SAS-token för dina lagringscontainrar
Lär dig hur du skapar användardelegering, sas-token (signatur för delad åtkomst) med hjälp av Azure Portal. SAS-token för användardelegering skyddas med Microsoft Entra-autentiseringsuppgifter. SAS-token ger säker, delegerad åtkomst till resurser i ditt Azure Storage-konto.
Dricks
Rollbaserad åtkomstkontroll (hanterade identiteter) ger en alternativ metod för att bevilja åtkomst till dina lagringsdata utan att behöva inkludera SAS-token med dina HTTP-begäranden.
- Du kan använda hanterade identiteter för att bevilja åtkomst till alla resurser som stöder Microsoft Entra-autentisering, inklusive dina egna program.
- Att använda hanterade identiteter ersätter kravet på att du ska inkludera signaturtoken för delad åtkomst (SAS) med dina käll- och mål-URL:er.
- Det finns ingen extra kostnad för att använda hanterade identiteter i Azure.
På en hög nivå fungerar SAS-token så här:
Ditt program skickar SAS-token till Azure Storage som en del av en REST API-begäran.
Om lagringstjänsten verifierar att SAS är giltig, godkänns begäran.
Om SAS-token anses vara ogiltig avvisas begäran och felkoden 403 (förbjuden) returneras.
Azure Blob Storage erbjuder tre resurstyper:
- Lagringskonton tillhandahåller ett unikt namnområde i Azure för dina data.
- Datalagringscontainrar finns i lagringskonton och organiserar uppsättningar med blobar (filer, text eller bilder).
- Blobar finns i containrar och lagrar text och binära data som filer, text och bilder.
Viktigt!
SAS-token används för att bevilja behörigheter till lagringsresurser och bör skyddas på samma sätt som en kontonyckel.
Åtgärder som använder SAS-token bör endast utföras via en HTTPS-anslutning, och SAS-URI:er bör endast distribueras på en säker anslutning, till exempel HTTPS.
Förutsättningar
För att komma igång behöver du följande resurser:
Ett aktivt Azure-konto. Om du inte har någon, kan du skapa ett kostnadsfritt konto.
Ett Azure Blob Storage-konto med standardprestanda. Du måste också skapa containrar för att lagra och organisera dina filer i ditt lagringskonto. Om du inte vet hur du skapar ett Azure Storage-konto med en lagringscontainer följer du dessa snabbstarter:
- Skapa ett lagringskonto. När du skapar ditt lagringskonto väljer du Standardprestanda i fältet Prestanda för instansinformation>.
- Skapa en container. När du skapar containern anger du Offentlig åtkomstnivå till Container (anonym läsåtkomst för containrar och filer) i fönstret Ny container .
Skapa SAS-token i Azure Portal
Gå till Azure Portal och navigera till containern eller en specifik fil enligt följande och fortsätt med följande steg:
Arbetsflöde: Ditt lagringskonto → containrar → containern → filen
Högerklicka på containern eller filen och välj Generera SAS i den nedrullningsbara menyn.
Välj Signeringsmetod → användardelegeringsnyckel.
Definiera behörigheter genom att markera och/eller avmarkera lämplig kryssruta:
Källfilen måste ange läs- och liståtkomst.
Målfilen måste ange skriv- och liståtkomst.
Ange start- och förfallotiderna för den signerade nyckeln.
- När du skapar en signatur för delad åtkomst (SAS) är standardvaraktigheten 48 timmar. Efter 48 timmar måste du skapa en ny token.
- Överväg att ange en längre varaktighetsperiod för den tid du använder ditt lagringskonto för Language Service-åtgärder.
- Värdet för förfallotiden bestäms av om du använder en kontonyckel eller signeringsmetod för användardelegeringsnyckel:
- Kontonyckel: Ingen maximal tidsgräns har införts. Bästa praxis rekommenderar dock att du konfigurerar en förfalloprincip för att begränsa intervallet och minimera kompromisser. Konfigurera en förfalloprincip för signaturer för delad åtkomst.
- Användardelegeringsnyckel: Värdet för förfallotiden är högst sju dagar från det att SAS-token skapades. SAS är ogiltigt när användardelegeringsnyckeln har upphört att gälla, så en SAS med en förfallotid på mer än sju dagar är fortfarande bara giltig i sju dagar. Mer information finns i Använda Microsoft Entra-autentiseringsuppgifter för att skydda en SAS.
Fältet Tillåtna IP-adresser är valfritt och anger en IP-adress eller ett intervall med IP-adresser som begäranden ska accepteras från. Om begärans IP-adress inte matchar IP-adressen eller adressintervallet som anges på SAS-token misslyckas auktoriseringen. IP-adressen eller ett intervall med IP-adresser måste vara offentliga IP-adresser, inte privata. Mer information finns i Ange en IP-adress eller ETT IP-intervall.
Fältet Tillåtna protokoll är valfritt och anger vilket protokoll som tillåts för en begäran som görs med SAS. Standardvärdet är HTTPS.
Granska och välj sedan Generera SAS-token och URL.
Frågesträngen för Blob SAS-token och Blob SAS-URL:en visas i det nedre området i fönstret.
Kopiera och klistra in blob-SAS-token och URL-värden på en säker plats. De visas bara en gång och kan inte hämtas när fönstret har stängts.
Om du vill skapa en SAS-URL lägger du till SAS-token (URI) i URL:en för en lagringstjänst.
Använd DIN SAS-URL för att bevilja åtkomst
SAS-URL:en innehåller en särskild uppsättning frågeparametrar. Dessa parametrar anger hur klienten kommer åt resurserna.
Du kan inkludera DIN SAS-URL med REST API-begäranden på två sätt:
Använd SAS-URL:en som dina sourceURL- och targetURL-värden.
Lägg till SAS-frågesträngen i dina befintliga sourceURL- och targetURL-värden.
Här är ett exempel på en REST API-begäran:
{
"analysisInput": {
"documents": [
{
"id": "doc_0",
"language": "en",
"source": {
"location": "myaccount.blob.core.windows.net/sample-input/input.pdf?{SAS-Token}"
},
"target": {
"location": "https://myaccount.blob.core.windows.net/sample-output?{SAS-Token}"
}
}
]
}
}
Det var allt! Du har lärt dig hur du skapar SAS-token för att auktorisera hur klienter får åtkomst till dina data.