Eksportowanie danych kosztów przy użyciu klucza SAS konta usługi Azure Storage

Poniższe informacje dotyczą tylko partnerów firmy Microsoft.

Często partnerzy nie mają własnych subskrypcji platformy Azure w dzierżawie skojarzonej z własną umową partnerską firmy Microsoft. Partnerzy z planem umowy partnerskiej firmy Microsoft, którzy są administratorami globalnymi konta rozliczeniowego, mogą eksportować i kopiować dane kosztów do konta magazynu w innej dzierżawie przy użyciu klucza usługi dostępu współdzielonego (SAS). Innymi słowy, konto magazynu z kluczem SYGNATURy dostępu współdzielonego umożliwia partnerowi używanie konta magazynu spoza umowy partnerskiej w celu otrzymywania wyeksportowanych informacji. Ten artykuł ułatwia partnerom tworzenie klucza sygnatury dostępu współdzielonego i konfigurowanie eksportów usługi Cost Management.

Wymagania

• Musisz być partnerem w umowie partnerskiej firmy Microsoft. Twoi klienci w planie platformy Azure muszą mieć podpisany Umowa z Klientem Microsoft.
  • Eksportowanie oparte na kluczach SAS nie jest obsługiwane w przypadku pośrednich umów Enterprise Agreement.
• Eksportowanie oparte na kluczach sygnatur dostępu współdzielonego jest dostępne dla partnerów logujących się do witryny Azure Portal z dzierżawy partnera. Jednak opcja klucza sygnatury dostępu współdzielonego nie jest obsługiwana, jeśli używasz usługi Azure Lighthouse do zarządzania klientami.
• Musisz być administratorem globalnym konta rozliczeniowego organizacji partnerskiej.
• Musisz mieć dostęp do konfigurowania konta magazynu, które znajduje się w innej dzierżawie organizacji partnerskiej. Odpowiadasz za utrzymanie uprawnień i dostępu do danych podczas eksportowania danych na konto magazynu.
• Konto magazynu nie może mieć skonfigurowanej zapory.
• Konfiguracja konta magazynu musi mieć opcję Dozwolone dla operacji kopiowania (wersja zapoznawcza) ustawioną na wartość Z dowolnego konta magazynu.

Konfigurowanie usługi Azure Storage przy użyciu klucza sygnatury dostępu współdzielonego

Uzyskaj token SAS konta magazynu lub utwórz go przy użyciu witryny Azure Portal. Aby utworzyć element w witrynie Azure Portal, wykonaj następujące kroki. Aby dowiedzieć się więcej o kluczach sygnatur dostępu współdzielonego, zobacz Udzielanie ograniczonego dostępu do danych za pomocą sygnatur dostępu współdzielonego (SAS).

1. Przejdź do konta magazynu w witrynie Azure Portal.
   • Jeśli Twoje konto ma dostęp do wielu dzierżaw, przełącz katalogi, aby uzyskać dostęp do konta magazynu. Wybierz swoje konto w prawym górnym rogu witryny Azure Portal, a następnie wybierz pozycję Przełącz katalogi.
   • Aby uzyskać dostęp do konta magazynu, może być konieczne zalogowanie się w witrynie Azure Portal przy użyciu odpowiedniego konta dzierżawy.
2. W menu po lewej stronie wybierz pozycję Sygnatura dostępu współdzielonego.
   
3. Skonfiguruj token z tymi samymi ustawieniami, które zostały zidentyfikowane na powyższym obrazie.
   1. Wybierz pozycję Obiekt blob w polu Dozwolone usługi.
   2. Wybierz pozycję Usługa, Kontener i Obiekt dla pozycji Dozwolone typy zasobów.
   3. Wybierz pozycję Odczyt, Zapis, Usuń, Lista, Dodaj i Utwórz w obszarze Dozwolone uprawnienia.
   4. Wybierz pozycję wygaśnięcie i daty. Pamiętaj, aby zaktualizować token SAS eksportu przed jego wygaśnięciem. Dłuższy czas konfigurowania przed wygaśnięciem, tym dłużej eksport jest uruchamiany przed koniecznością utworzenia nowego tokenu SAS.
4. Wybierz pozycję HTTPS tylko dla dozwolonych protokołów.
5. Wybierz pozycję Podstawowa dla preferowanej warstwy routingu.
6. Wybierz klucz1 dla pozycji Klucz podpisywania. W przypadku rotacji lub zaktualizowania klucza użytego do podpisania tokenu SAS należy ponownie wygenerować nowy token SAS.
7. Wybierz pozycję Generuj sygnaturę dostępu współdzielonego i parametry połączenia. Wyświetlana wartość tokenu SAS to token potrzebny podczas konfigurowania eksportów.

