Criar tokens SAS para contêineres de armazenamento

Este conteúdo aplica-se a: v4.0 (GA) v3.1 (GA) v3.0 (GA) v2.1 (GA)

Neste artigo, saiba como criar delegação de usuário, tokens de assinatura de acesso compartilhado (SAS), usando o portal do Azure ou o Gerenciador de Armazenamento do Azure. Os tokens SAS de delegação de usuários são protegidos com credenciais do Microsoft Entra. Os tokens SAS fornecem acesso seguro e delegado a recursos em sua conta de armazenamento do Azure.

Em um alto nível, veja como os tokens SAS funcionam:

• Primeiro, seu aplicativo envia o token SAS para o Armazenamento do Azure como parte de uma solicitação de API REST.

• Em seguida, se o serviço de armazenamento verificar se a SAS é válida, a solicitação será autorizada. Se o token SAS for considerado inválido, a solicitação será recusada e o código de erro 403 (Proibido) será retornado.

O Armazenamento de Blobs do Azure oferece três tipos de recursos:

• As contas de armazenamento fornecem um namespace exclusivo no Azure para seus dados.
• Os contêineres de armazenamento de dados estão localizados em contas de armazenamento e organizam conjuntos de blobs.
• Os blobs estão localizados em contêineres e armazenam texto e dados binários , como arquivos, texto e imagens.

Quando usar um token SAS

• Treinamento de modelos personalizados. Seu conjunto montado de documentos de treinamento deve ser carregado em um contêiner de Armazenamento de Blob do Azure. Você pode optar por usar um token SAS para conceder acesso aos seus documentos de treinamento.

• Utilização de contentores de armazenamento com acesso público. Você pode optar por usar um token SAS para conceder acesso limitado aos seus recursos de armazenamento que têm acesso público de leitura.

  Importante

  • Se sua conta de armazenamento do Azure estiver protegida por uma rede virtual ou firewall, você não poderá conceder acesso com um token SAS. Você terá que usar uma identidade gerenciada para conceder acesso ao seu recurso de armazenamento.

  • A identidade gerenciada dá suporte a contas de Armazenamento de Blob do Azure acessíveis de forma privada e pública.

  • Os tokens SAS concedem permissões para recursos de armazenamento e devem ser protegidos da mesma maneira que uma chave de conta.

  • As operações que usam tokens SAS devem ser executadas somente em uma conexão HTTPS, e os URIs SAS só devem ser distribuídos em uma conexão segura, como HTTPS.

Pré-requisitos

Para começar, precisa do seguinte:

• Uma conta ativa do Azure. Se não tiver uma, poderá criar uma conta gratuita.

• Um recurso de Inteligência Documental ou multisserviço .

• Uma conta de Armazenamento de Blob do Azure de desempenho padrão. Você precisa criar contêineres para armazenar e organizar seus dados de blob em sua conta de armazenamento. Se você não souber como criar uma conta de armazenamento do Azure com um contêiner de armazenamento, siga estes inícios rápidos:

  • Criar uma conta de armazenamento. Ao criar sua conta de armazenamento, selecione Desempenho padrão no campo Detalhes>da instância Desempenho.
  • Crie um contêiner. Ao criar seu contêiner, defina Nível de acesso público como Contêiner (acesso de leitura anônimo para contêineres e blobs) na janela Novo contêiner .

Carregue os seus documentos

1. Inicie sessão no portal do Azure.

   • Selecione Sua conta de armazenamento → Armazenamento de dados → contêineres.

   

2. Selecione um contêiner na lista.

3. Selecione Carregar no menu na parte superior da página.

   

4. A janela Upload blob é exibida. Selecione os seus ficheiros para carregar.

   

   Nota

   Por padrão, a API REST usa documentos localizados na raiz do contêiner. Você também pode usar dados organizados em subpastas, se especificado na chamada da API. Para obter mais informações, consulte Organizar seus dados em subpastas.

Gerando tokens SAS

Depois que os pré-requisitos forem atendidos e você carregar seus documentos, agora poderá gerar tokens SAS. Há dois caminhos que você pode tomar a partir daqui; um usando o portal do Azure e o outro usando o explorador de armazenamento do Azure. Selecione entre as duas guias a seguir para obter mais informações.

Portal do Azure

O portal do Azure é um console baseado na Web que permite gerenciar sua assinatura e recursos do Azure usando uma interface gráfica do usuário (GUI).

1. Inicie sessão no portal do Azure.

2. Navegue até Os contêineres> da sua conta>de armazenamento.

3. Selecione Gerar SAS no menu próximo à parte superior da página.

4. Selecione Método de assinatura → Chave de delegação do usuário.

5. Defina permissões marcando ou desmarcando a caixa de seleção apropriada.
   

   • Verifique se as permissões Ler, Gravar, Excluir e Listar estão selecionadas.

   

   Importante

   • Se você receber uma mensagem semelhante à seguinte, também precisará atribuir acesso aos dados de blob em sua conta de armazenamento:

     

   • O controle de acesso baseado em função do Azure (Azure RBAC) é o sistema de autorização usado para gerenciar o acesso aos recursos do Azure. O RBAC do Azure ajuda você a gerenciar o acesso e as permissões para seus recursos do Azure.

