Delen via


SAS-tokens maken voor uw opslagcontainers

In dit artikel leert u hoe u sas-tokens (Shared Access Signature) maakt met behulp van Azure Portal of Azure Storage Explorer. SAS-tokens voor gebruikersdelegering worden beveiligd met Microsoft Entra-referenties. SAS-tokens bieden beveiligde, gedelegeerde toegang tot resources in uw Azure-opslagaccount.

Schermopname van een opslag-URL waaraan een SAS-token is toegevoegd.

Tip

Beheerde identiteiten bieden een alternatieve methode voor het verlenen van toegang tot uw opslaggegevens zonder dat u SAS-tokens hoeft op te nemen met uw HTTP-aanvragen. Zie beheerde identiteiten voor documentomzetting.

  • U kunt beheerde identiteiten gebruiken om toegang te verlenen tot elke resource die ondersteuning biedt voor Microsoft Entra-verificatie, inclusief uw eigen toepassingen.
  • Als u beheerde identiteiten gebruikt, wordt de vereiste voor het opnemen van sas-tokens (Shared Access Signature) vervangen door uw bron- en doel-URL's.
  • Er zijn geen extra kosten verbonden aan het gebruik van beheerde identiteiten in Azure.

Op hoog niveau werken SAS-tokens als volgt:

  • Een toepassing verzendt het SAS-token naar Azure Storage als onderdeel van een REST API-aanvraag.

  • De opslagservice controleert of de SAS geldig is. Zo ja, dan is de aanvraag geautoriseerd.

  • De aanvraag wordt geweigerd als het SAS-token ongeldig wordt geacht. Als dit het probleem is, wordt foutcode 403 (Verboden) geretourneerd.

Azure Blob Storage biedt drie resourcetypen:

  • Opslagaccounts bieden een unieke naamruimte in Azure voor uw gegevens.
  • Gegevensopslagcontainers bevinden zich in opslagaccounts en organiseren sets blobs (bestanden, tekst of afbeeldingen).
  • Blobs bevinden zich in containers en slaan tekst en binaire gegevens op, zoals bestanden, tekst en afbeeldingen.

Belangrijk

  • SAS-tokens worden gebruikt om machtigingen te verlenen aan opslagbronnen en moeten op dezelfde manier worden beveiligd als een accountsleutel.

  • Bewerkingen die gebruikmaken van SAS-tokens moeten alleen worden uitgevoerd via een HTTPS-verbinding en SAS-URI's mogen alleen worden gedistribueerd op een beveiligde verbinding, zoals HTTPS.

Vereisten

U hebt de volgende resources nodig om aan de slag te gaan:

  • Een actief Azure-account. Als u nog geen account hebt, kunt u een gratis account aanmaken.

  • Een Translator-resource .

  • Een Azure Blob Storage-account met standaardprestaties. U moet ook containers maken om uw bestanden in uw opslagaccount op te slaan en te organiseren. Als u niet weet hoe u een Azure-opslagaccount maakt met een opslagcontainer, volgt u deze quickstarts:

    • Een opslagaccount maken. Wanneer u uw opslagaccount maakt, selecteert u Standaardprestaties in het veld Prestaties van exemplaardetails>.
    • Maak een container. Wanneer u uw container maakt, stelt u het openbare toegangsniveau in op Container (anonieme leestoegang voor containers en bestanden) in het venster Nieuwe container .

SAS-tokens maken in Azure Portal

Ga als volgt naar Azure Portal en navigeer naar uw container of een specifiek bestand en ga verder met deze stappen:

SAS-token maken voor een container SAS-token maken voor een specifiek bestand
Uw opslagaccountcontainersuw container Uw opslagaccountcontainersuw containerhet bestand
  1. Klik met de rechtermuisknop op de container of het bestand en selecteer SAS genereren in de vervolgkeuzelijst.

  2. Selecteer de ondertekeningsmethodeDelegeringssleutel van de gebruiker.

  3. Machtigingen definiëren door het juiste selectievakje in te schakelen en/of uit te schakelen:

    • De broncontainer of het bronbestand moet lees- en lijsttoegang aanwijzen.

    • Uw doelcontainer of -bestand moet schrijf- en lijsttoegang aanwijzen.

  4. Geef de begin- en verlooptijden van de ondertekende sleutel op.

    • Wanneer u een Shared Access Signature (SAS) maakt, is de standaardduur 48 uur. Na 48 uur moet u een nieuw token maken.
    • Overweeg om een langere duurperiode in te stellen voor de tijd die u gebruikt voor Translator Service-bewerkingen.
    • De waarde van de verlooptijd wordt bepaald door of u een accountsleutel of methode voor ondertekening van gebruikersdelegeringssleutels gebruikt:
      • Accountsleutel: Hoewel er geen maximale tijdslimiet wordt opgelegd, wordt aanbevolen een verloopbeleid te configureren om het interval te beperken en inbreuk te minimaliseren. Configureer een verloopbeleid voor handtekeningen voor gedeelde toegang.
      • Sleutel voor gebruikersdelegering: de waarde voor de verlooptijd is maximaal zeven dagen na het maken van het SAS-token. De SAS is ongeldig nadat de gebruikersdelegatiesleutel is verlopen, dus een SAS met een verlooptijd van meer dan zeven dagen is nog steeds slechts zeven dagen geldig. Zie Microsoft Entra-referenties gebruiken om een SAS te beveiligen voor meer informatie.
  5. Het veld Toegestane IP-adressen is optioneel en geeft een IP-adres of een bereik van IP-adressen op waaruit aanvragen moeten worden geaccepteerd. Als het IP-adres van de aanvraag niet overeenkomt met het IP-adres of het adresbereik dat is opgegeven in het SAS-token, mislukt de autorisatie. Het IP-adres of een bereik van IP-adressen moeten openbare IP-adressen zijn, niet privé. Zie een IP-adres of IP-bereik opgeven voor meer informatie.

