Creare token di firma di accesso condiviso per i contenitori di archiviazione

In questo articolo si apprenderà come creare token di delega utente, firma di accesso condiviso usando il portale di Azure o il Azure Storage Explorer. I token sas di delega utente sono protetti con le credenziali di Azure AD. I token di firma di accesso condiviso forniscono l'accesso sicuro e delegato alle risorse nell'account di archiviazione di Azure.

A livello generale, ecco come funzionano i token di firma di accesso condiviso:

  • L'applicazione invia il token di firma di accesso condiviso ad Archiviazione di Azure come parte di una richiesta API REST.

  • Se il servizio di archiviazione verifica che la firma di accesso condiviso sia valida, la richiesta è autorizzata.

  • Se il token di firma di accesso condiviso non è valido, la richiesta viene rifiutata e viene restituito il codice di errore 403 (non consentito).

Archiviazione BLOB di Azure offre tre tipi di risorse:

  • Gli account di archiviazione forniscono uno spazio dei nomi univoco in Azure per i dati.
  • I contenitori di archiviazione dati si trovano negli account di archiviazione e organizzano set di BLOB.
  • I BLOB si trovano in contenitori e archiviano dati binari e di testo, ad esempio file, testo e immagini.

Quando usare un token di firma di accesso condiviso

  • Training di modelli personalizzati. Il set di documenti di training assemblato deve essere caricato in un contenitore di Archiviazione BLOB di Azure. È possibile scegliere di usare un token di firma di accesso condiviso per concedere l'accesso ai documenti di training.

  • Uso di contenitori di archiviazione con accesso pubblico. È possibile scegliere di usare un token di firma di accesso condiviso per concedere l'accesso limitato alle risorse di archiviazione con accesso in lettura pubblico.

    Importante

    • Se l'account di archiviazione di Azure è protetto da una rete virtuale o da un firewall, non è possibile concedere l'accesso con un token di firma di accesso condiviso. È necessario usare un'identità gestita per concedere l'accesso alla risorsa di archiviazione.

    • L'identità gestita supporta sia gli account di Archiviazione BLOB di Azure accessibili privatamente che pubblicamente.

    • I token di firma di accesso condiviso concedono le autorizzazioni per le risorse di archiviazione e devono essere protetti allo stesso modo di una chiave account.

    • Le operazioni che usano token di firma di accesso condiviso devono essere eseguite solo tramite una connessione HTTPS e gli URI di firma di accesso condiviso devono essere distribuiti solo in una connessione sicura, ad esempio HTTPS.

Prerequisiti

Per iniziare, è necessario:

  • Un account Azure attivo. Se non si ha un account, è possibile crearne uno gratuito.

  • Risorsa multiservizio Riconoscimento modulo o Servizi cognitivi.

  • Un account di prestazioni standardArchiviazione BLOB di Azure. Si creeranno contenitori per archiviare e organizzare i dati BLOB all'interno dell'account di archiviazione. Se non si sa come creare un account di archiviazione di Azure con un contenitore di archiviazione, seguire queste guide introduttive:

    • Creare un account di archiviazione. Quando si crea l'account di archiviazione, selezionare Prestazioni standard nel campoPrestazionidettagli> istanza.
    • Creare un contenitore. Quando si crea il contenitore, impostare il livello di accesso pubblico su Contenitore (accesso in lettura anonimo per contenitori e BLOB) nella finestra Nuovo contenitore .

Caricare i documenti

  1. Accedere al portale di Azure.

    • Selezionare L'account di archiviazioneArchiviazione datiContenitori.

    Screenshot che mostra il menu Archiviazione dati nel portale di Azure.

  2. Selezionare un contenitore dall'elenco.

  3. Selezionare Carica dal menu nella parte superiore della pagina.

    Screenshot che mostra il pulsante Carica contenitore nella portale di Azure.

  4. Verrà visualizzata la finestra Carica BLOB . Selezionare i file da caricare.

    Screenshot che mostra la finestra Carica BLOB nella portale di Azure.

    Nota

    Per impostazione predefinita, l'API REST usa documenti di modulo che si trovano nella radice del contenitore. È anche possibile usare i dati organizzati in sottocartelle se specificato nella chiamata API. Per altre informazioni, vedere Organizzare i dati nelle sottocartelle.

Usare il portale di Azure

La portale di Azure è una console basata sul Web che consente di gestire la sottoscrizione e le risorse di Azure usando un'interfaccia utente grafica .

  1. Passare alla portale di Azure e spostarsi come segue:

    • L'account di archiviazionecontenitoriil contenitore.
  2. Selezionare Genera firma di accesso condiviso dal menu nella parte superiore della pagina.

