SAS-Token für Ihre Speichercontainer
Erfahren Sie, wie Sie mithilfe des Azure-Portals SAS-Token (Shared Access Signature) für die Benutzerdelegierung erstellen. SAS-Token für die Benutzerdelegierung werden mit Microsoft Entra-Anmeldeinformationen geschützt. SAS-Token ermöglichen den sicheren, delegierten Zugriff auf Ressourcen in Ihrem Azure-Speicherkonto.
Tipp
Rollenbasierte Zugriffssteuerung (verwaltete Identitäten) bietet eine alternative Methode, mit der Sie Zugriff auf Ihre Speicherdaten gewähren können, ohne SAS-Token in Ihre HTTP-Anforderungen einschließen zu müssen.
- Sie können verwaltete Identitäten zur Gewährung des Zugriffs bei einer beliebigen Ressource verwenden, die die Microsoft Entra-Authentifizierung unterstützt. Dies schließt auch Ihre eigenen Anwendungen ein.
- Die Verwendung verwalteter Identitäten ersetzt die Anforderung, dass Sie Shared Access Signature-Token (SAS) in Ihre Quell- und Ziel-URLs einschließen müssen.
- Es entstehen keine zusätzlichen Kosten für die Verwendung verwalteter Identitäten in Azure.
Im Großen und Ganzen funktionieren SAS-Token folgendermaßen:
Ihre Anwendung sendet das SAS-Token im Rahmen einer REST-API-Anforderung an Azure Storage.
Wenn der Speicherdienst prüft, ob das SAS gültig ist, wird die Anforderung autorisiert.
Falls das SAS-Token als ungültig eingestuft wird, dann wird die Anforderung abgelehnt und der Fehlercode 403 (Verboten) zurückgegeben.
Azure Blob Storage bietet drei Ressourcentypen:
- Speicherkonten bieten einen eindeutigen Namespace in Azure für Ihre Daten.
- Datenspeichercontainer befinden sich in Speicherkonten und organisieren Gruppen von Blobs (Dateien, Text oder Bilder).
- Blobs befinden sich in Containern und speichern Text und Binärdaten wie Dateien, Text und Bilder.
Wichtig
Mit SAS-Token werden Berechtigungen für Speicherressourcen gewährt. Sie sollten auf die gleiche Weise geschützt werden wie ein Kontoschlüssel.
Vorgänge, die SAS-Token verwenden, sollten nur über eine HTTPS-Verbindung ausgeführt werden, und SAS-URIs sollten nur über eine sichere Verbindung wie HTTPS verteilt werden.
Voraussetzungen
Für den Einstieg benötigen Sie die folgenden Ressourcen:
Ein aktives Azure-Konto. Falls Sie noch kein Konto haben, können Sie ein kostenloses Konto erstellen.
Eine Azure KI Language-Ressource.
Ein Azure Blob Storage-Konto mit Standardleistung. Sie müssen außerdem Container zum Speichern und Organisieren Ihrer Dateien in Ihrem Speicherkonto erstellen. Wenn Sie nicht wissen, wie Sie ein Azure-Speicherkonto mit einem Speichercontainer erstellen, befolgen Sie diese Schnellstarts:
- Informationen zu Azure-Speicherkonten Wenn Sie Ihr Speicherkonto erstellen, wählen Sie Standardleistung im Feld Instanzendetails>Leistung aus.
- Erstellen Sie einen Container. Legen Sie bei der Erstellung Ihres Containers das Feld Öffentliche Zugriffsebene im Fenster Neuer Container auf Container fest (anonymer Lesezugriff für Container und Dateien).
Erstellen von SAS-Token im Azure-Portal
Wechseln Sie zum Azure-Portal, und navigieren Sie wie folgt zu Ihrem Container oder einer bestimmten Datei. Fahren Sie anschließend mit diesen Schritten fort:
Workflow: Ihr Speicherkonto → Container → Ihr Container → Ihre Datei
Klicken Sie mit der rechten Maustaste auf den Container oder die Datei, und wählen Sie SAS generieren im Dropdownmenü aus.
Wählen Sie Signaturmethode > Benutzerdelegierungsschlüssel aus.
Definieren Sie Berechtigungen, indem Sie das entsprechende Kontrollkästchen aktivieren bzw. deaktivieren.
