Tworzenie tokenów SAS dla kontenerów magazynu
Z tego artykułu dowiesz się, jak tworzyć delegowanie użytkowników, tokeny sygnatury dostępu współdzielonego (SAS) przy użyciu witryny Azure Portal lub Eksplorator usługi Azure Storage. Tokeny SAS delegowania użytkownika są zabezpieczone przy użyciu poświadczeń usługi Microsoft Entra. Tokeny SAS zapewniają bezpieczny, delegowany dostęp do zasobów na koncie usługi Azure Storage.
Napiwek
Tożsamości zarządzane zapewniają alternatywną metodę udzielania dostępu do danych magazynu bez konieczności dołączania tokenów SAS do żądań HTTP. Zobacz Tożsamości zarządzane na potrzeby tłumaczenia dokumentów.
- Tożsamości zarządzane umożliwiają udzielanie dostępu do dowolnego zasobu obsługującego uwierzytelnianie firmy Microsoft Entra, w tym własnych aplikacji.
- Użycie tożsamości zarządzanych zastępuje wymaganie uwzględnienia tokenów sygnatury dostępu współdzielonego (SAS) przy użyciu źródłowych i docelowych adresów URL.
- Korzystanie z tożsamości zarządzanych na platformie Azure nie wiąże się z żadnymi dodatkowymi kosztami.
Na wysokim poziomie przedstawiono sposób działania tokenów SAS:
Aplikacja przesyła token SAS do usługi Azure Storage w ramach żądania interfejsu API REST.
Usługa magazynu sprawdza, czy sygnatura dostępu współdzielonego jest prawidłowa. Jeśli tak, żądanie jest autoryzowane.
Żądanie zostanie odrzucone, jeśli token SAS zostanie uznany za nieprawidłowy. Jeśli tak, zostanie zwrócony kod błędu 403 (Zabronione).
Usługa Azure Blob Storage oferuje trzy typy zasobów:
- Konta magazynu zapewniają unikatową przestrzeń nazw na platformie Azure dla Twoich danych.
- Kontenery magazynu danych znajdują się na kontach magazynu i organizują zestawy obiektów blob (pliki, tekst lub obrazy).
- Obiekty blob znajdują się w kontenerach i przechowują dane tekstowe i binarne, takie jak pliki, tekst i obrazy.
Ważne
Tokeny SAS są używane do udzielania uprawnień do zasobów magazynu i powinny być chronione w taki sam sposób jak klucz konta.
Operacje korzystające z tokenów SAS powinny być wykonywane tylko za pośrednictwem połączenia HTTPS, a identyfikatory URI sygnatur dostępu współdzielonego powinny być dystrybuowane tylko w bezpiecznym połączeniu, takim jak HTTPS.
Wymagania wstępne
Do rozpoczęcia pracy potrzebne są następujące zasoby:
Aktywne konto platformy Azure. Jeśli nie masz, możesz utworzyć bezpłatne konto.
Zasób usługi Translator .
Konto usługi Azure Blob Storage o standardowej wydajności. Należy również utworzyć kontenery do przechowywania i organizowania plików na koncie magazynu. Jeśli nie wiesz, jak utworzyć konto usługi Azure Storage przy użyciu kontenera magazynu, postępuj zgodnie z następującymi przewodnikami Szybki start:
- Create a storage account (Tworzenie konta magazynu). Podczas tworzenia konta magazynu wybierz pozycję Wydajność w warstwie Standardowa w polu Szczegóły>wystąpienia Wydajność.
- Tworzenie kontenera. Podczas tworzenia kontenera w oknie Nowy kontener ustaw pozycję Poziom dostępu publicznego na Kontener (anonimowy dostęp do odczytu dla kontenerów i plików).
Tworzenie tokenów SAS w witrynie Azure Portal
Przejdź do witryny Azure Portal i przejdź do kontenera lub określonego pliku w następujący sposób i wykonaj następujące czynności:
Tworzenie tokenu SAS dla kontenera | Tworzenie tokenu SAS dla określonego pliku |
---|---|
Konto magazynu → kontenerów → kontenera | Konto magazynu → kontenery → kontenera→ pliku |
Kliknij prawym przyciskiem myszy kontener lub plik i wybierz polecenie Wygeneruj sygnaturę dostępu współdzielonego z menu rozwijanego.
Wybierz pozycję Metoda podpisywania → Klucz delegowania użytkownika.
Zdefiniuj uprawnienia , zaznaczając i/lub usuwając odpowiednie pole wyboru:
Źródłowy kontener lub plik musi wyznaczyć dostęp do odczytu i listy.
Docelowy kontener lub plik musi wyznaczyć dostęp do zapisu i listy.
Określ czas rozpoczęcia i wygaśnięcia klucza podpisanego.
- Podczas tworzenia sygnatury dostępu współdzielonego (SAS) domyślny czas trwania wynosi 48 godzin. Po 48 godzinach należy utworzyć nowy token.
- Rozważ ustawienie dłuższego okresu trwania dla czasu korzystania z konta magazynu na potrzeby operacji usługi Translator.
- Wartość czasu wygaśnięcia zależy od tego, czy używasz klucza konta, czy metody podpisywania klucza delegowania użytkownika:
- Klucz konta: Chociaż maksymalny limit czasu nie jest nakładany, najlepsze rozwiązanie zaleca skonfigurowanie zasad wygasania w celu ograniczenia interwału i zminimalizowania naruszenia zabezpieczeń. Skonfiguruj zasady wygasania dla sygnatur dostępu współdzielonego.
