Criar tokens SAS para contêineres de armazenamento

Esse conteúdo se aplica a: v4.0 (GA) v3.1 (GA) v3.0 (GA) v2.1 (GA)

Nesse artigo, aprenda como criar delegação de usuário e tokens de assinatura de acesso compartilhado (SAS) usando o portal do Azure ou o Azure Storage Explorer. Os tokens SAS de delegação de usuário são protegidos com credenciais do Microsoft Entra. Um token SAS oferece acesso seguro e delegado aos recursos da conta de armazenamento do Azure.

Em linhas gerais, veja como os tokens SAS funcionam:

• Primeiro, seu aplicativo envia o token SAS para o Armazenamento do Microsoft Azure como parte de uma solicitação da API REST.

• Em seguida, se o serviço de armazenamento verificar que o SAS é válido, a solicitação será autorizada. Se o token SAS for considerado inválido, a solicitação será recusada e o código de erro 403 (Proibido) será retornado.

O Armazenamento de Blobs do Azure oferece três tipos de recursos:

• As contas de armazenamento fornecem um namespace exclusivo no Azure para os dados.
• Os contêineres de armazenamento de dados estão localizados em contas de armazenamento e organizam conjuntos de blobs.
• Os blobs estão localizados em contêineres e armazenam dados binários e de texto, como arquivos, texto e imagens.

Quando usar um token SAS

• Treinamento de modelos personalizados. O conjunto de documentos de treinamento montado precisa ser carregado em um contêiner de Armazenamento de Blobs do Azure. Você pode usar um token SAS para permitir acesso aos documentos de treinamento.

• Uso de contêineres de armazenamento com acesso público. Você pode usar um token SAS para permitir acesso limitado aos recursos de armazenamento que têm acesso de leitura público.

  Importante

  • Se a conta de armazenamento do Azure estiver protegida por uma rede virtual ou um firewall, você não poderá permitir acesso usando um token SAS. Você precisará usar uma identidade gerenciada para conceder acesso ao recurso de armazenamento.

  • A Identidade gerenciada oferece suporte a contas de Armazenamento de Blobs do Azure acessíveis de maneira pública ou privada.

  • Os tokens SAS concedem permissões aos recursos de armazenamento e devem ser protegidos da mesma forma que uma chave de conta.

  • As operações que usam tokens SAS só devem ser executadas em uma conexão HTTPS e os URIs SAS só devem ser distribuídos em uma conexão segura, como HTTPS.

Pré-requisitos

Para começar, você precisa do seguinte:

• Uma conta do Azure ativa. Se você não tem uma, crie uma conta gratuita.

• Um recurso do Document Intelligence ou de vários serviços.

• O Desempenho Standard de uma conta de Armazenamento de Blobs do Azure. Você precisa criar contêineres para armazenar e organizar dados de blob em sua conta de armazenamento. Se você não sabe como criar uma conta de armazenamento do Azure com um contêiner de armazenamento, siga este início rápido:

  • Criar uma conta de armazenamento. Ao criar sua a conta de armazenamento, selecione desempenho Standard no campo Detalhes da instância>Desempenho.
  • Criar um contêiner. Ao criar seu contêiner, defina o Nível de acesso público como Contêiner (acesso de leitura anônimo de contêineres e blobs) na janela Novo contêiner.

Carregar os seus documentos

1. Entre no portal do Azure.

   • Selecione Sua conta de armazenamento → Armazenamento de dados → Contêineres.

   

2. Selecione um contêiner na lista.

3. Selecione Upload no menu na parte superior da página.

   

4. A janela Carregar blob é exibida. Selecione os arquivos que serão carregados.

   

   Observação

   Por padrão, a API REST usa documentos localizados na raiz do contêiner. Você também pode usar dados organizados em subpastas, se especificado na chamada à API. Para obter mais informações, consulteOrganizar os dados em subpastas.

Gerando tokens SAS

Depois que os pré-requisitos forem atendidos e você fizer o upload dos seus documentos, agora você poderá gerar tokens SAS. Há dois caminhos que você pode seguir a partir daqui: um usando o portal do Azure e o outro usando o explorador de armazenamento do Azure. Selecione entre as duas abas a seguir para mais informações.

Azure

O portal do Azure é um console baseado na Web que permite gerenciar a assinatura e os recursos do Azure usando uma GUI (interface gráfica do usuário).

1. Entre no portal do Azure.

2. Navegue até Sua conta de armazenamento>contêineres>seu contêiner.

3. Selecione Gerar SAS no menu próximo à parte superior da página.

4. Selecione Método de assinatura → Chave de delegação do usuário.

5. Defina as Permissões marcando ou desmarcando a caixa de seleção adequada.
   

   • Verifique se as permissões de Leitura, Gravação, Exclusão e Lista estão selecionadas.

   

   Importante

   • Se você receber uma mensagem semelhante à seguinte, precisará atribuir acesso aos dados de blob na conta de armazenamento:

     

   • O controle de acesso baseado em função do Azure (Azure RBAC) é o sistema de autorização usado para gerenciar o acesso aos recursos do Azure. O Azure RBAC ajuda no gerenciamento do acesso e de permissões dos recursos do Azure.

