SAS-jogkivonatok létrehozása tárolókhoz
Ez a tartalom a következőre vonatkozik::v4.0 (előzetes verzió)v3.1 (GA)v3.0 (GA)v2.1 (GA)
Ebből a cikkből megtudhatja, hogyan hozhat létre felhasználói delegálást, közös hozzáférésű jogosultságkód (SAS) jogkivonatokat az Azure Portal vagy az Azure Storage Explorer használatával. A felhasználói delegálási SAS-jogkivonatokat a Microsoft Entra hitelesítő adatai védik. Az SAS-jogkivonatok biztonságos, delegált hozzáférést biztosítanak az Azure Storage-fiók erőforrásaihoz.
Magas szinten az SAS-jogkivonatok működése a következő:
Az alkalmazás REST API-kérés részeként elküldi az SAS-jogkivonatot az Azure Storage-nak.
Ha a tárolási szolgáltatás ellenőrzi, hogy az SAS érvényes-e, a kérés engedélyezve van.
Ha az SAS-jogkivonat érvénytelennek minősül, a rendszer elutasítja a kérést, és visszaadja a 403-at (Tiltott) hibakódot.
Az Azure Blob Storage három erőforrástípust kínál:
- A tárfiókok egyedi névteret biztosítanak az Azure-ban az adatokhoz.
- Az adattárolók tárfiókokban találhatók, és blobkészleteket rendszereznek.
- A blobok tárolókban találhatók, és szöveges és bináris adatokat, például fájlokat, szöveget és képeket tárolnak.
Mikor érdemes SAS-jogkivonatot használni?
Egyéni modellek betanítása. Az összeállított betanítási dokumentumokat fel kell tölteni egy Azure Blob Storage-tárolóba. Dönthet úgy, hogy SAS-jogkivonatot használ a betanítási dokumentumokhoz való hozzáférés biztosításához.
Tárolók használata nyilvános hozzáféréssel. Dönthet úgy, hogy SAS-jogkivonatot használva korlátozott hozzáférést biztosít a nyilvános olvasási hozzáféréssel rendelkező tárolási erőforrásokhoz.
Fontos
Ha az Azure Storage-fiókot virtuális hálózat vagy tűzfal védi, nem adhat hozzáférést SAS-jogkivonattal. A tárerőforráshoz való hozzáférés biztosításához felügyelt identitást kell használnia.
A felügyelt identitás mind a privát, mind a nyilvánosan elérhető Azure Blob Storage-fiókokat támogatja.
Az SAS-jogkivonatok engedélyeket biztosítanak a tárolási erőforrásokhoz, és ugyanúgy kell védeni, mint egy fiókkulcsot.
Az SAS-jogkivonatokat használó műveleteket csak HTTPS-kapcsolaton keresztül kell végrehajtani, az SAS URI-kat pedig csak biztonságos kapcsolaton, például HTTPS-en szabad terjeszteni.
Előfeltételek
A kezdéshez a következők szükségesek:
Aktív Azure-fiók. Ha még nincs fiókja, hozzon létre egy ingyenes fiókot.
Dokumentumintelligencia vagy többszolgáltatásos erőforrás.
Standard teljesítményűAzure Blob Storage-fiók. Tárolókat kell létrehoznia a blobadatok tárfiókon belüli tárolásához és rendszerezéséhez. Ha nem tudja, hogyan hozhat létre Azure Storage-fiókot egy tárolóval, kövesse az alábbi rövid útmutatókat:
- Tárfiók létrehozása. A tárfiók létrehozásakor válassza a Standard teljesítmény lehetőséget a Példány részletei>teljesítmény mezőjében.
- Hozzon létre egy tárolót. A tároló létrehozásakor az Új tároló ablakban állítsa be a nyilvános hozzáférési szintet tárolóra (tárolók és blobok névtelen olvasási hozzáférésére).
Dokumentumok feltöltése
Jelentkezzen be az Azure Portalra.
- Válassza → Tárfiók→ Tárolók lehetőséget.
Válasszon egy tárolót a listából.
Válassza a Feltöltés lehetőséget a lap tetején található menüből.
Megjelenik a Blob feltöltése ablak. Jelölje ki a feltölteni kívánt fájlokat.
Megjegyzés:
Alapértelmezés szerint a REST API a tároló gyökerében található dokumentumokat használja. Ha az API-hívásban meg van adva, almappákban rendezett adatokat is használhat. További információ: Adatok rendszerezése almappákban.
Az Azure Portal használata
Az Azure Portal egy webes konzol, amellyel grafikus felhasználói felülettel (GUI) kezelheti Azure-előfizetését és erőforrásait.
Jelentkezzen be az Azure Portalra.
Lépjen a tároló tárfióktárolóira>>.
Válassza az SAS létrehozása lehetőséget a lap tetején található menüből.
Válassza az Aláírási mód → Felhasználó delegálási kulcsát.
Engedélyek definiálásához jelölje be vagy törölje a jelet a megfelelő jelölőnégyzetből.
- Győződjön meg arról, hogy az olvasási, írási, törlési és listaengedélyek ki vannak jelölve.
Fontos
Ha a következőhöz hasonló üzenetet kap, a tárfiók blobadataihoz is hozzá kell rendelnie a hozzáférést:
Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) az Azure-erőforrásokhoz való hozzáférés kezeléséhez használt engedélyezési rendszer. Az Azure RBAC segít kezelni az Azure-erőforrásokhoz való hozzáférést és engedélyeket.
Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez egy olyan szerepkör hozzárendeléséhez, amely lehetővé teszi az Azure Storage-tároló olvasási, írási és törlési engedélyeit. Lásd:Storage Blob Data Közreműködő.
