SAS-tokens maken voor opslagcontainers
Deze inhoud is van toepassing op: v4.0 (preview) v3.1 (GA) v3.0 (GA) v2.1 (GA)
In dit artikel leert u hoe u gebruikersdelegering, SAS-tokens (Shared Access Signature) maakt met behulp van Azure Portal of Azure Storage Explorer. SAS-tokens voor gebruikersdelegering worden beveiligd met Microsoft Entra-referenties. SAS-tokens bieden beveiligde, gedelegeerde toegang tot resources in uw Azure-opslagaccount.
Op hoog niveau werken SAS-tokens als volgt:
Eerst verzendt uw toepassing het SAS-token naar Azure Storage als onderdeel van een REST API-aanvraag.
Als de opslagservice vervolgens controleert of de SAS geldig is, wordt de aanvraag geautoriseerd. Als het SAS-token ongeldig wordt geacht, wordt de aanvraag geweigerd en wordt de foutcode 403 (Verboden) geretourneerd.
Azure Blob Storage biedt drie resourcetypen:
- Opslagaccounts bieden een unieke naamruimte in Azure voor uw gegevens.
- Gegevensopslagcontainers bevinden zich in opslagaccounts en organiseren sets blobs.
- Blobs bevinden zich in containers en slaan tekst en binaire gegevens op, zoals bestanden, tekst en afbeeldingen.
Wanneer gebruikt u een SAS-token?
Aangepaste modellen trainen. Uw samengestelde set trainingsdocumenten moet worden geüpload naar een Azure Blob Storage-container. U kunt ervoor kiezen om een SAS-token te gebruiken om toegang te verlenen tot uw trainingsdocumenten.
Opslagcontainers gebruiken met openbare toegang. U kunt ervoor kiezen om een SAS-token te gebruiken om beperkte toegang te verlenen tot uw opslagbronnen die openbare leestoegang hebben.
Belangrijk
Als uw Azure-opslagaccount wordt beveiligd door een virtueel netwerk of een firewall, kunt u geen toegang verlenen met een SAS-token. U moet een beheerde identiteit gebruiken om toegang te verlenen tot uw opslagresource.
Beheerde identiteit ondersteunt zowel privé- als openbaar toegankelijke Azure Blob Storage-accounts.
SAS-tokens verlenen machtigingen voor opslagbronnen en moeten op dezelfde manier worden beveiligd als een accountsleutel.
Bewerkingen die gebruikmaken van SAS-tokens moeten alleen worden uitgevoerd via een HTTPS-verbinding en SAS-URI's mogen alleen worden gedistribueerd op een beveiligde verbinding, zoals HTTPS.
Vereisten
Om aan de slag te gaan, hebt u het volgende nodig:
Een actief Azure-account. Als u nog geen account hebt, kunt u een gratis account aanmaken.
Een Document Intelligence - of multiserviceresource .
Een Azure Blob Storage-account met standaardprestaties. U moet containers maken om uw blobgegevens in uw opslagaccount op te slaan en te organiseren. Als u niet weet hoe u een Azure-opslagaccount maakt met een opslagcontainer, volgt u deze quickstarts:
- Een opslagaccount maken. Wanneer u uw opslagaccount maakt, selecteert u Standaardprestaties in het veld Prestaties van exemplaardetails>.
- Maak een container. Wanneer u uw container maakt, stelt u het openbare toegangsniveau in op Container (anonieme leestoegang voor containers en blobs) in het venster Nieuwe container .
Uw documenten uploaden
Meld u aan bij het Azure-portaal.
- Selecteer Uw opslagaccount → Gegevensopslag → Containers.
Selecteer een container in de lijst.
Selecteer Uploaden in het menu bovenaan de pagina.
Het venster Blob uploaden wordt weergegeven. Selecteer uw bestanden die u wilt uploaden.
Notitie
De REST API maakt standaard gebruik van documenten die zich in de hoofdmap van uw container bevinden. U kunt ook gegevens gebruiken die zijn geordend in submappen, indien opgegeven in de API-aanroep. Zie Uw gegevens ordenen in submappen voor meer informatie.
De Azure-portal gebruiken
Azure Portal is een webconsole waarmee u uw Azure-abonnement en -resources kunt beheren met behulp van een grafische gebruikersinterface (GUI).
Meld u aan bij het Azure-portaal.
Navigeer naar uw opslagaccountcontainers>>uw container.
Selecteer SAS genereren in het menu boven aan de pagina.
Selecteer de ondertekeningsmethode → Delegeringssleutel van de gebruiker.
Definieer machtigingen door het juiste selectievakje in of uit te schakelen.
- Zorg ervoor dat de machtigingen Lezen, Schrijven, Verwijderen en Lijst zijn geselecteerd.
Belangrijk
Als u een bericht ontvangt dat lijkt op de volgende, moet u ook toegang tot de blobgegevens in uw opslagaccount toewijzen:
Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is het autorisatiesysteem dat wordt gebruikt om de toegang tot Azure-resources te beheren. Met Azure RBAC kunt u toegang en machtigingen voor uw Azure-resources beheren.
