Créer des jetons SAS pour les conteneurs de stockage
Ce contenu s’applique à : v4.0 (préversion) v3.1 (GA) v3.0 (GA) v2.1 (GA)
Dans cet article, vous allez apprendre à créer une délégation d’utilisateur et des jetons de signature d’accès partagé (SAP), à l’aide du Portail Azure ou de l’Explorateur Stockage Azure. Les jetons SAS de délégation d’utilisateur sont sécurisés avec des informations d’identification Microsoft Entra. Un jeton SAS fournit un accès délégué sécurisé aux ressources dans votre compte de stockage Azure.
À un niveau élevé, voici comment fonctionnent les jetons SAP :
Votre application envoie d’abord le jeton SAS à Stockage Azure dans le cadre d’une requête d’API REST.
Ensuite, si le service de stockage confirme que la signature SAS est valide, la requête est autorisée. Si le jeton SAS est jugé non valide, la requête est refusée et le code d’erreur 403 (Interdit) s’affiche.
Le Stockage Blob Azure offre trois types de ressources :
- Les comptes de Stockage fournissent un espace de noms unique dans Azure pour vos données.
- Les conteneurs de stockage de données se trouvent dans des comptes de stockage et organisent des ensembles d’objets blob.
- Les objets blob se trouvent dans des conteneurs et stockent du texte et des données binaires, comme des fichiers, du texte et des images.
Quand utiliser un jeton SAP
Modèles personnalisés d’entraînement. Votre ensemble assemblé de documents d’entraînement doit être chargé dans un conteneur Stockage Blob Azure. Vous pouvez choisir d’utiliser un jeton SAP pour accorder un accès à vos documents d’entraînement.
Utilisation de conteneurs de stockage avec accès public. Vous pouvez choisir d’utiliser un jeton SAP pour accorder un accès limité à vos ressources de stockage qui disposent d’un accès public en lecture.
Important
Si votre compte de stockage Azure est protégé par un réseau virtuel ou un pare-feu, vous ne pouvez pas accorder d’accès à l’aide d’un jeton SAP. Vous devrez utiliser une identité managée pour accorder l’accès à votre ressource de stockage.
Une identité managée prend en charge les comptes de Stockage Blob Azure accessibles en privé et publiquement.
Les jetons SAP accordent des autorisations aux ressources de stockage et doivent être protégés de la même manière qu’une clé de compte.
Les opérations qui utilisent des jetons SAS ne doivent être effectuées que sur une connexion HTTPS, et les URI SAS ne doivent être distribués que sur une connexion sécurisée, comme HTTPS.
Prérequis
Pour commencer, vous avez besoin des éléments suivants :
Un compte Azure actif. Si vous n’en avez pas, vous pouvez créer un compte gratuit.
Une ressource Intelligence documentaire ou multiservice.
Un compte de Stockage Blob Azure de performances standard. Vous devez aussi créer des conteneurs pour stocker et organiser vos données d’objet blob dans votre compte de stockage. Si vous ignorez comment créer un compte de stockage Azure avec un conteneur de stockage, suivez les démarrages rapides suivants :
- Créer un compte de stockage. Lorsque vous créez votre compte de stockage, sélectionnez les performances Standard dans le champ Détails de l’instance>Performance.
- Créer un conteneur. Lors de la création de votre conteneur, définissez le champ Niveau d’accès public sur Conteneur (accès en lecture anonyme pour les conteneurs et les blobs) dans la fenêtre Nouveau conteneur.
Charger les documents
Connectez-vous au portail Azure.
- Sélectionnez Votre compte de stockage → Stockage de données → Conteneurs.
Sélectionnez un conteneur dans la liste.
Sélectionnez Télécharger dans le menu en haut de la page.
La fenêtre Charger l’objet blob s’affiche. Sélectionnez vos fichiers à charger.
Remarque
Par défaut, l’API REST utilise des documents situés à la racine de votre conteneur. Vous pouvez aussi utiliser des données organisées en sous-dossiers si cela est spécifié dans l’appel de l’API. Pour plus d’informations, consultez Organiser vos données dans des sous-dossiers.
Utilisation du portail Azure
Le portail Azure est une console web qui vous permet de gérer votre abonnement et vos ressources Azure via une interface graphique utilisateur (GUI).
Connectez-vous au portail Azure.
Accédez à votre compte de stockage>conteneurs>votre conteneur.
Sélectionnez Générer une signature d’accès partagé dans le menu situé en haut de la page.
Sélectionnez Méthode de signature → Clé de délégation d’utilisateur.
Définissez des Autorisations en cochant ou en décochant la case appropriée.
- Assurez-vous que les autorisations Lecture, Ecriture, Suppressionet Liste sont sélectionnées.
Important
Si vous recevez un message similaire à celui ci qui suit, vous devrez aussi attribuer un accès aux données blob dans votre compte de stockage :
Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) est le système d’autorisation utilisé pour gérer l’accès aux ressources Azure. Azure RBAC vous permet de gérer l’accès et les autorisations pour vos ressources Azure.
Attribuez un rôle Azure pour accéder au données blob afin d’attribuer un rôle qui accorde des autorisations de lecture, d’écriture et de suppression pour votre conteneur de stockage Azure. Voir Contributeur aux données Blob du stockage.