  3. Selezionare Metodo di firmaChiave di delega utente.

  4. Definire le autorizzazioni selezionando o deselezionando la casella di controllo appropriata.

    • Assicurarsi che siano selezionate le autorizzazioni Lettura, Scrittura, Eliminazione e Elenco .

    Screenshot che mostra i campi di autorizzazione sas nell'portale di Azure.

    Importante

  5. Specificare l'ora di inizio e scadenza della chiave firmata.

    • Quando si crea un token di firma di accesso condiviso, la durata predefinita è di 48 ore. Dopo 48 ore, sarà necessario creare un nuovo token.
    • È consigliabile impostare un periodo di durata più lungo per il momento in cui si userà l'account di archiviazione per le operazioni del servizio Riconoscimento modulo.
    • Il valore per la scadenza è un massimo di sette giorni dalla creazione del token di firma di accesso condiviso.
  6. Il campo Indirizzi IP consentiti è facoltativo e specifica un indirizzo IP o un intervallo di indirizzi IP da cui accettare le richieste. Se l'indirizzo IP della richiesta non corrisponde all'indirizzo IP o all'intervallo di indirizzi specificato nel token di firma di accesso condiviso, non sarà autorizzato.

  7. Il campo Protocolli consentiti è facoltativo e specifica il protocollo consentito per una richiesta effettuata con il token di firma di accesso condiviso. Il valore predefinito è HTTPS.

  8. Selezionare Genera token di firma di accesso condiviso e URL.

  9. La stringa di query del token di firma di accesso condiviso BLOB e l'URL della firma di accesso condiviso BLOB vengono visualizzati nell'area inferiore della finestra. Per usare il token di firma di accesso condiviso BLOB, aggiungerlo a un URI del servizio di archiviazione.

  10. Copiare e incollare i valori del token di firma di accesso condiviso BLOB e dell'URL di firma di accesso condiviso BLOB in un percorso sicuro. Vengono visualizzati una sola volta e non possono essere recuperati dopo la chiusura della finestra.

  11. Per costruire un URL di firma di accesso condiviso, aggiungere il token di firma di accesso condiviso (URI) all'URL per un servizio di archiviazione.

Usare Azure Storage Explorer

Azure Storage Explorer è un'app autonoma gratuita che consente di gestire facilmente le risorse di archiviazione cloud di Azure dal desktop.

Introduzione

Creare i token di firma di accesso condiviso

  1. Aprire l'app Azure Storage Explorer nel computer locale e passare agli account di archiviazione connessi.

  2. Espandere il nodo Account di archiviazione e selezionare Contenitori BLOB.

  3. Espandere il nodo Contenitori BLOB e fare clic con il pulsante destro del mouse su un nodo contenitore di archiviazione per visualizzare il menu opzioni.

  4. Selezionare Recupera firma di accesso condiviso dal menu opzioni.

  5. Nella finestra Firma di accesso condiviso effettuare le selezioni seguenti:

    • Selezionare i criteri di accesso (il valore predefinito è nessuno).
    • Specificare la chiave firmata Inizio e data e ora di scadenza . È consigliabile una breve durata perché, una volta generato, non è possibile revocare una firma di accesso condiviso.
    • Selezionare il fuso orario per la data e l'ora di inizio e scadenza (impostazione predefinita è Locale).
    • Definire le autorizzazioni del contenitore selezionando le caselle di controllo Lettura, Scrittura, Elenco ed Eliminazione .
    • Selezionare key1 o key2.
    • Rivedere e selezionare Crea.
  6. Verrà visualizzata una nuova finestra con il nome del contenitore , l'URL di firma di accesso condiviso e la stringa query per il contenitore.

  7. Copiare e incollare i valori dell'URL di firma di accesso condiviso e della stringa di query in una posizione sicura. Verranno visualizzati una sola volta e non possono essere recuperati una volta chiusa la finestra.

  8. Per costruire un URL di firma di accesso condiviso, aggiungere il token di firma di accesso condiviso (URI) all'URL per un servizio di archiviazione.

Usare l'URL della firma di accesso condiviso per concedere l'accesso

L'URL della firma di accesso condiviso include un set speciale di parametri di query. Questi parametri indicano come le risorse possono essere accessibili dal client.

API REST

Per usare l'URL di firma di accesso condiviso con l'API REST, aggiungere l'URL di firma di accesso condiviso al corpo della richiesta:

{
    "source":"<BLOB SAS URL>"
}

L'operazione è terminata. Si è appreso come creare token di firma di accesso condiviso per autorizzare il modo in cui i client accedono ai dati.

Passaggio successivo