建立儲存體容器的 SAS 權杖

  • 發行項

此內容適用于: checkmark v4.0 (預覽) checkmark v3.1 (GA) checkmark v3.0 (GA) checkmark v2.1 (GA)

在本文中了解如何使用 Azure 入口網站或 Azure 儲存體總管,以建立使用者委派、共用存取簽章 (SAS) 權杖。 使用者委派 SAS 權杖會使用 Microsoft Entra 認證來保護。 SAS 權杖提供 Azure 儲存體帳戶中資源的安全委派存取權。

Screenshot of storage URI with SAS token appended.

概括而言,SAS 權杖的運作方式如下:

  • 您的應用程式會將 SAS 權杖提交至作為 REST API 要求的一部分Azure 儲存體。

  • 如果儲存體服務確認 SAS 有效,則會授權要求。

  • 如果 SAS 權杖被視為無效,則會拒絕要求,並傳回錯誤碼 403(禁止)。

Azure Blob 儲存體提供三種資源類型:

  • 儲存體 帳戶在 Azure 中為您的資料提供唯一的命名空間。
  • 資料儲存體容器 位於儲存體帳戶中,並組織 Blob 集合。
  • Blob 位於容器中,並儲存文字和二進位資料,例如檔案、文字和影像。

使用 SAS 權杖的時機

  • 定型自訂模型 。 您組合的訓練檔 集必須 上傳至Azure Blob 儲存體容器。 您可以選擇使用 SAS 權杖來授與訓練檔的存取權。

  • 使用具有公用存取 權的儲存體容器。 您可以選擇使用 SAS 權杖,對具有公用讀取權限的儲存體資源授與有限的存取權。

    重要

    • 如果您的 Azure 儲存體帳戶受到虛擬網路或防火牆的保護,您無法使用 SAS 權杖來授與存取權。 您必須使用 受控識別 來授與儲存體資源的存取權。

    • 受控識別 同時支援私人和可公開存取Azure Blob 儲存體帳戶。

    • SAS 權杖會將許可權授與儲存體資源,而且應該以與帳戶金鑰相同的方式加以保護。

    • 使用 SAS 權杖的作業應該只透過 HTTPS 連線執行,而 SAS URI 應該只會分散在安全連線上,例如 HTTPS。

必要條件

若要開始,您需要:

  • 作用中的 Azure 帳戶 。 如果您沒有帳戶,您可以 建立免費帳戶

  • 文件智慧多服務資源。

  • 標準 效能 Azure Blob 儲存體帳戶 。 您需要建立容器,以在儲存體帳戶內儲存和組織 Blob 資料。 如果您不知道如何使用儲存體容器建立 Azure 儲存體帳戶,請遵循下列快速入門:

    • 建立儲存體帳戶。 當您建立儲存體帳戶時,請在 [實例詳細 > 資料效能] 欄位中選取 [標準 效能]。
    • 建立容器 。 當您建立容器時,請在 [新增容器 ] 視窗中,將 [公用存取層級 ] 設定 [容器 和 Blob 的 匿名讀取存取]。

上傳您的檔

  1. 登入 Azure 入口網站

    • 選取 [儲存體帳戶 ] → [資料儲存體 容器 ]。

    Screenshot that shows the Data storage menu in the Azure portal.

  2. 從清單中選取容器。

  3. 從頁面頂端的功能表中選取 [上傳 ]。

    Screenshot that shows the container Upload button in the Azure portal.

  4. [ 上傳 Blob ] 視窗隨即出現。 選取要上傳的檔案。

    Screenshot that shows the Upload blob window in the Azure portal.

    注意

    根據預設,REST API 會使用位於容器根目錄的文件。 如果 API 呼叫中指定,您也可以使用組織于子資料夾中的資料。 如需詳細資訊,請參閱 在子資料夾中 組織您的資料。

使用 Azure 入口網站

Azure 入口網站是以 Web 為基礎的主控台,可讓您使用圖形化使用者介面 (GUI) 來管理 Azure 訂用帳戶和資源。

  1. 登入 Azure 入口網站

  2. 瀏覽至 [儲存體帳戶] > [容器] > [您的容器]。

  3. 從頁面頂端附近的功能表中選取 [ 產生 SAS ]。

  4. 選取 [簽署方法 ] → [使用者委派金鑰 ]。

  5. 選取或清除適當的核取方塊來定義 許可權

    • 請確定已選取 [ 讀取 ]、 [寫入 ]、 [刪除 ] 和 [清單 ] 許可權。

    Screenshot that shows the SAS permission fields in the Azure portal.

