Sdílet prostřednictvím

Tokeny SAS pro kontejnery úložiště

  • Článek

Naučte se vytvářet tokeny delegování uživatelů, sdílených přístupových podpisů (SAS) pomocí webu Azure Portal. Tokeny SAS delegování uživatele jsou zabezpečené pomocí přihlašovacích údajů Microsoft Entra. Tokeny SAS poskytují zabezpečený a delegovaný přístup k prostředkům ve vašem účtu úložiště Azure.

Snímek obrazovky s adresou URL úložiště s připojeným tokenem SAS

Tip

Řízení přístupu na základě role (spravované identity) poskytuje alternativní metodu pro udělení přístupu k datům úložiště bez nutnosti zahrnout tokeny SAS do vašich požadavků HTTP.

  • Spravované identity můžete použít k udělení přístupu k libovolnému prostředku, který podporuje ověřování Microsoft Entra, včetně vlastních aplikací.
  • Použití spravovaných identit nahrazuje požadavek na zahrnutí tokenů sdíleného přístupového podpisu (SAS) ke zdrojovým a cílovým adresám URL.
  • Používání spravovaných identit v Azure není spojeno s žádnými dodatečnými náklady.

Na vysoké úrovni fungují tokeny SAS:

  • Vaše aplikace odešle token SAS do Služby Azure Storage jako součást požadavku REST API.

  • Pokud služba úložiště ověří platnost sdíleného přístupového podpisu, je žádost autorizována.

  • Pokud se token SAS považuje za neplatný, požadavek se odmítne a vrátí se kód chyby 403 (Zakázáno).

Azure Blob Storage nabízí tři typy prostředků:

  • Účty úložiště poskytují jedinečný obor názvů v Azure pro vaše data.
  • Kontejnery úložiště dat se nacházejí v účtech úložiště a uspořádávají sady objektů blob (soubory, text nebo obrázky).
  • Objekty blob se nacházejí v kontejnerech a ukládají textová a binární data, jako jsou soubory, text a obrázky.

Důležité

  • Tokeny SAS se používají k udělení oprávnění k prostředkům úložiště a měly by být chráněné stejným způsobem jako klíč účtu.

  • Operace, které používají tokeny SAS, by se měly provádět jenom přes připojení HTTPS a identifikátory URI SAS by se měly distribuovat jenom na zabezpečeném připojení, jako je HTTPS.

Požadavky

Abyste mohli začít, potřebujete následující zdroje informací:

  • Aktivní účet Azure Pokud žádné nemáte, můžete si vytvořit bezplatný účet.

  • Prostředek Azure AI Language .

  • Účet služby Azure Blob Storage úrovně Standard. Musíte také vytvořit kontejnery pro ukládání a uspořádání souborů v rámci účtu úložiště. Pokud nevíte, jak vytvořit účet úložiště Azure s kontejnerem úložiště, postupujte podle těchto rychlých startů:

    • Vytvoření účtu úložiště Při vytváření účtu úložiště v poli Výkon podrobností instance>vyberte Výkon úrovně Standard.
    • Vytvořte kontejner. Při vytváření kontejneru nastavte úroveň veřejného přístupu na Kontejner (anonymní přístup pro čtení kontejnerů a souborů) v okně Nový kontejner.

Vytváření tokenů SAS na webu Azure Portal

Přejděte na web Azure Portal a přejděte do kontejneru nebo konkrétního souboru následujícím způsobem a pokračujte těmito kroky:

Pracovní postup: Kontejneryúčtu úložiště → kontejnerusouboru

  1. Klikněte pravým tlačítkem na kontejner nebo soubor a v rozevírací nabídce vyberte Vygenerovat SAS .

  2. Vyberte metodu podepisování → klíč delegování uživatele.

  3. Definujte oprávnění zaškrtnutím nebo zrušením zaškrtnutí příslušného políčka:

    • Zdrojový soubor musí určit přístup pro čtení a seznam.

    • Cílový soubor musí určit přístup k zápisu a seznamu.

  4. Zadejte čas zahájení a vypršení platnosti podepsaného klíče.

    • Při vytváření sdíleného přístupového podpisu (SAS) je výchozí doba trvání 48 hodin. Po 48 hodinách budete muset vytvořit nový token.
    • Zvažte nastavení delší doby trvání pro dobu, po kterou používáte účet úložiště pro operace jazykové služby.
    • Hodnota doby vypršení platnosti se určuje, jestli používáte klíč účtu nebo metodu podepisování klíče delegování uživatele:

  5. Pole Povolené IP adresy je volitelné a určuje IP adresu nebo rozsah IP adres, ze kterých se mají přijímat požadavky. Pokud SE IP adresa požadavku neshoduje s IP adresou nebo rozsahem adres zadaným v tokenu SAS, autorizace se nezdaří. IP adresa nebo rozsah IP adres musí být veřejné IP adresy, nikoli privátní. Další informace najdete v tématu Zadání IP adresy nebo rozsahu IP adres.

  6. Pole Povolené protokoly je volitelné a určuje protokol povolený pro požadavek provedený pomocí SAS. Výchozí hodnota je HTTPS.

  7. Zkontrolujte a pak vyberte Vygenerovat token SAS a adresu URL.

  8. V dolní oblasti okna se zobrazí řetězec dotazu tokenu SAS objektu blob a adresa URL SAS objektu blob.

  9. Zkopírujte a vložte hodnoty tokenu SAS objektu blob a adresy URL do zabezpečeného umístění. Zobrazí se jenom jednou a po zavření okna nebude možné je načíst.

  10. Pokud chcete vytvořit adresu URL SAS, připojte token SAS (URI) k adrese URL služby úložiště.

Udělení přístupu pomocí adresy URL SAS

Adresa URL SAS obsahuje speciální sadu parametrů dotazu. Tyto parametry určují, jak klient přistupuje k prostředkům.

Adresu URL SAS můžete do požadavků rozhraní REST API zahrnout dvěma způsoby:

  • Jako hodnotu sourceURL a targetURL použijte adresu URL SAS.

  • Připojte řetězec dotazu SAS k existujícím hodnotám sourceURL a targetURL.

Tady je ukázkový požadavek rozhraní REST API:

{
  "analysisInput": {
    "documents": [
      {
        "id": "doc_0",
        "language": "en",
        "source": {
          "location": "myaccount.blob.core.windows.net/sample-input/input.pdf?{SAS-Token}"
        },
        "target": {
          "location": "https://myaccount.blob.core.windows.net/sample-output?{SAS-Token}"
        }
      }
    ]
  }
}

A je to! Naučili jste se vytvářet tokeny SAS pro autorizaci přístupu klientů k vašim datům.

Další kroky

Další informace o podpoře nativních dokumentů Další informace o udělení přístupu pomocí SAS