  6. Het veld Toegestane protocollen is optioneel en geeft het protocol op dat is toegestaan voor een aanvraag die is gemaakt met de SAS. De standaardwaarde is HTTPS.

  7. Controleer vervolgens SAS-token en URL genereren.

  8. De blob-SAS-tokenquerytekenreeks en blob-SAS-URL worden weergegeven in het onderste gedeelte van het venster.

  9. Kopieer en plak het Blob SAS-token en de URL-waarden op een veilige locatie. Ze worden slechts eenmaal weergegeven en kunnen niet worden opgehaald zodra het venster is gesloten.

  10. Als u een SAS-URL wilt maken, voegt u het SAS-token (URI) toe aan de URL voor een opslagservice.

SAS-tokens maken met Azure Storage Explorer

Azure Storage Explorer is een gratis zelfstandige app waarmee u eenvoudig uw Azure-cloudopslagresources vanaf uw bureaublad kunt beheren.

  • U hebt de Azure Storage Explorer-app nodig die is geïnstalleerd in uw Windows-, macOS- of Linux-ontwikkelomgeving.

  • Nadat de Azure Storage Explorer-app is geïnstalleerd, verbindt u deze met het opslagaccount dat u gebruikt voor documentomzetting. Volg deze stappen om tokens te maken voor een opslagcontainer of een specifiek blobbestand:

  1. Open de Azure Storage Explorer-app op uw lokale computer en navigeer naar uw verbonden opslagaccounts.

  2. Vouw het knooppunt Opslagaccounts uit en selecteer BlobContainers.

  3. Vouw het knooppunt BlobContainers uit en klik met de rechtermuisknop op een opslagcontainerknooppunt om het menu Opties weer te geven.

  4. Selecteer Shared Access Signature ophalen... in het optiesmenu.

  5. Maak in het venster Shared Access Signature de volgende selecties:

    • Selecteer uw toegangsbeleid (de standaardwaarde is geen).
    • Geef de begin- en einddatum en -tijd van de ondertekende sleutel op. Een korte levensduur wordt aanbevolen omdat een SAS na het genereren niet kan worden ingetrokken.
    • Selecteer de tijdzone voor de begin- en vervaldatum en -tijd (standaard is Lokaal).
    • Definieer uw containermachtigingen door het juiste selectievakje in te schakelen en/of uit te schakelen.
    • Controleer en selecteer Maken.
  6. Er wordt een nieuw venster weergegeven met de containernaam , URI en querytekenreeks voor uw container.

  7. Kopieer en plak de waarden van de container, URI en queryreeks op een veilige locatie. Ze worden slechts eenmaal weergegeven en kunnen niet worden opgehaald zodra het venster is gesloten.

  8. Als u een SAS-URL wilt maken, voegt u het SAS-token (URI) toe aan de URL voor een opslagservice.

Uw SAS-URL gebruiken om toegang te verlenen

De SAS-URL bevat een speciale set queryparameters. Deze parameters geven aan hoe de client toegang heeft tot de resources.

U kunt uw SAS-URL op twee manieren opnemen met REST API-aanvragen:

  • Gebruik de SAS-URL als uw sourceURL- en targetURL-waarden.

  • Voeg de SAS-queryreeks toe aan uw bestaande bronURL- en targetURL-waarden.

Hier volgt een voorbeeld van een REST API-aanvraag:

{
    "inputs": [
        {
            "storageType": "File",
            "source": {
                "sourceUrl": "https://my.blob.core.windows.net/source-en/source-english.docx?sv=2019-12-12&st=2021-01-26T18%3A30%3A20Z&se=2021-02-05T18%3A30%3A00Z&sr=c&sp=rl&sig=d7PZKyQsIeE6xb%2B1M4Yb56I%2FEEKoNIF65D%2Fs0IFsYcE%3D"
            },
            "targets": [
                {
                    "targetUrl": "https://my.blob.core.windows.net/target/try/Target-Spanish.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
                    "language": "es"
                },
                {
                    "targetUrl": "https://my.blob.core.windows.net/target/try/Target-German.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
                    "language": "de"
                }
            ]
        }
    ]
}

Dat is het! U hebt zojuist geleerd hoe u SAS-tokens maakt om te autoriseren hoe clients toegang krijgen tot uw gegevens.

Volgende stappen