Freigeben über


Erstellen von SAS-Token für Ihre Speichercontainer

In diesem Artikel erfahren Sie, wie Sie über das Azure-Portal oder mit dem Azure Storage-Explorer SAS-Token (Shared Access Signature) für die Benutzerdelegierung erstellen. SAS-Token für die Benutzerdelegierung werden mit Microsoft Entra-Anmeldeinformationen geschützt. SAS-Token ermöglichen den sicheren, delegierten Zugriff auf Ressourcen in Ihrem Azure-Speicherkonto.

Screenshot: Speicher-URL mit angehängtem SAS-Token

Tipp

Verwaltete Identitäten bieten eine alternative Methode, mit der Sie Zugriff auf Ihre Speicherdaten gewähren können, ohne SAS-Token in Ihre HTTP-Anforderungen einschließen zu müssen. SieheVerwaltete Identitäten für die Dokumentübersetzung.

  • Sie können verwaltete Identitäten zur Gewährung des Zugriffs bei einer beliebigen Ressource verwenden, die die Microsoft Entra-Authentifizierung unterstützt. Dies schließt auch Ihre eigenen Anwendungen ein.
  • Die Verwendung verwalteter Identitäten ersetzt die Anforderung, dass Sie Shared Access Signature-Token (SAS) in Ihre Quell- und Ziel-URLs einschließen müssen.
  • Es entstehen keine zusätzlichen Kosten für die Verwendung verwalteter Identitäten in Azure.

Im Großen und Ganzen funktionieren SAS-Token folgendermaßen:

  • Eine Anwendung sendet das SAS-Token im Rahmen einer REST-API-Anforderung an Azure Storage.

  • Der Speicherdienst bestätigt, dass die SAS gültig ist. In diesem Fall wird die Anforderung autorisiert.

  • Die Anforderung wird abgelehnt, wenn das SAS-Token als ungültig eingestuft wird. In diesem Fall wird der Fehlercode 403 („Verboten“) zurückgegeben.

Azure Blob Storage bietet drei Ressourcentypen:

  • Speicherkonten bieten einen eindeutigen Namespace in Azure für Ihre Daten.
  • Datenspeichercontainer befinden sich in Speicherkonten und organisieren Gruppen von Blobs (Dateien, Text oder Bilder).
  • Blobs befinden sich in Containern und speichern Text und Binärdaten wie Dateien, Text und Bilder.

Wichtig

  • Mit SAS-Token werden Berechtigungen für Speicherressourcen gewährt. Sie sollten auf die gleiche Weise geschützt werden wie ein Kontoschlüssel.

  • Vorgänge, die SAS-Token verwenden, sollten nur über eine HTTPS-Verbindung ausgeführt werden, und SAS-URIs sollten nur über eine sichere Verbindung wie HTTPS verteilt werden.

Voraussetzungen

Für den Einstieg benötigen Sie die folgenden Ressourcen:

  • Ein aktives Azure-Konto. Wenn Sie noch nicht über eines verfügen, können Sie ein kostenloses Konto erstellen.

  • Ressource für die Textübersetzung.

  • Ein Azure Blob Storage-Konto mit Standardleistung. Sie müssen außerdem Container zum Speichern und Organisieren Ihrer Dateien in Ihrem Speicherkonto erstellen. Wenn Sie nicht wissen, wie Sie ein Azure-Speicherkonto mit einem Speichercontainer erstellen, befolgen Sie diese Schnellstarts:

    • Informationen zu Azure-Speicherkonten Wenn Sie Ihr Speicherkonto erstellen, wählen Sie Standardleistung im Feld Instanzendetails>Leistung aus.
    • Erstellen Sie einen Container. Legen Sie bei der Erstellung Ihres Containers das Feld Öffentliche Zugriffsebene im Fenster Neuer Container auf Container fest (anonymer Lesezugriff für Container und Dateien).

Erstellen von SAS-Token im Azure-Portal

Wechseln Sie zum Azure-Portal, und navigieren Sie wie folgt zu Ihrem Container oder einer bestimmten Datei. Fahren Sie anschließend mit diesen Schritten fort:

Erstellen eines SAS-Tokens für einen Container Erstellen eines SAS-Tokens für eine bestimmte Datei
Ihr Speicherkonto > Container > Ihr Container Ihr Speicherkonto > Container > Ihr Container > Ihre Datei
  1. Klicken Sie mit der rechten Maustaste auf den Container oder die Datei, und wählen Sie SAS generieren im Dropdownmenü aus.

  2. Wählen Sie Signaturmethode > Benutzerdelegierungsschlüssel aus.

  3. Definieren Sie Berechtigungen, indem Sie das entsprechende Kontrollkästchen aktivieren bzw. deaktivieren.

    • Ihr Quellcontainer oder Ihre Quelldatei muss Zugriff der Typen Lesen und Auflisten zulassen.

    • Ihr Zielcontainer oder Ihre Zieldatei muss Zugriff der Typen Schreiben und Auflisten zulassen.

  4. Geben Sie die Zeiten für den Start und Ablauf des signierten Schlüssels an.

    • Wenn Sie eine Shared Access Signature (SAS) erstellen, beträgt die Standarddauer 48 Stunden. Nach 48 Stunden müssen Sie ein neues Token erstellen.
    • Legen Sie eventuell einen längeren Zeitraum fest, in dem Sie Ihr Speicherkonto für Vorgänge des Übersetzerdiensts verwenden.
    • Der Wert der Ablaufzeit wird durch die Signiermethode bestimmt: Kontoschlüssel oder Benutzerdelegierungsschlüssel:
  5. Das Feld Zugelassene IP-Adressen ist optional. Darin wird eine IP-Adresse oder ein Bereich mit IP-Adressen angegeben, für die Anforderungen akzeptiert werden. Wenn die IP-Adresse der Anforderung nicht mit der IP-Adresse oder dem Adressbereich übereinstimmt, die bzw. der im SAS-Token angegeben ist, erfolgt keine Autorisierung. Die IP-Adresse oder ein IP-Adressbereich muss aus öffentlichen IP-Adressen bestehen, nicht privaten. Weitere Informationen finden Sie unter Angeben einer IP-Adresse oder eines IP-Bereichs.