   • Atribua uma função do Azure para acesso a dados de blob para atribuir uma função que permita permissões de leitura, gravação e exclusão para seu contêiner de armazenamento do Azure. Consulte Contribuidor de dados de Blob de armazenamento.

6. Especifique a chave assinada Tempos de início e expiração .

   • Quando você cria um token SAS, a duração padrão é de 48 horas. Após 48 horas, você precisará criar um novo token.
   • Considere definir um período de duração mais longo para o tempo em que você estiver usando sua conta de armazenamento para operações do Serviço de Inteligência Documental.
   • O valor do tempo de expiração é determinado pelo fato de você estar usando uma chave de conta ou um método de assinatura de chave de delegação de usuário:
     • Chave da conta: não há limite de tempo máximo imposto, no entanto, as práticas recomendadas recomendam que você configure uma política de expiração para limitar o intervalo e minimizar o comprometimento. Configure uma política de expiração para assinaturas de acesso compartilhado.
     • Chave de delegação do usuário: o valor para o tempo de expiração é de no máximo sete dias a partir da criação do token SAS. A SAS é inválida depois que a chave de delegação do usuário expira, portanto, uma SAS com um tempo de expiração superior a sete dias ainda será válida apenas por sete dias. Para obter mais informações, consulte Usar credenciais do Microsoft Entra para proteger uma SAS.

7. O campo Endereços IP permitidos é opcional e especifica um endereço IP ou um intervalo de endereços IP a partir dos quais aceitar solicitações. Se o endereço IP da solicitação não corresponder ao endereço IP ou intervalo de endereços especificado no token SAS, a autorização falhará. O endereço IP ou um intervalo de endereços IP deve ser IP público, não privado. Para obter mais informações, consulte Especificar um endereço IP ou intervalo de IP.

8. O campo Protocolos permitidos é opcional e especifica o protocolo permitido para uma solicitação feita com o token SAS. O valor padrão é HTTPS.

9. Selecione Gerar token SAS e URL.

10. A cadeia de caracteres de consulta do token Blob SAS e a URL do Blob SAS aparecem na área inferior da janela. Para usar o token SAS de Blob, acrescente-o a um URI de serviço de armazenamento.

11. Copie e cole o token SAS de Blob e os valores de URL de SAS de Blob em um local seguro. Os valores são exibidos apenas uma vez e não podem ser recuperados depois que a janela é fechada.

12. Para construir uma URL SAS, acrescente o token SAS (URI) à URL de um serviço de armazenamento.

Explorador do Storage do Azure

O Azure Storage Explorer é um aplicativo autônomo gratuito que permite gerenciar facilmente seus recursos de armazenamento em nuvem do Azure a partir de sua área de trabalho.

Começar agora

• Você precisa do aplicativo Gerenciador de Armazenamento do Azure instalado em seu ambiente de desenvolvimento Windows, macOS ou Linux.

• Depois que o aplicativo Gerenciador de Armazenamento do Azure for instalado, conecte-o à conta de armazenamento que você está usando para o Document Intelligence.

Crie seus tokens SAS

1. Abra o aplicativo Gerenciador de Armazenamento do Azure em sua máquina local e navegue até suas Contas de Armazenamento conectadas.

2. Expanda o nó Contas de Armazenamento e selecione Contêineres de Blob.

3. Expanda o nó Contêineres de Blob e clique com o botão direito do mouse em um nó de contêiner de armazenamento para exibir o menu de opções.

4. Selecione Obter assinatura de acesso compartilhado no menu de opções.

5. Na janela Assinatura de Acesso Compartilhado , faça as seguintes seleções:

   • Selecione sua política de acesso (o padrão é nenhum).
   • Especifique a chave assinada Data e hora de início e expiração . Recomenda-se uma vida útil curta porque, uma vez gerado, um SAS não pode ser revogado.
   • Selecione o fuso horário para a data e hora de início e expiração (o padrão é Local).
   • Defina suas Permissões de contêiner marcando as caixas de seleção Ler, Gravar, Listar e Excluir.
   • Selecione key1 ou key2.
   • Reveja e selecione Criar.

6. Uma nova janela é exibida com o nome do contêiner, URL SAS e cadeia de caracteres de consulta para seu contêiner.

7. Copie e cole a URL SAS e os valores da cadeia de caracteres de consulta em um local seguro. Eles só serão exibidos uma vez e não poderão ser recuperados quando a janela for fechada.

8. Para construir uma URL SAS, acrescente o token SAS (URI) à URL de um serviço de armazenamento.

Use sua URL SAS para conceder acesso

O URL SAS inclui um conjunto especial de parâmetros de consulta. Esses parâmetros indicam como o cliente acessa os recursos.

API REST

Para usar sua URL SAS com a API REST, adicione a URL SAS ao corpo da solicitação:

{
    "source":"<BLOB SAS URL>"
}

Está feito! Você aprendeu como criar tokens SAS para autorizar como os clientes acessam seus dados.

Próximo passo

Criar um conjunto de dados de treinamento