   • Atribua uma função do Azure para acesso a dados de blob para atribuir uma função que conceda permissões de leitura, gravação e exclusão no contêiner de armazenamento do Azure. Consulte Contribuidor de dados de blob de armazenamento.

6. Especifique a hora de Início e de Expiração da chave assinada.

   • Quando você cria um token SAS, a duração padrão é de 48 horas. Após 48 horas, você precisará criar um novo token.
   • Considere definir um período de duração maior para o tempo em que você estiver usando sua conta de armazenamento para operações de Serviço de Informação de Documentos.
   • O valor do tempo de expiração é determinado pelo fato de você estar usando uma Chave de conta ou Chave de delegação de usuário Método de assinatura:
     • Chave de conta: sem limite de tempo máximo imposto; no entanto, as melhores práticas recomendam que você configure uma política de expiração para limitar o intervalo e minimizar o comprometimento. Configurar uma política de expiração para assinaturas de acesso compartilhado.
     • Chave de delegação de usuário: o valor máximo do período de expiração é de sete dias a partir da criação do token SAS. Como a chave de delegação de usuário expira em sete dias e invalida a SAS depois disso, mesmo que uma SAS tenha o tempo de expiração superior a sete dias, ainda assim ela será válida apenas durante esse período. Para obter mais informações, consulte Usar credenciais do Microsoft Entra para proteger um SAS.

7. O campo Endereços IP permitidos é opcional e especifica um endereço IP ou intervalo de endereços IP do qual aceitar solicitações. Se o endereço IP da solicitação não for igual ao endereço IP ou intervalo de endereços especificados no token SAS, a autorização falhará. O endereço IP ou um intervalo de endereços IP devem ser IPs públicos, não privados. Para obter mais informações, consulte, Especificar um endereço IP ou um intervalo de IP.

8. O campo Protocolos permitidos é opcional e especifica o protocolo permitido para uma solicitação feita com o token SAS. O valor padrão é HTTPS.

9. Selecione Gerar token SAS e URL.

10. A cadeia de caracteres de consulta do token SAS do blob e a URL SAS do blob aparecem na área inferior da janela. Para usar o token SAS do blob, acrescente a ele um URI de serviço de armazenamento.

11. Copie e cole o token SAS do blob e os valores da URL SAS do blob em um local seguro. Os valores são exibidos apenas uma vez e não podem ser recuperados depois que a janela é fechada.

12. Para criar uma URL SAS, acrescente o token SAS (URI) à URL de um serviço de armazenamento.

Gerenciador de Armazenamento do Azure

O Gerenciador de Armazenamento do Azure é uma ferramenta autônoma gratuita que permite gerenciar recursos do armazenamento em nuvem do Azure facilmente por meio da área de trabalho.

Introdução

• Você precisa do aplicativo Gerenciador de Armazenamento do Azure instalado em um ambiente de desenvolvimento do Windows, do macOS ou do Linux.

• Depois de instalar o aplicativo Gerenciador de Armazenamento do Azure, conecte-o à conta de armazenamento que você está usando para a Informação de Documentos.

Criar os tokens SAS

1. Abra o aplicativo Gerenciador de Armazenamento do Azure no computador local e navegue até suas contas de armazenamento conectadas.

2. Expanda o nó Contas de Armazenamento e selecione Contêineres de Blob.

3. Expanda o nó Contêineres de Blob e clique com o botão direito do mouse em um nó de contêiner de armazenamento para exibir o menu de opções.

4. Selecione Obter Assinatura de Acesso Compartilhado no menu de opções.

5. Na janela Assinatura de Acesso Compartilhado, faça as seguintes seleções:

   • Selecione sua Política de acesso (o padrão é nenhuma política).
   • Especifique a data e a hora de Início e de Expiração da chave assinada. Recomendamos usar um período de vida útil curto, pois não é possível revogar uma SAS depois de gerada.
   • Selecione o Fuso horário da data e hora de início e de expiração (o padrão é Local).
   • Defina as Permissões no contêiner marcando as caixas de seleção Ler, Gravar, Listar e Excluir.
   • Selecione key1 ou key2.
   • Confira os dados e selecione Criar.

6. Uma nova janela será exibida com o nome do Contêiner, a URL da SAS e a Cadeia de caracteres de consulta do contêiner.

7. Copie e cole os valores da URL SAS e da cadeia de caracteres de consulta em um local seguro. Eles são exibidos apenas uma vez e não podem ser recuperados depois que a janela é fechada.

8. Para criar uma URL SAS, acrescente o token SAS (URI) à URL de um serviço de armazenamento.

Usar a URL SAS para permitir acesso

A URL SAS inclui um conjunto especial de parâmetros de consulta. Esses parâmetros indicam como o cliente acessa os recursos.

API REST

Para usar a URL SAS com a API REST, adicione a URL SAS ao corpo da solicitação:

{
    "source":"<BLOB SAS URL>"
}

É isso! Você aprendeu a criar tokens SAS para autorizar como os clientes a acessam seus dados.

Próxima etapa

Criar um conjunto de dados de treinamento