Spécifiez les heures de début et d’expiration de la clé signée.
- Quand vous créez un jeton SAP, la durée par défaut est de 48 heures. Passé ce délai, vous devrez créer un nouveau jeton.
- Pensez à définir une durée plus longue pour la période d’utilisation de votre compte de stockage pour les opérations du service Document Intelligence.
- La valeur du délai d’expiration est déterminée par l’utilisation de la méthode de signature par clé de compte ou par clé de délégation d’utilisateur(-trice) :
- Clé de compte : aucune limite de temps maximale imposée ; cependant, les bonnes pratiques vous recommandent de configurer une stratégie d'expiration pour limiter l'intervalle et réduire les compromis. Configurer une stratégie d’expiration pour les signatures d’accès partagé.
- Clé de délégation d’utilisateur: la valeur du délai d'expiration est de sept jours maximum à compter de la création du jeton SAP. La SAP n’est pas valide après l’expiration de la clé de délégation d’utilisateur. Par conséquent, une SAP dont le délai d’expiration est supérieur à sept jours ne sera toujours valide que pendant sept jours. Pour plus d’informations,consultez Utiliser des informations d’identification Microsoft Entra pour sécuriser une SAS.
Le champ Adresses IP autorisées est facultatif. Il spécifie une adresse IP ou une plage d’adresses IP à partir desquelles des requêtes doivent être acceptées. Si l’adresse IP de la requête e ne correspond pas à l’adresse IP ou à la plage d’adresses spécifiée sur le jeton SAS, l’autorisation échoue. L’adresse IP ou une plage d’adresses IP doit être ou contenir des adresses IP publiques et non privées. Pour plus d’informations, consultez, Spécifier une adresse IP ou une plage d’adresses IP.
Le champ Protocoles autorisés est facultatif. Il spécifie le protocole autorisé pour une requête effectuée avec le jeton SAP. La valeur par défaut est HTTPS.
Sélectionnez Générer un jeton SAS et une URL.
La chaîne de requête Jeton SAS blob et l’URL SAS blob s’affichent en bas dans la fenêtre. Pour utiliser le jeton SAS blob, ajoutez-le à un URI de service de stockage.
Copiez et collez les valeurs Jeton SAS blob et URL SAS blob en lieu sûr. Les valeurs ne s’affichent qu’une seule fois et ne peuvent pas être récupérées après la fermeture de la fenêtre.
Pour construire une URL de signature d’accès partagé (SAS), ajoutez le jeton SAS (URI) à l’URL d’un service de stockage.
Utiliser l’Explorateur Stockage Azure
L’Explorateur Stockage Azure est une application autonome gratuite qui vous permet de gérer facilement vos ressources de stockage cloud Azure sur votre ordinateur de bureau.
Bien démarrer
Vous devez avoir installé l’application Explorateur Stockage Azure dans votre environnement de développement Windows, macOS ou Linux.
Une fois l’application Explorateur Stockage Azure installée, connectez-la au compte de stockage que vous utilisez pour Document Intelligence.
Créer vos jetons SAP
Ouvrez l’application Explorateur Stockage Azure sur votre ordinateur local, puis accédez à vos comptes de stockage connectés.
Développez le nœud Comptes de stockage, puis sélectionnez Conteneurs d’objets blob.
Développez le nœud Conteneurs d’objets blob, puis cliquez avec le bouton droit sur un nœud de conteneur de stockage pour afficher le menu d’options.
Dans le menu d’options, sélectionnez Obtenir une signature d’accès partagé.
Dans la fenêtre Signature d’accès partagé, effectuez les sélections suivantes :
- Sélectionnez votre stratégie d’accès (la valeur par défaut est Aucune).
- Spécifiez la date et l’heure de début et d’expiration de la clé signée. Une durée de vie courte est recommandée car, une fois générée, une signature d’accès partagé ne peut pas être révoquée.
- Sélectionnez le fuseau horaire pour la date et l’heure de début et d’expiration (la valeur par défaut est Local).
- Définissez vos Autorisations de conteneur en cochant les cases Lecture, Écriture, Liste et Supprimer.
- Sélectionnez key1 ou key2.
- Passez en revue les informations, puis sélectionnez Créer.
Une nouvelle fenêtre apparaît avec le nom de votre conteneur, son URL SAS et sa chaîne de requête.
Copiez et collez les valeurs d’URL SAP et de chaîne de requête à un emplacement sûr. Elles ne s’affichent qu’une seule fois et ne peuvent pas être récupérées une fois la fenêtre fermée.
Pour construire une URL de signature d’accès partagé (SAS), ajoutez le jeton SAS (URI) à l’URL d’un service de stockage.
Utiliser votre URL SAP pour accorder l’accès
L’URL SAP comprend un ensemble spécial de paramètres de requête. Ces paramètres indiquent comment le client accède aux ressources.
API REST
Pour utiliser votre URL SAP avec l’API REST, ajoutez l’URL SAP au corps de la requête :
{
"source":"<BLOB SAS URL>"
}
Et voilà ! Vous avez appris à créer des jetons SAS pour autoriser la manière dont les clients accèdent à vos données.