Skapa SAS-token för dina lagringscontainrar
I den här artikeln får du lära dig hur du skapar användardelegering, sas-token (signatur för delad åtkomst) med hjälp av Azure-portalen eller Azure Storage Explorer. SAS-token för användardelegering skyddas med Microsoft Entra-autentiseringsuppgifter. SAS-token ger säker, delegerad åtkomst till resurser i ditt Azure Storage-konto.
Dricks
Hanterade identiteter tillhandahåller en alternativ metod för att bevilja åtkomst till dina lagringsdata utan att behöva inkludera SAS-token med dina HTTP-begäranden. Se Hanterade identiteter för dokumentöversättning.
- Du kan använda hanterade identiteter för att bevilja åtkomst till alla resurser som stöder Microsoft Entra-autentisering, inklusive dina egna program.
- Att använda hanterade identiteter ersätter kravet på att du ska inkludera signaturtoken för delad åtkomst (SAS) med dina käll- och mål-URL:er.
- Det finns ingen extra kostnad för att använda hanterade identiteter i Azure.
På en hög nivå fungerar SAS-token så här:
Ett program skickar SAS-token till Azure Storage som en del av en REST API-begäran.
Lagringstjänsten verifierar att SAS är giltig. I så fall är begäran auktoriserad.
Begäran avvisas Om SAS-token anses vara ogiltig. I så fall returneras felkoden 403 (förbjuden).
Azure Blob Storage erbjuder tre resurstyper:
- Lagringskonton tillhandahåller ett unikt namnområde i Azure för dina data.
- Datalagringscontainrar finns i lagringskonton och organiserar uppsättningar med blobar (filer, text eller bilder).
- Blobar finns i containrar och lagrar text och binära data som filer, text och bilder.
Viktigt!
SAS-token används för att bevilja behörigheter till lagringsresurser och bör skyddas på samma sätt som en kontonyckel.
Åtgärder som använder SAS-token bör endast utföras via en HTTPS-anslutning, och SAS-URI:er bör endast distribueras på en säker anslutning, till exempel HTTPS.
Förutsättningar
För att komma igång behöver du följande resurser:
Ett aktivt Azure-konto. Om du inte har någon, kan du skapa ett kostnadsfritt konto.
Ett Azure Blob Storage-konto med standardprestanda. Du måste också skapa containrar för att lagra och organisera dina filer i ditt lagringskonto. Om du inte vet hur du skapar ett Azure Storage-konto med en lagringscontainer följer du dessa snabbstarter:
- Skapa ett lagringskonto. När du skapar ditt lagringskonto väljer du Standardprestanda i fältet Prestanda för instansinformation>.
- Skapa en container. När du skapar containern anger du Offentlig åtkomstnivå till Container (anonym läsåtkomst för containrar och filer) i fönstret Ny container .
Skapa SAS-token i Azure-portalen
Gå till Azure-portalen och gå till din container eller en specifik fil enligt följande och fortsätt med följande steg:
Skapa SAS-token för en container | Skapa SAS-token för en specifik fil |
---|---|
Ditt lagringskonto → containrar → containern | Ditt lagringskonto → containrar → containern→ filen |
Högerklicka på containern eller filen och välj Generera SAS i den nedrullningsbara menyn.
Välj Signeringsmetod → användardelegeringsnyckel.
Definiera behörigheter genom att markera och/eller avmarkera lämplig kryssruta:
Källcontainern eller -filen måste ange läs- och liståtkomst.
Målcontainern eller -filen måste ange skriv- och liståtkomst.
Ange start- och förfallotiderna för den signerade nyckeln.
- När du skapar en signatur för delad åtkomst (SAS) är standardvaraktigheten 48 timmar. Efter 48 timmar måste du skapa en ny token.
- Överväg att ange en längre tidsperiod för den tid du använder ditt lagringskonto för Translator Service-åtgärder.
- Värdet för förfallotiden bestäms av om du använder en kontonyckel eller signeringsmetod för användardelegeringsnyckel:
- Kontonyckel: Även om det inte finns någon maximal tidsgräns rekommenderar bästa praxis att du konfigurerar en förfalloprincip för att begränsa intervallet och minimera risken för intrång. Konfigurera en förfalloprincip för signaturer för delad åtkomst.
