Vytvoření tokenů SAS pro kontejnery úložiště

V tomto článku se dozvíte, jak vytvořit tokeny delegování uživatele, sdíleného přístupového podpisu (SAS) pomocí webu Azure Portal nebo Průzkumník služby Azure Storage. Tokeny SAS delegování uživatele jsou zabezpečené pomocí přihlašovacích údajů Microsoft Entra. Tokeny SAS poskytují zabezpečený a delegovaný přístup k prostředkům ve vašem účtu úložiště Azure.

Tip

Spravované identity poskytují alternativní metodu pro udělení přístupu k datům úložiště bez nutnosti zahrnout tokeny SAS do požadavků HTTP. Viz spravované identity pro překlad dokumentů.

• Spravované identity můžete použít k udělení přístupu k libovolnému prostředku, který podporuje ověřování Microsoft Entra, včetně vlastních aplikací.
• Použití spravovaných identit nahrazuje požadavek na zahrnutí tokenů sdíleného přístupového podpisu (SAS) ke zdrojovým a cílovým adresám URL.
• Používání spravovaných identit v Azure není nijak nákladné.

Na vysoké úrovni fungují tokeny SAS:

• Aplikace odešle token SAS do Služby Azure Storage jako součást požadavku rest API.

• Služba úložiště ověří platnost sdíleného přístupového podpisu. Pokud ano, žádost je autorizovaná.

• Požadavek se odmítne, pokud se token SAS považuje za neplatný. Pokud ano, vrátí se kód chyby 403 (Zakázáno).

Azure Blob Storage nabízí tři typy prostředků:

• Účty úložiště poskytují jedinečný obor názvů v Azure pro vaše data.
• Kontejnery úložiště dat se nacházejí v účtech úložiště a uspořádávají sady objektů blob (soubory, text nebo obrázky).
• Objekty blob se nacházejí v kontejnerech a ukládají textová a binární data, jako jsou soubory, text a obrázky.

Důležité

• Tokeny SAS se používají k udělení oprávnění k prostředkům úložiště a měly by být chráněné stejným způsobem jako klíč účtu.

• Operace, které používají tokeny SAS, by se měly provádět jenom přes připojení HTTPS a identifikátory URI SAS by se měly distribuovat jenom na zabezpečeném připojení, jako je HTTPS.

Požadavky

Abyste mohli začít, potřebujete následující zdroje informací:

• Aktivní účet Azure Pokud žádné nemáte, můžete si vytvořit bezplatný účet.

• Prostředek Translator.

• Účet služby Azure Blob Storage úrovně Standard. Musíte také vytvořit kontejnery pro ukládání a uspořádání souborů v rámci účtu úložiště. Pokud nevíte, jak vytvořit účet úložiště Azure s kontejnerem úložiště, postupujte podle těchto rychlých startů:

  • Vytvoření účtu úložiště Při vytváření účtu úložiště v poli Výkon podrobností instance>vyberte Výkon úrovně Standard.
  • Vytvořte kontejner. Při vytváření kontejneru nastavte úroveň veřejného přístupu na Kontejner (anonymní přístup pro čtení kontejnerů a souborů) v okně Nový kontejner.

Vytváření tokenů SAS na webu Azure Portal

Přejděte na web Azure Portal a přejděte do kontejneru nebo konkrétního souboru následujícím způsobem a pokračujte těmito kroky:

Vytvoření tokenu SAS pro kontejner	Vytvoření tokenu SAS pro konkrétní soubor
Váš účet úložiště → kontejnery → kontejneru	Váš účet úložiště → kontejnery → kontejneru→ soubor

1. Klikněte pravým tlačítkem na kontejner nebo soubor a v rozevírací nabídce vyberte Vygenerovat SAS .

2. Vyberte metodu podepisování → klíč delegování uživatele.

3. Definujte oprávnění zaškrtnutím nebo zrušením zaškrtnutí příslušného políčka:

   • Zdrojový kontejner nebo soubor musí určit přístup pro čtení a seznam.

   • Cílový kontejner nebo soubor musí určit přístup k zápisu a seznamu.

