Membuat token SAS untuk kontainer penyimpanan
Konten ini berlaku untuk: v4.0 (pratinjau) v3.1 (GA) v3.0 (GA) v2.1 (GA)
Dalam artikel ini, pelajari cara membuat delegasi pengguna, token tanda tangan akses bersama (SAS), menggunakan portal Azure atau Azure Storage Explorer. Token SAS delegasi pengguna diamankan dengan kredensial Microsoft Entra. Token SAS memberikan akses yang aman dan didelegasikan ke sumber daya di akun penyimpanan Azure Anda.
Pada tingkat tinggi, berikut cara kerja token SAS:
Pertama, aplikasi Anda mengirimkan token SAS ke Azure Storage sebagai bagian dari permintaan REST API.
Selanjutnya, jika layanan penyimpanan memverifikasi bahwa SAS valid, permintaan akan diotorisasi. Jika, token SAS dianggap tidak valid, permintaan ditolak dan kode kesalahan 403 (Terlarang) dikembalikan.
Azure Blob Storage menawarkan tiga jenis sumber daya:
- Akun penyimpanan menyediakan namespace layanan unik di Azure untuk data Anda.
- Kontainer penyimpanan data terletak di akun penyimpanan dan mengatur set blob.
- Blob terletak di kontainer dan menyimpan teks dan data biner seperti file, teks, dan gambar.
Kapan menggunakan token SAS
Melatih model kustom. Rangkaian dokumen pelatihan yang dirakit harus diunggah ke kontainer Azure Blob Storage. Anda dapat memilih untuk menggunakan token SAS untuk memberikan akses ke dokumen pelatihan Anda.
Menggunakan kontainer penyimpanan dengan akses publik. Anda dapat memilih untuk menggunakan token SAS untuk memberikan akses terbatas ke sumber daya penyimpanan Anda yang memiliki akses baca publik.
Penting
Jika akun penyimpanan Azure Anda dilindungi oleh jaringan virtual (VNet) atau firewall, Anda tidak dapat memberikan akses menggunakan token SAS. Anda harus menggunakan identitas terkelola untuk memberikan akses ke sumber daya penyimpanan Anda.
Identitas terkelola mendukung akun Azure Blob Storage yang dapat diakses secara pribadi dan umum.
Token SAS memberikan izin ke sumber daya penyimpanan, dan harus dilindungi dengan cara yang sama seperti kunci akun.
Operasi yang menggunakan token SAS harus dilakukan hanya melalui koneksi HTTPS, dan URI SAS hanya boleh didistribusikan pada koneksi aman seperti HTTPS.
Prasyarat
Untuk memulai, Anda memerlukan:
Akun Azure aktif. Jika Anda tidak memilikinya, Anda dapat membuat akun gratis.
Kecerdasan Dokumen atau sumber daya multi-layanan.
Akun Azure Blob Storage performa standar. Anda perlu membuat kontainer untuk menyimpan dan mengatur data blob dalam akun penyimpanan Anda. Jika Anda tidak tahu cara membuat akun penyimpanan Azure dengan kontainer, ikuti panduan mulai cepat berikut:
- Membuat akun penyimpanan. Saat Anda membuat akun penyimpanan, pilih performa Standar di bidang Detail instance>Performa.
- Membuat kontainer. Saat Anda membuat kontainer, atur Tingkat akses publik ke Kontainer (akses baca anonim untuk kontainer dan blob) di jendela Kontainer Baru.
Unggah dokumen Anda
Masuk ke portal Azure.
- Pilih Akun penyimpanan Anda → Penyimpanan data → Kontainer.
Pilih kontainer dari daftar.
Pilih Unggah dari menu di bagian atas halaman.
Jendela Unggah blob akan muncul. Pilih file yang ingin Anda unggah.
Catatan
Secara default, REST API menggunakan dokumen yang terletak di akar kontainer Anda. Namun, Anda dapat menggunakan data yang diatur di subfolder jika ditentukan dalam panggilan API. Untuk informasi selengkapnya, lihat Mengatur data Anda di subfolder.
Menggunakan portal Azure
Portal Microsoft Azure adalah konsol berbasis web yang memungkinkan Anda mengelola langganan dan sumber daya Azure menggunakan antarmuka pengguna grafis (GUI).
Masuk ke portal Azure.
Navigasikan ke kontainer> akun>penyimpanan Anda.
Pilih Hasilkan SAS dari menu di dekat bagian atas halaman.
Pilih Metode penandatanganan → Kunci delegasi pengguna.
Tentukan Izin dengan mencentang atau mengosongkan kotak centang yang sesuai.
- Pastikan izin Baca, Tulis, Hapus, dan Cantumkan dipilih.
Penting
Jika Anda menerima pesan yang mirip dengan yang ada di bawah, Anda harus menetapkan akses ke data blob di akun penyimpanan Anda:
Kontrol akses berbasis peran Azure (Azure RBAC) adalah sistem otorisasi yang Anda gunakan untuk mengelola akses ke sumber daya Azure. Azure RBAC membantu Anda mengelola akses dan izin untuk sumber daya Azure Anda.
