Depolama kapsayıcılarınız için SAS belirteçleri
Azure portalını kullanarak kullanıcı temsilcisi seçme, paylaşılan erişim imzası (SAS) belirteçleri oluşturmayı öğrenin. Kullanıcı temsilcisi SAS belirteçlerinin güvenliği Microsoft Entra kimlik bilgileriyle sağlanır. SAS belirteçleri, Azure depolama hesabınızdaki kaynaklara güvenli ve temsilci erişimi sağlar.
İpucu
Rol tabanlı erişim denetimi (yönetilen kimlikler), HTTP isteklerinize SAS belirteçleri eklemeye gerek kalmadan depolama verilerinize erişim vermek için alternatif bir yöntem sağlar.
- Kendi uygulamalarınız da dahil olmak üzere Microsoft Entra kimlik doğrulamasını destekleyen herhangi bir kaynağa erişim vermek için yönetilen kimlikleri kullanabilirsiniz.
- Yönetilen kimlikleri kullanmak, kaynak ve hedef URL'lerinizle paylaşılan erişim imzası belirteçlerini (SAS) ekleme gereksiniminin yerini alır.
- Azure'da yönetilen kimlikleri kullanmak için ek maliyet yoktur.
Yüksek düzeyde SAS belirteçleri şu şekilde çalışır:
Uygulamanız BIR REST API isteğinin parçası olarak SAS belirtecini Azure Depolama'ya gönderir.
Depolama hizmeti SAS'nin geçerli olduğunu doğrularsa istek yetkilendirilmiştir.
SAS belirteci geçersiz kabul edilirse istek reddedilir ve hata kodu 403 (Yasak) döndürülür.
Azure Blob Depolama üç kaynak türü sunar:
- Depolama hesapları, verileriniz için Azure'da benzersiz bir ad alanı sağlar.
- Veri depolama kapsayıcıları depolama hesaplarında bulunur ve blob kümelerini (dosyalar, metin veya görüntüler) düzenler.
- Bloblar kapsayıcılarda bulunur ve dosya, metin ve görüntü gibi metin ve ikili verileri depolar.
Önemli
SAS belirteçleri depolama kaynaklarına izin vermek için kullanılır ve hesap anahtarıyla aynı şekilde korunmalıdır.
SAS belirteçlerini kullanan işlemler yalnızca HTTPS bağlantısı üzerinden gerçekleştirilmeli ve SAS URI'leri yalnızca HTTPS gibi güvenli bir bağlantı üzerinde dağıtılmalıdır.
Önkoşullar
Başlamak için aşağıdaki kaynaklara ihtiyacınız vardır:
Etkin bir Azure hesabı. Hesabınız yoksa ücretsiz bir hesap oluşturabilirsiniz.
Azure AI Dil kaynağı.
Standart performans Azure Blob Depolama hesabı. Ayrıca dosyalarınızı depolama hesabınızda depolamak ve düzenlemek için kapsayıcılar oluşturmanız gerekir. Depolama kapsayıcısı ile Azure depolama hesabı oluşturmayı bilmiyorsanız şu hızlı başlangıçları izleyin:
- Depolama hesabı oluşturma. Depolama hesabınızı oluştururken Örnek ayrıntıları>Performans alanında Standart performans'ı seçin.
- Kapsayıcı oluşturma. Kapsayıcınızı oluşturduğunuzda, Yeni Kapsayıcı penceresinde Genel erişim düzeyini Kapsayıcı (kapsayıcılar ve dosyalar için anonim okuma erişimi) olarak ayarlayın.
Azure portalında SAS belirteçleri oluşturma
Azure portalına gidin ve kapsayıcınıza veya belirli bir dosyaya aşağıdaki gibi gidin ve şu adımlarla devam edin:
İş akışı: Depolama hesabınız → kapsayıcılar → kapsayıcınız dosyanızı →
Kapsayıcıya veya dosyaya sağ tıklayın ve açılan menüden SAS Oluştur'a tıklayın.
kullanıcı temsilcisi anahtarı → İmzalama yöntemi'ne tıklayın.
uygun onay kutusunu işaretleyip/veya temizleyerek İzinleri tanımlayın:
Kaynak dosyanız okuma ve liste erişimi belirlemelidir.
