SAS-jogkivonatok létrehozása a tárolókhoz

Ebből a cikkből megtudhatja, hogyan hozhat létre felhasználói delegálást, közös hozzáférésű jogosultságkód (SAS) jogkivonatokat az Azure Portal vagy az Azure Storage Explorer használatával. A felhasználói delegálási SAS-jogkivonatokat a Microsoft Entra hitelesítő adatai védik. Az SAS-jogkivonatok biztonságos, delegált hozzáférést biztosítanak az Azure Storage-fiók erőforrásaihoz.

Tipp.

A felügyelt identitások alternatív módszert biztosítanak a tárolási adatokhoz való hozzáférés biztosítására anélkül, hogy SAS-jogkivonatokat kellene tartalmazniuk a HTTP-kérésekhez. Lásd: A dokumentumfordítás felügyelt identitásai.

• Felügyelt identitásokkal hozzáférést biztosíthat a Microsoft Entra-hitelesítést támogató erőforrásokhoz, beleértve a saját alkalmazásait is.
• A felügyelt identitások használata felülírja a közös hozzáférésű jogosultságkódok (SAS) forrás- és cél URL-címekkel való hozzáadásának követelményét.
• A felügyelt identitások használata az Azure-ban nem jár többletköltséggel.

Magas szinten az SAS-jogkivonatok működése a következő:

• Egy alkalmazás REST API-kérés részeként elküldi az SAS-jogkivonatot az Azure Storage-nak.

• A tárolási szolgáltatás ellenőrzi, hogy az SAS érvényes-e. Ha igen, a kérelem engedélyezve van.

• A kérés elutasításra kerül, ha az SAS-jogkivonat érvénytelennek minősül. Ha igen, a rendszer a 403-ás (Tiltott) hibakódot adja vissza.

Az Azure Blob Storage három erőforrástípust kínál:

• A tárfiókok egyedi névteret biztosítanak az Azure-ban az adatokhoz.
• Az adattárolók tárfiókokban találhatók, és blobokat (fájlokat, szöveget vagy képeket) rendszereznek.
• A blobok tárolókban találhatók, és szöveges és bináris adatokat, például fájlokat, szöveget és képeket tárolnak.

Fontos

• Az SAS-jogkivonatok a tárolási erőforrások engedélyeinek megadására szolgálnak, és ugyanúgy kell védeni, mint egy fiókkulcsot.

• Az SAS-jogkivonatokat használó műveleteket csak HTTPS-kapcsolaton keresztül kell végrehajtani, az SAS URI-kat pedig csak biztonságos kapcsolaton, például HTTPS-en szabad terjeszteni.

Előfeltételek

Első lépésként a következő erőforrásokra van szüksége:

• Aktív Azure-fiók. Ha még nincs fiókja, hozzon létre egy ingyenes fiókot.

• Translator-erőforrás.

• Standard teljesítményű Azure Blob Storage-fiók. Tárolókat is létre kell hoznia a fájlok tárfiókon belüli tárolásához és rendszerezéséhez. Ha nem tudja, hogyan hozhat létre Azure Storage-fiókot egy tárolóval, kövesse az alábbi rövid útmutatókat:

  • Tárfiók létrehozása. A tárfiók létrehozásakor válassza a Standard teljesítmény lehetőséget a Példány részletei>teljesítmény mezőjében.
  • Hozzon létre egy tárolót. A tároló létrehozásakor az Új tároló ablakban állítsa a nyilvános hozzáférési szintet tárolóra (tárolók és fájlok névtelen olvasási hozzáférésére ).

SAS-jogkivonatok létrehozása az Azure Portalon

Lépjen az Azure Portalra , és keresse meg a tárolót vagy egy adott fájlt az alábbiak szerint, és folytassa az alábbi lépésekkel:

SAS-jogkivonat létrehozása tárolóhoz	SAS-jogkivonat létrehozása adott fájlhoz
A tárfiók → tárolók → a tárolót	A tárfiók → tárolók → a tárolót→ a fájlt

1. Kattintson a jobb gombbal a tárolóra vagy fájlra, és válassza az SAS létrehozása lehetőséget a legördülő menüben.

2. Válassza az Aláírási mód → Felhasználó delegálási kulcsát.

3. Engedélyek definiálása a megfelelő jelölőnégyzet bejelölésével és/vagy törlésével:

   • A forrástárolónak vagy a fájlnak olvasási és listahozzáférést kell kijelölnie.

   • A céltárolónak vagy fájlnak írási és listahozzáférést kell kijelölnie.

4. Adja meg az aláírt kulcs kezdő és lejárati idejét.

   • Közös hozzáférésű jogosultságkód (SAS) létrehozásakor az alapértelmezett időtartam 48 óra. 48 óra elteltével létre kell hoznia egy új jogkivonatot.
   • Érdemes lehet hosszabb időtartamot beállítani arra az időre, amíg a tárfiókot a Translator Service-műveletekhez használja.
   • A lejárati idő értékét az határozza meg, hogy fiókkulcsot vagy felhasználói delegálási kulcsot használ-e:
     • Fiókkulcs: Bár a maximális időkorlát nincs érvényben, az ajánlott eljárás azt javasolja, hogy konfiguráljon egy lejárati szabályzatot az intervallum korlátozásához és a biztonság minimalizálásához. A közös hozzáférésű jogosultságkódok lejárati szabályzatának konfigurálása.
     • Felhasználódelegálási kulcs: A lejárati idő értéke az SAS-jogkivonat létrehozásának napjától számított legfeljebb hét nap. Az SAS a felhasználói delegálási kulcs lejárta után érvénytelen, ezért a hét napnál hosszabb lejárati idejű SAS továbbra is csak hét napig érvényes. További információ: Sas biztonságossá tételéhez használja a Microsoft Entra hitelesítő adatait.

5. Az Engedélyezett IP-címek mező nem kötelező, és olyan IP-címet vagy IP-címtartományt ad meg, amelyből a kérések fogadhatók. Ha a kérelem IP-címe nem felel meg az SAS-jogkivonaton megadott IP-címnek vagy címtartománynak, az engedélyezés sikertelen. Az IP-címnek vagy az IP-címek tartományának nyilvános IP-címeknek kell lenniük, nem pedig privátnak. További információ: IP-cím vagy IP-címtartomány megadása.

6. Az Engedélyezett protokollok mező nem kötelező, és megadja az SAS-vel küldött kérésekhez engedélyezett protokollt. Az alapértelmezett érték a HTTPS.

7. Tekintse át, majd válassza az SAS-jogkivonat és AZ URL-cím létrehozása lehetőséget.

8. A Blob SAS-jogkivonat lekérdezési sztringje és a Blob SAS URL-címe az ablak alsó területén jelenik meg.

9. Másolja és illessze be a Blob SAS-jogkivonatot és az URL-értékeket egy biztonságos helyre. Ezek csak egyszer jelennek meg, és nem kérhetők le az ablak bezárása után.

10. SAS URL-cím létrehozásához fűzze hozzá az SAS-jogkivonatot (URI) egy tárolási szolgáltatás URL-címéhez.

SAS-jogkivonatok létrehozása az Azure Storage Explorerrel

Az Azure Storage Explorer egy ingyenes önálló alkalmazás, amely lehetővé teszi az Azure cloud storage-erőforrások egyszerű kezelését az asztalról.

• Telepítenie kell az Azure Storage Explorer alkalmazást Windows, macOS vagy Linux rendszerű fejlesztői környezetben.

• Az Azure Storage Explorer alkalmazás telepítése után csatlakoztassa a dokumentumfordításhoz használt tárfiókhoz . Az alábbi lépéseket követve hozzon létre jogkivonatokat egy tárolóhoz vagy egy adott blobfájlhoz:

SAS-jogkivonatok tárolókhoz

1. Nyissa meg az Azure Storage Explorer alkalmazást a helyi gépen, és keresse meg a csatlakoztatott tárfiókokat.

2. Bontsa ki a Tárfiókok csomópontot, és válassza a BlobTárolók lehetőséget.

3. Bontsa ki a BlobTárolók csomópontot, és kattintson a jobb gombbal a tárolócsomópontra a beállítások menüjének megjelenítéséhez.

4. Válassza a Közös hozzáférésű jogosultságkód lekérése... lehetőséget a Beállítások menüben.

5. A Közös hozzáférésű jogosultságkód ablakban végezze el a következő beállításokat:

   • Válassza ki az Access-szabályzatot (az alapértelmezett érték nincs).
   • Adja meg az aláírt kulcs kezdő és lejárati dátumát és időpontját. Rövid élettartam ajánlott, mert a létrehozás után az SAS nem vonható vissza.
   • Válassza ki a kezdési és lejárati dátum és idő időzónáját (alapértelmezés szerint helyi).
   • A tárolóengedélyek meghatározásához jelölje be és/vagy törölje a megfelelő jelölőnégyzet jelölését.
   • Tekintse át és válassza a Létrehozás lehetőséget.

6. Megjelenik egy új ablak a tároló tárolójának nevével, URI-jával és lekérdezési sztringjével .

7. Másolja és illessze be a tároló, az URI és a lekérdezési sztring értékeit egy biztonságos helyre. Ezek csak egyszer jelennek meg, és nem kérhetők le az ablak bezárása után.

8. SAS URL-cím létrehozásához fűzze hozzá az SAS-jogkivonatot (URI) egy tárolási szolgáltatás URL-címéhez.

SAS-jogkivonatok adott blobfájlhoz

1. Nyissa meg az Azure Storage Explorer alkalmazást a helyi gépen, és keresse meg a csatlakoztatott tárfiókokat.

2. Bontsa ki a tárolócsomópontot, és válassza a BlobTárolók lehetőséget.

3. Bontsa ki a BlobTárolók csomópontot, és válasszon ki egy tárolócsomópontot a tartalom megjelenítéséhez a főablakban.

4. Válassza ki azt a fájlt, amelyben SAS-hozzáférést kíván delegálni, és kattintson a jobb gombbal a beállítások menüjének megjelenítéséhez.

5. Válassza a Közös hozzáférésű jogosultságkód lekérése... lehetőséget a Beállítások menüben.

6. A Közös hozzáférésű jogosultságkód ablakban végezze el a következő beállításokat:

   • Válassza ki az Access-szabályzatot (az alapértelmezett érték nincs).
   • Adja meg az aláírt kulcs kezdő és lejárati dátumát és időpontját. Rövid élettartam ajánlott, mert a létrehozás után az SAS nem vonható vissza.
   • Válassza ki a kezdési és lejárati dátum és idő időzónáját (alapértelmezés szerint helyi).
   • A tárolóengedélyek meghatározásához jelölje be és/vagy törölje a megfelelő jelölőnégyzet jelölését.
     • A forrástárolónak vagy a fájlnak olvasási és listahozzáférést kell kijelölnie.
     • A céltárolónak vagy fájlnak írási és listahozzáférést kell kijelölnie.
   • Válassza ki az 1 . vagy a 2. kulcsot.
   • Tekintse át és válassza a Létrehozás lehetőséget.

7. Megjelenik egy új ablak a blob blobnevével , URI-jával és lekérdezési sztringjével .

8. Másolja és illessze be a blob, az URI és a lekérdezési sztring értékeit egy biztonságos helyre. Ezek csak egyszer jelennek meg, és nem kérhetők le az ablak bezárása után.

9. SAS URL-cím létrehozásához fűzze hozzá az SAS-jogkivonatot (URI) egy tárolási szolgáltatás URL-címéhez.

Sas URL-cím használata a hozzáférés megadásához

Az SAS URL-cím lekérdezési paraméterek speciális készletét tartalmazza. Ezek a paraméterek azt jelzik, hogy az ügyfél hogyan fér hozzá az erőforrásokhoz.

Az SAS URL-címet a REST API-kérésekkel kétféleképpen lehet megadni:

• Használja az SAS URL-címet forrásURL- és targetURL-értékként.

• Fűzze hozzá az SAS-lekérdezési sztringet a meglévő sourceURL- és targetURL-értékekhez.

Íme egy REST API-mintakérés:

{
    "inputs": [
        {
            "storageType": "File",
            "source": {
                "sourceUrl": "https://my.blob.core.windows.net/source-en/source-english.docx?sv=2019-12-12&st=2021-01-26T18%3A30%3A20Z&se=2021-02-05T18%3A30%3A00Z&sr=c&sp=rl&sig=d7PZKyQsIeE6xb%2B1M4Yb56I%2FEEKoNIF65D%2Fs0IFsYcE%3D"
            },
            "targets": [
                {
                    "targetUrl": "https://my.blob.core.windows.net/target/try/Target-Spanish.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
                    "language": "es"
                },
                {
                    "targetUrl": "https://my.blob.core.windows.net/target/try/Target-German.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
                    "language": "de"
                }
            ]
        }
    ]
}

Ennyi az egész! Most ismerkedett meg azzal, hogyan hozhat létre SAS-jogkivonatokat az ügyfelek adataihoz való hozzáférés engedélyezéséhez.

Következő lépések

Ismerkedés a dokumentumfordítással