Membuat token SAS untuk kontainer penyimpanan

Konten ini berlaku untuk:v4.0 (pratinjau)v3.1 (GA)v3.0 (GA)v2.1 (GA)

Dalam artikel ini, pelajari cara membuat delegasi pengguna, token tanda tangan akses bersama (SAS), menggunakan portal Azure atau Azure Storage Explorer. Token SAS delegasi pengguna diamankan dengan kredensial Microsoft Entra. Token SAS memberikan akses yang aman dan didelegasikan ke sumber daya di akun penyimpanan Azure Anda.

Pada tingkat tinggi, berikut cara kerja token SAS:

• Aplikasi Anda mengirimkan token SAS ke Azure Storage sebagai bagian dari permintaan REST API.

• Jika layanan penyimpanan memverifikasi bahwa SAS valid, permintaan diotorisasi.

• Jika token SAS dianggap tidak valid, permintaan ditolak dan kode kesalahan 403 (Terlarang) dikembalikan.

Azure Blob Storage menawarkan tiga jenis sumber daya:

• Akun penyimpanan menyediakan namespace layanan unik di Azure untuk data Anda.
• Kontainer penyimpanan data terletak di akun penyimpanan dan mengatur set blob.
• Blob terletak di kontainer dan menyimpan teks dan data biner seperti file, teks, dan gambar.

Kapan menggunakan token SAS

• Melatih model kustom. Rangkaian dokumen pelatihan yang dirakit harus diunggah ke kontainer Azure Blob Storage. Anda dapat memilih untuk menggunakan token SAS untuk memberikan akses ke dokumen pelatihan Anda.

• Menggunakan kontainer penyimpanan dengan akses publik. Anda dapat memilih untuk menggunakan token SAS untuk memberikan akses terbatas ke sumber daya penyimpanan Anda yang memiliki akses baca publik.

  Penting

  • Jika akun penyimpanan Azure Anda dilindungi oleh jaringan virtual (VNet) atau firewall, Anda tidak dapat memberikan akses menggunakan token SAS. Anda harus menggunakan identitas terkelola untuk memberikan akses ke sumber daya penyimpanan Anda.

  • Identitas terkelola mendukung akun Azure Blob Storage yang dapat diakses secara pribadi dan umum.

  • Token SAS memberikan izin ke sumber daya penyimpanan, dan harus dilindungi dengan cara yang sama seperti kunci akun.

  • Operasi yang menggunakan token SAS harus dilakukan hanya melalui koneksi HTTPS, dan URI SAS hanya boleh didistribusikan pada koneksi aman seperti HTTPS.

Prasyarat

Untuk memulai, Anda memerlukan:

• Akun Azure aktif. Jika Anda tidak memilikinya, Anda dapat membuat akun gratis.

• Kecerdasan Dokumen atau sumber daya multi-layanan.

• Performa standarAkun Azure Blob Storage. Anda perlu membuat kontainer untuk menyimpan dan mengatur data blob dalam akun penyimpanan Anda. Jika Anda tidak tahu cara membuat akun penyimpanan Azure dengan kontainer, ikuti panduan mulai cepat berikut:

  • Membuat akun penyimpanan. Saat Anda membuat akun penyimpanan, pilih performa Standar di bidang Detail instance>Performa.
  • Membuat kontainer. Saat Anda membuat kontainer, atur Tingkat akses publik ke Kontainer (akses baca anonim untuk kontainer dan blob) di jendela Kontainer Baru.

Unggah dokumen Anda

1. Masuk ke portal Azure.

   • Pilih Akun penyimpanan Anda → Penyimpanan data → Kontainer.

   

2. Pilih kontainer dari daftar.

3. Pilih Unggah dari menu di bagian atas halaman.

   

4. Jendela Unggah blob akan muncul. Pilih file yang ingin Anda unggah.

   

   Catatan

   Secara default, REST API menggunakan dokumen yang terletak di akar kontainer Anda. Namun, Anda dapat menggunakan data yang diatur di subfolder jika ditentukan dalam panggilan API. Untuk informasi selengkapnya, lihat Mengatur data Anda di subfolder.

Menggunakan portal Azure

Portal Microsoft Azure adalah konsol berbasis web yang memungkinkan Anda mengelola langganan dan sumber daya Azure menggunakan antarmuka pengguna grafis (GUI).

1. Masuk ke portal Azure.

2. Navigasikan ke kontainer> akun>penyimpanan Anda.

3. Pilih Hasilkan SAS dari menu di dekat bagian atas halaman.

4. Pilih Metode penandatanganan → Kunci delegasi pengguna.

5. Tentukan Izin dengan mencentang atau mengosongkan kotak centang yang sesuai.
   

   • Pastikan izin Baca, Tulis, Hapus, dan Cantumkan dipilih.

   

   Penting

   • Jika Anda menerima pesan yang mirip dengan yang ada di bawah, Anda harus menetapkan akses ke data blob di akun penyimpanan Anda:

     

   • Kontrol akses berbasis peran Azure (Azure RBAC) adalah sistem otorisasi yang Anda gunakan untuk mengelola akses ke sumber daya Azure. Azure RBAC membantu Anda mengelola akses dan izin untuk sumber daya Azure Anda.

   • Menetapkan peran Azure untuk akses ke data blob untuk menetapkan peran yang memungkinkan untuk membaca, menulis, dan menghapus izin untuk kontainer penyimpanan Azure. Lihat Kontributor Data Blob Penyimpanan.