Für Ihre Quelldatei muss Zugriff vom Typ Lesen und Auflisten festgelegt werden.
Für Ihre Zieldatei muss Zugriff vom Typ Schreiben und Auflisten festgelegt werden.
Geben Sie die Zeiten für den Start und Ablauf des signierten Schlüssels an.
- Wenn Sie eine Shared Access Signature (SAS) erstellen, beträgt die Standarddauer 48 Stunden. Nach 48 Stunden müssen Sie ein neues Token erstellen.
- Legen Sie eventuell einen längeren Zeitraum fest, in dem Sie Ihr Speicherkonto für Vorgänge des Sprachdiensts verwenden.
- Der Wert der Ablaufzeit wird durch die Signiermethode bestimmt: Kontoschlüssel oder Benutzerdelegierungsschlüssel:
- Kontoschlüssel: Es gibt kein festgelegtes maximales Zeitlimit. Es wird jedoch empfohlen, eine Ablaufrichtlinie zu konfigurieren, um das Intervall zu begrenzen und die Kompromittierung zu minimieren. Konfigurieren Sie eine Ablaufrichtlinie für Shared Access Signatures.
- Benutzerdelegierungsschlüssel: Der Wert für die Ablaufzeit beträgt maximal sieben Tage ab der Erstellung des SAS-Tokens. Die SAS ist ungültig, nachdem der Benutzerdelegierungsschlüssel abgelaufen ist, sodass eine SAS mit einer Ablaufzeit von mehr als 7 Tagen trotzdem nur 7 Tage gültig ist. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra-Anmeldeinformationen zum Schützen einer SAS.
Das Feld Zugelassene IP-Adressen ist optional. Darin wird eine IP-Adresse oder ein Bereich mit IP-Adressen angegeben, für die Anforderungen akzeptiert werden. Wenn die IP-Adresse der Anforderung nicht mit der IP-Adresse oder dem Adressbereich übereinstimmt, die bzw. der im SAS-Token angegeben ist, erfolgt keine Autorisierung. Die IP-Adresse oder ein IP-Adressbereich muss aus öffentlichen IP-Adressen bestehen, nicht privaten. Weitere Informationen finden Sie unterAngeben einer IP-Adresse oder eines IP-Bereichs.
Das Feld Zugelassene Protokolle ist optional. Darin wird das Protokoll angegeben, das für das Senden einer Anforderung mit der SAS zulässig ist. Der Standardwert ist „HTTPS“.
Überprüfen Sie die Angaben, und wählen Sie dann die Option SAS-Token und -URL generieren aus.
Die Abfragezeichenfolge für das Blob-SAS-Token und die Blob-SAS-URL werden im unteren Fensterbereich angezeigt.
Kopieren Sie die Werte für das SAS-Token und die URL des Blobs, und fügen Sie sie an einem sicheren Ort ein. Diese Angaben werden nur einmal angezeigt und können nicht mehr abgerufen werden, nachdem das Fenster geschlossen wurde.
Fügen Sie zum Erstellen einer SAS-URL das SAS-Token (URI) an die URL für einen Speicherdienst an.
Verwenden der SAS-URL zum Gewähren von Zugriff
Die SAS-URL enthält einen speziellen Satz von Abfrageparametern. Diese Parameter geben an, wie der Client auf die Ressourcen zugreift.
Sie können Ihre SAS-URL auf zwei Arten mit REST-API-Anforderungen einschließen:
Verwenden Sie die SAS-URL als SourceURL- und targetURL-Werte.
Fügen Sie die SAS-Abfragezeichenfolge an Ihre bestehenden SourceURL- und TargetURL-Werte an.
Beispiel für eine REST-API-Anforderung:
{
"analysisInput": {
"documents": [
{
"id": "doc_0",
"language": "en",
"source": {
"location": "myaccount.blob.core.windows.net/sample-input/input.pdf?{SAS-Token}"
},
"target": {
"location": "https://myaccount.blob.core.windows.net/sample-output?{SAS-Token}"
}
}
]
}
}
Das ist alles! Sie haben gelernt, wie Sie SAS-Token erstellen, um den Zugriff von Clients auf Ihre Daten zu autorisieren.