共用方式為

建立儲存體容器的 SAS 權杖

  • 發行項

此內容適用於: 勾選記號 v4.0 (GA)勾選記號 v3.1 (GA) 勾選記號 v3.0 (GA) 勾選記號 v2.1 (GA)

在本文中,瞭解如何使用 Azure 入口網站 或 Azure 儲存體 Explorer 來建立使用者委派、共用存取簽章 (SAS) 令牌。 會使用 Microsoft Entra 認證來保護使用者委派 SAS 權杖。 SAS 權杖會對您 Azure 儲存體帳戶中的資源提供安全的委派存取權。

螢幕擷取畫面:附加 SAS 權杖的儲存體 URI。

概括而言,以下是 SAS 權杖的運作方式:

  • 首先,您的應用程式會將 SAS 權杖提交至 Azure 儲存體,做為 REST API 要求的一部分。

  • 其次,如果儲存體服務確認 SAS 有效,則要求會獲得授權。 如果 SAS 權杖被視為無效,則會拒絕要求並傳回錯誤碼 403 (禁止)。

Azure Blob 儲存體提供三種資源類型:

  • 儲存體帳戶可在 Azure 中為您的資料提供唯一命名空間。
  • 資料儲存體容器位於儲存體帳戶中,用於組織 Blob 集合。
  • Blob 位於容器中,用於儲存文字和二進位資料,例如檔案、文字和映像。

使用 SAS 權杖的時機

  • 定型自訂模型。 您組合的定型文件集「必須」上傳至 Azure Blob 儲存體容器。 您可以選擇使用 SAS 權杖來授與定型文件的存取權。

  • 使用儲存體容器搭配公用存取權。 您可以選擇使用 SAS 權杖,將有限存取權授與具有公用讀取存取權的儲存體資源。

    重要

    • 如果您的 Azure 儲存體帳戶受到虛擬網路或防火牆的保護,則您無法使用 SAS 權杖授與存取權。 您必須使用受控識別,授與儲存體資源的存取權。

    • 受控識別同時支援可私下和公開存取的 Azure Blob 儲存體帳戶。

    • SAS 權杖可授與儲存體資源的權限,而且應該採用與帳戶金鑰相同的方式加以保護。

    • 使用 SAS 權杖的作業應該只透過 HTTPS 連線執行,而 SAS URI 只應在安全連線 (例如 HTTPS) 上散發。

必要條件

若要開始,您需要:

  • 作用中的 Azure 帳戶。 如果您沒有帳戶,您可以建立免費帳戶

  • 文件智慧多服務資源。

  • 標準效能 Azure Blob 儲存體帳戶。 您需要建立容器,以在儲存體帳戶內儲存和組織 Blob 資料。 如果您不知道如何使用儲存體容器建立 Azure 儲存體帳戶,請遵循下列快速入門:

    • 建立儲存體帳戶。 建立儲存體帳戶時,請選取 [標準] 效能 (位於 [執行個體詳細資料]>[效能] 欄位中)。
    • 建立容器。 建立容器時,請在 [新增容器] 視窗中,將 [公用存取層級] 設定為 [容器] (容器和 Blob 的匿名讀取權限)。

上傳您的文件

  1. 登入 Azure 入口網站

    • 選取 [您的儲存體帳戶] → [資料儲存體] → [容器]

    顯示 Azure 入口網站中 [資料儲存體] 功能表的螢幕擷取畫面。

  2. 從清單中選取一個容器。

  3. 從頁面頂端的功能表中選取 [上傳]

    顯示 Azure 入口網站中容器 [上傳] 按鈕的螢幕擷取畫面。

  4. [上傳 Blob] 視窗隨即出現。 選取要上傳的檔案。

    顯示 Azure 入口網站中 [上傳 Blob] 視窗的螢幕擷取畫面。

    注意

    根據預設,REST API 會使用位於容器根目錄的文件。 您也可以使用子資料夾中組織的資料 (如果已在 API 呼叫中指定的話)。 如需詳細資訊,請參閱在子資料夾中組織您的資料

產生SAS令牌

符合必要條件並上傳文件之後,您現在可以產生 SAS 令牌。 您可以從這裡採用兩個路徑:其中一個使用 Azure 入口網站,另一個則使用 Azure 記憶體總管。 如需詳細資訊,請選取下列兩個索引標籤。

Azure 入口網站是 Web 型主控台,可讓您使用圖形化使用者介面 (GUI) 來管理 Azure 訂用帳戶和資源。

  1. 登入 Azure 入口網站

  2. 瀏覽至 [儲存體帳戶] > [容器] > [您的容器]。

  3. 從頁面頂端附近的功能表選取 [產生 SAS]

  4. 選取 [簽署方法] → [使用者委派金鑰]

  5. 選取或清除適當的核取方塊,以定義 [權限]

    • 確定已選取 [讀取]、[寫入]、[刪除] 和 [列出] 權限。

    顯示 Azure 入口網站中 SAS 權限欄位的螢幕擷取畫面。

    重要

  6. 指定已簽署金鑰的開始到期時間。

    • 當您建立 SAS 權杖時,預設持續時間為 48 小時。 48 小時之後,您必須建立新的權杖。
    • 請考慮設定較長的持續時間期間,作為您針對文件智慧服務作業使用儲存體帳戶的時間。
    • 到期時間的值取決於您是否使用帳戶金鑰使用者委派金鑰簽署方法
      • 帳戶金鑰:沒有強制的時間上限;不過,最佳做法會建議您設定到期原則來限制間隔,並將洩露機率降至最低。 設定共用存取簽章的到期原則
      • 使用者委派金鑰:到期時間值的上限為從建立 SAS 權杖起的七天。 SAS 在使用者委派金鑰到期後會變為無效,因此到期時間超過七天的 SAS 仍僅有七天有效。 如需詳細資訊,請參閱使用 Microsoft Entra 認證來保護 SAS

  7. [允許的 IP 位址] 欄位是選擇性的,並指定要接受要求的 IP 位址或 IP 位址範圍。 如果要求的 IP 位址不符合 SAS 權杖上指定的 IP 位址或位址範圍,則授權會失敗。 IP 位址或 IP 位址範圍必須是公用 IP,而非私人 IP。 如需詳細資訊,請參閱指定 IP 位址或 IP 範圍

  8. [允許的通訊協定] 欄位是選擇性的,並且會指定使用 SAS 權杖提出的要求所允許的通訊協定。 預設值是 HTTPS。

  9. 選取 [產生 SAS 權杖和 URL]。

  10. Blob SAS 權杖查詢字串和 Blob SAS URL 隨即出現在視窗下方區域。 若要使用 Blob SAS 權杖,請將其附加至儲存體服務 URI。

  11. Blob SAS 權杖Blob SAS URL 值複製並貼到安全的位置。 這些值只會顯示一次,一旦關閉視窗就無法再擷取。

  12. 若要建構 SAS URL,請將 SAS 權杖 (URI) 附加至儲存體服務的 URL。