Vytvoření tokenů SAS pro kontejnery úložiště

Tento obsah se vztahuje na:v4.0 (Preview)v3.1 (GA)v3.0 (GA)v2.1 (GA)

V tomto článku se dozvíte, jak vytvořit tokeny delegování uživatele, sdíleného přístupového podpisu (SAS) pomocí webu Azure Portal nebo Průzkumník služby Azure Storage. Tokeny SAS delegování uživatele jsou zabezpečené pomocí přihlašovacích údajů Microsoft Entra. Tokeny SAS poskytují zabezpečený a delegovaný přístup k prostředkům ve vašem účtu úložiště Azure.

Na vysoké úrovni fungují tokeny SAS:

• Vaše aplikace odešle token SAS do Služby Azure Storage jako součást požadavku REST API.

• Pokud služba úložiště ověří platnost sdíleného přístupového podpisu, je žádost autorizována.

• Pokud se token SAS považuje za neplatný, požadavek se odmítne a vrátí se kód chyby 403 (Zakázáno).

Azure Blob Storage nabízí tři typy prostředků:

• Účty úložiště poskytují jedinečný obor názvů v Azure pro vaše data.
• Kontejnery úložiště dat se nacházejí v účtech úložiště a uspořádávají sady objektů blob.
• Objekty blob se nacházejí v kontejnerech a ukládají textová a binární data, jako jsou soubory, text a obrázky.

Kdy použít token SAS

• Trénování vlastních modelů Sestavená sada trénovacích dokumentů se musí nahrát do kontejneru Azure Blob Storage. K udělení přístupu k trénovacím dokumentům můžete použít token SAS.

• Použití kontejnerů úložiště s veřejným přístupem Můžete se rozhodnout použít token SAS k udělení omezeného přístupu k prostředkům úložiště, které mají veřejný přístup ke čtení.

  Důležité

  • Pokud je váš účet úložiště Azure chráněný virtuální sítí nebo bránou firewall, nemůžete udělit přístup pomocí tokenu SAS. Ke udělení přístupu k prostředku úložiště budete muset použít spravovanou identitu .

  • Spravovaná identita podporuje soukromě i veřejně přístupné účty Azure Blob Storage.

  • Tokeny SAS udělují oprávnění k prostředkům úložiště a měly by být chráněné stejným způsobem jako klíč účtu.

  • Operace, které používají tokeny SAS, by se měly provádět jenom přes připojení HTTPS a identifikátory URI SAS by se měly distribuovat jenom na zabezpečeném připojení, jako je HTTPS.

Požadavky

Na začátek budete potřebovat:

• Aktivní účet Azure Pokud žádné nemáte, můžete si vytvořit bezplatný účet.

• Funkce Document Intelligence nebo prostředek s více službami .

• Účet služby Azure Blob Storage úrovně Standard. Potřebujete vytvořit kontejnery pro ukládání a uspořádání dat objektů blob v rámci účtu úložiště. Pokud nevíte, jak vytvořit účet úložiště Azure s kontejnerem úložiště, postupujte podle těchto rychlých startů:

  • Vytvoření účtu úložiště Při vytváření účtu úložiště v poli Výkon podrobností instance>vyberte Výkon úrovně Standard.
  • Vytvořte kontejner. Při vytváření kontejneru nastavte úroveň veřejného přístupu na Kontejner (anonymní přístup pro čtení pro kontejnery a objekty blob) v okně Nový kontejner.

Nahrání dokumentů

1. Přihlaste se k portálu Azure.

   • Vyberte svůj účet úložiště → úložiště dat → kontejnery.

   

2. Ze seznamu vyberte kontejner.

3. V nabídce v horní části stránky vyberte Nahrát .

   

4. Zobrazí se okno Nahrát objekt blob . Vyberte soubory, které chcete nahrát.

   

   Poznámka:

   Ve výchozím nastavení rozhraní REST API používá dokumenty umístěné v kořenovém adresáři kontejneru. Data uspořádaná do podsložek můžete použít také v případě, že jsou zadána ve volání rozhraní API. Další informace najdete v tématu Uspořádání dat v podsložkách.

Použití portálu Azure Portal

Azure Portal je webová konzola, která umožňuje spravovat předplatné a prostředky Azure pomocí grafického uživatelského rozhraní (GUI).

1. Přihlaste se k portálu Azure.

2. Přejděte do kontejneru> vašeho účtu>úložiště.

3. V nabídce v horní části stránky vyberte Vygenerovat SAS .

4. Vyberte metodu podepisování → klíč delegování uživatele.

5. Definujte oprávnění zaškrtnutím nebo zrušením zaškrtnutí příslušného políčka.
   

   • Ujistěte se, že jsou vybraná oprávnění ke čtení, zápisu, odstranění a výpisu.

   

   Důležité

   • Pokud se zobrazí zpráva podobná následující, budete také muset přiřadit přístup k datům objektů blob ve vašem účtu úložiště:

     

   • Řízení přístupu na základě role v Azure (Azure RBAC) je autorizační systém používaný ke správě přístupu k prostředkům Azure. Azure RBAC pomáhá spravovat přístup a oprávnění k prostředkům Azure.

   • Přiřaďte roli Azure pro přístup k datům objektů blob a přiřaďte roli, která umožňuje oprávnění ke čtení, zápisu a odstranění kontejneru úložiště Azure. VizPřispěvatel dat objektů blob úložiště.

