Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это содержимое относится к:
версии 4.0 (GA)
версии 3.1 (GA)
версии 3.0 (устаревание)
версии 2.1 (устаревание)
Из этой статьи вы узнаете, как создать делегирование прав пользователя и токены SAS с использованием портала Azure или Обозреватель службы хранилища Azure. Маркеры SAS делегирования пользователей защищены с помощью учетных данных Microsoft Entra. Токены SAS обеспечивают безопасный делегированный доступ к ресурсам в хранилище вашей учетной записи Azure.
На высоком уровне токены SAS работают следующим образом:
Во-первых, приложение отправляет маркер SAS в служба хранилища Azure в рамках запроса REST API.
Затем, если служба хранилища проверяет допустимость SAS, запрос авторизован. Если маркер SAS считается недействительным, запрос отклоняется и возвращается код ошибки 403 (запрещено).
Хранилище BLOB-объектов Azure предлагает три типа ресурсов:
- Storage учетные записи предоставляют уникальное пространство имен в Azure для ваших данных.
- Контейнеры хранилища данных находятся в учетных записях хранения и упорядочивают наборы больших двоичных объектов.
- Блобы находятся в контейнерах и хранят текстовые и двоичные данные, такие как файлы, текст и изображения.
Когда следует использовать маркер SAS
Обучение пользовательских моделей. Ваш собранный набор документов для обучения должен быть загружен в контейнер Хранилище BLOB-объектов Azure. Вы можете использовать маркер SAS для предоставления доступа к учебным документам.
Использование контейнеров хранения с открытым доступом. Вы можете использовать маркер SAS для предоставления ограниченного доступа к ресурсам хранилища с общедоступным доступом на чтение.
Важно
Если ваша Azure учетная запись хранения защищена виртуальной сетью или брандмауэром, вы не можете предоставить доступ с маркером SAS. Для предоставления доступа к ресурсу хранилища необходимо использовать управляемое удостоверение .
Managed identity поддерживает как частные, так и общедоступные учетные записи Хранилище BLOB-объектов Azure.
Маркеры SAS предоставляют права доступа к ресурсам хранилища и должны быть защищены так же, как ключ учетной записи.
Операции, использующие маркеры SAS, должны выполняться только по протоколу HTTPS, а URI SAS должны распространяться только в безопасном подключении, например HTTPS.
Необходимые условия
Чтобы приступить к работе, вам потребуется:
Активная учетная запись Azure. Если у вас нет учетной записи, вы можете создать бесплатную учетную запись.
Ресурс интеллектуального анализа документов или многофункционального.
Учетная запись стандартной производительностиХранилище BLOB-объектов Azure. Необходимо создать контейнеры для хранения и упорядочивания данных блоб в учетной записи хранилища. Если вы не знаете, как создать учетную запись хранения Azure с контейнером хранилища, выполните следующие краткие руководства.
- Создайте учетную запись хранения. При создании учетной записи хранения выберите стандартную производительность в поле сведений о>производительности экземпляра.
- Создайте контейнер. При создании контейнера задайте уровень доступаКонтейнер (анонимный доступ на чтение для контейнеров и блобов) в окне «Новый контейнер».
Отправка документов
Войдите на портал Azure.
- Выберите аккаунт хранилища → хранение данных → Контейнеры.
Выберите контейнер из списка.
Выберите " Отправить " в верхней части страницы.
Откроется окно Загрузки блоба. Выберите файлы для отправки.
Примечание
По умолчанию REST API использует документы, расположенные в корне контейнера. Вы также можете использовать данные, упорядоченные в вложенных папках, если указано в вызове API. Дополнительные сведения см. в разделе "Упорядочение данных в вложенных папках".
Создание маркеров SAS
После выполнения предварительных требований и отправки документов теперь можно создать маркеры SAS. Есть два варианта, которые можно выбрать отсюда: либо с помощью портала Azure, либо с помощью обозревателя хранилища Azure. Выберите между двумя следующими вкладками дополнительные сведения.
Портал Azure — это веб-консоль, которая позволяет управлять подпиской и ресурсами Azure с помощью графического пользовательского интерфейса (GUI).
Войдите на портал Azure.
Перейдите квашей учетной записи хранения>контейнерам>вашему контейнеру.
Выберите "Создать SAS" в меню в верхней части страницы.
Выберите метод подписывания → ключ делегирования пользователей.
Определите разрешения , выбрав или снимите соответствующий флажок.
- Убедитесь, что выбраны разрешения на чтение, запись, удаление и список .
Важно
Если вы получите сообщение, аналогичное следующему, вам также потребуется назначить доступ к данным блобов в вашей учетной записи хранения.
Azure управление доступом на основе ролей (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам Azure. Azure RBAC помогает управлять доступом и разрешениями для Azure ресурсов.
Назначьте роль Azure для доступа к данным BLOB-объектов для предоставления прав на чтение, запись и удаление данных в контейнере хранилища Azure. См. раздел "Участник данных BLOB-объектов хранилища".
Укажите время запуска и истечения срока действия подписанного ключа.
- При создании маркера SAS период по умолчанию составляет 48 часов. Через 48 часов вам необходимо создать новый токен.
- Попробуйте задать длительный период времени, когда вы используете учетную запись хранения для операций Службы аналитики документов.
- Значение срока действия определяется тем, используется ли ключ учетной записи или метод подписыванияключа делегирования пользователей:
- Ключ учетной записи: не налагается максимальное ограничение времени; Однако рекомендуется настроить политику истечения срока действия, чтобы ограничить интервал и свести к минимуму компромисс. Настройте политику истечения срока действия для подписей общего доступа.
- Ключ делегирования пользователей: значение срока действия не должно превышать семи дней с момента создания токена SAS. SAS недействителен после истечения срока действия ключа делегирования пользователей, поэтому SAS с истекающим сроком действия больше семи дней по-прежнему будет действителен только в течение семи дней. Для получения дополнительной информации см. Использовать учетные данные Microsoft Entra для защиты SAS.
Поле "Разрешенные IP-адреса" является необязательным и указывает IP-адрес или диапазон IP-адресов, из которых следует принимать запросы. Если IP-адрес запроса не соответствует IP-адресу или диапазону адресов, указанному в маркере SAS, авторизация завершается ошибкой. IP-адрес или диапазон IP-адресов должен быть общедоступным IP-адресом, а не частным. Дополнительные сведения см. в разделе "Указание IP-адреса или диапазона IP-адресов".
Поле "Разрешенные протоколы" является необязательным и указывает протокол, разрешенный для запроса, сделанного с маркером SAS. Значением по умолчанию является HTTPS.
Выберите "Создать маркер SAS" и "URL-адрес".
Строка запроса маркера BLOB-объектов и URL-адрес SAS BLOB-объектов отображаются в нижней области окна. Чтобы использовать токен SAS для BLOB, присоедините его к URI службы хранилища.
Скопируйте и вставьте значения маркера SAS BLOB и URL-адреса SAS BLOB в безопасном месте. Значения отображаются только один раз и не могут быть получены после закрытия окна.
Чтобы создать URL-адрес SAS, добавьте маркер SAS (URI) в URL-адрес службы хранилища.