Tworzenie tokenów SAS dla kontenerów magazynu
Ta zawartość dotyczy: v4.0 (GA) v3.1 (GA) v3.0 (GA) v2.1 (GA)
W tym artykule dowiesz się, jak tworzyć delegowanie użytkowników, tokeny sygnatury dostępu współdzielonego (SAS) przy użyciu witryny Azure Portal lub Eksplorator usługi Azure Storage. Tokeny SAS delegowania użytkownika są zabezpieczone przy użyciu poświadczeń usługi Microsoft Entra. Tokeny SAS zapewniają bezpieczny, delegowany dostęp do zasobów na koncie usługi Azure Storage.
Na wysokim poziomie przedstawiono sposób działania tokenów SAS:
Najpierw aplikacja przesyła token SAS do usługi Azure Storage w ramach żądania interfejsu API REST.
Następnie, jeśli usługa magazynu sprawdzi, czy sygnatura dostępu współdzielonego jest prawidłowa, żądanie jest autoryzowane. Jeśli token SAS zostanie uznany za nieprawidłowy, żądanie zostanie odrzucone i zostanie zwrócony kod błędu 403 (Zabronione).
Usługa Azure Blob Storage oferuje trzy typy zasobów:
- Konta magazynu zapewniają unikatową przestrzeń nazw na platformie Azure dla Twoich danych.
- Kontenery magazynu danych znajdują się na kontach magazynu i organizują zestawy obiektów blob.
- Obiekty blob znajdują się w kontenerach i przechowują dane tekstowe i binarne, takie jak pliki, tekst i obrazy.
Kiedy używać tokenu SAS
Trenowanie modeli niestandardowych. Zestaw dokumentów szkoleniowych musi zostać przekazany do kontenera usługi Azure Blob Storage. Możesz zdecydować się na użycie tokenu SAS w celu udzielenia dostępu do dokumentów szkoleniowych.
Korzystanie z kontenerów magazynu z dostępem publicznym. Możesz użyć tokenu SAS, aby udzielić ograniczonego dostępu do zasobów magazynu, które mają publiczny dostęp do odczytu.
Ważne
Jeśli konto usługi Azure Storage jest chronione przez sieć wirtualną lub zaporę, nie możesz udzielić dostępu za pomocą tokenu SAS. Aby udzielić dostępu do zasobu magazynu, musisz użyć tożsamości zarządzanej.
Tożsamość zarządzana obsługuje zarówno konta usługi Azure Blob Storage prywatnie, jak i publicznie dostępne.
Tokeny sas udzielają uprawnień do zasobów magazynu i powinny być chronione w taki sam sposób jak klucz konta.
Operacje korzystające z tokenów SAS powinny być wykonywane tylko za pośrednictwem połączenia HTTPS, a identyfikatory URI sygnatur dostępu współdzielonego powinny być dystrybuowane tylko w bezpiecznym połączeniu, takim jak HTTPS.
Wymagania wstępne
Aby rozpocząć pracę, potrzebne będą następujące elementy:
Aktywne konto platformy Azure. Jeśli nie masz, możesz utworzyć bezpłatne konto.
Analiza dokumentów lub zasób z wieloma usługami .
Konto usługi Azure Blob Storage o standardowej wydajności. Należy utworzyć kontenery do przechowywania i organizowania danych obiektów blob na koncie magazynu. Jeśli nie wiesz, jak utworzyć konto usługi Azure Storage przy użyciu kontenera magazynu, postępuj zgodnie z następującymi przewodnikami Szybki start:
- Create a storage account (Tworzenie konta magazynu). Podczas tworzenia konta magazynu wybierz pozycję Wydajność w warstwie Standardowa w polu Szczegóły>wystąpienia Wydajność.
- Tworzenie kontenera. Podczas tworzenia kontenera w oknie Nowy kontener ustaw pozycję Poziom dostępu publicznego na Kontener (anonimowy dostęp do odczytu dla kontenerów i obiektów blob).
Przekazywanie dokumentów
Zaloguj się w witrynie Azure Portal.
- Wybierz pozycję Konto magazynu → Magazyn danych → Containers.
Wybierz kontener z listy.
Wybierz pozycję Przekaż z menu w górnej części strony.
Zostanie wyświetlone okno Przekazywanie obiektu blob . Wybierz pliki do przekazania.
Uwaga
Domyślnie interfejs API REST używa dokumentów znajdujących się w katalogu głównym kontenera. Możesz również użyć danych zorganizowanych w podfolderach, jeśli określono je w wywołaniu interfejsu API. Aby uzyskać więcej informacji, zobacz Organizowanie danych w podfolderach.
