SAS-jogkivonatok létrehozása tárolókhoz

Ez a tartalom a következőre vonatkozik::v4.0 (előzetes verzió)v3.1 (GA)v3.0 (GA)v2.1 (GA)

Ebből a cikkből megtudhatja, hogyan hozhat létre felhasználói delegálást, közös hozzáférésű jogosultságkód (SAS) jogkivonatokat az Azure Portal vagy az Azure Storage Explorer használatával. A felhasználói delegálási SAS-jogkivonatokat a Microsoft Entra hitelesítő adatai védik. Az SAS-jogkivonatok biztonságos, delegált hozzáférést biztosítanak az Azure Storage-fiók erőforrásaihoz.

Magas szinten az SAS-jogkivonatok működése a következő:

• Az alkalmazás REST API-kérés részeként elküldi az SAS-jogkivonatot az Azure Storage-nak.

• Ha a tárolási szolgáltatás ellenőrzi, hogy az SAS érvényes-e, a kérés engedélyezve van.

• Ha az SAS-jogkivonat érvénytelennek minősül, a rendszer elutasítja a kérést, és visszaadja a 403-at (Tiltott) hibakódot.

Az Azure Blob Storage három erőforrástípust kínál:

• A tárfiókok egyedi névteret biztosítanak az Azure-ban az adatokhoz.
• Az adattárolók tárfiókokban találhatók, és blobkészleteket rendszereznek.
• A blobok tárolókban találhatók, és szöveges és bináris adatokat, például fájlokat, szöveget és képeket tárolnak.

Mikor érdemes SAS-jogkivonatot használni?

• Egyéni modellek betanítása. Az összeállított betanítási dokumentumokat fel kell tölteni egy Azure Blob Storage-tárolóba. Dönthet úgy, hogy SAS-jogkivonatot használ a betanítási dokumentumokhoz való hozzáférés biztosításához.

• Tárolók használata nyilvános hozzáféréssel. Dönthet úgy, hogy SAS-jogkivonatot használva korlátozott hozzáférést biztosít a nyilvános olvasási hozzáféréssel rendelkező tárolási erőforrásokhoz.

  Fontos

  • Ha az Azure Storage-fiókot virtuális hálózat vagy tűzfal védi, nem adhat hozzáférést SAS-jogkivonattal. A tárerőforráshoz való hozzáférés biztosításához felügyelt identitást kell használnia.

  • A felügyelt identitás mind a privát, mind a nyilvánosan elérhető Azure Blob Storage-fiókokat támogatja.

  • Az SAS-jogkivonatok engedélyeket biztosítanak a tárolási erőforrásokhoz, és ugyanúgy kell védeni, mint egy fiókkulcsot.

  • Az SAS-jogkivonatokat használó műveleteket csak HTTPS-kapcsolaton keresztül kell végrehajtani, az SAS URI-kat pedig csak biztonságos kapcsolaton, például HTTPS-en szabad terjeszteni.

Előfeltételek

A kezdéshez a következők szükségesek:

• Aktív Azure-fiók. Ha még nincs fiókja, hozzon létre egy ingyenes fiókot.

• Dokumentumintelligencia vagy többszolgáltatásos erőforrás.

• Standard teljesítményűAzure Blob Storage-fiók. Tárolókat kell létrehoznia a blobadatok tárfiókon belüli tárolásához és rendszerezéséhez. Ha nem tudja, hogyan hozhat létre Azure Storage-fiókot egy tárolóval, kövesse az alábbi rövid útmutatókat:

  • Tárfiók létrehozása. A tárfiók létrehozásakor válassza a Standard teljesítmény lehetőséget a Példány részletei>teljesítmény mezőjében.
  • Hozzon létre egy tárolót. A tároló létrehozásakor az Új tároló ablakban állítsa be a nyilvános hozzáférési szintet tárolóra (tárolók és blobok névtelen olvasási hozzáférésére).

Dokumentumok feltöltése

1. Jelentkezzen be az Azure Portalra.

   • Válassza → Tárfiók→ Tárolók lehetőséget.

   

2. Válasszon egy tárolót a listából.

3. Válassza a Feltöltés lehetőséget a lap tetején található menüből.

   

4. Megjelenik a Blob feltöltése ablak. Jelölje ki a feltölteni kívánt fájlokat.

   

   Megjegyzés:

   Alapértelmezés szerint a REST API a tároló gyökerében található dokumentumokat használja. Ha az API-hívásban meg van adva, almappákban rendezett adatokat is használhat. További információ: Adatok rendszerezése almappákban.

Az Azure Portal használata

Az Azure Portal egy webes konzol, amellyel grafikus felhasználói felülettel (GUI) kezelheti Azure-előfizetését és erőforrásait.

1. Jelentkezzen be az Azure Portalra.

2. Lépjen a tároló tárfióktárolóira>>.

3. Válassza az SAS létrehozása lehetőséget a lap tetején található menüből.

4. Válassza az Aláírási mód → Felhasználó delegálási kulcsát.

5. Engedélyek definiálásához jelölje be vagy törölje a jelet a megfelelő jelölőnégyzetből.
   

   • Győződjön meg arról, hogy az olvasási, írási, törlési és listaengedélyek ki vannak jelölve.

   

   Fontos

   • Ha a következőhöz hasonló üzenetet kap, a tárfiók blobadataihoz is hozzá kell rendelnie a hozzáférést:

     

   • Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) az Azure-erőforrásokhoz való hozzáférés kezeléséhez használt engedélyezési rendszer. Az Azure RBAC segít kezelni az Azure-erőforrásokhoz való hozzáférést és engedélyeket.

   • Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez egy olyan szerepkör hozzárendeléséhez, amely lehetővé teszi az Azure Storage-tároló olvasási, írási és törlési engedélyeit. Lásd:Storage Blob Data Közreműködő.