6. Tentukan waktu Mulai dan Kedaluwarsa kunci yang ditandatangani.

   • Saat Anda membuat token SAS, durasi default adalah 48 jam. Setelah 48 jam, Anda harus membuat token baru.
   • Pertimbangkan untuk mengatur periode durasi yang lebih lama untuk waktu Anda menggunakan akun penyimpanan anda untuk operasi Document Intelligence Service.
   • Nilai waktu kedaluwarsa ditentukan oleh apakah Anda menggunakan kunci Akun atau metode Penandatanganan kuncidelegasi pengguna:
     • Kunci akun: Tidak ada batas waktu maksimum yang diberlakukan; namun, praktik terbaik direkomendasikan agar Anda mengonfigurasi kebijakan kedaluwarsa untuk membatasi interval dan meminimalkan kompromi. Konfigurasikan kebijakan kedaluwarsa untuk tanda tangan akses bersama.
     • Kunci delegasi pengguna: Nilai untuk waktu kedaluwarsa adalah maksimum tujuh hari sejak pembuatan token SAS. SAS tidak valid setelah kunci delegasi pengguna kedaluwarsa, sehingga SAS dengan waktu kedaluwarsa lebih dari tujuh hari masih hanya akan berlaku selama tujuh hari. Untuk informasi selengkapnya, lihatMenggunakan kredensial Microsoft Entra untuk mengamankan SAS.

7. Bidang Alamat IP yang diizinkan bersifat opsional dan menentukan alamat IP atau rentang alamat IP untuk menerima permintaan. Jika alamat IP permintaan tidak cocok dengan alamat IP atau rentang alamat yang ditentukan pada token SAS, otorisasi gagal. Alamat IP atau rentang alamat IP harus IP publik, bukan privat. Untuk informasi selengkapnya, lihat Menentukan alamat IP atau rentang IP.

8. Bidang Protokol yang diizinkan bersifat opsional dan menentukan protokol yang diizinkan untuk permintaan yang dibuat dengan token SAS. Nilai defaultnya adalah HTTPS.

9. Pilih Buat token SAS dan URL.

10. String kueri token SAS Blob dan URL SAS Blob akan ditampilkan di area bawah jendela. Untuk menggunakan token SAS Blob, tambahkan ke URI layanan penyimpanan.

11. Salin dan tempel token SAS Blob dan nilai URL SAS Blob di lokasi yang aman. Keduanya ditampilkan hanya sekali dan tidak dapat diambil setelah jendela ditutup.

12. Untuk membuat URL SAS, tambahkan token SAS (URI) ke URL untuk layanan penyimpanan.

Gunakan Azure Storage Explorer

Azure Storage Explorer adalah aplikasi mandiri gratis yang memungkinkan Anda mengelola sumber daya penyimpanan cloud Azure dengan mudah dari desktop.

Mulai

• Anda memerlukan aplikasi Azure Storage Explorer yang diinstal di lingkungan pengembangan Windows, macOS, atau Linux Anda.

• Setelah aplikasi Azure Storage Explorer diinstal, sambungkan akun penyimpanan yang Anda gunakan untuk Kecerdasan Dokumen.

Buat token SAS Anda

1. Buka aplikasi Azure Storage Explorer di komputer lokal Anda dan buka Akun Azure Storage yang tersambung.

2. Luaskan node Akun Azure Storage dan pilih Kontainer Blob.

3. Luaskan node Kontainer Blob dan klik kanan pada node kontainer penyimpanan atau untuk menampilkan menu opsi.

4. Pilih Dapatkan Tanda Tangan Akses Bersama dari menu opsi.

5. Di jendela Tanda Tangan Akses Bersama, buat pilihan berikut ini:

   • Pilih Kebijakan akses Anda (defaultnya tidak ada).
   • Tentukan tanggal dan waktu Mulai dan Kedaluwarsa kunci yang ditandatangani. Masa pakai pendek disarankan karena, setelah dibuat, SAS tidak dapat dicabut.
   • Pilih Zona waktu untuk tanggal dan waktu Mulai dan Kedaluwarsa (defaultnya adalah Lokal).
   • Tentukan Izin kontainer Anda dengan memilih kotak centang Baca, Tulis, Daftar, dan Hapus.
   • Pilih key1 atau key2.
   • Ulas dan pilih Buat.

6. Jendela baru muncul dengan nama Kontainer , URL SAS, dan string Kueri untuk kontainer Anda.

7. Salin dan tempel nilai URL SAS, dan string kueri di lokasi yang aman. Mereka hanya akan ditampilkan sekali dan tidak dapat diambil setelah jendela ditutup.

8. Untuk membuat URL SAS, tambahkan token SAS (URI) ke URL untuk layanan penyimpanan.

Menggunakan URL SAS Anda untuk memberikan akses

URL SAS menyertakan seperangkat parameter kueri khusus. Parameter tersebut menunjukkan bagaimana klien mengakses sumber daya.

REST API

Untuk menggunakan URL SAS dengan REST API, tambahkan URL SAS ke isi permintaan:

{
    "source":"<BLOB SAS URL>"
}

Itu saja! Anda telah mempelajari cara membuat token SAS untuk mengotorisasi cara klien mengakses data Anda.

Langkah selanjutnya

Membangun himpunan data pelatihan