共用方式為

您的儲存體容器的 SAS 權杖

  • 發行項

了解如何使用 Azure 入口網站建立使用者委派、共用存取簽章 (SAS) 權杖。 會使用 Microsoft Entra 認證來保護使用者委派 SAS 權杖。 SAS 權杖會對您 Azure 儲存體帳戶中的資源提供安全的委派存取權。

附加 SAS 權杖的儲存體 URI 螢幕擷取畫面。

提示

角色型存取控制 (受控識別) 提供替代方法,可讓您授與儲存體資料的存取權,而不需要將 SAS 權杖包含在 HTTP 要求中。

  • 您可以使用受控識別,對支援 Microsoft Entra 驗證的任何資源 (包括您自己的應用程式) 授與存取權。
  • 使用受控識別可取代您在來源和目標 URL 包含共用存取簽章權杖 (SAS) 的需求。
  • 在 Azure 中使用受控識別不會產生額外的成本。

概括而言,以下是 SAS 權杖的運作方式:

  • 您的應用程式會將 SAS 權杖提交至 Azure 儲存體,作為 REST API 要求的一部分。

  • 如果儲存體服務確認 SAS 有效,則要求會獲得授權。

  • 如果 SAS 權杖被視為無效,則會拒絕要求並傳回錯誤碼 403 (禁止)。

Azure Blob 儲存體提供三種資源類型:

  • 儲存體帳戶可在 Azure 中為您的資料提供唯一命名空間。
  • 資料儲存體容器位於儲存體帳戶,用於組織 Blob 集合 (檔案、文字或影像)。
  • Blob 位於容器中,用於儲存文字和二進位資料,例如檔案、文字和映像。

重要

  • SAS 權杖用於授與儲存體資源的權限,而且應該採用與帳戶金鑰相同的方式加以保護。

  • 使用 SAS 權杖的作業應該只透過 HTTPS 連線執行,而 SAS URI 只應在安全連線 (例如 HTTPS) 上散發。

必要條件

若要開始使用,您需要下列資源:

  • 作用中的 Azure 帳戶。 如果您沒有帳戶,您可以建立免費帳戶

  • Azure AI 語言資源。

  • 標準效能 Azure Blob 儲存體帳戶。 您也必須建立容器,以在儲存體帳戶內儲存和組織檔案。 如果您不知道如何使用儲存體容器建立 Azure 儲存體帳戶,請遵循下列快速入門:

    • 建立儲存體帳戶。 建立儲存體帳戶時,請選取 [標準] 效能 (位於 [執行個體詳細資料]>[效能] 欄位中)。
    • 建立容器。 建立容器時,請在 [新增容器] 視窗中,將 [公用存取層級] 設定為 [容器] (容器和檔案的匿名讀取權限)。

在 Azure 入口網站中建立 SAS 權杖

如下所示,移至 Azure 入口網站並瀏覽至您的容器或特定檔案,繼續執行下列步驟:

工作流程:您的儲存體帳戶容器您的容器您的 Blob

  1. 以滑鼠右鍵按一下容器或檔案,然後從下拉式功能表中選取 [產生 SAS]

  2. 選取 [簽署方法] → [使用者委派金鑰]

  3. 勾選及/或清除適當的核取方塊,以定義 [權限]

    • 來源檔案必須具有指定的讀取列出存取權。

    • 目標檔案必須具有指定的寫入列出存取權。

  4. 指定已簽署金鑰的開始到期時間。

    • 當您建立共用存取簽章 (SAS) 時,預設持續時間為 48 小時。 48 小時之後,您必須建立新的權杖。
    • 請考慮設定較長的持續時間期間,做為您針對語言服務作業使用儲存體帳戶的時間。
    • 到期時間的值取決於您是否使用帳戶金鑰使用者委派金鑰簽署方法
      • 帳戶金鑰:沒有強制的時間上限;不過,最佳做法會建議您設定到期原則來限制間隔,並將洩露機率降至最低。 設定共用存取簽章的到期原則
      • 使用者委派金鑰:到期時間值的上限為從建立 SAS 權杖起的七天。 SAS 在使用者委派金鑰到期後會變為無效,因此到期時間超過七天的 SAS 仍僅有七天有效。 如需詳細資訊,請參閱使用 Microsoft Entra 認證來保護 SAS

  5. [允許的 IP 位址] 欄位是選擇性的,並指定要接受要求的 IP 位址或 IP 位址範圍。 如果要求的 IP 位址不符合 SAS 權杖上指定的 IP 位址或位址範圍,則授權會失敗。 IP 位址或 IP 位址範圍必須是公用 IP,而非私人 IP。 如需詳細資訊,請參閱指定 IP 位址或 IP 範圍

  6. [允許的通訊協定] 欄位是選擇性的,並且會指定使用 SAS 提出的要求所允許的通訊協定。 預設值是 HTTPS。

  7. 檢閱然後選取 [產生 SAS 權杖和 URL]

  8. [Blob SAS 權杖] 查詢字串和 [Blob SAS URL] 會顯示在視窗的下方區域。

  9. 將 Blob SAS 權杖和 URL 值複製並貼到安全的位置。 這些值只會顯示一次,一旦關閉視窗就無法再擷取。

  10. 若要建構 SAS URL,請將 SAS 權杖 (URI) 附加至儲存體服務的 URL。

使用 SAS URL 授與存取權

SAS URL 包括一組特殊的查詢參數。 這些參數會指出用戶端如何存取資源。

您可利用兩種方式,包含具有 REST API 要求的 SAS URL:

  • 使用 SAS URL 作為您的 sourceURL 和 targetURL 值。

  • SAS 查詢字串附加至現有的 sourceURL 和 targetURL 值。

以下是範例 REST API 要求:

{
  "analysisInput": {
    "documents": [
      {
        "id": "doc_0",
        "language": "en",
        "source": {
          "location": "myaccount.blob.core.windows.net/sample-input/input.pdf?{SAS-Token}"
        },
        "target": {
          "location": "https://myaccount.blob.core.windows.net/sample-output?{SAS-Token}"
        }
      }
    ]
  }
}

介紹完畢 您已了解如何建立 SAS 權杖,以針對用戶端存取資料的方式進行授權。

下一步

深入了解原生文件支援 深入了解如何使用 SAS 授與存取權