Tokeny SAS dla kontenerów magazynu

Dowiedz się, jak tworzyć delegowanie użytkowników, tokeny sygnatury dostępu współdzielonego (SAS) przy użyciu witryny Azure Portal. Tokeny SAS delegowania użytkownika są zabezpieczone przy użyciu poświadczeń usługi Microsoft Entra. Tokeny SAS zapewniają bezpieczny, delegowany dostęp do zasobów na koncie usługi Azure Storage.

Zrzut ekranu przedstawiający adres URL magazynu z dołączonym tokenem SAS.

Napiwek

Kontrola dostępu oparta na rolach (tożsamości zarządzane) udostępnia alternatywną metodę udzielania dostępu do danych magazynu bez konieczności dołączania tokenów SAS do żądań HTTP.

Korzystanie z tożsamości zarządzanych zapewnia dostęp do dowolnego zasobu, który obsługuje uwierzytelnianie firmy Microsoft Entra, w tym własne aplikacje.
Użycie tożsamości zarządzanych zastępuje wymaganie uwzględnienia tokenów sygnatury dostępu współdzielonego (SAS) przy użyciu źródłowych i docelowych adresów URL.
Korzystanie z tożsamości zarządzanych nie wymaga dodatkowego kosztu na platformie Azure.

Na wysokim poziomie przedstawiono sposób działania tokenów SAS:

Aplikacja przesyła token SAS do usługi Azure Storage w ramach żądania interfejsu API REST.
Usługa magazynu weryfikuje ważność SAS, a następnie autoryzuje żądanie. Jeśli token SAS zostanie uznany za nieprawidłowy, żądanie zostanie odrzucone i zostanie zwrócony kod błędu 403 (Zabronione).

Usługa Azure Blob Storage oferuje trzy typy zasobów:

Konta magazynu zapewniają unikatową przestrzeń nazw na platformie Azure dla Twoich danych.
Kontenery magazynu danych znajdują się na kontach magazynu i organizują zestawy obiektów blob (pliki, tekst lub obrazy).
Obiekty blob znajdują się w kontenerach i przechowują dane tekstowe i binarne, takie jak pliki, tekst i obrazy.

Ważne

Tokeny SAS są używane do udzielania uprawnień do zasobów magazynu i powinny być chronione w taki sam sposób jak klucz konta.
Operacje korzystające z tokenów SAS powinny być wykonywane tylko za pośrednictwem połączenia HTTPS i SAS URIpowinny być dystrybuowane tylko na bezpiecznym połączeniu, takim jak HTTPS.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące zasoby:

Aktywne konto platformy Azure. Jeśli nie masz, możesz utworzyć bezpłatne konto.
Zasób Azure Language w narzędziach Foundry.
Konto usługi Azure Blob Storage o standardowej wydajności. Należy również utworzyć kontenery do przechowywania i organizowania plików na koncie magazynu. Jeśli nie wiesz, jak utworzyć konto usługi Azure Storage przy użyciu kontenera magazynu, postępuj zgodnie z następującymi przewodnikami Szybki start:
- Create a storage account (Tworzenie konta magazynu). Podczas tworzenia konta magazynu wybierz pozycję Wydajność w warstwie Standardowa w polu Szczegóły>wystąpienia Wydajność.
- Tworzenie kontenera. Podczas tworzenia kontenera w oknie Nowy kontener ustaw pozycję Poziom dostępu publicznego na Kontener (anonimowy dostęp do odczytu dla kontenerów i plików).

Tworzenie tokenów SAS w witrynie Azure Portal

Przejdź do witryny Azure Portal i przejdź do kontenera lub określonego pliku w następujący sposób i wykonaj następujące czynności:

