안전한 위임된 액세스를 제공합니다.
높은 수준에서 SAS 토큰의 작동 방식은 다음과 같습니다.
먼저, 애플리케이션은 REST API 요청의 일부로 SAS 토큰을 Azure Storage에 제출합니다.
그런 다음, 스토리지 서비스에서 SAS가 유효하다고 확인하면 요청이 승인됩니다. SAS 토큰이 유효하지 않은 것으로 간주되면 요청이 거부되고 오류 코드 403(사용할 수 없음)이 반환됩니다.
Azure Blob Storage는 세 가지 종류의 리소스를 제공합니다.
- 스토리지 계정은 데이터에 대해 Azure에서 고유의 네임스페이스를 제공합니다.
- 데이터 스토리지 컨테이너는 스토리지 계정에 있으며 Blob 집합을 구성합니다.
- Blob은 컨테이너에 있으며 텍스트 및 파일, 텍스트 및 이미지와 같은 이진 데이터를 저장합니다.
SAS 토큰을 사용하는 경우
사용자 지정 모델 학습. 어셈블된 학습 문서 집합을 Azure Blob Storage 컨테이너에 업로드해야 합니다. SAS 토큰을 사용하여 학습 문서에 대한 액세스 권한을 부여하도록 선택할 수 있습니다.
공용 액세스 권한이 있는 스토리지 컨테이너 사용 SAS 토큰을 사용하여 공용 읽기 액세스 권한이 있는 스토리지 리소스에 대한 제한된 액세스 권한을 부여하도록 선택할 수 있습니다.
Important
Azure Storage 계정이 가상 네트워크 또는 방화벽으로 보호되는 경우 SAS 토큰으로 액세스 권한을 부여할 수 없습니다. 관리 ID를 사용하여 스토리지 리소스에 대한 액세스 권한을 부여해야 합니다.
관리 ID는 프라이빗 및 퍼블릭 액세스가 가능한 Azure Blob Storage 계정을 둘 다 지원합니다.
SAS 토큰은 스토리지 리소스에 대한 권한을 부여하며 계정 키와 동일한 방식으로 보호되어야 합니다.
SAS 토큰을 사용하는 작업은 HTTPS 연결을 통해서만 수행되어야 하며 SAS URI는 HTTPS와 같은 보안 연결에서만 배포되어야 합니다.
필수 조건
시작하려면 다음이 필요합니다.
표준 성능 Azure Blob Storage 계정 스토리지 계정 내에서 Blob 데이터를 저장하고 구성하는 컨테이너를 만들어야 합니다. 스토리지 컨테이너를 사용하여 Azure 스토리지 계정을 만드는 방법을 모르는 경우 다음 빠른 시작을 따릅니다.
- 스토리지 계정 만들기 스토리지 계정을 만들 때 인스턴스 세부 사항>성능 필드에서 표준 성능을 선택합니다.
- 컨테이너를 만듭니다. 컨테이너를 만드는 경우 새 컨테이너 창에서 퍼블릭 액세스 수준을 컨테이너(컨테이너 및 Blob에 대한 익명 읽기 액세스)로 설정합니다.
문서 업로드
Azure Portal에 로그인합니다.
- 내 스토리지 계정 → 데이터 스토리지 → 컨테이너를 선택합니다.
목록에서 컨테이너를 선택합니다.
페이지 위쪽의 메뉴에서 업로드를 선택합니다.
Blob 업로드 창이 표시됩니다. 업로드할 파일을 선택합니다.
참고 항목
기본적으로 REST API는 컨테이너 루트에 있는 문서를 사용합니다. API 호출에 지정된 경우 하위 폴더에 구성된 데이터를 사용할 수도 있습니다. 자세한 내용은 하위 폴더에서 데이터 구성을 참조하세요.
SAS 토큰 생성
필수 구성 요소가 충족되고 문서를 업로드하면 이제 SAS 토큰을 생성할 수 있습니다. 여기에서 수행할 수 있는 두 가지 경로가 있습니다. 하나는 Azure Portal을 사용하고 다른 하나는 Azure Storage Explorer를 사용합니다. 자세한 내용은 다음 두 탭 중에서 선택합니다.
