Membuat token SAS untuk wadah penyimpanan Anda
Dalam artikel ini, Anda mempelajari cara membuat delegasi pengguna, token tanda tangan akses bersama (SAS), menggunakan portal Azure atau Azure Storage Explorer. Token SAS delegasi pengguna diamankan dengan kredensial Microsoft Entra. Token SAS memberikan akses yang aman dan didelegasikan ke sumber daya di akun penyimpanan Azure Anda.
Tip
Identitas terkelola menyediakan metode alternatif bagi Anda untuk memberikan akses ke data penyimpanan Anda tanpa perlu menyertakan token SAS dengan permintaan HTTP Anda. Lihat, Identitas terkelola untuk Terjemahan Dokumen.
- Anda dapat menggunakan identitas terkelola untuk memberikan akses ke sumber daya apa pun yang mendukung autentikasi Microsoft Entra, termasuk aplikasi Anda sendiri.
- Menggunakan identitas terkelola menggantikan persyaratan bagi Anda untuk menyertakan token tanda tangan akses bersama (SAS) dengan URL sumber dan target Anda.
- Tidak ada biaya tambahan untuk menggunakan identitas terkelola di Azure.
Pada tingkat tinggi, berikut cara kerja token SAS:
Aplikasi mengirimkan token SAS ke Azure Storage sebagai bagian dari permintaan REST API.
Layanan penyimpanan memverifikasi bahwa SAS valid. Jika demikian, permintaan diotorisasi.
Permintaan ditolak Jika token SAS dianggap tidak valid. Jika demikian, kode kesalahan 403 (Terlarang) dikembalikan.
Azure Blob Storage menawarkan tiga jenis sumber daya:
- Akun penyimpanan menyediakan namespace layanan unik di Azure untuk data Anda.
- Kontainer penyimpanan data terletak di akun penyimpanan dan mengatur set blob (file, teks, atau gambar).
- Blob terletak di kontainer dan menyimpan teks dan data biner seperti file, teks, dan gambar.
Penting
Token SAS digunakan untuk memberikan izin ke sumber daya penyimpanan, dan harus dilindungi dengan cara yang sama seperti kunci akun.
Operasi yang menggunakan token SAS harus dilakukan hanya melalui koneksi HTTPS, dan URI SAS hanya boleh didistribusikan pada koneksi aman seperti HTTPS.
Prasyarat
Untuk memulai, Anda memerlukan sumber daya berikut:
Akun Azure aktif. Jika Anda tidak memilikinya, Anda dapat membuat akun gratis.
Sumber daya Penerjemah.
Akun Azure Blob Storage performa standar. Anda juga perlu membuat kontainer untuk menyimpan dan mengatur file dalam akun penyimpanan Anda. Jika Anda tidak tahu cara membuat akun penyimpanan Azure dengan kontainer, ikuti panduan mulai cepat berikut:
- Membuat akun penyimpanan. Saat Anda membuat akun penyimpanan, pilih performa Standar di bidang Detail instance>Performa.
- Membuat kontainer. Saat Anda membuat kontainer, atur Tingkat akses publik ke Kontainer (akses baca anonim untuk kontainer dan file) di jendela Kontainer Baru.
Membuat token SAS untuk di portal Microsoft Azure
Buka portal Azure dan navigasikan ke kontainer Anda atau file tertentu sebagai berikut dan lanjutkan dengan langkah-langkah berikut:
Membuat token SAS untuk kontainer | Membuat token SAS untuk file tertentu |
---|---|
Akun penyimpanan Anda → kontainer → kontainer Anda | Akun penyimpanan Anda → kontainer → kontainer Anda → file Anda |
Klik kanan kontainer atau file dan pilih Buat SAS dari menu drop-down.
Pilih Metode penandatanganan → Kunci delegasi pengguna.
Tentukan Izin dengan mencentang dan/atau mengosongkan kotak centang yang sesuai:
Kontainer atau file sumber Anda harus menunjuk akses baca dan daftar.
Kontainer atau file target Anda harus menunjuk akses tulis dan daftar.
Tentukan waktu Mulai dan Kedaluwarsa kunci yang ditandatangani.
- Saat Anda membuat tanda tangan akses bersama (SAS), durasi defaultnya adalah 48 jam. Setelah 48 jam, Anda harus membuat token baru.
- Pertimbangkan untuk mengatur periode durasi yang lebih lama untuk waktu Anda menggunakan akun penyimpanan Anda untuk operasi Layanan Penerjemah.
- Nilai waktu kedaluwarsa ditentukan oleh apakah Anda menggunakan kunci Akun atau metode Penandatanganan kunci delegasi pengguna:
- Kunci akun: Meskipun batas waktu maksimum tidak diberlakukan, praktik terbaik merekomendasikan Agar Anda mengonfigurasi kebijakan kedaluwarsa untuk membatasi interval dan meminimalkan penyusupan. Konfigurasikan kebijakan kedaluwarsa untuk tanda tangan akses bersama.
