Compartilhar via


Criar tokens SAS para contêineres de armazenamento

Esse conteúdo se aplica a: marca de seleção v4.0 (versão prévia) marca de seleção v3.1 (GA) marca de seleção v3.0 (GA) marca de seleção v2.1 (GA)

Neste artigo, aprenda a criar tokens SAS (Assinatura de Acesso Compartilhado) de delegação de usuário usando o portal do Azure ou o Gerenciador de Armazenamento do Azure. Os tokens SAS de delegação de usuário são protegidos com credenciais do Microsoft Entra. Um token SAS oferece acesso seguro e delegado aos recursos da conta de armazenamento do Azure.

Captura de tela do URI de armazenamento com token SAS anexado.

Em linhas gerais, veja como os tokens SAS funcionam:

  • Primeiro, seu aplicativo envia o token SAS para o Armazenamento do Microsoft Azure como parte de uma solicitação da API REST.

  • Em seguida, se o serviço de armazenamento verificar que o SAS é válido, a solicitação será autorizada. Se o token SAS for considerado inválido, a solicitação será recusada e o código de erro 403 (Proibido) será retornado.

O Armazenamento de Blobs do Azure oferece três tipos de recursos:

  • As contas de armazenamento fornecem um namespace exclusivo no Azure para os dados.
  • Os contêineres de armazenamento de dados estão localizados em contas de armazenamento e organizam conjuntos de blobs.
  • Os blobs estão localizados em contêineres e armazenam dados binários e de texto, como arquivos, texto e imagens.

Quando usar um token SAS

  • Treinamento de modelos personalizados. O conjunto de documentos de treinamento montado precisa ser carregado em um contêiner de Armazenamento de Blobs do Azure. Você pode usar um token SAS para permitir acesso aos documentos de treinamento.

  • Uso de contêineres de armazenamento com acesso público. Você pode usar um token SAS para permitir acesso limitado aos recursos de armazenamento que têm acesso de leitura público.

    Importante

    • Se a conta de armazenamento do Azure estiver protegida por uma rede virtual ou um firewall, você não poderá permitir acesso usando um token SAS. Você precisará usar uma identidade gerenciada para conceder acesso ao recurso de armazenamento.

    • A Identidade gerenciada oferece suporte a contas de Armazenamento de Blobs do Azure acessíveis de maneira pública ou privada.

    • Os tokens SAS concedem permissões aos recursos de armazenamento e devem ser protegidos da mesma forma que uma chave de conta.

    • As operações que usam tokens SAS só devem ser executadas em uma conexão HTTPS e os URIs SAS só devem ser distribuídos em uma conexão segura, como HTTPS.

Pré-requisitos

Para começar, você precisa do seguinte:

Carregar os seus documentos

  1. Entre no portal do Azure.

    • Selecione Sua conta de armazenamentoArmazenamento de dadosContêineres.

    Captura de tela que mostra o menu de Armazenamento de dados no portal do Microsoft Azure.

  2. Selecione um contêiner na lista.

  3. Selecione Upload no menu na parte superior da página.

    Captura de tela que mostra o botão Carregar contêiner na portal do Microsoft Azure.

  4. A janela Carregar blob é exibida. Selecione os arquivos que serão carregados.

    Captura de tela que mostra a janela Carregar blob no portal do Microsoft Azure.

    Observação

    Por padrão, a API REST usa documentos localizados na raiz do contêiner. Você também pode usar dados organizados em subpastas, se especificado na chamada à API. Para obter mais informações, consulteOrganizar os dados em subpastas.

Use o Portal do Azure

O portal do Azure é um console baseado na Web que permite gerenciar a assinatura e os recursos do Azure usando uma GUI (interface gráfica do usuário).

  1. Entre no portal do Azure.

  2. Navegue até Sua conta de armazenamento>contêineres>seu contêiner.

  3. Selecione Gerar SAS no menu próximo à parte superior da página.

  4. Selecione Método de assinaturaChave de delegação do usuário.

  5. Defina as Permissões marcando ou desmarcando a caixa de seleção adequada.

    • Verifique se as permissões de Leitura, Gravação, Exclusão e Lista estão selecionadas.

    Captura de tela que mostra os campos de permissão SAS no portal do Azure.

