建立儲存體容器的 SAS 權杖

此內容適用於：v4.0 （預覽）v3.1 （GA）v3.0 （GA）v2.1 （GA）

在本文中了解如何使用 Azure 入口網站或 Azure 儲存體總管，以建立使用者委派、共用存取簽章 (SAS) 權杖。 會使用 Microsoft Entra 認證來保護使用者委派 SAS 權杖。 SAS 權杖會對您 Azure 儲存體帳戶中的資源提供安全的委派存取權。

概括而言，以下是 SAS 權杖的運作方式：

• 您的應用程式會將 SAS 權杖提交至 Azure 儲存體，作為 REST API 要求的一部分。

• 如果儲存體服務確認 SAS 有效，則要求會獲得授權。

• 如果 SAS 權杖被視為無效，則會拒絕要求並傳回錯誤碼 403 (禁止)。

Azure Blob 儲存體提供三種資源類型：

• 儲存體帳戶可在 Azure 中為您的資料提供唯一命名空間。
• 資料儲存體容器位於儲存體帳戶中，用於組織 Blob 集合。
• Blob 位於容器中，用於儲存文字和二進位資料，例如檔案、文字和映像。

使用 SAS 權杖的時機

• 定型自訂模型。 您組合的定型文件集「必須」上傳至 Azure Blob 儲存體容器。 您可以選擇使用 SAS 權杖來授與定型文件的存取權。

• 使用儲存體容器搭配公用存取權。 您可以選擇使用 SAS 權杖，將有限存取權授與具有公用讀取存取權的儲存體資源。

  重要

  • 如果您的 Azure 儲存體帳戶受到虛擬網路或防火牆的保護，則您無法使用 SAS 權杖授與存取權。 您必須使用受控識別，授與儲存體資源的存取權。

  • 受控識別同時支援可私下和公開存取的 Azure Blob 儲存體帳戶。

  • SAS 權杖可授與儲存體資源的權限，而且應該採用與帳戶金鑰相同的方式加以保護。

  • 使用 SAS 權杖的作業應該只透過 HTTPS 連線執行，而 SAS URI 只應在安全連線 (例如 HTTPS) 上散發。

必要條件

若要開始，您需要：

• 作用中的 Azure 帳戶。 如果您沒有帳戶，您可以建立免費帳戶。

• 文件智慧或多服務資源。

• 標準效能Azure Blob 儲存體帳戶。 您需要建立容器，以在儲存體帳戶內儲存和組織 Blob 資料。 如果您不知道如何使用儲存體容器建立 Azure 儲存體帳戶，請遵循下列快速入門：

  • 建立儲存體帳戶。 建立儲存體帳戶時，請選取 [標準] 效能 (位於 [執行個體詳細資料]>[效能] 欄位中)。
  • 建立容器。 建立容器時，請在 [新增容器] 視窗中，將 [公用存取層級] 設定為 [容器] (容器和 Blob 的匿名讀取權限)。

上傳您的文件

1. 登入 Azure 入口網站。

   • 選取 [您的儲存體帳戶] → [資料儲存體] → [容器]。

   

2. 從清單中選取一個容器。

3. 從頁面頂端的功能表中選取 [上傳]。

   

4. [上傳 Blob] 視窗隨即出現。 選取要上傳的檔案。

   

   注意

   根據預設，REST API 會使用位於容器根目錄的文件。 您也可以使用子資料夾中組織的資料 (如果已在 API 呼叫中指定的話)。 如需詳細資訊，請參閱在子資料夾中組織您的資料。

使用 Azure 入口網站

Azure 入口網站是 Web 型主控台，可讓您使用圖形化使用者介面 (GUI) 來管理 Azure 訂用帳戶和資源。

1. 登入 Azure 入口網站。

2. 瀏覽至 [儲存體帳戶] > [容器] > [您的容器]。

3. 從頁面頂端附近的功能表選取 [產生 SAS]。

4. 選取 [簽署方法] → [使用者委派金鑰]。

5. 選取或清除適當的核取方塊，以定義 [權限]。
   

   • 確定已選取 [讀取]、[寫入]、[刪除] 和 [列出] 權限。

   

   重要

   • 如果您收到類似下列訊息，則亦須指派儲存體帳戶中 Blob 資料的存取權：

     

   • Azure 角色型存取控制 (Azure RBAC) 是您用來管理 Azure 資源存取權的授權系統。 Azure RBAC 可協助您管理 Azure 資源的存取權和權限。

   • 指派用於存取 Blob 資料的 Azure 角色以指派一個角色，允許 Azure 儲存體容器的讀取、寫入和刪除權限。 請參閱儲存體 Blob 資料參與者。

6. 指定已簽署金鑰的開始和到期時間。

   • 當您建立 SAS 權杖時，預設持續時間為 48 小時。 48 小時之後，您必須建立新的權杖。
   • 請考慮設定較長的持續時間期間，作為您針對文件智慧服務作業使用儲存體帳戶的時間。
   • 到期時間的值取決於您是否使用帳戶金鑰或使用者委派金鑰簽署方法：
     • 帳戶金鑰：沒有強制的時間上限；不過，最佳做法會建議您設定到期原則來限制間隔，並將洩露機率降至最低。 設定共用存取簽章的到期原則。
     • 使用者委派金鑰：到期時間值的上限為從建立 SAS 權杖起的七天。 SAS 在使用者委派金鑰到期後會變為無效，因此到期時間超過七天的 SAS 仍僅有七天有效。 如需詳細資訊，請參閱使用 Microsoft Entra 認證來保護 SAS。

7. [允許的 IP 位址] 欄位是選擇性的，並指定要接受要求的 IP 位址或 IP 位址範圍。 如果要求的 IP 位址不符合 SAS 權杖上指定的 IP 位址或位址範圍，則授權會失敗。 IP 位址或 IP 位址範圍必須是公用 IP，而非私人 IP。 如需詳細資訊，請參閱指定 IP 位址或 IP 範圍。

8. [允許的通訊協定] 欄位是選擇性的，並且會指定使用 SAS 權杖提出的要求所允許的通訊協定。 預設值是 HTTPS。

9. 選取 [產生 SAS 權杖和 URL]。

10. Blob SAS 權杖查詢字串和 Blob SAS URL 隨即出現在視窗下方區域。 若要使用 Blob SAS 權杖，請將其附加至儲存體服務 URI。

11. 將 Blob SAS 權杖和 Blob SAS URL 值複製並貼到安全的位置。 這些值只會顯示一次，一旦關閉視窗就無法再擷取。

12. 若要建構 SAS URL，請將 SAS 權杖 (URI) 附加至儲存體服務的 URL。

使用 Azure 儲存體總管

Azure 儲存體總管是免費的獨立應用程式，可讓您從桌面輕鬆地管理 Azure 雲端儲存體資源。

開始使用

• 您需要在 Windows、macOS 或 Linux 開發環境中安裝 Azure 儲存體總管應用程式。

• 安裝 Azure 儲存體總管應用程式之後，請與您要用於文件智慧的儲存體帳戶連線。

建立您的 SAS 權杖

1. 開啟本機電腦上的 Azure 儲存體總管應用程式，並瀏覽至您連線的儲存體帳戶。

2. 展開儲存體帳戶節點並選取 [Blob 容器]。

3. 展開 [Blob 容器] 節點，並以滑鼠右鍵按一下儲存體 [容器] 節點，以顯示選項功能表。

4. 從選項功能表選取 [取得共用存取簽章]。

5. 在 [共用存取簽章] 視窗中，進行下列選擇：

   • 選取您的 [存取原則] (預設值為 [無])。
   • 指定已簽署金鑰的開始和到期日期和時間。 建議使用較短的生命週期，因為一旦產生，就無法撤銷 SAS。
   • 選取開始和到期日期和時間的 [時區] (預設值為 [本地])。
   • 選取 [讀取]、[寫入]、[列出] 和 [刪除] 核取方塊，以定義您的容器權限。
   • 選取 key1 或 key2。
   • 檢閱並選取 [建立]。

6. 新的視窗隨即出現，其中包含容器的容器名稱、SAS URL 和查詢字串。

7. 複製 SAS URI 和查詢字串值，並將其貼在安全的位置中。 這些值只會顯示一次，一旦關閉視窗就無法再擷取。

8. 若要建構 SAS URL，請將 SAS 權杖 (URI) 附加至儲存體服務的 URL。

使用 SAS URL 授與存取權

SAS URL 包括一組特殊的查詢參數。 這些參數會指出用戶端如何存取資源。

REST API

若要搭配 REST API 使用 SAS URL，請將 SAS URL 新增至要求本文：

{
    "source":"<BLOB SAS URL>"
}

介紹完畢 您已了解如何建立 SAS 權杖，以針對用戶端存取資料的方式進行授權。

後續步驟

建置訓練資料集