SAS-token för dina lagringscontainrar

Lär dig hur du skapar användardelegering, sas-token (signatur för delad åtkomst) med hjälp av Azure-portalen. SAS-token för användardelegering skyddas med Microsoft Entra-autentiseringsuppgifter. SAS-token ger säker, delegerad åtkomst till resurser i ditt Azure Storage-konto.

Dricks

Rollbaserad åtkomstkontroll (hanterade identiteter) ger en alternativ metod för att bevilja åtkomst till dina lagringsdata utan att behöva inkludera SAS-token med dina HTTP-begäranden.

• Du kan använda hanterade identiteter för att bevilja åtkomst till alla resurser som stöder Microsoft Entra-autentisering, inklusive dina egna program.
• Att använda hanterade identiteter ersätter kravet på att du ska inkludera signaturtoken för delad åtkomst (SAS) med dina käll- och mål-URL:er.
• Det finns ingen extra kostnad för att använda hanterade identiteter i Azure.

På en hög nivå fungerar SAS-token så här:

• Ditt program skickar SAS-token till Azure Storage som en del av en REST API-begäran.

• Om lagringstjänsten verifierar att SAS är giltig, godkänns begäran.

• Om SAS-token anses vara ogiltig avvisas begäran och felkoden 403 (förbjuden) returneras.

Azure Blob Storage erbjuder tre resurstyper:

• Lagringskonton tillhandahåller ett unikt namnområde i Azure för dina data.
• Datalagringscontainrar finns i lagringskonton och organiserar uppsättningar med blobar (filer, text eller bilder).
• Blobar finns i containrar och lagrar text och binära data som filer, text och bilder.

Viktigt!

• SAS-token används för att bevilja behörigheter till lagringsresurser och bör skyddas på samma sätt som en kontonyckel.

• Åtgärder som använder SAS-token bör endast utföras via en HTTPS-anslutning, och SAS-URI:er bör endast distribueras på en säker anslutning, till exempel HTTPS.

Förutsättningar

För att komma igång behöver du följande resurser:

• Ett aktivt Azure-konto. Om du inte har någon, kan du skapa ett kostnadsfritt konto.

• En Azure AI Language-resurs .

• Ett Azure Blob Storage-konto med standardprestanda. Du måste också skapa containrar för att lagra och organisera dina filer i ditt lagringskonto. Om du inte vet hur du skapar ett Azure Storage-konto med en lagringscontainer följer du dessa snabbstarter:

  • Skapa ett lagringskonto. När du skapar ditt lagringskonto väljer du Standardprestanda i fältet Prestanda för instansinformation>.
  • Skapa en container. När du skapar containern anger du Offentlig åtkomstnivå till Container (anonym läsåtkomst för containrar och filer) i fönstret Ny container .

Skapa SAS-token i Azure-portalen

Gå till Azure-portalen och gå till din container eller en specifik fil enligt följande och fortsätt med följande steg:

Arbetsflöde: Ditt lagringskonto → containrar → containern → filen

1. Högerklicka på containern eller filen och välj Generera SAS i den nedrullningsbara menyn.

2. Välj Signeringsmetod → användardelegeringsnyckel.

3. Definiera behörigheter genom att markera och/eller avmarkera lämplig kryssruta:

   • Källfilen måste ange läs- och liståtkomst.

   • Målfilen måste ange skriv- och liståtkomst.

4. Ange start- och förfallotiderna för den signerade nyckeln.

   • När du skapar en signatur för delad åtkomst (SAS) är standardvaraktigheten 48 timmar. Efter 48 timmar måste du skapa en ny token.
   • Överväg att ange en längre varaktighetsperiod för den tid du använder ditt lagringskonto för Language Service-åtgärder.
   • Värdet för förfallotiden bestäms av om du använder en kontonyckel eller signeringsmetod för användardelegeringsnyckel:
     • Kontonyckel: Ingen maximal tidsgräns har införts. Bästa praxis rekommenderar dock att du konfigurerar en förfalloprincip för att begränsa intervallet och minimera kompromisser. Konfigurera en förfalloprincip för signaturer för delad åtkomst.
     • Användardelegeringsnyckel: Värdet för förfallotiden är högst sju dagar från det att SAS-token skapades. SAS är ogiltigt när användardelegeringsnyckeln har upphört att gälla, så en SAS med en förfallotid på mer än sju dagar är fortfarande bara giltig i sju dagar. Mer information finns iAnvända Microsoft Entra-autentiseringsuppgifter för att skydda en SAS.

5. Fältet Tillåtna IP-adresser är valfritt och anger en IP-adress eller ett intervall med IP-adresser som begäranden ska accepteras från. Om begärans IP-adress inte matchar IP-adressen eller adressintervallet som anges på SAS-token misslyckas auktoriseringen. IP-adressen eller ett intervall med IP-adresser måste vara offentliga IP-adresser, inte privata. Mer information finns i Ange en IP-adress eller ETT IP-intervall.

6. Fältet Tillåtna protokoll är valfritt och anger vilket protokoll som tillåts för en begäran som görs med SAS. Standardvärdet är HTTPS.

7. Granska och välj sedan Generera SAS-token och URL.

8. Frågesträngen för Blob SAS-token och Blob SAS-URL:en visas i det nedre området i fönstret.

9. Kopiera och klistra in blob-SAS-token och URL-värden på en säker plats. De visas bara en gång och kan inte hämtas när fönstret har stängts.

10. Om du vill skapa en SAS-URL lägger du till SAS-token (URI) i URL:en för en lagringstjänst.

Använd DIN SAS-URL för att bevilja åtkomst

SAS-URL:en innehåller en särskild uppsättning frågeparametrar. Dessa parametrar anger hur klienten kommer åt resurserna.

Du kan inkludera DIN SAS-URL med REST API-begäranden på två sätt:

• Använd SAS-URL:en som dina sourceURL- och targetURL-värden.

• Lägg till SAS-frågesträngen i dina befintliga sourceURL- och targetURL-värden.

Här är ett exempel på en REST API-begäran:

{
  "analysisInput": {
    "documents": [
      {
        "id": "doc_0",
        "language": "en",
        "source": {
          "location": "myaccount.blob.core.windows.net/sample-input/input.pdf?{SAS-Token}"
        },
        "target": {
          "location": "https://myaccount.blob.core.windows.net/sample-output?{SAS-Token}"
        }
      }
    ]
  }
}

Det var allt! Du har lärt dig hur du skapar SAS-token för att auktorisera hur klienter får åtkomst till dina data.

Nästa steg

Läs mer om inbyggt dokumentstödLäs mer om att bevilja åtkomst med SAS