建立儲存體容器的 SAS 權杖
此內容適用于: v4.0 (預覽) v3.1 (GA) v3.0 (GA) v2.1 (GA)
在本文中了解如何使用 Azure 入口網站或 Azure 儲存體總管,以建立使用者委派、共用存取簽章 (SAS) 權杖。 使用者委派 SAS 權杖會使用 Microsoft Entra 認證來保護。 SAS 權杖提供 Azure 儲存體帳戶中資源的安全委派存取權。
概括而言,SAS 權杖的運作方式如下:
您的應用程式會將 SAS 權杖提交至作為 REST API 要求的一部分Azure 儲存體。
如果儲存體服務確認 SAS 有效,則會授權要求。
如果 SAS 權杖被視為無效,則會拒絕要求,並傳回錯誤碼 403(禁止)。
Azure Blob 儲存體提供三種資源類型:
- 儲存體 帳戶在 Azure 中為您的資料提供唯一的命名空間。
- 資料儲存體容器 位於儲存體帳戶中,並組織 Blob 集合。
- Blob 位於容器中,並儲存文字和二進位資料,例如檔案、文字和影像。
使用 SAS 權杖的時機
定型自訂模型 。 您組合的訓練檔 集必須 上傳至Azure Blob 儲存體容器。 您可以選擇使用 SAS 權杖來授與訓練檔的存取權。
使用具有公用存取 權的儲存體容器。 您可以選擇使用 SAS 權杖,對具有公用讀取權限的儲存體資源授與有限的存取權。
必要條件
若要開始,您需要:
標準 效能 Azure Blob 儲存體帳戶 。 您需要建立容器,以在儲存體帳戶內儲存和組織 Blob 資料。 如果您不知道如何使用儲存體容器建立 Azure 儲存體帳戶,請遵循下列快速入門:
上傳您的檔
登入 Azure 入口網站。
- 選取 [儲存體帳戶 ] → [資料儲存體 → 容器 ]。
從清單中選取容器。
從頁面頂端的功能表中選取 [上傳 ]。
[ 上傳 Blob ] 視窗隨即出現。 選取要上傳的檔案。
注意
根據預設,REST API 會使用位於容器根目錄的文件。 如果 API 呼叫中指定,您也可以使用組織于子資料夾中的資料。 如需詳細資訊,請參閱 在子資料夾中 組織您的資料。
使用 Azure 入口網站
Azure 入口網站是以 Web 為基礎的主控台,可讓您使用圖形化使用者介面 (GUI) 來管理 Azure 訂用帳戶和資源。
登入 Azure 入口網站。
瀏覽至 [儲存體帳戶] > [容器] > [您的容器]。
從頁面頂端附近的功能表中選取 [ 產生 SAS ]。
選取 [簽署方法 ] → [使用者委派金鑰 ]。
選取或清除適當的核取方塊來定義 許可權 。
- 請確定已選取 [ 讀取 ]、 [寫入 ]、 [刪除 ] 和 [清單 ] 許可權。
重要
如果您收到類似下列訊息的訊息,您也必須指派儲存體帳戶中 Blob 資料的存取權:
Azure 角色型存取控制 (Azure RBAC) 是用來管理 Azure 資源存取權的授權系統。 Azure RBAC 可協助您管理 Azure 資源的存取權和許可權。
指派 Azure 角色以存取 Blob 資料 ,以指派角色,以允許 Azure 儲存體容器的讀取、寫入和刪除許可權。 請參閱 儲存體 Blob 資料參與者 。
指定已簽署的金鑰 [開始 ] 和 [到期 時間]。
- 當您建立 SAS 權杖時,預設持續時間為 48 小時。 48 小時之後,您必須建立新的權杖。
- 請考慮設定較長的持續時間期間,作為您針對文件智慧服務作業使用儲存體帳戶的時間。
- 到期時間的值取決於您使用的是 帳戶金鑰或 使用者委派金鑰 簽署方法:
- 帳戶金鑰:沒有強制的時間上限;不過,最佳做法會建議您設定到期原則來限制間隔,並將洩露機率降至最低。 設定共用存取簽章的到期原則。
- 使用者委派金鑰:到期時間值的上限為從建立 SAS 權杖起的七天。 SAS 在使用者委派金鑰到期後會變為無效,因此到期時間超過七天的 SAS 仍僅有七天有效。 如需詳細資訊,請參閱使用 Microsoft Entra 認證來保護 SAS。
[ 允許的IP 位址 ] 字段是選擇性的,並指定要接受要求的IP位址或IP位址範圍。 如果要求的 IP 位址不符合 SAS 權杖上指定的 IP 位址或位址範圍,則授權會失敗。 IP 位址或 IP 位址範圍必須是公用 IP,而非私人 IP。 如需詳細資訊,請參閱指定 IP 位址或 IP 範圍。
[ 允許的通訊協定 ] 字段是選擇性的,並指定允許使用 SAS 令牌提出要求的通訊協定。 預設值為 HTTPS。
選取 [產生 SAS 權杖和 URL]。
Blob SAS 令牌查詢字串和 Blob SAS URL 會出現在視窗的下方區域。 若要使用 Blob SAS 令牌,請將它附加至記憶體服務 URI。
複製並貼上安全位置中的 Blob SAS 令牌 和 Blob SAS URL 值。 它們只會顯示一次,而且無法在關閉窗口之後擷取。
若要 建構 SAS URL,請將 SAS 令牌 (URI) 附加至記憶體服務的 URL。
使用 Azure 儲存體總管
Azure 儲存體 Explorer 是免費的獨立應用程式,可讓您輕鬆地從桌面管理 Azure 雲端記憶體資源。
開始使用
您需要在 Windows、macOS 或 Linux 開發環境中安裝 Azure 儲存體總管應用程式。
安裝 Azure 儲存體總管應用程式之後,請與您要用於文件智慧的儲存體帳戶連線。
建立您的 SAS 令牌
開啟本機電腦上的 Azure 儲存體 Explorer 應用程式,並流覽至已連線 儲存體 帳戶。
展開 [儲存體 帳戶] 節點,然後選取 [Blob 容器]。
展開 [Blob 容器] 節點,並以滑鼠右鍵單擊記憶體 容器 節點以顯示選項功能表。
從選項功能選取 [ 取得共用存取簽章 ]。
在 [ 共用存取簽章 ] 視窗中,進行下列選擇:
- 選取您的 存取原則 (預設值為 none)。
- 指定已簽署的金鑰 開始 和 到期 日期和時間。 建議使用較短的生命週期,因為一旦產生,就無法撤銷 SAS。
- 選取 [開始] 和 [到期日] 日期和時間的 [時區 ] (預設值為 [本機]。
- 選取 [讀取]、[寫入]、[列表] 和 [刪除] 複選框,以定義您的容器許可權。
- 選取 key1 或 key2。
- 檢閱並選取 [ 建立]。
新的視窗隨即出現,其中包含容器的容器名稱、SAS URL 和查詢字串。
將SAS URL和查詢字串值複製並貼到安全的位置。 它們只會顯示一次,而且一旦關閉視窗就無法擷取。
若要 建構 SAS URL,請將 SAS 令牌 (URI) 附加至記憶體服務的 URL。
使用您的 SAS URL 來授與存取權
SAS URL 包含一組 特殊的查詢參數。 這些參數會指出用戶端如何存取資源。
REST API
若要搭配 REST API 使用您的 SAS URL,請將 SAS URL 新增至要求本文:
{
"source":"<BLOB SAS URL>"
}
介紹完畢 您已瞭解如何建立 SAS 令牌,以授權用戶端如何存取您的數據。