Tworzenie tokenów SAS dla kontenerów magazynu

Artykuł
07/11/2024

Ta zawartość dotyczy: wersja 4.0 (wersja zapoznawcza) v3.1 (GA) v3.0 (GA) v2.1 (GA)

W tym artykule dowiesz się, jak tworzyć delegowanie użytkowników, tokeny sygnatury dostępu współdzielonego (SAS) przy użyciu witryny Azure Portal lub Eksplorator usługi Azure Storage. Tokeny SAS delegowania użytkownika są zabezpieczone przy użyciu poświadczeń usługi Microsoft Entra. Tokeny SAS zapewniają bezpieczny, delegowany dostęp do zasobów na koncie usługi Azure Storage.

Zrzut ekranu przedstawiający identyfikator URI magazynu z dołączonym tokenem SAS.

Na wysokim poziomie przedstawiono sposób działania tokenów SAS:

Najpierw aplikacja przesyła token SAS do usługi Azure Storage w ramach żądania interfejsu API REST.
Następnie, jeśli usługa magazynu sprawdzi, czy sygnatura dostępu współdzielonego jest prawidłowa, żądanie jest autoryzowane. Jeśli token SAS zostanie uznany za nieprawidłowy, żądanie zostanie odrzucone i zostanie zwrócony kod błędu 403 (Zabronione).

Usługa Azure Blob Storage oferuje trzy typy zasobów:

Konta magazynu zapewniają unikatową przestrzeń nazw na platformie Azure dla Twoich danych.
Kontenery magazynu danych znajdują się na kontach magazynu i organizują zestawy obiektów blob.
Obiekty blob znajdują się w kontenerach i przechowują dane tekstowe i binarne, takie jak pliki, tekst i obrazy.

Kiedy używać tokenu SAS

Trenowanie modeli niestandardowych. Zestaw dokumentów szkoleniowych musi zostać przekazany do kontenera usługi Azure Blob Storage. Możesz zdecydować się na użycie tokenu SAS w celu udzielenia dostępu do dokumentów szkoleniowych.
Korzystanie z kontenerów magazynu z dostępem publicznym. Możesz użyć tokenu SAS, aby udzielić ograniczonego dostępu do zasobów magazynu, które mają publiczny dostęp do odczytu.
Ważne
- Jeśli konto usługi Azure Storage jest chronione przez sieć wirtualną lub zaporę, nie możesz udzielić dostępu za pomocą tokenu SAS. Aby udzielić dostępu do zasobu magazynu, musisz użyć tożsamości zarządzanej.
- Tożsamość zarządzana obsługuje zarówno konta usługi Azure Blob Storage prywatnie, jak i publicznie dostępne.
- Tokeny sas udzielają uprawnień do zasobów magazynu i powinny być chronione w taki sam sposób jak klucz konta.
- Operacje korzystające z tokenów SAS powinny być wykonywane tylko za pośrednictwem połączenia HTTPS, a identyfikatory URI sygnatur dostępu współdzielonego powinny być dystrybuowane tylko w bezpiecznym połączeniu, takim jak HTTPS.

Wymagania wstępne

Aby rozpocząć pracę, potrzebne będą następujące elementy:

Aktywne konto platformy Azure. Jeśli nie masz, możesz utworzyć bezpłatne konto.
Analiza dokumentów lub zasób z wieloma usługami .
Konto usługi Azure Blob Storage o standardowej wydajności. Należy utworzyć kontenery do przechowywania i organizowania danych obiektów blob na koncie magazynu. Jeśli nie wiesz, jak utworzyć konto usługi Azure Storage przy użyciu kontenera magazynu, postępuj zgodnie z następującymi przewodnikami Szybki start:
- Create a storage account (Tworzenie konta magazynu). Podczas tworzenia konta magazynu wybierz pozycję Wydajność w warstwie Standardowa w polu Szczegóły>wystąpienia Wydajność.
- Tworzenie kontenera. Podczas tworzenia kontenera w oknie Nowy kontener ustaw pozycję Poziom dostępu publicznego na Kontener (anonimowy dostęp do odczytu dla kontenerów i obiektów blob).

Przekazywanie dokumentów

Zaloguj się w witrynie Azure Portal.
- Wybierz pozycję Konto magazynu → Magazyn danych → Containers.
Wybierz kontener z listy.
Wybierz pozycję Przekaż z menu w górnej części strony.
Zostanie wyświetlone okno Przekazywanie obiektu blob . Wybierz pliki do przekazania.

Uwaga

Domyślnie interfejs API REST używa dokumentów znajdujących się w katalogu głównym kontenera. Możesz również użyć danych zorganizowanych w podfolderach, jeśli określono je w wywołaniu interfejsu API. Aby uzyskać więcej informacji, zobacz Organizowanie danych w podfolderach.