Wijs een Azure-rol toe voor toegang tot blobgegevens om een rol toe te wijzen waarmee lees-, schrijf- en verwijdermachtigingen voor uw Azure-opslagcontainer mogelijk zijn. Zie Inzender voor opslagblobgegevens.
Geef de begin- en verlooptijden van de ondertekende sleutel op.
- Wanneer u een SAS-token maakt, is de standaardduur 48 uur. Na 48 uur moet u een nieuw token maken.
- Overweeg om een langere duur in te stellen voor de tijd die u gebruikt voor Document Intelligence Service-bewerkingen.
- De waarde van de verlooptijd wordt bepaald door of u een accountsleutel of methode voor ondertekening van gebruikersdelegeringssleutels gebruikt:
- Accountsleutel: Er is geen maximale tijdslimiet opgelegd. Aanbevolen procedures raden u echter aan een verloopbeleid te configureren om het interval te beperken en inbreuk te minimaliseren. Configureer een verloopbeleid voor handtekeningen voor gedeelde toegang.
- Sleutel voor gebruikersdelegering: de waarde voor de verlooptijd is maximaal zeven dagen na het maken van het SAS-token. De SAS is ongeldig nadat de gebruikersdelegatiesleutel is verlopen, dus een SAS met een verlooptijd van meer dan zeven dagen is nog steeds slechts zeven dagen geldig. Zie Microsoft Entra-referenties gebruiken om een SAS te beveiligen voor meer informatie.
Het veld Toegestane IP-adressen is optioneel en geeft een IP-adres of een bereik van IP-adressen op waaruit aanvragen moeten worden geaccepteerd. Als het IP-adres van de aanvraag niet overeenkomt met het IP-adres of het adresbereik dat is opgegeven in het SAS-token, mislukt de autorisatie. Het IP-adres of een bereik van IP-adressen moeten openbare IP-adressen zijn, niet privé. Zie een IP-adres of IP-bereik opgeven voor meer informatie.
Het veld Toegestane protocollen is optioneel en geeft het protocol op dat is toegestaan voor een aanvraag die is gemaakt met het SAS-token. De standaardwaarde is HTTPS.
Selecteer HET SAS-token en de URL genereren.
De querytekenreeks voor het Blob SAS-token en de BLob-SAS-URL worden weergegeven in het onderste gedeelte van het venster. Als u het Blob SAS-token wilt gebruiken, voegt u dit toe aan een opslagservice-URI.
Kopieer en plak de waarden van het Blob SAS-token en de BLob-URL op een veilige locatie. De waarden worden slechts eenmaal weergegeven en kunnen niet worden opgehaald nadat het venster is gesloten.
Als u een SAS-URL wilt maken, voegt u het SAS-token (URI) toe aan de URL voor een opslagservice.
Azure Storage Explorer gebruiken
Azure Storage Explorer is een gratis zelfstandige app waarmee u eenvoudig uw Azure-cloudopslagresources vanaf uw bureaublad kunt beheren.
Aan de slag
U hebt de Azure Storage Explorer-app nodig die is geïnstalleerd in uw Windows-, macOS- of Linux-ontwikkelomgeving.
Nadat de Azure Storage Explorer-app is geïnstalleerd, verbindt u het opslagaccount dat u gebruikt voor Document Intelligence.
Uw SAS-tokens maken
Open de Azure Storage Explorer-app op uw lokale computer en navigeer naar uw verbonden opslagaccounts.
Vouw het knooppunt Opslagaccounts uit en selecteer BlobContainers.
Vouw het knooppunt BlobContainers uit en klik met de rechtermuisknop op een opslagcontainerknooppunt om het menu Opties weer te geven.
Selecteer Shared Access Signature ophalen in het optiesmenu.
Maak in het venster Shared Access Signature de volgende selecties:
- Selecteer uw toegangsbeleid (de standaardwaarde is geen).
- Geef de begin- en einddatum en -tijd van de ondertekende sleutel op. Een korte levensduur wordt aanbevolen omdat een SAS na het genereren niet kan worden ingetrokken.
- Selecteer de tijdzone voor de begin- en vervaldatum en -tijd (standaard is Lokaal).
- Definieer uw containermachtigingen door de selectievakjes Lezen, Schrijven, Lijst en Verwijderen te selecteren.
- Selecteer toets1 of key2.
- Controleer en selecteer Maken.
Er wordt een nieuw venster weergegeven met de containernaam , SAS-URL en querytekenreeks voor uw container.
Kopieer en plak de SAS-URL en queryreekswaarden op een veilige locatie. Ze worden slechts eenmaal weergegeven en kunnen niet worden opgehaald zodra het venster is gesloten.
Als u een SAS-URL wilt maken, voegt u het SAS-token (URI) toe aan de URL voor een opslagservice.
Uw SAS-URL gebruiken om toegang te verlenen
De SAS-URL bevat een speciale set queryparameters. Deze parameters geven aan hoe de client toegang heeft tot de resources.
REST-API
Als u uw SAS-URL wilt gebruiken met de REST API, voegt u de SAS-URL toe aan de aanvraagbody:
{
"source":"<BLOB SAS URL>"
}
Dat is het! U hebt geleerd hoe u SAS-tokens maakt om te autoriseren hoe clients toegang krijgen tot uw gegevens.