Jetons SAS pour vos conteneurs de stockage
Apprenez à créer une délégation d’utilisateur et des jetons de signature d’accès partagé (SAS) en utilisant le portail Azure. Les jetons SAS de délégation d’utilisateur sont sécurisés avec des informations d’identification Microsoft Entra. Un jeton SAS fournit un accès délégué sécurisé aux ressources dans votre compte de stockage Azure.
Conseil
Le contrôle d’accès en fonction du rôle (identités managées) fournit une autre méthode pour accorder l’accès à vos données de stockage sans avoir à inclure de jetons SAS avec vos requêtes HTTP.
- Vous pouvez utiliser les identités managées pour octroyer un accès à toute ressource prenant en charge l’authentification Microsoft Entra, y compris vos propres applications.
- L’utilisation d’identités managées remplace la nécessité d’inclure des jetons de signature d’accès partagé (SAP) avec vos URL source et cible.
- L’utilisation d’identités managées dans Azure n’occasionne aucun coût supplémentaire.
À un niveau élevé, voici comment fonctionnent les jetons SAP :
Votre application envoie le jeton SAP au Stockage Azure dans le cadre d’une requête d’API REST.
Si le service de stockage vérifie que la signature SAS est valide, la requête est autorisée.
Si le jeton SAS est jugé non valide, la demande est refusée et le code d’erreur 403 (Interdit) est retourné.
Le Stockage Blob Azure offre trois types de ressources :
- Les comptes de Stockage fournissent un espace de noms unique dans Azure pour vos données.
- Les conteneurs de stockage de données se trouvent dans des comptes de stockage et organisent des ensembles d’objets blob (fichiers, texte ou images).
- Les objets blob se trouvent dans des conteneurs et stockent du texte et des données binaires, comme des fichiers, du texte et des images.
Important
Les jetons SAP sont utilisés pour accorder des autorisations aux ressources de stockage et doivent être protégés de la même manière qu’une clé de compte.
Les opérations qui utilisent des jetons SAS ne doivent être effectuées que sur une connexion HTTPS, et les URI SAS ne doivent être distribués que sur une connexion sécurisée, comme HTTPS.
Prérequis
Pour commencer, vous avez besoin des ressources suivantes :
Un compte Azure actif. Si vous n’en avez pas, vous pouvez créer un compte gratuit.
Ressource Azure AI Language.
Un compte de Stockage Blob Azure de performances standard. Vous devez aussi créer des conteneurs pour stocker, puis organiser vos fichiers dans votre compte de stockage. Si vous ignorez comment créer un compte de stockage Azure avec un conteneur de stockage, suivez les démarrages rapides suivants :
- Créer un compte de stockage. Lorsque vous créez votre compte de stockage, sélectionnez les performances Standard dans le champ Détails de l’instance>Performance.
- Créer un conteneur. Lors de la création de votre conteneur, définissez le champ Niveau d’accès public sur Conteneur (accès en lecture anonyme pour les conteneurs et les fichiers) dans la fenêtre Nouveau conteneur.
Créer des jetons SAS dans le portail Azure
Allez dans le portail Azure et accédez à votre conteneur ou à un fichier spécifique comme suit, puis effectuez les étapes suivantes :
Workflow : Votre compte de stockage → conteneurs → votre conteneur → votre fichier
Cliquez avec le bouton droit sur le conteneur ou le fichier, puis sélectionnez Générer une signature d’accès partagé dans le menu déroulant.
Sélectionnez Méthode de signature → Clé de délégation d’utilisateur.
Définissez les autorisations en cochant et/ou décochant la case appropriée :
Votre fichier source doit désigner un accès lecture et liste.
Votre fichier cible doit désigner un accès écriture et liste.
Spécifiez les heures de début et d’expiration de la clé signée.
- Lorsque vous créez une signature d’accès partagé (SAP), la durée par défaut est de 48 heures. Passé ce délai, vous devrez créer un nouveau jeton.
- Nous vous recommandons de définir une durée plus longue pour la période pendant laquelle vous utilisez votre compte de stockage pour les opérations du service de langage.
- La valeur du délai d'expiration est déterminée par l'utilisation de la méthode de signature par clé de compte ou par clé de délégation d'utilisateur :
- Clé de compte : aucune limite de temps maximale imposée ; cependant, les bonnes pratiques vous recommandent de configurer une stratégie d'expiration pour limiter l'intervalle et réduire les compromis. Configurer une stratégie d’expiration pour les signatures d’accès partagé.
- Clé de délégation d’utilisateur: la valeur du délai d'expiration est de sept jours maximum à compter de la création du jeton SAP. La SAP n’est pas valide après l’expiration de la clé de délégation d’utilisateur. Par conséquent, une SAP dont le délai d’expiration est supérieur à sept jours ne sera toujours valide que pendant sept jours. Pour plus d’informations,consultezUtiliser les informations d’identification Microsoft Entra pour sécuriser une SAS.
Le champ Adresses IP autorisées est facultatif. Il spécifie une adresse IP ou une plage d’adresses IP à partir desquelles des requêtes doivent être acceptées. Si l’adresse IP de la requête e ne correspond pas à l’adresse IP ou à la plage d’adresses spécifiée sur le jeton SAS, l’autorisation échoue. L’adresse IP ou une plage d’adresses IP doit être ou contenir des adresses IP publiques et non privées. Pour plus d’informations, consultez, Spécifier une adresse IP ou une plage d’adresses IP.
Le champ Protocoles autorisés est facultatif. Il spécifie le protocole autorisé pour une requête effectuée avec la signature d’accès partagé. La valeur par défaut est HTTPS.
Passez en revue les informations, puis sélectionnez Générer une URL et un jeton SAS.
La chaîne de requête du Jeton SAS d’objet blob et l’URL SAP d’objet blob s’affichent en bas de la fenêtre.
Copiez et collez les valeurs Jeton SAP de blob et URL en lieu sûr. Elles ne s’affichent qu’une seule fois et ne peuvent pas être récupérées une fois la fenêtre fermée.
Pour construire une URL de signature d’accès partagé (SAS), ajoutez le jeton SAS (URI) à l’URL d’un service de stockage.
Utiliser votre URL SAP pour accorder l’accès
L’URL SAP comprend un ensemble spécial de paramètres de requête. Ces paramètres indiquent comment le client accède aux ressources.
Vous pouvez inclure votre URL SAP avec des requêtes d’API REST de deux façons :
Utilisez l’URL SAP comme valeurs sourceURL et targetURL.
Ajoutez la chaîne de requête SAP à vos valeurs sourceURL et targetURL existantes.
Voici un exemple de demande d’API REST :
{
"analysisInput": {
"documents": [
{
"id": "doc_0",
"language": "en",
"source": {
"location": "myaccount.blob.core.windows.net/sample-input/input.pdf?{SAS-Token}"
},
"target": {
"location": "https://myaccount.blob.core.windows.net/sample-output?{SAS-Token}"
}
}
]
}
}
Et voilà ! Vous avez appris à créer des jetons SAS pour autoriser la manière dont les clients accèdent à vos données.
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour