Megosztás a következőn keresztül:


SAS-jogkivonatok létrehozása a tárolókhoz

Ebből a cikkből megtudhatja, hogyan hozhat létre felhasználói delegálást, közös hozzáférésű jogosultságkód (SAS) jogkivonatokat az Azure Portal vagy az Azure Storage Explorer használatával. A felhasználói delegálási SAS-jogkivonatokat a Microsoft Entra hitelesítő adatai védik. Az SAS-jogkivonatok biztonságos, delegált hozzáférést biztosítanak az Azure Storage-fiók erőforrásaihoz.

Képernyőkép egy tároló URL-címéről sas-jogkivonat hozzáfűzéssel.

Tipp.

A felügyelt identitások alternatív módszert biztosítanak a tárolási adatokhoz való hozzáférés biztosítására anélkül, hogy SAS-jogkivonatokat kellene tartalmazniuk a HTTP-kérésekhez. Lásd: A dokumentumfordítás felügyelt identitásai.

  • Felügyelt identitásokkal hozzáférést biztosíthat a Microsoft Entra-hitelesítést támogató erőforrásokhoz, beleértve a saját alkalmazásait is.
  • A felügyelt identitások használata felülírja a közös hozzáférésű jogosultságkódok (SAS) forrás- és cél URL-címekkel való hozzáadásának követelményét.
  • A felügyelt identitások használata az Azure-ban nem jár többletköltséggel.

Magas szinten az SAS-jogkivonatok működése a következő:

  • Egy alkalmazás REST API-kérés részeként elküldi az SAS-jogkivonatot az Azure Storage-nak.

  • A tárolási szolgáltatás ellenőrzi, hogy az SAS érvényes-e. Ha igen, a kérelem engedélyezve van.

  • A kérés elutasításra kerül, ha az SAS-jogkivonat érvénytelennek minősül. Ha igen, a rendszer a 403-ás (Tiltott) hibakódot adja vissza.

Az Azure Blob Storage három erőforrástípust kínál:

  • A tárfiókok egyedi névteret biztosítanak az Azure-ban az adatokhoz.
  • Az adattárolók tárfiókokban találhatók, és blobokat (fájlokat, szöveget vagy képeket) rendszereznek.
  • A blobok tárolókban találhatók, és szöveges és bináris adatokat, például fájlokat, szöveget és képeket tárolnak.

Fontos

  • Az SAS-jogkivonatok a tárolási erőforrások engedélyeinek megadására szolgálnak, és ugyanúgy kell védeni, mint egy fiókkulcsot.

  • Az SAS-jogkivonatokat használó műveleteket csak HTTPS-kapcsolaton keresztül kell végrehajtani, az SAS URI-kat pedig csak biztonságos kapcsolaton, például HTTPS-en szabad terjeszteni.

Előfeltételek

Első lépésként a következő erőforrásokra van szüksége:

  • Aktív Azure-fiók. Ha még nincs fiókja, hozzon létre egy ingyenes fiókot.

  • Translator-erőforrás.

  • Standard teljesítményű Azure Blob Storage-fiók. Tárolókat is létre kell hoznia a fájlok tárfiókon belüli tárolásához és rendszerezéséhez. Ha nem tudja, hogyan hozhat létre Azure Storage-fiókot egy tárolóval, kövesse az alábbi rövid útmutatókat:

    • Tárfiók létrehozása. A tárfiók létrehozásakor válassza a Standard teljesítmény lehetőséget a Példány részletei>teljesítmény mezőjében.
    • Hozzon létre egy tárolót. A tároló létrehozásakor az Új tároló ablakban állítsa a nyilvános hozzáférési szintet tárolóra (tárolók és fájlok névtelen olvasási hozzáférésére ).

SAS-jogkivonatok létrehozása az Azure Portalon

Lépjen az Azure Portalra , és keresse meg a tárolót vagy egy adott fájlt az alábbiak szerint, és folytassa az alábbi lépésekkel:

SAS-jogkivonat létrehozása tárolóhoz SAS-jogkivonat létrehozása adott fájlhoz
A tárfióktárolóka tárolót A tárfióktárolóka tárolóta fájlt
  1. Kattintson a jobb gombbal a tárolóra vagy fájlra, és válassza az SAS létrehozása lehetőséget a legördülő menüben.

  2. Válassza az Aláírási módFelhasználó delegálási kulcsát.

  3. Engedélyek definiálása a megfelelő jelölőnégyzet bejelölésével és/vagy törlésével:

    • A forrástárolónak vagy a fájlnak olvasási és listahozzáférést kell kijelölnie.

    • A céltárolónak vagy fájlnak írási és listahozzáférést kell kijelölnie.

  4. Adja meg az aláírt kulcs kezdő és lejárati idejét.

    • Közös hozzáférésű jogosultságkód (SAS) létrehozásakor az alapértelmezett időtartam 48 óra. 48 óra elteltével létre kell hoznia egy új jogkivonatot.
    • Érdemes lehet hosszabb időtartamot beállítani arra az időre, amíg a tárfiókot a Translator Service-műveletekhez használja.
    • A lejárati idő értékét az határozza meg, hogy fiókkulcsot vagy felhasználói delegálási kulcsot használ-e:
      • Fiókkulcs: Bár a maximális időkorlát nincs érvényben, az ajánlott eljárás azt javasolja, hogy konfiguráljon egy lejárati szabályzatot az intervallum korlátozásához és a biztonság minimalizálásához. A közös hozzáférésű jogosultságkódok lejárati szabályzatának konfigurálása.
      • Felhasználódelegálási kulcs: A lejárati idő értéke az SAS-jogkivonat létrehozásának napjától számított legfeljebb hét nap. Az SAS a felhasználói delegálási kulcs lejárta után érvénytelen, ezért a hét napnál hosszabb lejárati idejű SAS továbbra is csak hét napig érvényes. További információ: Sas biztonságossá tételéhez használja a Microsoft Entra hitelesítő adatait.
  5. Az Engedélyezett IP-címek mező nem kötelező, és olyan IP-címet vagy IP-címtartományt ad meg, amelyből a kérések fogadhatók. Ha a kérelem IP-címe nem felel meg az SAS-jogkivonaton megadott IP-címnek vagy címtartománynak, az engedélyezés sikertelen. Az IP-címnek vagy az IP-címek tartományának nyilvános IP-címeknek kell lenniük, nem pedig privátnak. További információ: IP-cím vagy IP-címtartomány megadása.

  6. Az Engedélyezett protokollok mező nem kötelező, és megadja az SAS-vel küldött kérésekhez engedélyezett protokollt. Az alapértelmezett érték a HTTPS.

  7. Tekintse át, majd válassza az SAS-jogkivonat és AZ URL-cím létrehozása lehetőséget.

  8. A Blob SAS-jogkivonat lekérdezési sztringje és a Blob SAS URL-címe az ablak alsó területén jelenik meg.

  9. Másolja és illessze be a Blob SAS-jogkivonatot és az URL-értékeket egy biztonságos helyre. Ezek csak egyszer jelennek meg, és nem kérhetők le az ablak bezárása után.

  10. SAS URL-cím létrehozásához fűzze hozzá az SAS-jogkivonatot (URI) egy tárolási szolgáltatás URL-címéhez.

SAS-jogkivonatok létrehozása az Azure Storage Explorerrel

Az Azure Storage Explorer egy ingyenes önálló alkalmazás, amely lehetővé teszi az Azure cloud storage-erőforrások egyszerű kezelését az asztalról.

  1. Nyissa meg az Azure Storage Explorer alkalmazást a helyi gépen, és keresse meg a csatlakoztatott tárfiókokat.

  2. Bontsa ki a Tárfiókok csomópontot, és válassza a BlobTárolók lehetőséget.

  3. Bontsa ki a BlobTárolók csomópontot, és kattintson a jobb gombbal a tárolócsomópontra a beállítások menüjének megjelenítéséhez.

  4. Válassza a Közös hozzáférésű jogosultságkód lekérése... lehetőséget a Beállítások menüben.

  5. A Közös hozzáférésű jogosultságkód ablakban végezze el a következő beállításokat:

    • Válassza ki az Access-szabályzatot (az alapértelmezett érték nincs).
    • Adja meg az aláírt kulcs kezdő és lejárati dátumát és időpontját. Rövid élettartam ajánlott, mert a létrehozás után az SAS nem vonható vissza.
    • Válassza ki a kezdési és lejárati dátum és idő időzónáját (alapértelmezés szerint helyi).
    • A tárolóengedélyek meghatározásához jelölje be és/vagy törölje a megfelelő jelölőnégyzet jelölését.
    • Tekintse át és válassza a Létrehozás lehetőséget.
  6. Megjelenik egy új ablak a tároló tárolójának nevével, URI-jával és lekérdezési sztringjével .

  7. Másolja és illessze be a tároló, az URI és a lekérdezési sztring értékeit egy biztonságos helyre. Ezek csak egyszer jelennek meg, és nem kérhetők le az ablak bezárása után.

  8. SAS URL-cím létrehozásához fűzze hozzá az SAS-jogkivonatot (URI) egy tárolási szolgáltatás URL-címéhez.

Sas URL-cím használata a hozzáférés megadásához

Az SAS URL-cím lekérdezési paraméterek speciális készletét tartalmazza. Ezek a paraméterek azt jelzik, hogy az ügyfél hogyan fér hozzá az erőforrásokhoz.

Az SAS URL-címet a REST API-kérésekkel kétféleképpen lehet megadni:

  • Használja az SAS URL-címet forrásURL- és targetURL-értékként.

  • Fűzze hozzá az SAS-lekérdezési sztringet a meglévő sourceURL- és targetURL-értékekhez.

Íme egy REST API-mintakérés:

{
    "inputs": [
        {
            "storageType": "File",
            "source": {
                "sourceUrl": "https://my.blob.core.windows.net/source-en/source-english.docx?sv=2019-12-12&st=2021-01-26T18%3A30%3A20Z&se=2021-02-05T18%3A30%3A00Z&sr=c&sp=rl&sig=d7PZKyQsIeE6xb%2B1M4Yb56I%2FEEKoNIF65D%2Fs0IFsYcE%3D"
            },
            "targets": [
                {
                    "targetUrl": "https://my.blob.core.windows.net/target/try/Target-Spanish.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
                    "language": "es"
                },
                {
                    "targetUrl": "https://my.blob.core.windows.net/target/try/Target-German.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
                    "language": "de"
                }
            ]
        }
    ]
}

Ennyi az egész! Most ismerkedett meg azzal, hogyan hozhat létre SAS-jogkivonatokat az ügyfelek adataihoz való hozzáférés engedélyezéséhez.

Következő lépések