Tworzenie nowego eksportu przy użyciu tokenu SAS

Przejdź do obszaru Eksporty w zakresie konta rozliczeniowego i utwórz nowy eksport, wykonując następujące kroki.

1. Wybierz pozycję Utwórz.
2. Skonfiguruj szczegóły eksportu tak, jak w przypadku normalnego eksportu. Eksport można skonfigurować tak, aby korzystał z istniejącego katalogu lub kontenera albo określić nowy katalog lub kontener. Proces eksportowania powoduje utworzenie ich dla Ciebie.
3. Podczas konfigurowania magazynu wybierz pozycję Użyj tokenu SAS.
   
4. Wprowadź nazwę konta magazynu i wklej token SAS.
5. Określ istniejący kontener lub katalog lub zidentyfikuj nowe, które mają zostać utworzone.
6. Wybierz pozycję Utwórz.

Eksportowanie oparte na tokenach SAS działa tylko wtedy, gdy token pozostaje prawidłowy. Zresetuj token przed wygaśnięciem bieżącego lub eksport przestanie działać. Ponieważ token zapewnia dostęp do konta magazynu, chroń token tak dokładnie, jak wszystkie inne poufne informacje. Odpowiadasz za utrzymanie uprawnień i dostępu do danych podczas eksportowania danych na konto magazynu.

Rozwiązywanie problemów z eksportami przy użyciu tokenów SAS

Poniżej przedstawiono typowe problemy, które mogą wystąpić podczas konfigurowania lub używania eksportów opartych na tokenach SAS.

• W witrynie Azure Portal nie jest widoczna opcja klucza sygnatury dostępu współdzielonego.

  • Sprawdź, czy jesteś partnerem, który ma umowę partnerską firmy Microsoft i czy masz uprawnienia administratora globalnego do konta rozliczeniowego. Są to jedyne osoby, które mogą eksportować przy użyciu klucza sygnatury dostępu współdzielonego.

• Podczas próby skonfigurowania eksportu zostanie wyświetlony następujący komunikat o błędzie:

  Upewnij się, że token SAS jest prawidłowy dla usługi obiektów blob, jest prawidłowy dla typów zasobów kontenera i obiektu i ma uprawnienia: dodawanie polecenia create read write delete. (Kod błędu usługi Storage: AuthorizationResourceTypeMismatch)

  • Upewnij się, że poprawnie konfigurujesz i generujesz klucz SAS w usłudze Azure Storage.

• Po utworzeniu eksportu nie widzisz pełnego klucza SAS.

  • Niewidoczność klucza jest oczekiwanym zachowaniem. Po skonfigurowaniu eksportu SAS klucz jest ukryty ze względów bezpieczeństwa.

• Nie można uzyskać dostępu do konta magazynu z dzierżawy, w której skonfigurowano eksport.

  • Zachowanie jest oczekiwane. Jeśli konto magazynu znajduje się w innej dzierżawie, musisz najpierw przejść do tej dzierżawy w witrynie Azure Portal, aby znaleźć konto magazynu.

• Eksportowanie kończy się niepowodzeniem z powodu błędu związanego z tokenem SAS.

  • Eksport działa tylko wtedy, gdy token SAS pozostaje prawidłowy. Utwórz nowy klucz i uruchom eksport.

Następne kroki

• Aby uzyskać więcej informacji na temat eksportowania danych usługi Cost Management, zobacz Tworzenie i eksportowanie danych.
• Aby uzyskać informacje na temat eksportowania dużych ilości danych użycia, zobacz Pobieranie dużych zestawów danych z eksportami.