Udostępnij za pośrednictwem

Tokeny SAS dla kontenerów magazynu

  • Artykuł

Dowiedz się, jak tworzyć delegowanie użytkowników, tokeny sygnatury dostępu współdzielonego (SAS) przy użyciu witryny Azure Portal. Tokeny SAS delegowania użytkownika są zabezpieczone przy użyciu poświadczeń usługi Microsoft Entra. Tokeny SAS zapewniają bezpieczny, delegowany dostęp do zasobów na koncie usługi Azure Storage.

Zrzut ekranu przedstawiający adres URL magazynu z dołączonym tokenem SAS.

Napiwek

Kontrola dostępu oparta na rolach (tożsamości zarządzane) udostępnia alternatywną metodę udzielania dostępu do danych magazynu bez konieczności dołączania tokenów SAS do żądań HTTP.

  • Tożsamości zarządzane umożliwiają udzielanie dostępu do dowolnego zasobu obsługującego uwierzytelnianie firmy Microsoft Entra, w tym własnych aplikacji.
  • Użycie tożsamości zarządzanych zastępuje wymaganie uwzględnienia tokenów sygnatury dostępu współdzielonego (SAS) przy użyciu źródłowych i docelowych adresów URL.
  • Korzystanie z tożsamości zarządzanych na platformie Azure nie wiąże się z żadnymi dodatkowymi kosztami.

Na wysokim poziomie przedstawiono sposób działania tokenów SAS:

  • Aplikacja przesyła token SAS do usługi Azure Storage w ramach żądania interfejsu API REST.

  • Jeśli usługa magazynu sprawdza, czy sygnatura dostępu współdzielonego jest prawidłowa, żądanie jest autoryzowane.

  • Jeśli token SAS zostanie uznany za nieprawidłowy, żądanie zostanie odrzucone i zostanie zwrócony kod błędu 403 (Zabronione).

Usługa Azure Blob Storage oferuje trzy typy zasobów:

  • Konta magazynu zapewniają unikatową przestrzeń nazw na platformie Azure dla Twoich danych.
  • Kontenery magazynu danych znajdują się na kontach magazynu i organizują zestawy obiektów blob (pliki, tekst lub obrazy).
  • Obiekty blob znajdują się w kontenerach i przechowują dane tekstowe i binarne, takie jak pliki, tekst i obrazy.

Ważne

  • Tokeny SAS są używane do udzielania uprawnień do zasobów magazynu i powinny być chronione w taki sam sposób jak klucz konta.

  • Operacje korzystające z tokenów SAS powinny być wykonywane tylko za pośrednictwem połączenia HTTPS, a identyfikatory URI sygnatur dostępu współdzielonego powinny być dystrybuowane tylko w bezpiecznym połączeniu, takim jak HTTPS.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące zasoby:

  • Aktywne konto platformy Azure. Jeśli nie masz, możesz utworzyć bezpłatne konto.

  • Zasób języka sztucznej inteligencji platformy Azure.

  • Konto usługi Azure Blob Storage o standardowej wydajności. Należy również utworzyć kontenery do przechowywania i organizowania plików na koncie magazynu. Jeśli nie wiesz, jak utworzyć konto usługi Azure Storage przy użyciu kontenera magazynu, postępuj zgodnie z następującymi przewodnikami Szybki start:

    • Create a storage account (Tworzenie konta magazynu). Podczas tworzenia konta magazynu wybierz pozycję Wydajność w warstwie Standardowa w polu Szczegóły>wystąpienia Wydajność.
    • Tworzenie kontenera. Podczas tworzenia kontenera w oknie Nowy kontener ustaw pozycję Poziom dostępu publicznego na Kontener (anonimowy dostęp do odczytu dla kontenerów i plików).

Tworzenie tokenów SAS w witrynie Azure Portal

Przejdź do witryny Azure Portal i przejdź do kontenera lub określonego pliku w następujący sposób i wykonaj następujące czynności:

Przepływ pracy: Konto magazynu → kontenerówkontenerapliku

  1. Kliknij prawym przyciskiem myszy kontener lub plik i wybierz polecenie Wygeneruj sygnaturę dostępu współdzielonego z menu rozwijanego.

  2. Wybierz pozycję Metoda podpisywania → Klucz delegowania użytkownika.

  3. Zdefiniuj uprawnienia , zaznaczając i/lub usuwając odpowiednie pole wyboru:

    • Plik źródłowy musi wyznaczyć dostęp do odczytu i listy .