    Importante

  6. Especifique a hora de Início e de Expiração da chave assinada.

    • Quando você cria um token SAS, a duração padrão é de 48 horas. Após 48 horas, você precisará criar um novo token.
    • Considere definir um período de duração maior para o tempo em que você estiver usando sua conta de armazenamento para operações de Serviço de Informação de Documentos.
    • O valor do tempo de expiração é determinado pelo fato de você estar usando uma Chave de conta ou Chave de delegação de usuário Método de assinatura:
      • Chave de conta: sem limite de tempo máximo imposto; no entanto, as melhores práticas recomendam que você configure uma política de expiração para limitar o intervalo e minimizar o comprometimento. Configurar uma política de expiração para assinaturas de acesso compartilhado.
      • Chave de delegação de usuário: o valor máximo do período de expiração é de sete dias a partir da criação do token SAS. Como a chave de delegação de usuário expira em sete dias e invalida a SAS depois disso, mesmo que uma SAS tenha o tempo de expiração superior a sete dias, ainda assim ela será válida apenas durante esse período. Para obter mais informações, consulte Usar credenciais do Microsoft Entra para proteger um SAS.
  7. O campo Endereços IP permitidos é opcional e especifica um endereço IP ou intervalo de endereços IP do qual aceitar solicitações. Se o endereço IP da solicitação não for igual ao endereço IP ou intervalo de endereços especificados no token SAS, a autorização falhará. O endereço IP ou um intervalo de endereços IP devem ser IPs públicos, não privados. Para obter mais informações, consulte, Especificar um endereço IP ou um intervalo de IP.

  8. O campo Protocolos permitidos é opcional e especifica o protocolo permitido para uma solicitação feita com o token SAS. O valor padrão é HTTPS.

  9. Selecione Gerar token SAS e URL.

  10. A cadeia de caracteres de consulta do token SAS do blob e a URL SAS do blob aparecem na área inferior da janela. Para usar o token SAS do blob, acrescente a ele um URI de serviço de armazenamento.

  11. Copie e cole o token SAS do blob e os valores da URL SAS do blob em um local seguro. Os valores são exibidos apenas uma vez e não podem ser recuperados depois que a janela é fechada.

  12. Para criar uma URL SAS, acrescente o token SAS (URI) à URL de um serviço de armazenamento.

Usar o Gerenciador de Armazenamento do Azure

O Gerenciador de Armazenamento do Azure é uma ferramenta autônoma gratuita que permite gerenciar recursos do armazenamento em nuvem do Azure facilmente por meio da área de trabalho.

Introdução

Criar os tokens SAS

  1. Abra o aplicativo Gerenciador de Armazenamento do Azure no computador local e navegue até suas contas de armazenamento conectadas.

  2. Expanda o nó Contas de Armazenamento e selecione Contêineres de Blob.

  3. Expanda o nó Contêineres de Blob e clique com o botão direito do mouse em um nó de contêiner de armazenamento para exibir o menu de opções.

  4. Selecione Obter Assinatura de Acesso Compartilhado no menu de opções.

  5. Na janela Assinatura de Acesso Compartilhado, faça as seguintes seleções:

    • Selecione sua Política de acesso (o padrão é nenhuma política).
    • Especifique a data e a hora de Início e de Expiração da chave assinada. Recomendamos usar um período de vida útil curto, pois não é possível revogar uma SAS depois de gerada.
    • Selecione o Fuso horário da data e hora de início e de expiração (o padrão é Local).
    • Defina as Permissões no contêiner marcando as caixas de seleção Ler, Gravar, Listar e Excluir.
    • Selecione key1 ou key2.
    • Confira os dados e selecione Criar.
  6. Uma nova janela será exibida com o nome do Contêiner, a URL da SAS e a Cadeia de caracteres de consulta do contêiner.

  7. Copie e cole os valores da URL SAS e da cadeia de caracteres de consulta em um local seguro. Eles são exibidos apenas uma vez e não podem ser recuperados depois que a janela é fechada.

  8. Para criar uma URL SAS, acrescente o token SAS (URI) à URL de um serviço de armazenamento.

Usar a URL SAS para permitir acesso

A URL SAS inclui um conjunto especial de parâmetros de consulta. Esses parâmetros indicam como o cliente acessa os recursos.

API REST

Para usar a URL SAS com a API REST, adicione a URL SAS ao corpo da solicitação:

{
    "source":"<BLOB SAS URL>"
}

É isso! Você aprendeu a criar tokens SAS para autorizar como os clientes a acessam seus dados.

Próxima etapa