  6. Das Feld Zugelassene Protokolle ist optional. Darin wird das Protokoll angegeben, das für das Senden einer Anforderung mit der SAS zulässig ist. Der Standardwert ist „HTTPS“.

  7. Überprüfen Sie die Angaben, und wählen Sie dann die Option SAS-Token und -URL generieren aus.

  8. Die Abfragezeichenfolge für das Blob-SAS-Token und die Blob-SAS-URL werden im unteren Fensterbereich angezeigt.

  9. Kopieren Sie die Werte für das SAS-Token und die URL des Blobs, und fügen Sie sie an einem sicheren Ort ein. Diese Angaben werden nur einmal angezeigt und können nicht mehr abgerufen werden, nachdem das Fenster geschlossen wurde.

  10. Fügen Sie zum Erstellen einer SAS-URL das SAS-Token (URI) an die URL für einen Speicherdienst an.

Erstellen von SAS-Token mit dem Azure Storage-Explorer

Azure Storage-Explorer ist eine kostenlose eigenständige App, mit der Sie Ihre Azure-Cloudspeicherressourcen auf einfache Weise über den Desktop verwalten können.

  • In Ihrer Windows-, macOS- oder Linux-Entwicklungsumgebung muss die Azure Storage-Explorer-App installiert sein.

  • Nachdem die Azure Storage-Explorer-App installiert wurde, verbinden Sie sie mit dem Speicherkonto, das Sie für die Dokumentübersetzung nutzen. Führen Sie diese Schritte aus, um Token für einen Speichercontainer oder eine bestimmte Blobdatei zu erstellen:

  1. Öffnen Sie die Azure Storage-Explorer-App auf Ihrem lokalen Computer, und navigieren Sie zu Ihren verbundenen Speicherkonten.

  2. Erweitern Sie den Knoten „Speicherkonten“, und wählen Sie die Option Blobcontainer aus.

  3. Erweitern Sie den Knoten „Blobcontainer“, und klicken Sie mit der rechten Maustaste auf einen Containerknoten des Speichers, um das Optionsmenü anzuzeigen.

  4. Wählen Sie im Menü mit den Optionen die Option Shared Access Signature abrufen... aus.

  5. Wählen Sie im Fenster Shared Access Signature Folgendes aus:

    • Wählen Sie Ihre Zugriffsrichtlinie aus (Standardeinstellung: Keine).
    • Geben Sie das Datum und die Uhrzeit für den Start und Ablauf des signierten Schlüssels an. Hierbei wird die Verwendung einer kurzen Lebensdauer empfohlen, da eine SAS nach ihrer Generierung nicht mehr widerrufen werden kann.
    • Wählen Sie die Zeitzone für das Datum und die Uhrzeit des Starts und Ablaufs aus (Standardeinstellung: Lokal).
    • Definieren Sie Ihren Container Berechtigungen, indem Sie das entsprechende Kontrollkästchen aktivieren bzw. deaktivieren.
    • Überprüfen Sie die Angaben, und wählen Sie die Option Erstellen aus.
  6. Ein neues Fenster wird angezeigt, das den Namen des Containers, den URI und die Abfragezeichenfolge für Ihren Container enthält.

  7. Kopieren Sie die Werte für den Container, den URI und die Abfragezeichenfolge, und fügen Sie sie zur Aufbewahrung an einem sicheren Ort ein. Diese Angaben werden nur einmal angezeigt und können nicht mehr abgerufen werden, nachdem das Fenster geschlossen wurde.

  8. Fügen Sie zum Erstellen einer SAS-URL das SAS-Token (URI) an die URL für einen Speicherdienst an.

Verwenden der SAS-URL zum Gewähren von Zugriff

Die SAS-URL enthält einen speziellen Satz von Abfrageparametern. Diese Parameter geben an, wie der Client auf die Ressourcen zugreift.

Sie können Ihre SAS-URL auf zwei Arten mit REST-API-Anforderungen einschließen:

  • Verwenden Sie die SAS-URL als SourceURL- und targetURL-Werte.

  • Fügen Sie die SAS-Abfragezeichenfolge an Ihre bestehenden SourceURL- und TargetURL-Werte an.

Beispiel für eine REST-API-Anforderung:

{
    "inputs": [
        {
            "storageType": "File",
            "source": {
                "sourceUrl": "https://my.blob.core.windows.net/source-en/source-english.docx?sv=2019-12-12&st=2021-01-26T18%3A30%3A20Z&se=2021-02-05T18%3A30%3A00Z&sr=c&sp=rl&sig=d7PZKyQsIeE6xb%2B1M4Yb56I%2FEEKoNIF65D%2Fs0IFsYcE%3D"
            },
            "targets": [
                {
                    "targetUrl": "https://my.blob.core.windows.net/target/try/Target-Spanish.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
                    "language": "es"
                },
                {
                    "targetUrl": "https://my.blob.core.windows.net/target/try/Target-German.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
                    "language": "de"
                }
            ]
        }
    ]
}

Das ist alles! Sie haben soeben gelernt, wie Sie SAS-Token erstellen, um den Zugriff von Clients auf Ihre Daten zu autorisieren.

Nächste Schritte