4. Zadejte čas zahájení a vypršení platnosti podepsaného klíče.

   • Při vytváření sdíleného přístupového podpisu (SAS) je výchozí doba trvání 48 hodin. Po 48 hodinách budete muset vytvořit nový token.
   • Zvažte nastavení delší doby trvání pro dobu, po kterou používáte účet úložiště pro operace služby Translator Service.
   • Hodnota doby vypršení platnosti se určuje, jestli používáte klíč účtu nebo metodu podepisování klíčedelegování uživatele:
     • Klíč účtu: I když se neukládá maximální časový limit, doporučujeme nakonfigurovat zásadu vypršení platnosti tak, aby omezovala interval a minimalizovala ohrožení zabezpečení. Nakonfigurujte zásady vypršení platnosti pro sdílené přístupové podpisy.
     • Klíč delegování uživatele: Hodnota doby vypršení platnosti je maximálně sedm dnů od vytvoření tokenu SAS. Sas je po vypršení platnosti klíče delegování uživatele neplatný, takže sas s dobou vypršení platnosti delší než sedm dnů bude stále platný pouze po dobu sedmi dnů. Další informace naleznete v tématuPoužití přihlašovacích údajů Microsoft Entra k zabezpečení SAS.

5. Pole Povolené IP adresy je volitelné a určuje IP adresu nebo rozsah IP adres, ze kterých se mají přijímat požadavky. Pokud SE IP adresa požadavku neshoduje s IP adresou nebo rozsahem adres zadaným v tokenu SAS, autorizace se nezdaří. IP adresa nebo rozsah IP adres musí být veřejné IP adresy, nikoli privátní. Další informace najdete v tématu Zadání IP adresy nebo rozsahu IP adres.

6. Pole Povolené protokoly je volitelné a určuje protokol povolený pro požadavek provedený pomocí SAS. Výchozí hodnota je HTTPS.

7. Zkontrolujte a pak vyberte Vygenerovat token SAS a adresu URL.

8. V dolní oblasti okna se zobrazí řetězec dotazu tokenu SAS objektu blob a adresa URL SAS objektu blob.

9. Zkopírujte a vložte hodnoty tokenu SAS objektu blob a adresy URL do zabezpečeného umístění. Zobrazí se jenom jednou a po zavření okna nebude možné je načíst.

10. Pokud chcete vytvořit adresu URL SAS, připojte token SAS (URI) k adrese URL služby úložiště.

Vytváření tokenů SAS pomocí Průzkumník služby Azure Storage

Průzkumník služby Azure Storage je bezplatná samostatná aplikace, která umožňuje snadnou správu prostředků cloudového úložiště Azure z plochy.

• Potřebujete aplikaci Průzkumník služby Azure Storage nainstalovanou ve vývojovém prostředí pro Windows, macOS nebo Linux.

• Po instalaci aplikace Průzkumník služby Azure Storage ji připojte k účtu úložiště, který používáte pro překlad dokumentů. Pomocí následujícího postupu vytvořte tokeny pro kontejner úložiště nebo konkrétní soubor objektu blob:

Tokeny SAS pro kontejnery úložiště

1. Otevřete aplikaci Průzkumník služby Azure Storage na místním počítači a přejděte k připojeným účtům úložiště.

2. Rozbalte uzel Účty úložiště a vyberte Kontejnery objektů blob.

3. Rozbalte uzel Kontejnery objektů blob a kliknutím pravým tlačítkem myši na uzel kontejneru úložiště zobrazte nabídku možností.

4. V nabídce možností vyberte Získat sdílený přístupový podpis...

5. V okně Sdílený přístupový podpis proveďte následující výběry:

   • Vyberte zásadu přístupu (výchozí hodnota není žádná).
   • Zadejte datum a čas zahájení a vypršení platnosti podepsaného klíče. Doporučujeme krátkou životnost, protože po vygenerování se sas nedá odvolat.
   • Vyberte časové pásmo pro datum a čas zahájení a vypršení platnosti (výchozí hodnota je Místní).
   • Definujte oprávnění kontejneru zaškrtnutím nebo zrušením zaškrtnutí příslušného políčka.
   • Zkontrolujte a vyberte Vytvořit.

