Créer des jetons SAS pour vos conteneurs de stockage
Dans cet article, vous allez apprendre à créer une délégation d’utilisateur et des jetons de signature d’accès partagé (SAP), à l’aide du Portail Azure ou de l’Explorateur Stockage Azure. Les jetons SAS de délégation d’utilisateur sont sécurisés avec des informations d’identification Microsoft Entra. Un jeton SAS fournit un accès délégué sécurisé aux ressources dans votre compte de stockage Azure.
Conseil
Les identités managées fournissent une autre méthode pour vous permettre d’accorder l’accès à vos données de stockage sans avoir à inclure de jetons SAS avec vos requêtes HTTP. Veuillez consulter la rubriqueIdentités managées pour la traduction de documentation.
- Vous pouvez utiliser les identités managées pour octroyer un accès à toute ressource prenant en charge l’authentification Microsoft Entra, y compris vos propres applications.
- L’utilisation d’identités managées remplace la nécessité d’inclure des jetons de signature d’accès partagé (SAP) avec vos URL source et cible.
- L’utilisation d’identités managées dans Azure n’occasionne aucun coût supplémentaire.
À un niveau élevé, voici comment fonctionnent les jetons SAP :
Une application envoie le jeton SAS au Stockage Azure dans le cadre d’une requête d’API REST.
Le service de stockage vérifie que la signature SAS est valide. Si elle l’est, la requête est autorisée.
La requête est refusée si le jeton SAS est considéré comme non valide. Si c’est le cas, le code d’erreur 403 (Interdit) est retourné.
Le Stockage Blob Azure offre trois types de ressources :
- Les comptes de Stockage fournissent un espace de noms unique dans Azure pour vos données.
- Les conteneurs de stockage de données se trouvent dans des comptes de stockage et organisent des ensembles d’objets blob (fichiers, texte ou images).
- Les objets blob se trouvent dans des conteneurs et stockent du texte et des données binaires, comme des fichiers, du texte et des images.
Important
Les jetons SAP sont utilisés pour accorder des autorisations aux ressources de stockage et doivent être protégés de la même manière qu’une clé de compte.
Les opérations qui utilisent des jetons SAS ne doivent être effectuées que sur une connexion HTTPS, et les URI SAS ne doivent être distribués que sur une connexion sécurisée, comme HTTPS.
Prérequis
Pour commencer, vous avez besoin des ressources suivantes :
Un compte Azure actif. Si vous n’en avez pas, vous pouvez créer un compte gratuit.
Une ressource Translator.
Un compte de Stockage Blob Azure de performances standard. Vous devez aussi créer des conteneurs pour stocker, puis organiser vos fichiers dans votre compte de stockage. Si vous ignorez comment créer un compte de stockage Azure avec un conteneur de stockage, suivez les démarrages rapides suivants :
- Créer un compte de stockage. Lorsque vous créez votre compte de stockage, sélectionnez les performances Standard dans le champ Détails de l’instance>Performance.
- Créer un conteneur. Lors de la création de votre conteneur, définissez le champ Niveau d’accès public sur Conteneur (accès en lecture anonyme pour les conteneurs et les fichiers) dans la fenêtre Nouveau conteneur.
Créer des jetons SAS dans le portail Azure
Allez dans le portail Azure et accédez à votre conteneur ou à un fichier spécifique comme suit, puis effectuez les étapes suivantes :
Créer un jeton SAP pour un conteneur | Créer un jeton SAP pour un fichier spécifique |
---|---|
Votre compte de stockage → conteneurs → votre conteneur | Votre compte de stockage → conteneurs → votre conteneur→ votre fichier |
Cliquez avec le bouton droit sur le conteneur ou le fichier, puis sélectionnez Générer une signature d’accès partagé dans le menu déroulant.
Sélectionnez Méthode de signature → Clé de délégation d’utilisateur.
Définissez les autorisations en cochant et/ou décochant la case appropriée :
Votre conteneur ou fichier source doit désigner un accès lecture et liste.
Votre conteneur ou fichier cible doit désigner un accès écriture et liste.
Spécifiez les heures de début et d’expiration de la clé signée.
- Lorsque vous créez une signature d’accès partagé (SAP), la durée par défaut est de 48 heures. Passé ce délai, vous devrez créer un nouveau jeton.
- Nous vous recommandons de définir une durée plus longue pour la période pendant laquelle vous utilisez votre compte de stockage pour les opérations du service Translator.
- La valeur du délai d’expiration est déterminée par l’utilisation de la méthode de signature par clé de compte ou par clé de délégation d’utilisateur(-trice) :
- Clé de compte : Même si aucune limite de temps maximale n’est imposée, il est recommandé de configurer une stratégie d'expiration pour limiter l’intervalle et réduire les compromissions. Configurer une stratégie d’expiration pour les signatures d’accès partagé.
