Udostępnij za pośrednictwem

Eksportowanie danych kosztów przy użyciu klucza SAS konta usługi Azure Storage

  • Artykuł

Poniższe informacje dotyczą tylko partnerów firmy Microsoft.

Często partnerzy nie mają własnych subskrypcji platformy Azure w dzierżawie skojarzonej z własną umową partnerską firmy Microsoft. Partnerzy posiadający plan umowy partnerskiej firmy Microsoft, którzy pełnią funkcję administratorów rozliczeń swojego konta, mogą eksportować i kopiować dane kosztów do konta magazynowego w innej dzierżawie, korzystając z klucza usługi dostępu współdzielonego (SAS). Innymi słowy, konto magazynu z kluczem SAS (Shared Access Signature) umożliwia partnerowi korzystanie z konta magazynu spoza umowy partnerskiej w celu otrzymywania wyeksportowanych informacji. Ten artykuł ułatwia partnerom tworzenie klucza SAS i konfigurowanie eksportów Cost Management.

Wymagania

  • Dostępność: ta funkcja jest dostępna tylko w chmurze publicznej.

  • Musisz być partnerem w umowie partnerskiej firmy Microsoft. Twoi klienci w planie Azure muszą mieć podpisaną Umowę z Klientem Microsoft.

  • Eksportowanie oparte na kluczach SAS nie jest obsługiwane w przypadku pośrednich umów Enterprise Agreement.

  • Eksport kluczowy oparty na sygnaturze dostępu współdzielonego (SAS) jest dostępny dla partnerów logujących się do portalu Azure z konta partnerskiego. Jednak opcja klucza SAS nie jest obsługiwana, jeśli używasz Azure Lighthouse do zarządzania klientami.

  • Musisz być administratorem rozliczeń dla konta rozliczeniowego organizacji partnerskiej.

  • Musisz mieć dostęp do konfigurowania konta magazynowego, które znajduje się w innej dzierżawie organizacji partnerskiej. Odpowiadasz za utrzymanie uprawnień i dostępu do danych, gdy eksportujesz dane na Twoje konto magazynowe.

  • Konto magazynowe nie powinno mieć skonfigurowanej zapory.

  • Konfiguracja konta magazynu musi mieć opcję Dozwolone dla operacji kopiowania (wersja zapoznawcza) ustawioną na Z dowolnego konta magazynu.

Konfigurowanie usługi Azure Storage przy użyciu klucza sygnatury dostępu współdzielonego

Uzyskaj token SAS konta magazynowego lub utwórz go przy użyciu portalu Azure. Aby utworzyć obiekt w portalu Azure, wykonaj następujące kroki. Aby dowiedzieć się więcej o kluczach sygnatur dostępu współdzielonego, zobacz Udzielanie ograniczonego dostępu do danych za pomocą sygnatur dostępu współdzielonego (SAS).

  1. Przejdź do konta magazynu w witrynie Azure Portal.
    • Jeśli Twoje konto ma dostęp do wielu dzierżaw, przełącz katalogi, aby uzyskać dostęp do konta magazynu. Wybierz swoje konto w prawym górnym rogu portalu Azure, a następnie wybierz pozycję Przełącz katalogi.
    • Aby uzyskać dostęp do konta magazynu, może być konieczne zalogowanie się w witrynie Azure Portal przy użyciu odpowiedniego konta dzierżawy.
  2. W menu po lewej stronie wybierz pozycję Sygnatura dostępu współdzielonego.
    Zrzut ekranu przedstawiający skonfigurowaną sygnaturę dostępu współdzielonego usługi Azure Storage.
  3. Skonfiguruj token z tymi samymi ustawieniami, które zostały zidentyfikowane na powyższym obrazie.
    1. Wybierz pozycję Obiekt blob w polu Dozwolone usługi.
    2. Wybierz Usługa, Kontener i Obiekt dla Dozwolone typy zasobów.
    3. Wybierz Odczyt, Zapis, Usuń, Wyświetl listę, Dodaj i Utwórz w obszarze Dozwolone uprawnienia.
    4. Wybierz daty wygaśnięcia i inne daty. Pamiętaj, aby zaktualizować token SAS eksportu przed jego wygaśnięciem. Im dłuższy okres konfigurowany przed wygaśnięciem, tym dłużej trwa eksport przed koniecznością utworzenia nowego tokenu SAS.
  4. Wybierz pozycję HTTPS tylko dla dozwolonych protokołów.
  5. Wybierz pozycję Podstawowa dla preferowanej warstwy routingu.
  6. Wybierz klucz1 jako Klucz podpisywania. W przypadku rotacji lub zaktualizowania klucza użytego do podpisania tokenu SAS należy ponownie wygenerować nowy token SAS.
  7. Wybierz Generuj sygnaturę SAS i ciąg połączenia. Wyświetlana wartość tokenu SAS jest tokenem, którego potrzebujesz do konfigurowania eksportów.