6. Zobrazí se nové okno s názvem kontejneru, identifikátorem URI a řetězcem dotazu pro váš kontejner.

7. Zkopírujte a vložte hodnoty řetězce kontejneru, identifikátoru URI a dotazu do zabezpečeného umístění. Zobrazí se jenom jednou a po zavření okna se nedá načíst.

8. Pokud chcete vytvořit adresu URL SAS, připojte token SAS (URI) k adrese URL služby úložiště.

Tokeny SAS pro konkrétní soubor objektů blob

1. Otevřete aplikaci Průzkumník služby Azure Storage na místním počítači a přejděte k připojeným účtům úložiště.

2. Rozbalte uzel úložiště a vyberte Kontejnery objektů blob.

3. Rozbalte uzel Kontejnery objektů blob a výběrem uzlu kontejneru zobrazte obsah v hlavním okně.

4. Vyberte soubor, ve kterém chcete delegovat přístup SAS, a kliknutím pravým tlačítkem zobrazte nabídku možností.

5. V nabídce možností vyberte Získat sdílený přístupový podpis...

6. V okně Sdílený přístupový podpis proveďte následující výběry:

   • Vyberte zásadu přístupu (výchozí hodnota není žádná).
   • Zadejte datum a čas zahájení a vypršení platnosti podepsaného klíče. Doporučujeme krátkou životnost, protože po vygenerování se sas nedá odvolat.
   • Vyberte časové pásmo pro datum a čas zahájení a vypršení platnosti (výchozí hodnota je Místní).
   • Definujte oprávnění kontejneru zaškrtnutím nebo zrušením zaškrtnutí příslušného políčka.
     • Zdrojový kontejner nebo soubor musí určit přístup pro čtení a seznam.
     • Cílový kontejner nebo soubor musí určit přístup k zápisu a seznamu.
   • Vyberte klíč1 nebo klíč2.
   • Zkontrolujte a vyberte Vytvořit.

7. Zobrazí se nové okno s názvem objektu blob, identifikátorem URI a řetězcem dotazu pro objekt blob.

8. Zkopírujte a vložte hodnoty řetězce objektu blob, identifikátoru URI a dotazu do zabezpečeného umístění. Zobrazí se jenom jednou a po zavření okna nebude možné je načíst.

9. Pokud chcete vytvořit adresu URL SAS, připojte token SAS (URI) k adrese URL služby úložiště.

Udělení přístupu pomocí adresy URL SAS

Adresa URL SAS obsahuje speciální sadu parametrů dotazu. Tyto parametry určují, jak klient přistupuje k prostředkům.

Adresu URL SAS můžete do požadavků rozhraní REST API zahrnout dvěma způsoby:

• Jako hodnotu sourceURL a targetURL použijte adresu URL SAS.

• Připojte řetězec dotazu SAS k existujícím hodnotám sourceURL a targetURL.

Tady je ukázkový požadavek rozhraní REST API:

{
    "inputs": [
        {
            "storageType": "File",
            "source": {
                "sourceUrl": "https://my.blob.core.windows.net/source-en/source-english.docx?sv=2019-12-12&st=2021-01-26T18%3A30%3A20Z&se=2021-02-05T18%3A30%3A00Z&sr=c&sp=rl&sig=d7PZKyQsIeE6xb%2B1M4Yb56I%2FEEKoNIF65D%2Fs0IFsYcE%3D"
            },
            "targets": [
                {
                    "targetUrl": "https://my.blob.core.windows.net/target/try/Target-Spanish.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
                    "language": "es"
                },
                {
                    "targetUrl": "https://my.blob.core.windows.net/target/try/Target-German.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
                    "language": "de"
                }
            ]
        }
    ]
}

A je to! Právě jste se naučili vytvářet tokeny SAS pro autorizaci přístupu klientů k vašim datům.

Další kroky

Začínáme s překladem dokumentů