- Azure Portal
- Azure Storage Explorer
Azure Portal은 GUI(그래픽 사용자 인터페이스)를 사용하여 Azure 구독 및 리소스를 관리할 수 있는 웹 기반 콘솔입니다.
Azure Portal에 로그인합니다.
스토리지 계정>컨테이너>컨테이너로 이동합니다.
페이지 상단 근처의 메뉴에서 SAS 생성을 선택합니다.
서명 방법 → 사용자 위임 키를 선택합니다.
적절한 확인란을 선택하거나 선택 취소하여 사용 권한을 정의합니다.
- 읽기, 쓰기, 삭제, 목록 보기 권한이 선택되어 있는지 확인합니다.
Important
다음과 유사한 메시지가 표시되는 경우 스토리지 계정의 Blob 데이터에 대한 액세스도 할당해야 합니다.
Azure RBAC(Azure 역할 기반 액세스 제어)는 Azure 리소스에 대한 액세스를 관리하는 데 사용하는 권한 부여 시스템입니다. Azure RBAC를 사용하면 Azure 리소스에 대한 액세스 및 권한을 관리할 수 있습니다.
Blob 데이터에 액세스하기 위한 Azure 역할 할당에서는 Azure Storage 컨테이너에 대한 읽기, 쓰기, 삭제 권한을 허용하는 역할을 할당합니다. Storage Blob 데이터 기여자를 참조하세요.
서명된 키 시작 및 만료 시간을 지정합니다.
- SAS 토큰을 생성할 때 기본 기간은 48시간입니다. 48시간이 지나면 새 토큰을 만들어야 합니다.
- 문서 인텔리전스 Service 작업에 스토리지 계정을 사용하는 기간을 더 길게 설정하는 것이 좋습니다.
- 만료 시간 값은 계정 키 또는 사용자 위임 키 서명 방법 사용 여부에 따라 결정됩니다.
- 계정 키: 최대 시간 제한은 없습니다. 그러나 모범 사례에서는 간격을 제한하고 손상을 최소화하도록 만료 정책을 구성하는 것이 좋습니다. 공유 액세스 서명에 대한 만료 정책을 구성합니다.
- 사용자 위임 키: 만료 시간 값은 SAS 토큰 생성 스크립트 후 최대 7일입니다. 사용자 위임 키가 만료된 후에는 SAS가 유효하지 않으므로 만료 시간이 7일보다 긴 SAS는 여전히 7일 동안만 유효합니다. 자세한 내용은 Microsoft Entra 자격 증명을 사용하여 SAS 보안을 참조하세요.
허용되는 IP 주소 필드는 선택 사항으로 요청을 수락할 IP 주소 또는 IP 주소 범위를 지정합니다. 요청 IP 주소가 SAS 토큰에 지정된 IP 주소 또는 주소 범위와 일치하지 않으면 권한 부여가 실패합니다. IP 주소 또는 IP 주소 범위는 프라이빗이 아닌 공용 IP여야 합니다. 자세한 내용은 IP 주소 또는 IP 범위 지정을 참조하세요.
허용되는 프로토콜 필드는 선택 사항으로 SAS 토큰으로 만든 요청에 대해 허용되는 프로토콜을 지정합니다. 기본값은 HTTPS입니다.
SAS 토큰 및 URL 생성을 선택합니다.
Blob SAS 토큰 쿼리 문자열 및 Blob SAS URL이 창의 아래쪽 영역에 표시됩니다. Blob SAS 토큰을 사용하려면 스토리지 서비스 URI에 추가합니다.
Blob SAS 토큰 및 Blob SAS URL 값을 복사하여 안전한 위치에 붙여넣습니다. 이 값은 한 번만 표시되며 창을 닫은 후에는 검색할 수 없습니다.
SAS URL을 구성하려면 스토리지 서비스의 URL에 SAS 토큰(URI)을 추가합니다.