6. Zadejte čas zahájení a vypršení platnosti podepsaného klíče.

   • Při vytváření tokenu SAS je výchozí doba trvání 48 hodin. Po 48 hodinách budete muset vytvořit nový token.
   • Zvažte nastavení delší doby trvání pro dobu, po kterou používáte účet úložiště pro operace služby Document Intelligence Service.
   • Hodnota doby vypršení platnosti se určuje, jestli používáte klíč účtu nebo metodu podepisování klíčedelegování uživatele:
     • Klíč účtu: Neexistuje žádné vynucené maximální časové omezení. Osvědčené postupy však doporučují, abyste nakonfigurovali zásady vypršení platnosti, abyste omezili interval a minimalizovali ohrožení zabezpečení. Nakonfigurujte zásady vypršení platnosti pro sdílené přístupové podpisy.
     • Klíč delegování uživatele: Hodnota doby vypršení platnosti je maximálně sedm dnů od vytvoření tokenu SAS. Sas je po vypršení platnosti klíče delegování uživatele neplatný, takže sas s dobou vypršení platnosti delší než sedm dnů bude stále platný pouze po dobu sedmi dnů. Další informace naleznete v tématuPoužití přihlašovacích údajů Microsoft Entra k zabezpečení SAS.

7. Pole Povolené IP adresy je volitelné a určuje IP adresu nebo rozsah IP adres, ze kterých se mají přijímat požadavky. Pokud SE IP adresa požadavku neshoduje s IP adresou nebo rozsahem adres zadaným v tokenu SAS, autorizace se nezdaří. IP adresa nebo rozsah IP adres musí být veřejné IP adresy, nikoli privátní. Další informace najdete v tématu Zadání IP adresy nebo rozsahu IP adres.

8. Pole Povolené protokoly je volitelné a určuje protokol povolený pro požadavek provedený pomocí tokenu SAS. Výchozí hodnota je HTTPS.

9. Vyberte Vygenerovat token a URL SAS.

10. V dolní oblasti okna se zobrazí řetězec dotazu tokenu SAS objektu blob a adresa URL SAS objektu blob. Pokud chcete použít token SAS objektu blob, připojte ho k identifikátoru URI služby úložiště.

11. Zkopírujte a vložte token SAS objektu blob a hodnoty adresy URL SAS objektu blob do zabezpečeného umístění. Zobrazí se jenom jednou a po zavření okna se nedá načíst.

12. Pokud chcete vytvořit adresu URL SAS, připojte token SAS (URI) k adrese URL služby úložiště.

Použití Průzkumníka služby Azure Storage

Průzkumník služby Azure Storage je bezplatná samostatná aplikace, která umožňuje snadnou správu prostředků cloudového úložiště Azure z plochy.

Začínáme

• Potřebujete aplikaci Průzkumník služby Azure Storage nainstalovanou ve vývojovém prostředí pro Windows, macOS nebo Linux.

• Po instalaci aplikace Průzkumník služby Azure Storage ji připojte k účtu úložiště, který používáte pro funkci Document Intelligence.

Vytvoření tokenů SAS

1. Otevřete aplikaci Průzkumník služby Azure Storage na místním počítači a přejděte k připojeným účtům úložiště.

2. Rozbalte uzel Účty úložiště a vyberte Kontejnery objektů blob.

3. Rozbalte uzel Kontejnery objektů blob a kliknutím pravým tlačítkem myši na uzel kontejneru úložiště zobrazte nabídku možností.

4. V nabídce možností vyberte Získat sdílený přístupový podpis .

5. V okně Sdílený přístupový podpis proveďte následující výběry:

   • Vyberte zásadu přístupu (výchozí hodnota není žádná).
   • Zadejte datum a čas zahájení a vypršení platnosti podepsaného klíče. Doporučujeme krátkou životnost, protože po vygenerování se sas nedá odvolat.
   • Vyberte časové pásmo pro datum a čas zahájení a vypršení platnosti (výchozí hodnota je Místní).
   • Definujte oprávnění kontejneru tak, že zaškrtnete políčka Číst, Zapisovat, Vypsat a Odstranit.
   • Vyberte klíč1 nebo klíč2.
   • Zkontrolujte a vyberte Vytvořit.

6. Zobrazí se nové okno s názvem kontejneru , adresou URL SAS a řetězcem dotazu pro váš kontejner.

7. Zkopírujte a vložte adresu URL SAS a hodnoty řetězce dotazu do zabezpečeného umístění. Zobrazí se jenom jednou a po zavření okna se nedá načíst.

8. Pokud chcete vytvořit adresu URL SAS, připojte token SAS (URI) k adrese URL služby úložiště.

Udělení přístupu pomocí adresy URL SAS

Adresa URL SAS obsahuje speciální sadu parametrů dotazu. Tyto parametry určují, jak klient přistupuje k prostředkům.

REST API

Pokud chcete použít adresu URL SAS s rozhraním REST API, přidejte adresu URL SAS do textu požadavku:

{
    "source":"<BLOB SAS URL>"
}

A je to! Naučili jste se vytvářet tokeny SAS pro autorizaci přístupu klientů k vašim datům.

Další krok

Vytvoření trénovací sady dat