    重要

  6. 指定已簽署的金鑰 [開始 ] 和 [到期 時間]。

    • 當您建立 SAS 權杖時,預設持續時間為 48 小時。 48 小時之後,您必須建立新的權杖。
    • 請考慮設定較長的持續時間期間,作為您針對文件智慧服務作業使用儲存體帳戶的時間。
    • 到期時間的值取決於您使用的是 帳戶金鑰或 使用者委派金鑰 簽署方法:
      • 帳戶金鑰:沒有強制的時間上限;不過,最佳做法會建議您設定到期原則來限制間隔,並將洩露機率降至最低。 設定共用存取簽章的到期原則
      • 使用者委派金鑰:到期時間值的上限為從建立 SAS 權杖起的七天。 SAS 在使用者委派金鑰到期後會變為無效,因此到期時間超過七天的 SAS 仍僅有七天有效。 如需詳細資訊,請參閱使用 Microsoft Entra 認證來保護 SAS

  7. [ 允許的IP 位址 ] 字段是選擇性的,並指定要接受要求的IP位址或IP位址範圍。 如果要求的 IP 位址不符合 SAS 權杖上指定的 IP 位址或位址範圍,則授權會失敗。 IP 位址或 IP 位址範圍必須是公用 IP,而非私人 IP。 如需詳細資訊,請參閱指定 IP 位址或 IP 範圍

  8. [ 允許的通訊協定 ] 字段是選擇性的,並指定允許使用 SAS 令牌提出要求的通訊協定。 預設值為 HTTPS。

  9. 選取 [產生 SAS 權杖和 URL]。

  10. Blob SAS 令牌查詢字串和 Blob SAS URL 會出現在視窗的下方區域。 若要使用 Blob SAS 令牌,請將它附加至記憶體服務 URI。

  11. 複製並貼上安全位置中的 Blob SAS 令牌Blob SAS URL 值。 它們只會顯示一次,而且無法在關閉窗口之後擷取。

  12. 若要 建構 SAS URL,請將 SAS 令牌 (URI) 附加至記憶體服務的 URL。

使用 Azure 儲存體總管

Azure 儲存體 Explorer 是免費的獨立應用程式,可讓您輕鬆地從桌面管理 Azure 雲端記憶體資源。

開始使用

建立您的 SAS 令牌

  1. 開啟本機電腦上的 Azure 儲存體 Explorer 應用程式,並流覽至已連線 儲存體 帳戶

  2. 展開 [儲存體 帳戶] 節點,然後選取 [Blob 容器]。

  3. 展開 [Blob 容器] 節點,並以滑鼠右鍵單擊記憶體 容器 節點以顯示選項功能表。

  4. 從選項功能選取 [ 取得共用存取簽章 ]。

  5. 在 [ 共用存取簽章 ] 視窗中,進行下列選擇:

    • 選取您的 存取原則 (預設值為 none)。
    • 指定已簽署的金鑰 開始到期 日期和時間。 建議使用較短的生命週期,因為一旦產生,就無法撤銷 SAS。
    • 選取 [開始] 和 [到期日] 日期和時間的 [時區 ] (預設值為 [本機]。
    • 選取 [讀取]、[寫入]、[列表] 和 [刪除] 複選框,以定義您的容器許可權
    • 選取 key1key2
    • 檢閱並選取 [ 建立]。

  6. 新的視窗隨即出現,其中包含容器的容器名稱、SAS URL查詢字串

  7. 將SAS URL和查詢字串值複製並貼到安全的位置。 它們只會顯示一次,而且一旦關閉視窗就無法擷取。

  8. 若要 建構 SAS URL,請將 SAS 令牌 (URI) 附加至記憶體服務的 URL。

使用您的 SAS URL 來授與存取權

SAS URL 包含一組 特殊的查詢參數。 這些參數會指出用戶端如何存取資源。

REST API

若要搭配 REST API 使用您的 SAS URL,請將 SAS URL 新增至要求本文:

{
    "source":"<BLOB SAS URL>"
}

介紹完畢 您已瞭解如何建立 SAS 令牌,以授權用戶端如何存取您的數據。

後續步驟

建置定型數據集