Menetapkan peran Azure untuk akses ke data blob untuk menetapkan peran yang memungkinkan untuk membaca, menulis, dan menghapus izin untuk kontainer penyimpanan Azure. Lihat Kontributor Data Blob Penyimpanan.
Tentukan waktu Mulai dan Kedaluwarsa kunci yang ditandatangani.
- Saat Anda membuat token SAS, durasi default adalah 48 jam. Setelah 48 jam, Anda harus membuat token baru.
- Pertimbangkan untuk mengatur periode durasi yang lebih lama untuk waktu Anda menggunakan akun penyimpanan anda untuk operasi Document Intelligence Service.
- Nilai waktu kedaluwarsa ditentukan oleh apakah Anda menggunakan kunci Akun atau metode Penandatanganan kunci delegasi pengguna:
- Kunci akun: Tidak ada batas waktu maksimum yang diberlakukan; namun, praktik terbaik disarankan agar Anda mengonfigurasi kebijakan kedaluwarsa untuk membatasi interval dan meminimalkan kompromi. Konfigurasikan kebijakan kedaluwarsa untuk tanda tangan akses bersama.
- Kunci delegasi pengguna: Nilai untuk waktu kedaluwarsa adalah maksimum tujuh hari sejak pembuatan token SAS. SAS tidak valid setelah kunci delegasi pengguna kedaluwarsa, sehingga SAS dengan waktu kedaluwarsa lebih dari tujuh hari masih hanya akan berlaku selama tujuh hari. Untuk informasi selengkapnya, lihat Menggunakan kredensial Microsoft Entra untuk mengamankan SAS.
Bidang Alamat IP yang diizinkan bersifat opsional dan menentukan alamat IP atau rentang alamat IP untuk menerima permintaan. Jika alamat IP permintaan tidak cocok dengan alamat IP atau rentang alamat yang ditentukan pada token SAS, otorisasi gagal. Alamat IP atau rentang alamat IP harus IP publik, bukan privat. Untuk informasi selengkapnya, lihat Menentukan alamat IP atau rentang IP.
Bidang Protokol yang diizinkan bersifat opsional dan menentukan protokol yang diizinkan untuk permintaan yang dibuat dengan token SAS. Nilai defaultnya adalah HTTPS.
Pilih Buat token SAS dan URL.
String kueri token SAS Blob dan URL SAS Blob akan ditampilkan di area bawah jendela. Untuk menggunakan token SAS Blob, tambahkan ke URI layanan penyimpanan.
Salin dan tempel token SAS Blob dan nilai URL SAS Blob di lokasi yang aman. Nilai hanya ditampilkan sekali dan tidak dapat diambil setelah jendela ditutup.
Untuk membuat URL SAS, tambahkan token SAS (URI) ke URL untuk layanan penyimpanan.
Gunakan Azure Storage Explorer
Azure Storage Explorer adalah aplikasi mandiri gratis yang memungkinkan Anda mengelola sumber daya penyimpanan cloud Azure dengan mudah dari desktop.
Memulai
Anda memerlukan aplikasi Azure Storage Explorer yang diinstal di lingkungan pengembangan Windows, macOS, atau Linux Anda.
Setelah aplikasi Azure Storage Explorer diinstal, sambungkan akun penyimpanan yang Anda gunakan untuk Kecerdasan Dokumen.
Buat token SAS Anda
Buka aplikasi Azure Storage Explorer di komputer lokal Anda dan buka Akun Azure Storage yang tersambung.
Luaskan node Akun Azure Storage dan pilih Kontainer Blob.
Luaskan node Kontainer Blob dan klik kanan pada node kontainer penyimpanan atau untuk menampilkan menu opsi.
Pilih Dapatkan Tanda Tangan Akses Bersama dari menu opsi.
Di jendela Tanda Tangan Akses Bersama, buat pilihan berikut ini:
- Pilih Kebijakan akses Anda (defaultnya tidak ada).
- Tentukan tanggal dan waktu Mulai dan Kedaluwarsa kunci yang ditandatangani. Masa pakai pendek disarankan karena, setelah dibuat, SAS tidak dapat dicabut.
- Pilih Zona waktu untuk tanggal dan waktu Mulai dan Kedaluwarsa (defaultnya adalah Lokal).
- Tentukan Izin kontainer Anda dengan memilih kotak centang Baca, Tulis, Daftar, dan Hapus.
- Pilih key1 atau key2.
- Ulas dan pilih Buat.
Jendela baru muncul dengan nama Kontainer , URL SAS, dan string Kueri untuk kontainer Anda.
Salin dan tempel nilai URL SAS, dan string kueri di lokasi yang aman. Mereka hanya akan ditampilkan sekali dan tidak dapat diambil setelah jendela ditutup.
Untuk membuat URL SAS, tambahkan token SAS (URI) ke URL untuk layanan penyimpanan.
Menggunakan URL SAS Anda untuk memberikan akses
URL SAS menyertakan seperangkat parameter kueri khusus. Parameter tersebut menunjukkan bagaimana klien mengakses sumber daya.
REST API
Untuk menggunakan URL SAS dengan REST API, tambahkan URL SAS ke isi permintaan:
{
"source":"<BLOB SAS URL>"
}
Itu saja! Anda mempelajari cara membuat token SAS untuk mengotorisasi bagaimana klien mengakses data Anda.