Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo contenuto si applica a:
v4.0 (GA)v3.1 (GA)
v3.0 (ritiro)v2.1 (ritiro)
Questo articolo illustra come creare token di delega utente, firma di accesso condiviso usando il portale di Azure o Azure Storage Explorer. I token SAS della delega utente sono protetti con le credenziali Microsoft Entra. I token SAS (Signature di Accesso Condiviso) forniscono accesso sicuro e delegato alle risorse nell'account di archiviazione di Azure.
A livello generale, ecco come funzionano i token SAS:
Per prima cosa, l'applicazione invia il token SAS a Archiviazione di Azure come parte di una richiesta API REST.
Successivamente, se il servizio di archiviazione verifica che il SAS è valido, la richiesta viene autorizzata. Se, il token di firma di accesso condiviso viene considerato non valido, la richiesta viene rifiutata e viene restituito il codice di errore 403 (Accesso negato).
Archiviazione BLOB di Azure offre tre tipi di risorse:
- L'account Storage fornisce uno spazio dei nomi univoco in Azure per i tuoi dati.
- I contenitori di archiviazione dati si trovano negli account di archiviazione e organizzano set di blob.
- I BLOB si trovano in contenitori e archiviano dati di testo e binari, ad esempio file, testo e immagini.
Quando utilizzare un token SAS
Training di modelli personalizzati. Il set di documenti di training assemblato deve essere caricato in un contenitore Archiviazione BLOB di Azure. È possibile scegliere di usare un SAS token per concedere l'accesso ai documenti di formazione.
Uso di contenitori di archiviazione con accesso pubblico. È possibile scegliere di usare un token SAS per concedere un accesso limitato alle risorse di archiviazione con accesso in lettura pubblico.
Importante
Se l'account di archiviazione di Azure è protetto da una rete virtuale o da un firewall, non puoi concedere l'accesso con un token SAS. È necessario usare un'identità gestita per concedere l'accesso alla risorsa di archiviazione.
Managed identity supporta sia gli account Archiviazione BLOB di Azure accessibili privatamente che pubblicamente.
I token SAS concedono le autorizzazioni alle risorse di archiviazione e devono essere protetti allo stesso modo di una chiave dell'account.
Le operazioni che usano token di firma di accesso condiviso devono essere eseguite solo su una connessione HTTPS e gli URI di firma di accesso condiviso devono essere distribuiti solo in una connessione sicura, ad esempio HTTPS.
Prerequisiti
Per iniziare, è necessario:
Un account Azure attivo. Se non ne hai uno, puoi creare un account gratuito.
Risorsa Document Intelligence o multiservizio.
Un account di prestazioni standardArchiviazione BLOB di Azure. È necessario creare contenitori per archiviare e organizzare i dati BLOB all'interno dell'account di archiviazione. Se non si sa come creare un account di archiviazione Azure con un contenitore di archiviazione, seguire queste guide introduttive:
- Creare un account di archiviazione. Quando si crea l'account di archiviazione, selezionare standard nel campo dettagli dell'istanza>Prestazioni.
- Creare un contenitore. Quando si crea il contenitore, impostare Livello di accesso pubblico su Contenitore (accesso in lettura anonimo per contenitori e BLOB) nella finestra Nuovo contenitore .
Caricare i documenti
Accedere al portale Azure.
- Selezionare Account di archiviazione → Archiviazione dati → Contenitori.
Selezionare un contenitore dall'elenco.
Selezionare Carica dal menu nella parte superiore della pagina.
Verrà visualizzata la finestra Carica Blob. Selezionare i file da caricare.
Nota
Per impostazione predefinita, l'API REST usa documenti che si trovano nella radice del contenitore. È anche possibile usare i dati organizzati in sottocartelle se specificati nella chiamata API. Per altre informazioni, vedere Organizzare i dati nelle sottocartelle.
Generazione di token SAS
Dopo aver soddisfatto i prerequisiti e aver caricato i documenti, è ora possibile generare token SAS. Ci sono due percorsi che è possibile prendere da qui; usando il portale di Azure e l'altro usando storage explorer di Azure. Per altre informazioni, selezionare tra le due schede seguenti.
