SAS-tokens voor uw opslagcontainers

Meer informatie over het maken van gebruikersdelegering, SAS-tokens (Shared Access Signature) met behulp van Azure Portal. SAS-tokens voor gebruikersdelegering worden beveiligd met Microsoft Entra-referenties. SAS-tokens bieden beveiligde, gedelegeerde toegang tot resources in uw Azure-opslagaccount.

Tip

Op rollen gebaseerd toegangsbeheer (beheerde identiteiten) bieden een alternatieve methode voor het verlenen van toegang tot uw opslaggegevens zonder SAS-tokens met uw HTTP-aanvragen op te nemen.

• U kunt beheerde identiteiten gebruiken om toegang te verlenen tot elke resource die ondersteuning biedt voor Microsoft Entra-verificatie, inclusief uw eigen toepassingen.
• Als u beheerde identiteiten gebruikt, wordt de vereiste voor het opnemen van sas-tokens (Shared Access Signature) vervangen door uw bron- en doel-URL's.
• Er zijn geen extra kosten verbonden aan het gebruik van beheerde identiteiten in Azure.

Op hoog niveau werken SAS-tokens als volgt:

• Uw toepassing verzendt het SAS-token naar Azure Storage als onderdeel van een REST API-aanvraag.

• Als de opslagservice controleert of de SAS geldig is, wordt de aanvraag geautoriseerd.

• Als het SAS-token ongeldig wordt geacht, wordt de aanvraag geweigerd en wordt de foutcode 403 (Verboden) geretourneerd.

Azure Blob Storage biedt drie resourcetypen:

• Opslagaccounts bieden een unieke naamruimte in Azure voor uw gegevens.
• Gegevensopslagcontainers bevinden zich in opslagaccounts en organiseren sets blobs (bestanden, tekst of afbeeldingen).
• Blobs bevinden zich in containers en slaan tekst en binaire gegevens op, zoals bestanden, tekst en afbeeldingen.

Belangrijk

• SAS-tokens worden gebruikt om machtigingen te verlenen aan opslagbronnen en moeten op dezelfde manier worden beveiligd als een accountsleutel.

• Bewerkingen die gebruikmaken van SAS-tokens moeten alleen worden uitgevoerd via een HTTPS-verbinding en SAS-URI's mogen alleen worden gedistribueerd op een beveiligde verbinding, zoals HTTPS.

Vereisten

U hebt de volgende resources nodig om aan de slag te gaan:

• Een actief Azure-account. Als u nog geen account hebt, kunt u een gratis account aanmaken.

• Een Azure AI-taalresource .

• Een Azure Blob Storage-account met standaardprestaties. U moet ook containers maken om uw bestanden in uw opslagaccount op te slaan en te organiseren. Als u niet weet hoe u een Azure-opslagaccount maakt met een opslagcontainer, volgt u deze quickstarts:

  • Een opslagaccount maken. Wanneer u uw opslagaccount maakt, selecteert u Standaardprestaties in het veld Prestaties van exemplaardetails>.
  • Maak een container. Wanneer u uw container maakt, stelt u het openbare toegangsniveau in op Container (anonieme leestoegang voor containers en bestanden) in het venster Nieuwe container .

SAS-tokens maken in Azure Portal

Ga als volgt naar Azure Portal en navigeer naar uw container of een specifiek bestand en ga verder met deze stappen:

Werkstroom: uw opslagaccount → containers → uw container → het bestand

1. Klik met de rechtermuisknop op de container of het bestand en selecteer SAS genereren in de vervolgkeuzelijst.

2. Selecteer de ondertekeningsmethode → Delegeringssleutel van de gebruiker.

3. Machtigingen definiëren door het juiste selectievakje in te schakelen en/of uit te schakelen:

   • Uw bronbestand moet lees- en lijsttoegang aanwijzen.

   • Uw doelbestand moet schrijf- en lijsttoegang aanwijzen.

4. Geef de begin- en verlooptijden van de ondertekende sleutel op.

   • Wanneer u een Shared Access Signature (SAS) maakt, is de standaardduur 48 uur. Na 48 uur moet u een nieuw token maken.
   • Overweeg om een langere duurperiode in te stellen voor de tijd die u gebruikt voor taalservicebewerkingen.
   • De waarde van de verlooptijd wordt bepaald door of u een accountsleutel of methode voor ondertekening van gebruikersdelegeringssleutels gebruikt:
     • Accountsleutel: Er is geen maximale tijdslimiet opgelegd. Aanbevolen procedures raden u echter aan een verloopbeleid te configureren om het interval te beperken en inbreuk te minimaliseren. Configureer een verloopbeleid voor handtekeningen voor gedeelde toegang.
     • Sleutel voor gebruikersdelegering: de waarde voor de verlooptijd is maximaal zeven dagen na het maken van het SAS-token. De SAS is ongeldig nadat de gebruikersdelegatiesleutel is verlopen, dus een SAS met een verlooptijd van meer dan zeven dagen is nog steeds slechts zeven dagen geldig. Zie Microsoft Entra-referenties gebruiken om een SAS te beveiligen voor meer informatie.

5. Het veld Toegestane IP-adressen is optioneel en geeft een IP-adres of een bereik van IP-adressen op waaruit aanvragen moeten worden geaccepteerd. Als het IP-adres van de aanvraag niet overeenkomt met het IP-adres of het adresbereik dat is opgegeven in het SAS-token, mislukt de autorisatie. Het IP-adres of een bereik van IP-adressen moeten openbare IP-adressen zijn, niet privé. Zie voor meer informatie een IP-adres of IP-bereik opgeven.

6. Het veld Toegestane protocollen is optioneel en geeft het protocol op dat is toegestaan voor een aanvraag die is gemaakt met de SAS. De standaardwaarde is HTTPS.

7. Controleer vervolgens SAS-token en URL genereren.

8. De blob-SAS-tokenquerytekenreeks en blob-SAS-URL worden weergegeven in het onderste gedeelte van het venster.

9. Kopieer en plak het Blob SAS-token en de URL-waarden op een veilige locatie. Ze worden slechts eenmaal weergegeven en kunnen niet worden opgehaald zodra het venster is gesloten.

10. Als u een SAS-URL wilt maken, voegt u het SAS-token (URI) toe aan de URL voor een opslagservice.

Uw SAS-URL gebruiken om toegang te verlenen

De SAS-URL bevat een speciale set queryparameters. Deze parameters geven aan hoe de client toegang heeft tot de resources.

U kunt uw SAS-URL op twee manieren opnemen met REST API-aanvragen:

• Gebruik de SAS-URL als uw sourceURL- en targetURL-waarden.

• Voeg de SAS-queryreeks toe aan uw bestaande bronURL- en targetURL-waarden.

Hier volgt een voorbeeld van een REST API-aanvraag:

{
  "analysisInput": {
    "documents": [
      {
        "id": "doc_0",
        "language": "en",
        "source": {
          "location": "myaccount.blob.core.windows.net/sample-input/input.pdf?{SAS-Token}"
        },
        "target": {
          "location": "https://myaccount.blob.core.windows.net/sample-output?{SAS-Token}"
        }
      }
    ]
  }
}

Dat is het! U hebt geleerd hoe u SAS-tokens maakt om te autoriseren hoe clients toegang krijgen tot uw gegevens.

Volgende stappen

Meer informatie over systeemeigen documentondersteuning Meer informatie over het verlenen van toegang met SAS