Hedef dosyanızda yazma ve liste erişimi belirtilmelidir.
İmzalı anahtarın Başlangıç ve Bitiş sürelerini belirtin.
- Paylaşılan erişim imzası (SAS) oluşturduğunuzda varsayılan süre 48 saattir. 48 saat sonra yeni bir belirteç oluşturmanız gerekir.
- Dil Hizmeti işlemleri için depolama hesabınızı kullandığınız süre için daha uzun bir süre ayarlamayı göz önünde bulundurun.
- Süre sonu süresinin değeri, Hesap anahtarı mı yoksa Kullanıcı temsilcisi anahtarı İmzalama yöntemi mi kullandığınıza göre belirlenir:
- Hesap anahtarı: Uygulanan en yüksek süre sınırı yoktur; ancak en iyi yöntemler, aralığı sınırlamak ve güvenliğin aşılmasına en aza indirmek için bir süre sonu ilkesi yapılandırmanızı önerir. Paylaşılan erişim imzaları için bir süre sonu ilkesi yapılandırın.
- Kullanıcı temsilcisi anahtarı: Süre sonu süresi değeri, SAS belirtecinin oluşturulmasından itibaren en fazla yedi gündür. Kullanıcı temsilcisi anahtarının süresi dolduktan sonra SAS geçersizdir, bu nedenle süresi yedi günden uzun olan bir SAS yalnızca yedi gün boyunca geçerli olur. Daha fazla bilgi için bkz. SAS güvenliğini sağlamak için Microsoft Entra kimlik bilgilerini kullanma.
İzin verilen IP adresleri alanı isteğe bağlıdır ve istekleri kabul etmek için bir IP adresi veya IP adresi aralığı belirtir. İstek IP adresi SAS belirtecinde belirtilen IP adresi veya adres aralığıyla eşleşmiyorsa yetkilendirme başarısız olur. IP adresi veya ip adresi aralığı özel değil genel IP'ler olmalıdır. Daha fazla bilgi için bkz. IP adresi veya IP aralığı belirtme.
İzin verilen protokoller alanı isteğe bağlıdır ve SAS ile yapılan istek için izin verilen protokolü belirtir. Varsayılan değer HTTPS'dir.
Gözden geçirin ve SAS belirteci ve URL oluştur'a tıklayın.
Blob SAS belirteci sorgu dizesi ve Blob SAS URL'si pencerenin alt alanında görüntülenir.
Blob SAS belirtecini ve URL değerlerini kopyalayıp güvenli bir konuma yapıştırın. Bunlar yalnızca bir kez görüntülenir ve pencere kapatıldıktan sonra alınamaz.
SAS URL'si oluşturmak için , depolama hizmetinin URL'sine SAS belirtecini (URI) ekleyin.
Erişim vermek için SAS URL'nizi kullanma
SAS URL'si özel bir sorgu parametreleri kümesi içerir. Bu parametreler istemcinin kaynaklara nasıl eriştiği gösterir.
SAS URL'nizi REST API isteklerine iki şekilde ekleyebilirsiniz:
SOURCEURL ve targetURL değerleriniz olarak SAS URL'sini kullanın.
SAS sorgu dizesini mevcut sourceURL ve targetURL değerlerinize ekleyin.
Örnek bir REST API isteği aşağıda verilmiştir:
{
"analysisInput": {
"documents": [
{
"id": "doc_0",
"language": "en",
"source": {
"location": "myaccount.blob.core.windows.net/sample-input/input.pdf?{SAS-Token}"
},
"target": {
"location": "https://myaccount.blob.core.windows.net/sample-output?{SAS-Token}"
}
}
]
}
}
İşte hepsi bu! İstemcilerin verilerinize erişmesini yetkilendirmek için SAS belirteçleri oluşturmayı öğrendiniz.