Generowanie tokenów SAS
Po spełnieniu wymagań wstępnych i przekazaniu dokumentów można teraz wygenerować tokeny SAS. Istnieją dwie ścieżki, które można pobrać tutaj; jedno przy użyciu witryny Azure Portal i drugiego przy użyciu Eksploratora usługi Azure Storage. Wybierz między dwiema następującymi kartami, aby uzyskać więcej informacji.
Witryna Azure Portal to konsola internetowa, która umożliwia zarządzanie subskrypcją i zasobami platformy Azure przy użyciu graficznego interfejsu użytkownika (GUI).
Zaloguj się w witrynie Azure Portal.
Przejdź do kontenerów>konta>magazynu kontenera.
Wybierz pozycję Generuj sygnaturę dostępu współdzielonego z menu w górnej części strony.
Wybierz pozycję Metoda podpisywania → Klucz delegowania użytkownika.
Zdefiniuj uprawnienia , zaznaczając lub usuwając odpowiednie pole wyboru.
- Upewnij się, że wybrano uprawnienia Odczyt, Zapis, Usuwanie i Lista .
Ważne
Jeśli zostanie wyświetlony komunikat podobny do poniższego, musisz również przypisać dostęp do danych obiektu blob na koncie magazynu:
Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji używany do zarządzania dostępem do zasobów platformy Azure. Kontrola dostępu oparta na rolach platformy Azure ułatwia zarządzanie dostępem i uprawnieniami dla zasobów platformy Azure.
Przypisz rolę platformy Azure w celu uzyskania dostępu do danych obiektów blob, aby przypisać rolę, która umożliwia przypisywanie uprawnień do odczytu, zapisu i usuwania dla kontenera usługi Azure Storage. Zobacz Współautor danych obiektu blob usługi Storage.
Określ czas rozpoczęcia i wygaśnięcia klucza podpisanego.
- Podczas tworzenia tokenu SAS domyślny czas trwania wynosi 48 godzin. Po 48 godzinach należy utworzyć nowy token.
- Rozważ ustawienie dłuższego okresu trwania dla czasu korzystania z konta magazynu dla operacji usługi Document Intelligence Service.
- Wartość czasu wygaśnięcia zależy od tego, czy używasz klucza konta, czy metody podpisywania klucza delegowania użytkownika:
- Klucz konta: nie nałożono maksymalnego limitu czasu, jednak zalecane są najlepsze rozwiązania, które umożliwiają skonfigurowanie zasad wygasania w celu ograniczenia interwału i zminimalizowania naruszenia zabezpieczeń. Skonfiguruj zasady wygasania dla sygnatur dostępu współdzielonego.
- Klucz delegowania użytkownika: wartość czasu wygaśnięcia wynosi maksymalnie siedem dni od utworzenia tokenu SAS. Sygnatura dostępu współdzielonego jest nieprawidłowa po wygaśnięciu klucza delegowania użytkownika, więc sygnatura dostępu współdzielonego z upływem czasu wygaśnięcia większa niż siedem dni będzie nadal ważna tylko przez siedem dni. Aby uzyskać więcej informacji, zobacz Zabezpieczanie sygnatury dostępu współdzielonego przy użyciu poświadczeń entra firmy Microsoft.
Pole Dozwolone adresy IP jest opcjonalne i określa adres IP lub zakres adresów IP, z których mają być akceptowane żądania. Jeśli adres IP żądania nie jest zgodny z adresem IP lub zakresem adresów określonym w tokenie SAS, autoryzacja nie powiedzie się. Adres IP lub zakres adresów IP muszą być publicznymi adresami IP, a nie prywatnymi. Aby uzyskać więcej informacji, zobacz Określanie adresu IP lub zakresu adresów IP.
Pole Dozwolone protokoły jest opcjonalne i określa protokół dozwolony dla żądania z tokenem SAS. Wartość domyślna to HTTPS.
Wybierz pozycję Generuj token SAS i adres URL.
Ciąg zapytania tokenu SAS obiektu blob i adres URL sygnatury dostępu współdzielonego obiektu blob są wyświetlane w dolnym obszarze okna. Aby użyć tokenu SAS obiektu blob, dołącz go do identyfikatora URI usługi magazynu.
Skopiuj i wklej wartości tokenu SAS obiektu blob i adresu URL sygnatury dostępu współdzielonego obiektu blob w bezpiecznej lokalizacji. Wartości są wyświetlane tylko raz i nie można ich pobrać po zamknięciu okna.
Aby utworzyć adres URL sygnatury dostępu współdzielonego, dołącz token SAS (URI) do adresu URL usługi magazynu.