- Klucz delegowania użytkownika: wartość czasu wygaśnięcia wynosi maksymalnie siedem dni od utworzenia tokenu SAS. Sygnatura dostępu współdzielonego jest nieprawidłowa po wygaśnięciu klucza delegowania użytkownika, więc sygnatura dostępu współdzielonego z upływem czasu wygaśnięcia większa niż siedem dni będzie nadal ważna tylko przez siedem dni. Aby uzyskać więcej informacji, zobacz Zabezpieczanie sygnatury dostępu współdzielonego przy użyciu poświadczeń entra firmy Microsoft.
Pole Dozwolone adresy IP jest opcjonalne i określa adres IP lub zakres adresów IP, z których mają być akceptowane żądania. Jeśli adres IP żądania nie jest zgodny z adresem IP lub zakresem adresów określonym w tokenie SAS, autoryzacja nie powiedzie się. Adres IP lub zakres adresów IP muszą być publicznymi adresami IP, a nie prywatnymi. Aby uzyskać więcej informacji, zobacz Określanie adresu IP lub zakresu adresów IP.
Pole Dozwolone protokoły jest opcjonalne i określa protokół dozwolony dla żądania złożonego z sygnaturą dostępu współdzielonego. Wartość domyślna to HTTPS.
Przejrzyj, a następnie wybierz pozycję Generuj token SAS i adres URL.
Ciąg zapytania tokenu SAS obiektu blob i adres URL sygnatury dostępu współdzielonego obiektu blob są wyświetlane w dolnym obszarze okna.
Skopiuj i wklej wartości tokenu i adresu URL sygnatury dostępu współdzielonego obiektu blob w bezpiecznej lokalizacji. Będą one wyświetlane tylko raz i nie można ich pobrać po zamknięciu okna.
Aby utworzyć adres URL sygnatury dostępu współdzielonego, dołącz token SAS (URI) do adresu URL usługi magazynu.
Tworzenie tokenów SAS przy użyciu Eksplorator usługi Azure Storage
Eksplorator usługi Azure Storage to bezpłatna aplikacja autonomiczna, która umożliwia łatwe zarządzanie zasobami magazynu w chmurze platformy Azure z poziomu pulpitu.
Potrzebna jest aplikacja Eksplorator usługi Azure Storage zainstalowana w środowisku deweloperów systemu Windows, macOS lub Linux.
Po zainstalowaniu aplikacji Eksplorator usługi Azure Storage połącz ją z kontem magazynu używanym do tłumaczenia dokumentów. Wykonaj następujące kroki, aby utworzyć tokeny dla kontenera magazynu lub określonego pliku obiektu blob:
Otwórz aplikację Eksplorator usługi Azure Storage na komputerze lokalnym i przejdź do połączonych kont magazynu.
Rozwiń węzeł Konta magazynu i wybierz pozycję Kontenery obiektów blob.
Rozwiń węzeł Kontenery obiektów blob i kliknij prawym przyciskiem myszy węzeł kontenera magazynu, aby wyświetlić menu opcji.
Wybierz pozycję Pobierz sygnaturę dostępu współdzielonego... z menu opcji.
W oknie Sygnatura dostępu współdzielonego wybierz następujące opcje:
- Wybierz zasady dostępu (wartość domyślna to brak).
- Określ datę i godzinę rozpoczęcia i wygaśnięcia podpisanego klucza. Zalecana jest krótka żywotność, ponieważ po wygenerowaniu sygnatury dostępu współdzielonego nie można odwołać.
- Wybierz strefę czasową daty i godziny rozpoczęcia i wygaśnięcia (wartość domyślna to Local).
- Zdefiniuj uprawnienia kontenera, zaznaczając i/lub usuwając odpowiednie pole wyboru.
- Przejrzyj i wybierz pozycję Utwórz.
Zostanie wyświetlone nowe okno z nazwą kontenera , identyfikatorem URI i ciągiem zapytania dla kontenera.
Skopiuj i wklej wartości kontenera, identyfikatora URI i ciągu zapytania w bezpiecznej lokalizacji. Będą one wyświetlane tylko raz i nie można ich pobrać po zamknięciu okna.
Aby utworzyć adres URL sygnatury dostępu współdzielonego, dołącz token SAS (URI) do adresu URL usługi magazynu.
Udzielanie dostępu przy użyciu adresu URL sygnatury dostępu współdzielonego
Adres URL sygnatury dostępu współdzielonego zawiera specjalny zestaw parametrów zapytania. Te parametry wskazują, jak klient uzyskuje dostęp do zasobów.
Adres URL sygnatury dostępu współdzielonego można dołączyć do żądań interfejsu API REST na dwa sposoby:
Użyj adresu URL sygnatury dostępu współdzielonego jako wartości sourceURL i targetURL.
Dołącz ciąg zapytania SAS do istniejących wartości sourceURL i targetURL.
Oto przykładowe żądanie interfejsu API REST:
{
"inputs": [
{
"storageType": "File",
"source": {
"sourceUrl": "https://my.blob.core.windows.net/source-en/source-english.docx?sv=2019-12-12&st=2021-01-26T18%3A30%3A20Z&se=2021-02-05T18%3A30%3A00Z&sr=c&sp=rl&sig=d7PZKyQsIeE6xb%2B1M4Yb56I%2FEEKoNIF65D%2Fs0IFsYcE%3D"
},
"targets": [
{
"targetUrl": "https://my.blob.core.windows.net/target/try/Target-Spanish.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
"language": "es"
},
{
"targetUrl": "https://my.blob.core.windows.net/target/try/Target-German.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
"language": "de"
}
]
}
]
}
I już! Wiesz już, jak utworzyć tokeny SAS, aby autoryzować sposób uzyskiwania dostępu do danych przez klientów.