Il portale Azure è una console basata sul Web che consente di gestire la sottoscrizione e le risorse Azure usando un'interfaccia utente grafica (GUI).
Accedere al portale Azure.
Vai altuo account di archiviazione>contenitori>il tuo contenitore.
Selezionare Genera SAS dal menu vicino alla parte superiore della pagina.
Selezionare Metodo di firma → chiave di delega utente.
Definire le autorizzazioni selezionando o deselezionando la casella di controllo appropriata.
- Assicurarsi che siano selezionate le autorizzazioni Lettura, Scrittura, Eliminazione ed Elenco .
Importante
Se viene visualizzato un messaggio simile al seguente, sarà anche necessario assegnare l'accesso ai dati BLOB nell'account di archiviazione:
Azure controllo degli accessi in base al ruolo (Azure RBAC) è il sistema di autorizzazione usato per gestire l'accesso alle risorse Azure. Azure RBAC (controllo degli accessi in base al ruolo) consente di gestire l'accesso e le autorizzazioni per le risorse di Azure.
Assegnare un ruolo di Azure per l'accesso ai dati blob per assegnare un ruolo che consenta le autorizzazioni di lettura, scrittura ed eliminazione per il contenitore di archiviazione di Azure. VedereCollaboratore ai dati dei BLOB di archiviazione.
Specificare l'ora di inizio e scadenza della chiave firmata.
- Quando si crea un token SAS, la durata predefinita è di 48 ore. Dopo 48 ore, è necessario creare un nuovo token.
- Prendere in considerazione l'impostazione di un periodo di durata più lungo per il tempo in cui si usa l'account di archiviazione per le operazioni del servizio Document Intelligence.
- Il valore dell'ora di scadenza è determinato dal fatto che si stia usando una chiave account o un metodo di firma dellachiave di delega utente:
- Chiave dell'account: nessun limite di tempo massimo imposto; Tuttavia, è consigliabile configurare un criterio di scadenza per limitare l'intervallo e ridurre al minimo la compromissione. Configurare un criterio di scadenza per le firme di accesso condiviso.
- Chiave di delega utente: il valore per l'ora di scadenza è un massimo di sette giorni dalla creazione del token di firma di accesso condiviso. La firma di accesso condiviso non è valida dopo la scadenza della chiave di delega utente, pertanto una firma di accesso condiviso con una scadenza maggiore di sette giorni rimarrà valida solo per sette giorni. Per altre informazioni, vedereUsare le credenziali Microsoft Entra per proteggere una firma di accesso condiviso.
Il campo Indirizzi IP consentiti è facoltativo e specifica un indirizzo IP o un intervallo di indirizzi IP da cui accettare le richieste. Se l'indirizzo IP della richiesta non corrisponde all'indirizzo IP o all'intervallo di indirizzi specificato nel token di firma di accesso condiviso, l'autorizzazione non riesce. L'indirizzo IP o un intervallo di indirizzi IP deve essere indirizzi IP pubblici, non privato. Per altre informazioni, vedereSpecificare un indirizzo IP o un intervallo IP.
Il campo Protocolli consentiti è facoltativo e specifica il protocollo consentito per una richiesta effettuata con il token di firma di accesso condiviso. Il valore predefinito è HTTPS.
Selezionare Genera token di firma di accesso condiviso e URL.
La stringa di query del Blob firma di accesso condiviso token e l'URL del Blob firma di accesso condiviso appaiono nell'area inferiore della finestra. Per usare il token di firma di accesso condiviso blob, aggiungerlo all'URI del servizio di archiviazione.
Copiare e incollare i valori del token SAS BLOB e del URL SAS BLOB in un percorso sicuro. I valori vengono visualizzati una sola volta e non possono essere recuperati dopo la chiusura della finestra.
Per costruire un URL SAS, aggiungere il token SAS (URI) all'URL di un servizio di archiviazione.