- Kunci delegasi pengguna: Nilai untuk waktu kedaluwarsa adalah maksimum tujuh hari sejak pembuatan token SAS. SAS tidak valid setelah kunci delegasi pengguna kedaluwarsa, sehingga SAS dengan waktu kedaluwarsa lebih dari tujuh hari masih hanya akan berlaku selama tujuh hari. Untuk informasi selengkapnya, lihat Menggunakan kredensial Microsoft Entra untuk mengamankan SAS.
Bidang Alamat IP yang diizinkan bersifat opsional dan menentukan alamat IP atau rentang alamat IP untuk menerima permintaan. Jika alamat IP permintaan tidak cocok dengan alamat IP atau rentang alamat yang ditentukan pada token SAS, otorisasi gagal. Alamat IP atau rentang alamat IP harus IP publik, bukan privat. Untuk informasi selengkapnya, lihat Menentukan alamat IP atau rentang IP.
Bidang Protokol yang diizinkan bersifat opsional dan menentukan protokol yang diizinkan untuk permintaan yang dibuat dengan SAS. Nilai defaultnya adalah HTTPS.
Ulas lalu pilih Hasilkan token SAS dan URL.
String kueri token Blob SAS dan URL SAS Blob ditampilkan di area bawah jendela.
Salin dan tempel token Blob SAS dan nilai URL di lokasi yang aman. Mereka hanya akan ditampilkan satu kali dan tidak dapat diambil setelah jendela ditutup.
Untuk membuat URL SAS, tambahkan token SAS (URI) ke URL untuk layanan penyimpanan.
Membuat token SAS Anda dengan Azure Storage Explorer
Azure Storage Explorer adalah aplikasi mandiri gratis yang memungkinkan Anda mengelola sumber daya penyimpanan cloud Azure dengan mudah dari desktop.
Anda memerlukan aplikasi Azure Storage Explorer yang diinstal di lingkungan pengembangan Windows, macOS, atau Linux Anda.
Setelah aplikasi Azure Storage Explorer diinstal, sambungkan ke akun penyimpanan yang Anda gunakan untuk Terjemahan Dokumen. Ikuti langkah-langkah ini untuk membuat token untuk kontainer penyimpanan atau file blob tertentu:
Buka aplikasi Azure Storage Explorer di komputer lokal Anda dan buka Akun Azure Storage yang tersambung.
Luaskan node Akun Azure Storage dan pilih Kontainer Blob.
Luaskan node Kontainer Blob dan klik kanan pada node kontainer penyimpanan atau untuk menampilkan menu opsi.
Pilih Dapatkan Tanda Tangan Akses Bersama... dari menu opsi.
Di jendela Tanda Tangan Akses Bersama, buat pilihan berikut ini:
- Pilih Kebijakan akses Anda (defaultnya tidak ada).
- Tentukan tanggal dan waktu Mulai dan Kedaluwarsa kunci yang ditandatangani. Masa pakai pendek disarankan karena, setelah dibuat, SAS tidak dapat dicabut.
- Pilih Zona waktu untuk tanggal dan waktu Mulai dan Kedaluwarsa (defaultnya adalah Lokal).
- Tentukan Izin kontainer Anda dengan mencentang dan/atau mengosongkan kotak centang yang sesuai.
- Ulas dan pilih Buat.
Jendela baru muncul dengan nama Kontainer , URI, dan String kueri untuk kontainer Anda.
Salin dan tempel nilai kontainer, URI, dan string kueri di lokasi yang aman. Mereka hanya akan ditampilkan sekali dan tidak dapat diambil setelah jendela ditutup.
Untuk membuat URL SAS, tambahkan token SAS (URI) ke URL untuk layanan penyimpanan.
Menggunakan URL SAS Anda untuk memberikan akses
URL SAS menyertakan seperangkat parameter kueri khusus. Parameter tersebut menunjukkan bagaimana klien mengakses sumber daya.
Anda dapat menyertakan URL SAS Anda dengan permintaan REST API dengan dua cara:
Gunakan URL SAS sebagai nilai sourceURL dan targetURL Anda.
Tambahkan string kueri SAS ke nilai sourceURL dan targetURL yang sudah ada.
Berikut adalah contoh permintaan REST API:
{
"inputs": [
{
"storageType": "File",
"source": {
"sourceUrl": "https://my.blob.core.windows.net/source-en/source-english.docx?sv=2019-12-12&st=2021-01-26T18%3A30%3A20Z&se=2021-02-05T18%3A30%3A00Z&sr=c&sp=rl&sig=d7PZKyQsIeE6xb%2B1M4Yb56I%2FEEKoNIF65D%2Fs0IFsYcE%3D"
},
"targets": [
{
"targetUrl": "https://my.blob.core.windows.net/target/try/Target-Spanish.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
"language": "es"
},
{
"targetUrl": "https://my.blob.core.windows.net/target/try/Target-German.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
"language": "de"
}
]
}
]
}
Itu saja! Anda baru saja mempelajari cara membuat token SAS untuk mengotorisasi bagaimana klien mengakses data Anda.