Erstellen von SAS-Tokens für Speichercontainer

Dieser Inhalt gilt für:v4.0 (Vorschau)v3.1 (GA)v3.0 (GA)v2.1 (GA)

In diesem Artikel erfahren Sie, wie Sie über das Azure-Portal oder mit dem Azure Storage-Explorer SAS-Token (Shared Access Signature) für die Benutzerdelegierung erstellen. SAS-Token für die Benutzerdelegierung werden mit Microsoft Entra-Anmeldeinformationen geschützt. SAS-Token ermöglichen den sicheren, delegierten Zugriff auf Ressourcen in Ihrem Azure-Speicherkonto.

Im Großen und Ganzen funktionieren SAS-Token folgendermaßen:

• Ihre Anwendung sendet das SAS-Token im Rahmen einer REST-API-Anforderung an Azure Storage.

• Wenn der Speicherdienst prüft, ob das SAS gültig ist, wird die Anforderung autorisiert.

• Wird das SAS-Token als ungültig erachtet, wird die Anforderung abgelehnt, und der Fehlercode 403 (Verboten) wird zurückgegeben.

Azure Blob Storage bietet drei Ressourcentypen:

• Speicherkonten bieten einen eindeutigen Namespace in Azure für Ihre Daten.
• Datenspeichercontainer befinden sich in Speicherkonten und organisieren Gruppen von Blobs.
• Blobs befinden sich in Containern und speichern Text und Binärdaten wie Dateien, Text und Bilder.

Verwendung von SAS-Token

• Trainieren benutzerdefinierter Modelle. Ihr zusammengestellter Satz von Trainingsdokumenten muss in einen Azure Blob Storage-Container hochgeladen werden. Sie können ein SAS-Token verwenden, um Zugriff auf Ihre Trainingsdokumente zu gewähren.

• Verwenden von Speichercontainern mit öffentlichem Zugriff. Sie können ein SAS-Token verwenden, um eingeschränkten Zugriff auf Ihre Speicherressourcen zu gewähren, die öffentlichen Lesezugriff haben.

  Wichtig

  • Wenn Ihr Azure-Speicherkonto durch ein virtuelles Netzwerk oder eine Firewall geschützt ist, können Sie keinen Zugriff mit einem SAS-Token gewähren. Sie müssen eine verwaltete Identität verwenden, um Zugriff auf Ihre Speicherressource zu gewähren.

  • Verwaltete Identität unterstützt sowohl privat als auch öffentlich zugängliche Azure Blob Storage-Konten.

  • SAS-Token gewähren Berechtigungen für Speicherressourcen. Sie sollten auf die gleiche Weise geschützt werden wie ein Kontoschlüssel.

  • Vorgänge, die SAS-Token verwenden, sollten nur über eine HTTPS-Verbindung ausgeführt werden, und SAS-URIs sollten nur über eine sichere Verbindung wie HTTPS verteilt werden.

Voraussetzungen

Zunächst benötigen Sie Folgendes:

• Ein aktives Azure-Konto. Falls Sie noch kein Konto haben, können Sie ein kostenloses Konto erstellen.

• Eine Dokument Intelligenz-Ressource oder eine Ressource für mehrere Dienste.

• Ein Azure Blob Storage-Konto mit Standardleistung: Sie müssen Container zum Speichern und Organisieren Ihrer Blobdaten unter Ihrem Speicherkonto erstellen. Wenn Sie nicht wissen, wie Sie ein Azure-Speicherkonto mit einem Speichercontainer erstellen, befolgen Sie diese Schnellstarts:

  • Informationen zu Azure-Speicherkonten Wenn Sie Ihr Speicherkonto erstellen, wählen Sie Standardleistung im Feld Instanzendetails>Leistung aus.
  • Erstellen Sie einen Container. Legen Sie bei der Erstellung Ihres Containers das Feld Öffentliche Zugriffsebene im Fenster Neuer Container auf Container fest (anonymer Lesezugriff für Container und Blobs).

Hochladen Ihrer Dokumente

1. Melden Sie sich beim Azure-Portal an.

   • Wählen Sie Ihr Speicherkonto > Datenspeicher > Container aus.

