Создание маркеров SAS для контейнеров хранилища

Это содержимое относится к:checkmarkверсии 4.0 (GA)checkmarkверсии 3.1 (GA)red-checkmarkверсии 3.0 (устаревание)red-checkmarkверсии 2.1 (устаревание)

Из этой статьи вы узнаете, как создать делегирование прав пользователя и токены SAS с использованием портала Azure или Обозреватель службы хранилища Azure. Маркеры SAS делегирования пользователей защищены с помощью учетных данных Microsoft Entra. Токены SAS обеспечивают безопасный делегированный доступ к ресурсам в хранилище вашей учетной записи Azure.

Снимок экрана: URI хранилища с добавленным маркером SAS.

На высоком уровне токены SAS работают следующим образом:

  • Во-первых, приложение отправляет маркер SAS в служба хранилища Azure в рамках запроса REST API.

  • Затем, если служба хранилища проверяет допустимость SAS, запрос авторизован. Если маркер SAS считается недействительным, запрос отклоняется и возвращается код ошибки 403 (запрещено).

Хранилище BLOB-объектов Azure предлагает три типа ресурсов:

  • Storage учетные записи предоставляют уникальное пространство имен в Azure для ваших данных.
  • Контейнеры хранилища данных находятся в учетных записях хранения и упорядочивают наборы больших двоичных объектов.
  • Блобы находятся в контейнерах и хранят текстовые и двоичные данные, такие как файлы, текст и изображения.

Когда следует использовать маркер SAS

  • Обучение пользовательских моделей. Ваш собранный набор документов для обучения должен быть загружен в контейнер Хранилище BLOB-объектов Azure. Вы можете использовать маркер SAS для предоставления доступа к учебным документам.

  • Использование контейнеров хранения с открытым доступом. Вы можете использовать маркер SAS для предоставления ограниченного доступа к ресурсам хранилища с общедоступным доступом на чтение.

    Важно

    • Если ваша Azure учетная запись хранения защищена виртуальной сетью или брандмауэром, вы не можете предоставить доступ с маркером SAS. Для предоставления доступа к ресурсу хранилища необходимо использовать управляемое удостоверение .

    • Managed identity поддерживает как частные, так и общедоступные учетные записи Хранилище BLOB-объектов Azure.

    • Маркеры SAS предоставляют права доступа к ресурсам хранилища и должны быть защищены так же, как ключ учетной записи.

    • Операции, использующие маркеры SAS, должны выполняться только по протоколу HTTPS, а URI SAS должны распространяться только в безопасном подключении, например HTTPS.

Необходимые условия

Чтобы приступить к работе, вам потребуется:

Отправка документов

  1. Войдите на портал Azure.

    • Выберите аккаунт хранилищахранение данныхКонтейнеры.

    Скриншот, показывающий меню хранилища данных на портале Azure.

  2. Выберите контейнер из списка.

  3. Выберите " Отправить " в верхней части страницы.

    Скриншот, показывающий кнопку загрузки контейнера на портале Azure.

  4. Откроется окно Загрузки блоба. Выберите файлы для отправки.

    Снимок экрана, который показывает окно

    Примечание

    По умолчанию REST API использует документы, расположенные в корне контейнера. Вы также можете использовать данные, упорядоченные в вложенных папках, если указано в вызове API. Дополнительные сведения см. в разделе "Упорядочение данных в вложенных папках".

Создание маркеров SAS

После выполнения предварительных требований и отправки документов теперь можно создать маркеры SAS. Есть два варианта, которые можно выбрать отсюда: либо с помощью портала Azure, либо с помощью обозревателя хранилища Azure. Выберите между двумя следующими вкладками дополнительные сведения.

Портал Azure — это веб-консоль, которая позволяет управлять подпиской и ресурсами Azure с помощью графического пользовательского интерфейса (GUI).

  1. Войдите на портал Azure.

  2. Перейдите квашей учетной записи хранения>контейнерам>вашему контейнеру.

  3. Выберите "Создать SAS" в меню в верхней части страницы.

  4. Выберите метод подписыванияключ делегирования пользователей.

  5. Определите разрешения , выбрав или снимите соответствующий флажок.

    • Убедитесь, что выбраны разрешения на чтение, запись, удаление и список .

    Скриншот, показывающий поля разрешений SAS в портале Azure.

    Важно

  6. Укажите время запуска и истечения срока действия подписанного ключа.

    • При создании маркера SAS период по умолчанию составляет 48 часов. Через 48 часов вам необходимо создать новый токен.
    • Попробуйте задать длительный период времени, когда вы используете учетную запись хранения для операций Службы аналитики документов.
    • Значение срока действия определяется тем, используется ли ключ учетной записи или метод подписыванияключа делегирования пользователей:
      • Ключ учетной записи: не налагается максимальное ограничение времени; Однако рекомендуется настроить политику истечения срока действия, чтобы ограничить интервал и свести к минимуму компромисс. Настройте политику истечения срока действия для подписей общего доступа.
      • Ключ делегирования пользователей: значение срока действия не должно превышать семи дней с момента создания токена SAS. SAS недействителен после истечения срока действия ключа делегирования пользователей, поэтому SAS с истекающим сроком действия больше семи дней по-прежнему будет действителен только в течение семи дней. Для получения дополнительной информации см. Использовать учетные данные Microsoft Entra для защиты SAS.
  7. Поле "Разрешенные IP-адреса" является необязательным и указывает IP-адрес или диапазон IP-адресов, из которых следует принимать запросы. Если IP-адрес запроса не соответствует IP-адресу или диапазону адресов, указанному в маркере SAS, авторизация завершается ошибкой. IP-адрес или диапазон IP-адресов должен быть общедоступным IP-адресом, а не частным. Дополнительные сведения см. в разделе "Указание IP-адреса или диапазона IP-адресов".

  8. Поле "Разрешенные протоколы" является необязательным и указывает протокол, разрешенный для запроса, сделанного с маркером SAS. Значением по умолчанию является HTTPS.

  9. Выберите "Создать маркер SAS" и "URL-адрес".

  10. Строка запроса маркера BLOB-объектов и URL-адрес SAS BLOB-объектов отображаются в нижней области окна. Чтобы использовать токен SAS для BLOB, присоедините его к URI службы хранилища.

  11. Скопируйте и вставьте значения маркера SAS BLOB и URL-адреса SAS BLOB в безопасном месте. Значения отображаются только один раз и не могут быть получены после закрытия окна.

  12. Чтобы создать URL-адрес SAS, добавьте маркер SAS (URI) в URL-адрес службы хранилища.