Adja meg az aláírt kulcs kezdő és lejárati idejét.
- SAS-jogkivonat létrehozásakor az alapértelmezett időtartam 48 óra. 48 óra elteltével létre kell hoznia egy új jogkivonatot.
- Érdemes lehet hosszabb időtartamot beállítani arra az időre, amíg a tárfiókot a Document Intelligence Service-műveletekhez használja.
- A lejárati idő értékét az határozza meg, hogy fiókkulcsot vagy felhasználói delegálási kulcsot használ-e:
- Fiókkulcs: Nincs kiszabott maximális időkorlát. Ajánlott azonban egy lejárati szabályzatot konfigurálni az intervallum korlátozásához és a biztonság minimalizálásához. A közös hozzáférésű jogosultságkódok lejárati szabályzatának konfigurálása.
- Felhasználódelegálási kulcs: A lejárati idő értéke az SAS-jogkivonat létrehozásának napjától számított legfeljebb hét nap. Az SAS a felhasználói delegálási kulcs lejárta után érvénytelen, ezért a hét napnál hosszabb lejárati idejű SAS továbbra is csak hét napig érvényes. További információ: Sas biztonságossá tételéhez használja a Microsoft Entra hitelesítő adatait.
Az Engedélyezett IP-címek mező nem kötelező, és olyan IP-címet vagy IP-címtartományt ad meg, amelyből a kérések fogadhatók. Ha a kérelem IP-címe nem felel meg az SAS-jogkivonaton megadott IP-címnek vagy címtartománynak, az engedélyezés sikertelen. Az IP-címnek vagy az IP-címek tartományának nyilvános IP-címeknek kell lenniük, nem pedig privátnak. További információ: IP-cím vagy IP-címtartomány megadása.
Az Engedélyezett protokollok mező nem kötelező, és megadja az SAS-jogkivonattal küldött kérések protokolljának engedélyezett protokollt. Az alapértelmezett érték a HTTPS.
Válassza az SAS-jogkivonat és AZ URL-cím létrehozása lehetőséget.
A Blob SAS-jogkivonat lekérdezési sztringje és a Blob SAS URL-címe az ablak alsó területén jelenik meg. A Blob SAS-jogkivonat használatához fűzze hozzá egy tárolási szolgáltatás URI-jához.
Másolja és illessze be a Blob SAS-jogkivonatot és a Blob SAS URL-értékeit egy biztonságos helyre. Ezek csak egyszer jelennek meg, és nem kérhetők le az ablak bezárása után.
SAS URL-cím létrehozásához fűzze hozzá az SAS-jogkivonatot (URI) egy tárolási szolgáltatás URL-címéhez.
Az Azure Storage Explorer használata
Az Azure Storage Explorer egy ingyenes önálló alkalmazás, amely lehetővé teszi az Azure cloud storage-erőforrások egyszerű kezelését az asztalról.
Első lépések
Telepítenie kell az Azure Storage Explorer alkalmazást Windows, macOS vagy Linux rendszerű fejlesztői környezetben.
Az Azure Storage Explorer alkalmazás telepítése után csatlakoztassa a dokumentumintelligencia-szolgáltatáshoz használt tárfiókhoz .
SAS-jogkivonatok létrehozása
Nyissa meg az Azure Storage Explorer alkalmazást a helyi gépen, és keresse meg a csatlakoztatott tárfiókokat.
Bontsa ki a Tárfiókok csomópontot, és válassza a BlobTárolók lehetőséget.
Bontsa ki a BlobTárolók csomópontot, és kattintson a jobb gombbal a tárolócsomópontra a beállítások menüjének megjelenítéséhez.
A Beállítások menüben válassza a Közös hozzáférésű jogosultságkód lekérése lehetőséget.
A Közös hozzáférésű jogosultságkód ablakban végezze el a következő beállításokat:
- Válassza ki az Access-szabályzatot (az alapértelmezett érték nincs).
- Adja meg az aláírt kulcs kezdő és lejárati dátumát és időpontját. Rövid élettartam ajánlott, mert a létrehozás után az SAS nem vonható vissza.
- Válassza ki a kezdési és lejárati dátum és idő időzónáját (alapértelmezés szerint helyi).
- Adja meg a tárolóengedélyeket az Olvasás, Írás, Lista és Törlés jelölőnégyzet bejelölésével.
- Válassza ki az 1 . vagy a 2. kulcsot.
- Tekintse át és válassza a Létrehozás lehetőséget.
Megjelenik egy új ablak a tároló tárolójának nevével, SAS URL-címével és lekérdezési sztringjével .
Másolja és illessze be az SAS URL-címét és a lekérdezési sztring értékeit egy biztonságos helyre. Ezek csak egyszer jelennek meg, és nem kérhetők le az ablak bezárása után.
SAS URL-cím létrehozásához fűzze hozzá az SAS-jogkivonatot (URI) egy tárolási szolgáltatás URL-címéhez.
Sas URL-cím használata a hozzáférés megadásához
Az SAS URL-cím lekérdezési paraméterek speciális készletét tartalmazza. Ezek a paraméterek azt jelzik, hogy az ügyfél hogyan fér hozzá az erőforrásokhoz.
REST API
Ha a SAS URL-címet a REST API-val szeretné használni, adja hozzá az SAS URL-címet a kérelem törzséhez:
{
"source":"<BLOB SAS URL>"
}
Ennyi az egész! Megtanulta, hogyan hozhat létre SAS-jogkivonatokat az ügyfelek adataihoz való hozzáférés engedélyezéséhez.