Создание маркеров SAS для контейнеров хранилища

Это содержимое относится к: версии 4.0 (GA) версии 3.1 (GA) версии 3.0 (GA) версии 2.1 (GA)

В этой статье описано, как создать делегирование пользователей, маркеры подписанного URL-адреса (SAS) с помощью портал Azure или обозревателя служба хранилища Azure. Маркеры SAS делегирования пользователей защищены учетными данными Microsoft Entra. Маркеры SAS обеспечивают безопасный делегированный доступ к ресурсам в учетной записи хранения Azure.

Вот как в общих чертах работают маркеры SAS:

• Во-первых, приложение отправляет маркер SAS в служба хранилища Azure в рамках запроса REST API.

• Затем, если служба хранилища проверяет допустимость SAS, запрос авторизован. Если маркер SAS считается недействительным, запрос отклоняется и возвращается код ошибки 403 (запрещено).

В хранилище BLOB-объектов Azure предлагается три типа ресурсов:

• Учетные записи хранения предоставляют для ваших данных уникальное пространство имен в Azure.
• Контейнеры хранения данных находятся в учетных записях хранения и упорядочивают наборы больших двоичных объектов.
• BLOB-объекты находятся в контейнерах и хранят текстовые и двоичные данные, такие как файлы, текст и изображения.

Когда следует использовать маркер SAS

• Обучение пользовательских моделей. Собранный набор обучающих документов необходимо отправить в контейнер службы хранилища BLOB-объектов Azure. Вы можете использовать маркер SAS для предоставления доступа к учебным документам.

• Использование контейнеров хранилища с открытым доступом. Вы можете использовать маркер SAS для предоставления ограниченного доступа к ресурсам хранилища с общедоступным доступом на чтение.

  Внимание

  • Если ваша учетная запись хранения Azure защищена виртуальной сетью или брандмауэром, предоставление доступа с маркером SAS будет невозможно. В таком случае для предоставления доступа к ресурсу хранилища потребуется использовать управляемое удостоверение.

  • Управляемое удостоверение поддерживает как частные, так и общедоступные учетные записи хранилища BLOB-объектов Azure.

  • Маркеры SAS предоставляют разрешения на доступ к ресурсам хранилища и должны быть защищены так же, как и ключ учетной записи.

  • Операции, использующие маркеры SAS, должны выполняться только по соединению HTTPS, а сами URI подписанных URL-адресов должны распространяться только по безопасным соединениям, таким как HTTPS.

Необходимые компоненты

Для начала работы необходимы перечисленные ниже компоненты и данные.

• Активная учетная запись Azure. Если ее нет, можно создать бесплатную учетную запись.

• Ресурс аналитики документов или ресурса с несколькими службами.

• Учетная запись Хранилища BLOB-объектов Azure с производительностью уровня "Стандартный". Необходимо создать контейнеры для хранения и упорядочивания данных BLOB-объектов в учетной записи хранения. Если вы не знаете, как создать учетную запись хранения Azure с контейнером хранилища, следуйте этим кратким руководствам:

  • Создание учетной записи хранения. При создании учетной записи хранения выберите уровень производительности Стандартныйв поле Сведения об экземпляре>Производительность.
  • Создание контейнера. При создании контейнера в окне Создание контейнера установите для поля Уровень общего доступа значение Контейнер (анонимный доступ на чтение для контейнеров и BLOB-объектов).

Отправка документов

1. Войдите на портал Azure.

   • Выберите Ваша учетная запись хранения → Хранилище данных → Контейнеры.

   

2. Выберите контейнер из списка.

3. В меню в верхней части страницы нажмите кнопку Отправить.

   

4. Появится окно Отправить BLOB-объект. Выберите файлы для отправки.

   

   Примечание.

   По умолчанию REST API использует документы, расположенные в корне контейнера. Можно также использовать данные, упорядоченные во вложенных папках, если они указаны в вызове API. Дополнительные сведения см. в разделе Упорядочение данных во вложенных папках.

Создание маркеров SAS

После выполнения предварительных требований и отправки документов теперь можно создать маркеры SAS. Есть два пути, которые можно взять отсюда; один с помощью портал Azure и другого с помощью обозревателя службы хранилища Azure. Выберите между двумя следующими вкладками дополнительные сведения.

портале Azure

Портал Azure — это веб-консоль, которая позволяет управлять подпиской и ресурсами Azure с помощью графического пользовательского интерфейса (GUI).

1. Войдите на портал Azure.

2. Перейдите к контейнерам> вашей учетной записи>хранения.

3. Выберите Создать SAS в меню в верхней части страницы.

4. Выберите Метод подписывания → Ключ делегирования пользователя.

5. Определите Разрешения, установив или сняв соответствующий флажок.
   

   • Убедитесь, что заданы разрешения на чтение, запись, удаление и перечисление.

   

   Внимание

   • Если вы получили сообщение, похожее на следующее, вам также потребуется назначить доступ к данным большого двоичного объекта в вашей учетной записи хранения:

     

   • Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам в Azure. Azure RBAC помогает управлять доступом и разрешениями для ресурсов Azure.