- Användardelegeringsnyckel: Värdet för förfallotiden är högst sju dagar från det att SAS-token skapades. SAS är ogiltigt när användardelegeringsnyckeln har upphört att gälla, så en SAS med en förfallotid på mer än sju dagar är fortfarande bara giltig i sju dagar. Mer information finns i Använda Microsoft Entra-autentiseringsuppgifter för att skydda en SAS.
Fältet Tillåtna IP-adresser är valfritt och anger en IP-adress eller ett intervall med IP-adresser som begäranden ska accepteras från. Om begärans IP-adress inte matchar IP-adressen eller adressintervallet som anges på SAS-token misslyckas auktoriseringen. IP-adressen eller ett intervall med IP-adresser måste vara offentliga IP-adresser, inte privata. Mer information finns i Ange en IP-adress eller ETT IP-intervall.
Fältet Tillåtna protokoll är valfritt och anger vilket protokoll som tillåts för en begäran som görs med SAS. Standardvärdet är HTTPS.
Granska och välj sedan Generera SAS-token och URL.
Frågesträngen för Blob SAS-token och Blob SAS-URL:en visas i det nedre området i fönstret.
Kopiera och klistra in blob-SAS-token och URL-värden på en säker plats. De visas bara en gång och kan inte hämtas när fönstret har stängts.
Om du vill skapa en SAS-URL lägger du till SAS-token (URI) i URL:en för en lagringstjänst.
Skapa SAS-token med Azure Storage Explorer
Azure Storage Explorer är en kostnadsfri fristående app som gör att du enkelt kan hantera dina Azure-molnlagringsresurser från skrivbordet.
Du behöver Azure Storage Explorer-appen installerad i din Windows-, macOS- eller Linux-utvecklingsmiljö.
När Azure Storage Explorer-appen har installerats ansluter du den till det lagringskonto som du använder för dokumentöversättning. Följ dessa steg för att skapa token för en lagringscontainer eller en specifik blobfil:
Öppna Azure Storage Explorer-appen på den lokala datorn och gå till dina anslutna lagringskonton.
Expandera noden Lagringskonton och välj Blobcontainrar.
Expandera noden BlobContainrar och högerklicka på en lagringscontainernod för att visa alternativmenyn.
Välj Hämta signatur för delad åtkomst... på alternativmenyn.
I fönstret Signatur för delad åtkomst gör du följande val:
- Välj din åtkomstprincip (standardvärdet är ingen).
- Ange den signerade nyckeln Start och Förfallodatum och tid. En kort livslängd rekommenderas eftersom en SAS inte kan återkallas när den har genererats.
- Välj tidszonen för start- och förfallodatum och -tid (standardvärdet är Lokalt).
- Definiera dina containerbehörigheter genom att markera och/eller avmarkera lämplig kryssruta.
- Granska och välj Skapa.
Ett nytt fönster visas med containerns namn, URI och frågesträng för containern.
Kopiera och klistra in värdena för container, URI och frågesträng på en säker plats. De visas bara en gång och kan inte hämtas när fönstret har stängts.
Om du vill skapa en SAS-URL lägger du till SAS-token (URI) i URL:en för en lagringstjänst.
Använd DIN SAS-URL för att bevilja åtkomst
SAS-URL:en innehåller en särskild uppsättning frågeparametrar. Dessa parametrar anger hur klienten kommer åt resurserna.
Du kan inkludera DIN SAS-URL med REST API-begäranden på två sätt:
Använd SAS-URL:en som dina sourceURL- och targetURL-värden.
Lägg till SAS-frågesträngen i dina befintliga sourceURL- och targetURL-värden.
Här är ett exempel på en REST API-begäran:
{
"inputs": [
{
"storageType": "File",
"source": {
"sourceUrl": "https://my.blob.core.windows.net/source-en/source-english.docx?sv=2019-12-12&st=2021-01-26T18%3A30%3A20Z&se=2021-02-05T18%3A30%3A00Z&sr=c&sp=rl&sig=d7PZKyQsIeE6xb%2B1M4Yb56I%2FEEKoNIF65D%2Fs0IFsYcE%3D"
},
"targets": [
{
"targetUrl": "https://my.blob.core.windows.net/target/try/Target-Spanish.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
"language": "es"
},
{
"targetUrl": "https://my.blob.core.windows.net/target/try/Target-German.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
"language": "de"
}
]
}
]
}
Det var allt! Du har precis lärt dig hur du skapar SAS-token för att auktorisera hur klienter får åtkomst till dina data.