    • Plik docelowy musi wyznaczyć dostęp do zapisu i listy .

  4. Określ czas rozpoczęcia i wygaśnięcia klucza podpisanego.

    • Podczas tworzenia sygnatury dostępu współdzielonego (SAS) domyślny czas trwania wynosi 48 godzin. Po 48 godzinach należy utworzyć nowy token.
    • Rozważ ustawienie dłuższego okresu trwania dla czasu korzystania z konta magazynu dla operacji usługi językowej.
    • Wartość czasu wygaśnięcia zależy od tego, czy używasz klucza konta, czy metody podpisywania klucza delegowania użytkownika:
      • Klucz konta: nie nałożono maksymalnego limitu czasu, jednak zalecane są najlepsze rozwiązania, które umożliwiają skonfigurowanie zasad wygasania w celu ograniczenia interwału i zminimalizowania naruszenia zabezpieczeń. Skonfiguruj zasady wygasania dla sygnatur dostępu współdzielonego.
      • Klucz delegowania użytkownika: wartość czasu wygaśnięcia wynosi maksymalnie siedem dni od utworzenia tokenu SAS. Sygnatura dostępu współdzielonego jest nieprawidłowa po wygaśnięciu klucza delegowania użytkownika, więc sygnatura dostępu współdzielonego z upływem czasu wygaśnięcia większa niż siedem dni będzie nadal ważna tylko przez siedem dni. Aby uzyskać więcej informacji, zobacz Zabezpieczanie sygnatury dostępu współdzielonego przy użyciu poświadczeń firmy Microsoft.

  5. Pole Dozwolone adresy IP jest opcjonalne i określa adres IP lub zakres adresów IP, z których mają być akceptowane żądania. Jeśli adres IP żądania nie jest zgodny z adresem IP lub zakresem adresów określonym w tokenie SAS, autoryzacja nie powiedzie się. Adres IP lub zakres adresów IP muszą być publicznymi adresami IP, a nie prywatnymi. Aby uzyskać więcej informacji, zobacz Określanie adresu IP lub zakresu adresów IP.

  6. Pole Dozwolone protokoły jest opcjonalne i określa protokół dozwolony dla żądania złożonego z sygnaturą dostępu współdzielonego. Wartość domyślna to HTTPS.

  7. Przejrzyj, a następnie wybierz pozycję Generuj token SAS i adres URL.

  8. Ciąg zapytania tokenu SAS obiektu blob i adres URL sygnatury dostępu współdzielonego obiektu blob są wyświetlane w dolnym obszarze okna.

  9. Skopiuj i wklej wartości tokenu i adresu URL sygnatury dostępu współdzielonego obiektu blob w bezpiecznej lokalizacji. Będą one wyświetlane tylko raz i nie można ich pobrać po zamknięciu okna.

  10. Aby utworzyć adres URL sygnatury dostępu współdzielonego, dołącz token SAS (URI) do adresu URL usługi magazynu.

Udzielanie dostępu przy użyciu adresu URL sygnatury dostępu współdzielonego

Adres URL sygnatury dostępu współdzielonego zawiera specjalny zestaw parametrów zapytania. Te parametry wskazują, jak klient uzyskuje dostęp do zasobów.

Adres URL sygnatury dostępu współdzielonego można dołączyć do żądań interfejsu API REST na dwa sposoby:

  • Użyj adresu URL sygnatury dostępu współdzielonego jako wartości sourceURL i targetURL.

  • Dołącz ciąg zapytania SAS do istniejących wartości sourceURL i targetURL.

Oto przykładowe żądanie interfejsu API REST:

{
  "analysisInput": {
    "documents": [
      {
        "id": "doc_0",
        "language": "en",
        "source": {
          "location": "myaccount.blob.core.windows.net/sample-input/input.pdf?{SAS-Token}"
        },
        "target": {
          "location": "https://myaccount.blob.core.windows.net/sample-output?{SAS-Token}"
        }
      }
    ]
  }
}

I już! Wiesz już, jak utworzyć tokeny SAS w celu autoryzowania sposobu uzyskiwania dostępu do danych przez klientów.

Następne kroki

Dowiedz się więcej o obsłudze dokumentów natywnych Dowiedz się więcej na temat udzielania dostępu za pomocą sygnatury dostępu współdzielonego