Przepływ pracy: Konto magazynu → kontenerów → kontenera → pliku

Kliknij prawym przyciskiem myszy kontener lub plik i wybierz polecenie Wygeneruj sygnaturę dostępu współdzielonego z menu rozwijanego.
Wybierz pozycję Metoda podpisywania → Klucz delegowania użytkownika.
Zdefiniuj uprawnienia , zaznaczając i/lub usuwając odpowiednie pole wyboru:
- Plik źródłowy musi wyznaczyć dostęp do odczytu i listy .
- Plik docelowy musi wyznaczyć dostęp do zapisu i listy .
Określ czas rozpoczęcia i wygaśnięcia klucza podpisanego.
- Podczas tworzenia sygnatury dostępu współdzielonego (SAS) domyślny czas trwania wynosi 48 godzin. Po 48 godzinach należy utworzyć nowy token.
- Rozważ ustawienie dłuższego okresu używania konta przechowywania dla operacji językowych.
- Wartość czasu wygaśnięcia zależy od tego, czy używasz klucza konta, czy metody podpisywania kluczadelegowania użytkownika:
  - Klucz konta: nie nałożono maksymalnego limitu czasu, jednak zalecane są najlepsze rozwiązania, które umożliwiają skonfigurowanie zasad wygasania w celu ograniczenia interwału i zminimalizowania naruszenia zabezpieczeń. Skonfiguruj zasady wygasania dla sygnatur dostępu współdzielonego.
  - Klucz delegowania użytkownika: wartość czasu wygaśnięcia wynosi maksymalnie siedem dni od utworzenia tokenu SAS. Sygnatura dostępu współdzielonego jest nieprawidłowa po wygaśnięciu klucza delegowania użytkownika, więc sygnatura dostępu współdzielonego z upływem czasu wygaśnięcia większa niż siedem dni będzie nadal ważna tylko przez siedem dni. Aby uzyskać więcej informacji, zobaczUżyj poświadczeń Microsoft Entra, aby zabezpieczyć sygnaturę dostępu współdzielonego (SAS).
Pole Dozwolone adresy IP jest opcjonalne i określa adres IP lub zakres adresów IP, z których mają być akceptowane żądania. Jeśli adres IP żądania nie jest zgodny z adresem IP lub zakresem adresów określonym w tokenie SAS, autoryzacja nie powiedzie się. Adres IP lub zakres adresów IP muszą być publicznymi adresami IP, a nie prywatnymi. Aby uzyskać więcej informacji, zobaczOkreślanie adresu IP lub zakresu adresów IP.
Pole Dozwolone protokoły jest opcjonalne i określa protokół dozwolony dla żądania złożonego z sygnaturą dostępu współdzielonego. Wartość domyślna to HTTPS.
Przejrzyj, a następnie wybierz pozycję Generuj token SAS i adres URL.
Ciąg zapytania tokenu SAS obiektu blob i adres URL sygnatury dostępu współdzielonego obiektu blob są wyświetlane w dolnym obszarze okna.
Skopiuj i wklej wartości tokenu i adresu URL sygnatury dostępu współdzielonego obiektu blob w bezpiecznej lokalizacji. Będą one wyświetlane tylko raz i nie można ich pobrać po zamknięciu okna.
Aby utworzyć adres URL sygnatury dostępu współdzielonego, dołącz token SAS (URI) do adresu URL usługi magazynu.

Udzielanie dostępu przy użyciu adresu URL sygnatury dostępu współdzielonego

Adres URL sygnatury dostępu współdzielonego zawiera specjalny zestaw parametrów zapytania. Te parametry wskazują, jak klient uzyskuje dostęp do zasobów.

Adres URL sygnatury dostępu współdzielonego można dołączyć do żądań interfejsu API REST na dwa sposoby:

Użyj adresu URL sygnatury dostępu współdzielonego jako wartości sourceURL i targetURL.
Dołącz ciąg zapytania SAS do istniejących wartości sourceURL i targetURL.

Oto przykładowe żądanie interfejsu API REST:

{
  "analysisInput": {
    "documents": [
      {
        "id": "doc_0",
        "language": "en",
        "source": {
          "location": "myaccount.blob.core.windows.net/sample-input/input.pdf?{SAS-Token}"
        },
        "target": {
          "location": "https://myaccount.blob.core.windows.net/sample-output?{SAS-Token}"
        }
      }
    ]
  }
}

I już! Wiesz już, jak utworzyć tokeny SAS w celu autoryzowania sposobu uzyskiwania dostępu do danych przez klientów.

Następny krok

Dowiedz się więcej o obsłudze dokumentów natywnych Dowiedz się więcej na temat udzielania dostępu za pomocą sygnatury dostępu współdzielonego

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-11-18