Tworzenie nowego eksportu przy użyciu tokenu SAS

Przejdź do obszaru Eksporty w zakresie konta rozliczeniowego i utwórz nowy eksport, wykonując następujące kroki.

  1. Wybierz pozycję Utwórz.
  2. Skonfiguruj szczegóły eksportu tak, jak w przypadku normalnego eksportu. Eksport można skonfigurować tak, aby korzystał z istniejącego katalogu lub kontenera albo określić nowy katalog lub kontener. Proces eksportu tworzy je dla Ciebie.
  3. Podczas konfigurowania magazynu wybierz pozycję Użyj tokena SAS.
    Zrzut ekranu przedstawiający nowy eksport, w którym wybierasz token SAS.
  4. Wprowadź nazwę konta magazynu i wklej token SAS.
  5. Określ istniejący kontener lub katalog lub zidentyfikuj nowe, które mają zostać utworzone.
  6. Wybierz pozycję Utwórz.

Eksportowanie oparte na tokenach SAS działa tylko wtedy, gdy token pozostaje prawidłowy. Zresetuj token przed wygaśnięciem bieżącego lub eksport przestanie działać. Ponieważ token zapewnia dostęp do konta magazynowego, chroń token z taką samą starannością jak wszystkie inne poufne informacje. Odpowiadasz za utrzymanie uprawnień i dostępu do danych, gdy eksportujesz dane do swojego konta magazynu.

Rozwiązywanie problemów z eksportami przy użyciu tokenów SAS

Poniżej przedstawiono typowe problemy, które mogą wystąpić podczas konfigurowania lub używania eksportów opartych na tokenach SAS.

  • Nie widzisz opcji klucza SAS w portalu Azure.

    • Sprawdź, czy jesteś partnerem, który ma umowę partnerską firmy Microsoft i czy masz uprawnienia administratora rozliczeń do konta rozliczeniowego. Są to jedyne osoby, które mogą eksportować przy użyciu klucza SAS (sygnatury dostępu współdzielonego).

  • Podczas próby skonfigurowania eksportu zostanie wyświetlony następujący komunikat o błędzie:

    Upewnij się, że token SAS jest ważny dla usługi przechowywania obiektów blob, ważny dla zasobów typu kontener i obiekt oraz ma uprawnienia: dodawanie, tworzenie, odczyt, zapis, usuwanie. (Kod błędu usługi Storage: AuthorizationResourceTypeMismatch)

    • Upewnij się, że poprawnie konfigurujesz i generujesz klucz SAS w usłudze Azure Storage.

  • Po utworzeniu eksportu nie widzisz pełnego klucza SAS.

    • Niewidoczność klucza jest oczekiwanym zachowaniem. Po skonfigurowaniu eksportu SAS klucz jest ukryty ze względów bezpieczeństwa.

  • Nie można uzyskać dostępu do konta magazynu z dzierżawy, w której skonfigurowano eksport.

    • Zachowanie jest oczekiwane. Jeśli konto magazynu znajduje się w innej dzierżawie, musisz najpierw przejść do tej dzierżawy w portalu Azure, aby znaleźć konto magazynu.

  • Eksportowanie kończy się niepowodzeniem z powodu błędu związanego z tokenem SAS.

    • Eksport działa tylko wtedy, gdy token SAS pozostaje prawidłowy. Utwórz nowy klucz i uruchom eksport.

Następne kroki