Dela via


SAS-token för dina lagringscontainrar

Lär dig hur du skapar användardelegering, sas-token (signatur för delad åtkomst) med hjälp av Azure Portal. SAS-token för användardelegering skyddas med Microsoft Entra-autentiseringsuppgifter. SAS-token ger säker, delegerad åtkomst till resurser i ditt Azure Storage-konto.

Skärmbild av en lagrings-URL med SAS-token bifogad.

Dricks

Rollbaserad åtkomstkontroll (hanterade identiteter) ger en alternativ metod för att bevilja åtkomst till dina lagringsdata utan att behöva inkludera SAS-token med dina HTTP-begäranden.

  • Du kan använda hanterade identiteter för att bevilja åtkomst till alla resurser som stöder Microsoft Entra-autentisering, inklusive dina egna program.
  • Att använda hanterade identiteter ersätter kravet på att du ska inkludera signaturtoken för delad åtkomst (SAS) med dina käll- och mål-URL:er.
  • Det finns ingen extra kostnad för att använda hanterade identiteter i Azure.

På en hög nivå fungerar SAS-token så här:

  • Ditt program skickar SAS-token till Azure Storage som en del av en REST API-begäran.

  • Om lagringstjänsten verifierar att SAS är giltig, godkänns begäran.

  • Om SAS-token anses vara ogiltig avvisas begäran och felkoden 403 (förbjuden) returneras.

Azure Blob Storage erbjuder tre resurstyper:

  • Lagringskonton tillhandahåller ett unikt namnområde i Azure för dina data.
  • Datalagringscontainrar finns i lagringskonton och organiserar uppsättningar med blobar (filer, text eller bilder).
  • Blobar finns i containrar och lagrar text och binära data som filer, text och bilder.

Viktigt!

  • SAS-token används för att bevilja behörigheter till lagringsresurser och bör skyddas på samma sätt som en kontonyckel.

  • Åtgärder som använder SAS-token bör endast utföras via en HTTPS-anslutning, och SAS-URI:er bör endast distribueras på en säker anslutning, till exempel HTTPS.

Förutsättningar

För att komma igång behöver du följande resurser:

  • Ett aktivt Azure-konto. Om du inte har någon, kan du skapa ett kostnadsfritt konto.

  • En Azure AI Language-resurs .

  • Ett Azure Blob Storage-konto med standardprestanda. Du måste också skapa containrar för att lagra och organisera dina filer i ditt lagringskonto. Om du inte vet hur du skapar ett Azure Storage-konto med en lagringscontainer följer du dessa snabbstarter:

    • Skapa ett lagringskonto. När du skapar ditt lagringskonto väljer du Standardprestanda i fältet Prestanda för instansinformation>.
    • Skapa en container. När du skapar containern anger du Offentlig åtkomstnivå till Container (anonym läsåtkomst för containrar och filer) i fönstret Ny container .

Skapa SAS-token i Azure Portal

Gå till Azure Portal och navigera till containern eller en specifik fil enligt följande och fortsätt med följande steg:

Arbetsflöde: Ditt lagringskontocontainrarcontainernfilen

  1. Högerklicka på containern eller filen och välj Generera SAS i den nedrullningsbara menyn.

  2. Välj Signeringsmetodanvändardelegeringsnyckel.

  3. Definiera behörigheter genom att markera och/eller avmarkera lämplig kryssruta:

    • Källfilen måste ange läs- och liståtkomst.

    • Målfilen måste ange skriv- och liståtkomst.

  4. Ange start- och förfallotiderna för den signerade nyckeln.

    • När du skapar en signatur för delad åtkomst (SAS) är standardvaraktigheten 48 timmar. Efter 48 timmar måste du skapa en ny token.
    • Överväg att ange en längre varaktighetsperiod för den tid du använder ditt lagringskonto för Language Service-åtgärder.
    • Värdet för förfallotiden bestäms av om du använder en kontonyckel eller signeringsmetod för användardelegeringsnyckel:
      • Kontonyckel: Ingen maximal tidsgräns har införts. Bästa praxis rekommenderar dock att du konfigurerar en förfalloprincip för att begränsa intervallet och minimera kompromisser. Konfigurera en förfalloprincip för signaturer för delad åtkomst.
      • Användardelegeringsnyckel: Värdet för förfallotiden är högst sju dagar från det att SAS-token skapades. SAS är ogiltigt när användardelegeringsnyckeln har upphört att gälla, så en SAS med en förfallotid på mer än sju dagar är fortfarande bara giltig i sju dagar. Mer information finns i Använda Microsoft Entra-autentiseringsuppgifter för att skydda en SAS.
  5. Fältet Tillåtna IP-adresser är valfritt och anger en IP-adress eller ett intervall med IP-adresser som begäranden ska accepteras från. Om begärans IP-adress inte matchar IP-adressen eller adressintervallet som anges på SAS-token misslyckas auktoriseringen. IP-adressen eller ett intervall med IP-adresser måste vara offentliga IP-adresser, inte privata. Mer information finns i Ange en IP-adress eller ETT IP-intervall.

  6. Fältet Tillåtna protokoll är valfritt och anger vilket protokoll som tillåts för en begäran som görs med SAS. Standardvärdet är HTTPS.

  7. Granska och välj sedan Generera SAS-token och URL.

  8. Frågesträngen för Blob SAS-token och Blob SAS-URL:en visas i det nedre området i fönstret.

  9. Kopiera och klistra in blob-SAS-token och URL-värden på en säker plats. De visas bara en gång och kan inte hämtas när fönstret har stängts.

  10. Om du vill skapa en SAS-URL lägger du till SAS-token (URI) i URL:en för en lagringstjänst.

Använd DIN SAS-URL för att bevilja åtkomst

SAS-URL:en innehåller en särskild uppsättning frågeparametrar. Dessa parametrar anger hur klienten kommer åt resurserna.

Du kan inkludera DIN SAS-URL med REST API-begäranden på två sätt:

  • Använd SAS-URL:en som dina sourceURL- och targetURL-värden.

  • Lägg till SAS-frågesträngen i dina befintliga sourceURL- och targetURL-värden.

Här är ett exempel på en REST API-begäran:

{
  "analysisInput": {
    "documents": [
      {
        "id": "doc_0",
        "language": "en",
        "source": {
          "location": "myaccount.blob.core.windows.net/sample-input/input.pdf?{SAS-Token}"
        },
        "target": {
          "location": "https://myaccount.blob.core.windows.net/sample-output?{SAS-Token}"
        }
      }
    ]
  }
}

Det var allt! Du har lärt dig hur du skapar SAS-token för att auktorisera hur klienter får åtkomst till dina data.

Nästa steg