- Clé de délégation d’utilisateur: la valeur du délai d'expiration est de sept jours maximum à compter de la création du jeton SAP. La SAP n’est pas valide après l’expiration de la clé de délégation d’utilisateur. Par conséquent, une SAP dont le délai d’expiration est supérieur à sept jours ne sera toujours valide que pendant sept jours. Pour plus d’informations,consultez Utiliser des informations d’identification Microsoft Entra pour sécuriser une SAS.
Le champ Adresses IP autorisées est facultatif. Il spécifie une adresse IP ou une plage d’adresses IP à partir desquelles des requêtes doivent être acceptées. Si l’adresse IP de la requête e ne correspond pas à l’adresse IP ou à la plage d’adresses spécifiée sur le jeton SAS, l’autorisation échoue. L’adresse IP ou une plage d’adresses IP doit être ou contenir des adresses IP publiques et non privées. Pour plus d’informations, consultez, Spécifier une adresse IP ou une plage d’adresses IP.
Le champ Protocoles autorisés est facultatif. Il spécifie le protocole autorisé pour une requête effectuée avec la signature d’accès partagé. La valeur par défaut est HTTPS.
Passez en revue les informations, puis sélectionnez Générer une URL et un jeton SAS.
La chaîne de requête du Jeton SAS d’objet blob et l’URL SAP d’objet blob s’affichent en bas de la fenêtre.
Copiez et collez les valeurs Jeton SAP de blob et URL en lieu sûr. Elles ne s’affichent qu’une seule fois et ne peuvent pas être récupérées une fois la fenêtre fermée.
Pour construire une URL de signature d’accès partagé (SAS), ajoutez le jeton SAS (URI) à l’URL d’un service de stockage.
Créer des jetons SAS avec l’Explorateur Stockage Azure
L’Explorateur Stockage Azure est une application autonome gratuite qui vous permet de gérer facilement vos ressources de stockage cloud Azure sur votre ordinateur de bureau.
Vous devez avoir installé l’application Explorateur Stockage Azure dans votre environnement de développement Windows, macOS ou Linux.
Une fois l’application Explorateur Stockage Azure installée, connectez-la au compte de stockage que vous utilisez pour la traduction de documentation. Effectuez les étapes suivantes pour créer des jetons pour un conteneur de stockage ou un fichier blob spécifique :
Ouvrez l’application Explorateur Stockage Azure sur votre ordinateur local, puis accédez à vos comptes de stockage connectés.
Développez le nœud Comptes de stockage, puis sélectionnez Conteneurs d’objets blob.
Développez le nœud Conteneurs d’objets blob, puis cliquez avec le bouton droit sur un nœud de conteneur de stockage pour afficher le menu d’options.
Dans le menu d’options, sélectionnez Obtenir une signature d’accès partagé...
Dans la fenêtre Signature d’accès partagé, effectuez les sélections suivantes :
- Sélectionnez votre stratégie d’accès (la valeur par défaut est Aucune).
- Spécifiez la date et l’heure de début et d’expiration de la clé signée. Une durée de vie courte est recommandée car, une fois générée, une signature d’accès partagé ne peut pas être révoquée.
- Sélectionnez le fuseau horaire pour la date et l’heure de début et d’expiration (la valeur par défaut est Local).
- Définissez les autorisations de votre conteneur en cochant et/ou décochant la case appropriée.
- Passez en revue les informations, puis sélectionnez Créer.
Une nouvelle fenêtre apparaît avec le nom de votre conteneur, son URI et sa chaîne de requête.
Copiez et collez les valeurs Conteneur, URI et Chaîne de requête en lieu sûr. Elles ne s’affichent qu’une seule fois et ne peuvent pas être récupérées une fois la fenêtre fermée.
Pour construire une URL de signature d’accès partagé (SAS), ajoutez le jeton SAS (URI) à l’URL d’un service de stockage.
Utiliser votre URL SAP pour accorder l’accès
L’URL SAP comprend un ensemble spécial de paramètres de requête. Ces paramètres indiquent comment le client accède aux ressources.
Vous pouvez inclure votre URL SAP avec des requêtes d’API REST de deux façons :
Utilisez l’URL SAP comme valeurs sourceURL et targetURL.
Ajoutez la chaîne de requête SAP à vos valeurs sourceURL et targetURL existantes.
Voici un exemple de demande d’API REST :
{
"inputs": [
{
"storageType": "File",
"source": {
"sourceUrl": "https://my.blob.core.windows.net/source-en/source-english.docx?sv=2019-12-12&st=2021-01-26T18%3A30%3A20Z&se=2021-02-05T18%3A30%3A00Z&sr=c&sp=rl&sig=d7PZKyQsIeE6xb%2B1M4Yb56I%2FEEKoNIF65D%2Fs0IFsYcE%3D"
},
"targets": [
{
"targetUrl": "https://my.blob.core.windows.net/target/try/Target-Spanish.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
"language": "es"
},
{
"targetUrl": "https://my.blob.core.windows.net/target/try/Target-German.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
"language": "de"
}
]
}
]
}
Et voilà ! Vous venez d’apprendre à créer des jetons SAS pour autoriser le mode d’accès des clients à vos données.