   

2. Wählen Sie einen Container aus der Liste aus.

3. Wählen Sie Hochladen aus dem Menü am oberen Rand der Seite.

   

4. Das Fenster Blob hochladen wird angezeigt. Wählen Sie Ihre Dateien zum Hochladen aus.

   

   Hinweis

   Standardmäßig verwendet die REST-API Dokumente, die sich im Stammverzeichnis Ihres Containers befinden. Sie können auch in Unterordnern organisierte Daten verwenden, wenn dies im API-Aufruf angegeben ist. Weitere Informationen finden Sie unter Organisieren Ihrer Daten in Unterordnern.

Verwenden des Azure-Portals

Das Azure-Portal ist eine webbasierte Konsole, mit der Sie Ihr Azure-Abonnement und Ihre Ressourcen über eine grafische Benutzeroberfläche (Graphical User Interface, GUI) verwalten können.

1. Melden Sie sich beim Azure-Portal an.

2. Navigieren Sie zu Ihr Speicherkonto>Container>Ihr Container.

3. Wählen Sie oben auf der Seite im Menü die Option SAS generieren aus.

4. Wählen Sie Signaturmethode > Benutzerdelegierungsschlüssel aus.

5. Definieren Sie Berechtigungen durch Aktivieren oder Deaktivieren des entsprechenden Kontrollkästchens.
   

   • Stellen Sie sicher, dass die Berechtigungen Lesen, Schreiben, Löschen und Liste ausgewählt sind.

   

   Wichtig

   • Wenn Sie eine Meldung erhalten, die der folgenden ähnelt, müssen Sie auch den Zugriff auf die Blobdaten in Ihrem Speicherkonto zuweisen:

     

   • Azure rollenbasierte Zugriffskontrolle (Azure RBAC) ist das Autorisierungssystem, mit dem der Zugriff auf Azure-Ressourcen verwaltet wird. Azure RBAC hilft Ihnen, den Zugriff und die Berechtigungen für Ihre Azure-Ressourcen zu verwalten.

   • Zuweisen einer Azure-Rolle für den Zugriff auf Blobdaten, um eine Rolle zuzuweisen, die Lese-, Schreib- und Löschberechtigungen für Ihren Azure-Speichercontainer ermöglicht. Entsprechende Informationen finden Sie unterMitwirkender an Storage-Blobdaten.

6. Geben Sie die Zeiten für den Start und Ablauf des signierten Schlüssels an.

   • Wenn Sie ein SAS-Token erstellen, beträgt die Standarddauer 48 Stunden. Nach 48 Stunden müssen Sie ein neues Token erstellen.
   • Erwägen Sie, einen längeren Zeitraum für die Zeit festzulegen, in der Sie Ihr Speicherkonto für Dokument Intelligenz-Dienstvorgänge verwenden.
   • Der Wert der Ablaufzeit wird durch die SignierungsmethodeKontoschlüssel oder Benutzerdelegierungsschlüssel bestimmt:
     • Kontoschlüssel: Es gibt kein festgelegtes maximales Zeitlimit. Es wird jedoch empfohlen, eine Ablaufrichtlinie zu konfigurieren, um das Intervall zu begrenzen und die Kompromittierung zu minimieren. Konfigurieren Sie eine Ablaufrichtlinie für Shared Access Signatures.
     • Benutzerdelegierungsschlüssel: Der Wert für die Ablaufzeit beträgt maximal sieben Tage ab der Erstellung des SAS-Tokens. Die SAS ist ungültig, nachdem der Benutzerdelegierungsschlüssel abgelaufen ist, sodass eine SAS mit einer Ablaufzeit von mehr als 7 Tagen trotzdem nur 7 Tage gültig ist. Weitere Informationen finden Sie unterVerwenden von Microsoft Entra-Anmeldeinformationen zum Schützen einer SAS.

7. Das Feld Zugelassene IP-Adressen ist optional. Darin wird eine IP-Adresse oder ein Bereich mit IP-Adressen angegeben, für die Anforderungen akzeptiert werden. Wenn die IP-Adresse der Anforderung nicht mit der IP-Adresse oder dem Adressbereich übereinstimmt, die bzw. der im SAS-Token angegeben ist, erfolgt keine Autorisierung. Die IP-Adresse oder ein IP-Adressbereich muss aus öffentlichen IP-Adressen bestehen, nicht privaten. Weitere Informationen finden Sie unterAngeben einer IP-Adresse oder eines IP-Bereichs.