Korzystanie z witryny Azure Portal

Witryna Azure Portal to konsola internetowa, która umożliwia zarządzanie subskrypcją i zasobami platformy Azure przy użyciu graficznego interfejsu użytkownika (GUI).

Zaloguj się w witrynie Azure Portal.
Przejdź do kontenerów>konta>magazynu kontenera.
Wybierz pozycję Generuj sygnaturę dostępu współdzielonego z menu w górnej części strony.
Wybierz pozycję Metoda podpisywania → Klucz delegowania użytkownika.
Zdefiniuj uprawnienia , zaznaczając lub usuwając odpowiednie pole wyboru.
- Upewnij się, że wybrano uprawnienia Odczyt, Zapis, Usuwanie i Lista .
Ważne
- Jeśli zostanie wyświetlony komunikat podobny do poniższego, musisz również przypisać dostęp do danych obiektu blob na koncie magazynu:
- Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji używany do zarządzania dostępem do zasobów platformy Azure. Kontrola dostępu oparta na rolach platformy Azure ułatwia zarządzanie dostępem i uprawnieniami dla zasobów platformy Azure.
- Przypisz rolę platformy Azure w celu uzyskania dostępu do danych obiektów blob, aby przypisać rolę, która umożliwia przypisywanie uprawnień do odczytu, zapisu i usuwania dla kontenera usługi Azure Storage. Zobacz Współautor danych obiektu blob usługi Storage.
Określ czas rozpoczęcia i wygaśnięcia klucza podpisanego.
- Podczas tworzenia tokenu SAS domyślny czas trwania wynosi 48 godzin. Po 48 godzinach należy utworzyć nowy token.
- Rozważ ustawienie dłuższego okresu trwania dla czasu korzystania z konta magazynu dla operacji usługi Document Intelligence Service.
- Wartość czasu wygaśnięcia zależy od tego, czy używasz klucza konta, czy metody podpisywania klucza delegowania użytkownika:
  - Klucz konta: nie nałożono maksymalnego limitu czasu, jednak zalecane są najlepsze rozwiązania, które umożliwiają skonfigurowanie zasad wygasania w celu ograniczenia interwału i zminimalizowania naruszenia zabezpieczeń. Skonfiguruj zasady wygasania dla sygnatur dostępu współdzielonego.
  - Klucz delegowania użytkownika: wartość czasu wygaśnięcia wynosi maksymalnie siedem dni od utworzenia tokenu SAS. Sygnatura dostępu współdzielonego jest nieprawidłowa po wygaśnięciu klucza delegowania użytkownika, więc sygnatura dostępu współdzielonego z upływem czasu wygaśnięcia większa niż siedem dni będzie nadal ważna tylko przez siedem dni. Aby uzyskać więcej informacji, zobacz Zabezpieczanie sygnatury dostępu współdzielonego przy użyciu poświadczeń entra firmy Microsoft.
Pole Dozwolone adresy IP jest opcjonalne i określa adres IP lub zakres adresów IP, z których mają być akceptowane żądania. Jeśli adres IP żądania nie jest zgodny z adresem IP lub zakresem adresów określonym w tokenie SAS, autoryzacja nie powiedzie się. Adres IP lub zakres adresów IP muszą być publicznymi adresami IP, a nie prywatnymi. Aby uzyskać więcej informacji, zobacz Określanie adresu IP lub zakresu adresów IP.
Pole Dozwolone protokoły jest opcjonalne i określa protokół dozwolony dla żądania z tokenem SAS. Wartość domyślna to HTTPS.
Wybierz pozycję Generuj token SAS i adres URL.
Ciąg zapytania tokenu SAS obiektu blob i adres URL sygnatury dostępu współdzielonego obiektu blob są wyświetlane w dolnym obszarze okna. Aby użyć tokenu SAS obiektu blob, dołącz go do identyfikatora URI usługi magazynu.
Skopiuj i wklej wartości tokenu SAS obiektu blob i adresu URL sygnatury dostępu współdzielonego obiektu blob w bezpiecznej lokalizacji. Wartości są wyświetlane tylko raz i nie można ich pobrać po zamknięciu okna.
Aby utworzyć adres URL sygnatury dostępu współdzielonego, dołącz token SAS (URI) do adresu URL usługi magazynu.

Korzystanie z Eksploratora usługi Azure Storage

Eksplorator usługi Azure Storage to bezpłatna aplikacja autonomiczna, która umożliwia łatwe zarządzanie zasobami magazynu w chmurze platformy Azure z poziomu pulpitu.

Rozpocznij

Potrzebna jest aplikacja Eksplorator usługi Azure Storage zainstalowana w środowisku deweloperów systemu Windows, macOS lub Linux.
Po zainstalowaniu aplikacji Eksplorator usługi Azure Storage połącz ją z kontem magazynu używanym na potrzeby analizy dokumentów.