   • Назначение роли Azure для доступа к данным BLOB-объектов для назначения роли, которая предоставляет разрешение на чтение, запись и удаление для контейнера хранилища Azure. См. раздел "Участник данных BLOB-объектов хранилища".

6. Укажите дату и время начала и окончания срока действия подписанного ключа.

   • При создании маркера SAS длительность по умолчанию составляет 48 часов. Через 48 часов вам потребуется создать новый маркер.
   • Попробуйте задать длительный период времени, когда вы используете учетную запись хранения для операций Службы аналитики документов.
   • Значение срока действия определяется тем, используется ли ключ учетной записи или метод подписывания ключа делегирования пользователей:
     • Ключ учетной записи: не налагается максимальное ограничение времени. Однако рекомендуется настроить политику истечения срока действия, чтобы ограничить интервал и свести к минимуму компромисс. Настройте политику истечения срока действия для подписей общего доступа.
     • Ключ делегирования пользователей: значение срока действия не более семи дней после создания маркера SAS. SAS недействителен после истечения срока действия ключа делегирования пользователей, поэтому SAS с истекающим сроком действия больше семи дней по-прежнему будет действителен только в течение семи дней. Дополнительные сведения см. в разделе "Использование учетных данных Microsoft Entra для защиты SAS".

7. Поле Разрешенные IP-адреса является необязательным. В нем указывается IP-адрес или диапазон IP-адресов, из которых принимаются запросы. Если IP-адрес запроса не соответствует IP-адресу или диапазону адресов, указанному в маркере SAS, авторизация завершается ошибкой. IP-адрес или диапазон IP-адресов должен быть общедоступным IP-адресом, а не частным. Дополнительные сведения см. в разделе "Указание IP-адреса или диапазона IP-адресов".

8. Поле Разрешенные протоколы является необязательным и указывает на протокол, разрешенный для запроса, созданного с помощью маркера SAS. Значение по умолчанию — HTTPS.

9. Выберите Создать маркер SAS и URL-адрес.

10. Строка запроса маркера SAS большого двоичного объекта и URL-адрес SAS большого двоичного объекта отображаются в нижней области окна. Чтобы использовать маркер SAS большого двоичного объекта, добавьте его к URI службы хранилища.

11. Скопируйте значения маркера SAS большого двоичного объекта и URL-адреса SAS большого двоичного объекта и вставьте их в безопасное место. Значения отображаются только один раз и не могут быть получены после закрытия окна.

12. Чтобы создать URL-адрес SAS, добавьте маркер SAS (URI) к URL-адресу службы хранилища.

Обозреватель службы хранилища Azure

Обозреватель службы хранилища Azure — это бесплатное отдельное приложение, с помощью которого можно с легкостью управлять ресурсами в облачном хранилище Azure с вашего компьютера.

Начало работы

• Вам потребуется приложение служба хранилища Azure Explorer, установленное в среде разработки Windows, macOS или Linux.

• После установки приложения обозревателя служба хранилища Azure подключите ее к учетной записи хранения, которую вы используете для аналитики документов.

Создание маркеров SAS

1. Откройте приложение Обозревателя службы хранилища Azure на локальном компьютере и перейдите к подключенным учетным записям хранения.

2. Разверните узел "Учетные записи хранения" и выберите Контейнеры больших двоичных объектов.

3. Разверните узел "Контейнеры больших двоичных объектов" и щелкните правой кнопкой мыши узел контейнера хранилища, чтобы открыть меню "Параметры".

4. В меню "Параметры" выберите Получить подписанный URL-адрес.

5. В окне Подписанный URL-адрес сделайте следующее.

   • Выберите Политика доступа (значение по умолчанию — "Нет").
   • Укажите дату и время начала и окончания срока действия подписанного ключа. Рекомендуется использовать короткий срок существования, поскольку отозвать созданный SAS невозможно.
   • Выберите Часовой пояс для даты/времени начала и окончания срока действия (по умолчанию выбрано местное время).
   • Определите разрешения контейнера, установив флажки Чтение, Запись, Список и Удалить.
   • Выберите ключ1 или ключ2.
   • Проверьте настройки и нажмите Создать.

6. Откроется новое окно с именем контейнера, URL-адресом SAS и строкой запроса для контейнера.

7. Скопируйте подписанный URL-адрес и строки запроса и вставьте их в безопасное место. Они будут показаны только один раз, и вы не сможете получить их после закрытия окна.

8. Чтобы создать URL-адрес SAS, добавьте маркер SAS (URI) к URL-адресу службы хранилища.

Предоставление доступа с помощью подписанного URL-адреса

Подписанный URL-адрес включает специальный набор параметров запроса. Эти параметры указывают, как клиент обращается к ресурсам.

REST API

Чтобы использовать подписанный URL-адрес для большого двоичного объекта с REST API, добавьте подписанный URL-адрес в текст запроса:

{
    "source":"<BLOB SAS URL>"
}

Вот и все! Вы узнали, как создать маркеры SAS для авторизации доступа клиентов к данным.

Следующий шаг

Создание набора данных для обучения