8. Das Feld Zugelassene Protokolle ist optional. Darin wird das Protokoll angegeben, das für das Senden einer Anforderung mit dem SAS-Token zulässig ist. Der Standardwert ist „HTTPS“.

9. Wählen Sie SAS-Token und -URL generieren aus.

10. Die Abfragezeichenfolge für das Blob-SAS-Token und die Blob-SAS-URL werden im unteren Bereich des Fensters angezeigt. Um das Blob-SAS-Token zu verwenden, fügen Sie es an einen Speicherdienst-URI an.

11. Kopieren Sie die Werte für das Blob-SAS-Token und die Blob-SAS-URL, und fügen Sie sie an einem sicheren Ort ein. Sie werden nur einmal angezeigt und können nicht abgerufen werden, nachdem das Fenster geschlossen wurde.

12. Fügen Sie zum Erstellen einer SAS-URL das SAS-Token (URI) an die URL für einen Speicherdienst an.

Verwenden von Azure Storage-Explorer

Azure Storage-Explorer ist eine kostenlose eigenständige App, mit der Sie Ihre Azure-Cloudspeicherressourcen auf einfache Weise über den Desktop verwalten können.

Erste Schritte

• In Ihrer Windows-, macOS- oder Linux-Entwicklungsumgebung muss die Azure Storage-Explorer-App installiert sein.

• Nachdem die Azure Storage-Explorer-App installiert wurde, verbinden Sie sie mit dem Speicherkonto, das Sie für Dokument Intelligenz nutzen.

Erstellen Ihrer SAS-Token

1. Öffnen Sie die Azure Storage-Explorer-App auf Ihrem lokalen Computer, und navigieren Sie zu Ihren verbundenen Speicherkonten.

2. Erweitern Sie den Knoten „Speicherkonten“, und wählen Sie die Option Blobcontainer aus.

3. Erweitern Sie den Knoten „Blobcontainer“, und klicken Sie mit der rechten Maustaste auf einen Containerknoten des Speichers, um das Optionsmenü anzuzeigen.

4. Wählen Sie im Menü mit den Optionen die Option Shared Access Signature abrufen aus.

5. Wählen Sie im Fenster Shared Access Signature Folgendes aus:

   • Wählen Sie Ihre Zugriffsrichtlinie aus (Standardeinstellung: Keine).
   • Geben Sie das Datum und die Uhrzeit für den Start und Ablauf des signierten Schlüssels an. Hierbei wird die Verwendung einer kurzen Lebensdauer empfohlen, da eine SAS nach ihrer Generierung nicht mehr widerrufen werden kann.
   • Wählen Sie die Zeitzone für das Datum und die Uhrzeit des Starts und Ablaufs aus (Standardeinstellung: Lokal).
   • Definieren Sie die Berechtigungen für Ihren Container, indem Sie die Kontrollkästchen Lesen, Schreiben, Auflisten und Löschen aktivieren.
   • Wählen Sie key1 oder key2 aus.
   • Überprüfen Sie die Angaben, und wählen Sie die Option Erstellen aus.

6. Ein neues Fenster wird angezeigt, das den Namen des Containers, die SAS URL und die Abfragezeichenfolge für Ihren Container enthält.

7. Kopieren Sie die Werte für die SAS-URL und die Abfragezeichenfolge, und fügen Sie sie zur Aufbewahrung an einem sicheren Ort ein. Diese Angaben werden nur einmal angezeigt und können nicht mehr abgerufen werden, nachdem das Fenster geschlossen wurde.

8. Fügen Sie zum Erstellen einer SAS-URL das SAS-Token (URI) an die URL für einen Speicherdienst an.

Verwenden der SAS-URL zum Gewähren von Zugriff

Die SAS-URL enthält einen speziellen Satz von Abfrageparametern. Diese Parameter geben an, wie der Client auf die Ressourcen zugreift.

REST-API

Um Ihre SAS-URL mit der REST-API zu verwenden, fügen Sie die SAS-URL zum Anforderungstext hinzu:

{
    "source":"<BLOB SAS URL>"
}

Das ist alles! Sie haben gelernt, wie Sie SAS-Token erstellen, um den Zugriff von Clients auf Ihre Daten zu autorisieren.

Nächster Schritt

Erstellen eines Trainingsdatasets