6. Adja meg az aláírt kulcs kezdő és lejárati idejét.

   • SAS-jogkivonat létrehozásakor az alapértelmezett időtartam 48 óra. 48 óra elteltével létre kell hoznia egy új jogkivonatot.
   • Érdemes lehet hosszabb időtartamot beállítani arra az időre, amíg a tárfiókot a Document Intelligence Service-műveletekhez használja.
   • A lejárati idő értékét az határozza meg, hogy fiókkulcsot vagy felhasználói delegálási kulcsot használ-e:
     • Fiókkulcs: Nincs kiszabott maximális időkorlát. Ajánlott azonban egy lejárati szabályzatot konfigurálni az intervallum korlátozásához és a biztonság minimalizálásához. A közös hozzáférésű jogosultságkódok lejárati szabályzatának konfigurálása.
     • Felhasználódelegálási kulcs: A lejárati idő értéke az SAS-jogkivonat létrehozásának napjától számított legfeljebb hét nap. Az SAS a felhasználói delegálási kulcs lejárta után érvénytelen, ezért a hét napnál hosszabb lejárati idejű SAS továbbra is csak hét napig érvényes. További információ: Sas biztonságossá tételéhez használja a Microsoft Entra hitelesítő adatait.

7. Az Engedélyezett IP-címek mező nem kötelező, és olyan IP-címet vagy IP-címtartományt ad meg, amelyből a kérések fogadhatók. Ha a kérelem IP-címe nem felel meg az SAS-jogkivonaton megadott IP-címnek vagy címtartománynak, az engedélyezés sikertelen. Az IP-címnek vagy az IP-címek tartományának nyilvános IP-címeknek kell lenniük, nem pedig privátnak. További információ: IP-cím vagy IP-címtartomány megadása.

8. Az Engedélyezett protokollok mező nem kötelező, és megadja az SAS-jogkivonattal küldött kérések protokolljának engedélyezett protokollt. Az alapértelmezett érték a HTTPS.

9. Válassza az SAS-jogkivonat és AZ URL-cím létrehozása lehetőséget.

10. A Blob SAS-jogkivonat lekérdezési sztringje és a Blob SAS URL-címe az ablak alsó területén jelenik meg. A Blob SAS-jogkivonat használatához fűzze hozzá egy tárolási szolgáltatás URI-jához.

11. Másolja és illessze be a Blob SAS-jogkivonatot és a Blob SAS URL-értékeit egy biztonságos helyre. Ezek csak egyszer jelennek meg, és nem kérhetők le az ablak bezárása után.

12. SAS URL-cím létrehozásához fűzze hozzá az SAS-jogkivonatot (URI) egy tárolási szolgáltatás URL-címéhez.

Az Azure Storage Explorer használata

Az Azure Storage Explorer egy ingyenes önálló alkalmazás, amely lehetővé teszi az Azure cloud storage-erőforrások egyszerű kezelését az asztalról.

Első lépések

• Telepítenie kell az Azure Storage Explorer alkalmazást Windows, macOS vagy Linux rendszerű fejlesztői környezetben.

• Az Azure Storage Explorer alkalmazás telepítése után csatlakoztassa a dokumentumintelligencia-szolgáltatáshoz használt tárfiókhoz .

SAS-jogkivonatok létrehozása

1. Nyissa meg az Azure Storage Explorer alkalmazást a helyi gépen, és keresse meg a csatlakoztatott tárfiókokat.

2. Bontsa ki a Tárfiókok csomópontot, és válassza a BlobTárolók lehetőséget.

3. Bontsa ki a BlobTárolók csomópontot, és kattintson a jobb gombbal a tárolócsomópontra a beállítások menüjének megjelenítéséhez.

4. A Beállítások menüben válassza a Közös hozzáférésű jogosultságkód lekérése lehetőséget.

5. A Közös hozzáférésű jogosultságkód ablakban végezze el a következő beállításokat:

   • Válassza ki az Access-szabályzatot (az alapértelmezett érték nincs).
   • Adja meg az aláírt kulcs kezdő és lejárati dátumát és időpontját. Rövid élettartam ajánlott, mert a létrehozás után az SAS nem vonható vissza.
   • Válassza ki a kezdési és lejárati dátum és idő időzónáját (alapértelmezés szerint helyi).
   • Adja meg a tárolóengedélyeket az Olvasás, Írás, Lista és Törlés jelölőnégyzet bejelölésével.
   • Válassza ki az 1 . vagy a 2. kulcsot.
   • Tekintse át és válassza a Létrehozás lehetőséget.

6. Megjelenik egy új ablak a tároló tárolójának nevével, SAS URL-címével és lekérdezési sztringjével .

7. Másolja és illessze be az SAS URL-címét és a lekérdezési sztring értékeit egy biztonságos helyre. Ezek csak egyszer jelennek meg, és nem kérhetők le az ablak bezárása után.

8. SAS URL-cím létrehozásához fűzze hozzá az SAS-jogkivonatot (URI) egy tárolási szolgáltatás URL-címéhez.

Sas URL-cím használata a hozzáférés megadásához

Az SAS URL-cím lekérdezési paraméterek speciális készletét tartalmazza. Ezek a paraméterek azt jelzik, hogy az ügyfél hogyan fér hozzá az erőforrásokhoz.

REST API

Ha a SAS URL-címet a REST API-val szeretné használni, adja hozzá az SAS URL-címet a kérelem törzséhez:

{
    "source":"<BLOB SAS URL>"
}

Ennyi az egész! Megtanulta, hogyan hozhat létre SAS-jogkivonatokat az ügyfelek adataihoz való hozzáférés engedélyezéséhez.

Következő lépés

Betanítási adatkészlet létrehozása