إنشاء رموز SAS لحاويات التخزين
ينطبق هذا المحتوى على:v4.0 (معاينة)v3.1 (GA)v3.0 (GA)v2.1 (GA)
في هذه المقالة، تعرف على كيفية إنشاء تفويض المستخدم، والرموز المميزة لتوقيع الوصول المشترك (SAS)، باستخدام مدخل Microsoft Azure أو Azure Storage Explorer. يتم تأمين رموز SAS المميزة لتفويض المستخدم باستخدام بيانات اعتماد Microsoft Entra. توفر رموز SAS وصولاً آمناً ومفوضاً إلى الموارد في حساب تخزين Azure الخاص بك.
على مستوى عالٍ، إليك كيفية عمل رموز SAS المميزة:
يرسل تطبيقك رمز SAS المميز إلى Azure Storage كجزء من طلب REST API.
إذا تحققت خدمة التخزين من صلاحية SAS، يتم تفويض الطلب.
إذا تم اعتبار تعليمة برمجية SAS غير صالحة، فسيتم رفض الطلب وإرجاع رمز الخطأ 403 (ممنوع).
يوفر موقع تخزين Azure Blob ثلاثة أنواع من الموارد:
- توفر حسابات التخزين مساحة اسم فريدة في Azure لبياناتك.
- توجد حاويات تخزين البيانات في حسابات التخزين وتنظم مجموعات من النقط الكبيرة.
- توجد الكائنات الثنائية كبيرة الحجم في حاويات وتخزن النص والبيانات الثنائية مثل الملفات والنص والصور.
متى تستخدم رمز SAS
تدريب النماذج المخصصة. يجب تحميل مجموعة مستندات التدريب المجمعة إلى حاوية موقع تخزين Azure Blob. يمكنك اختيار استخدام رمز SAS لمنح حق الوصول إلى مستندات التدريب الخاصة بك.
استخدام حاويات التخزين مع الوصول العام. يمكنك اختيار استخدام رمز SAS لمنح وصول محدود إلى موارد التخزين الخاصة بك التي تتمتع بحق الوصول العام للقراءة.
هام
إذا كان حساب تخزين Azure محمياً بشبكة ظاهرية أو جدار حماية، فلا يمكنك منح الوصول باستخدام رمز SAS المميز. سيتعين عليك استخدام الهوية المُدارة لمنح الوصول إلى مورد التخزين الخاص بك.
تدعم الهوية المدارة حسابات Azure Blob Storage التي يمكن الوصول إليها بشكل خاص وعام.
تمنح رموز SAS أذونات لموارد التخزين، ويجب حمايتها بنفس طريقة حماية مفتاح الحساب.
يجب تنفيذ العمليات التي تستخدم رموز SAS المميزة عبر اتصال HTTPS فحسب، ولا يجب توزيع معرفات مواقع ويب SAS إلا على اتصال آمن مثل HTTPS.
المتطلبات الأساسية
لبدء الاستخدام، تحتاج إلى ما يلي:
حساب Azureنشط. إذا لم يكن لديك حساب، يمكنك إنشاء حساب مجاني.
معلومات المستند أو مورد متعدد الخدمات .
أداء قياسي حساب Azure Blob Storage. تحتاج إلى إنشاء حاويات لتخزين بيانات الكائن الثنائي كبير الحجم وتنظيمها داخل حساب التخزين الخاص بك. إذا كنت لا تعرف كيفية إنشاء حساب تخزين Azure باستخدام حاوية تخزين، فاتبع هذه الخطوات السريعة:
- قم بإنشاء حساب تخزين. عند إنشاء حساب التخزين خاصتك، حدد الأداء القياسي في حقل تفاصيل المثيل>الأداء.
- إنشاء حاوية. عند إنشاء الحاوية الخاصة بك، عيّن Public access level إلى Container (وصول مجهول للقراءة للحاويات والنقاط الكبيرة) في نافذة New Container.
تحميل مستنداتك
سجل دخولك إلى مدخل Azure.
- حدد Your storage account → Data storage → Containers.
حدد حاوية من القائمة.
حدد Upload من القائمة في أعلى الصفحة.
تظهر نافذة تحميل الكائنات الثنائية كبيرة الحجم. حدد الملفات التي تريد تحميلها.
إشعار
بشكل افتراضي، تستخدم واجهة برمجة تطبيقات REST المستندات الموجودة في جذر الحاوية. يمكنك أيضًا استخدام البيانات المنظمة في مجلدات فرعية إذا تم تحديدها في استدعاء واجهة برمجة التطبيقات. لمزيد من المعلومات، راجع تنظيم البيانات في مجلدات فرعية.
استخدام مدخل Microsoft Azure
مدخل Microsoft Azure عبارة عن وحدة تحكم مستندة إلى الويب تتيح لك إدارة اشتراك Azure والموارد باستخدام واجهة مستخدم رسومية (GUI).
سجل دخولك إلى مدخل Azure.
انتقل إلى حاويات>حساب>التخزين الخاص بك الحاوية الخاصة بك.
حدد Generate SAS من القائمة بالقرب من أعلى الصفحة.
حدد Signing method → User delegation key.
حدد Permissions بتحديد أو مسح مربع الاختيار المناسب.
- تأكد من تحديد أذونات Read وWrite وDelete وList.
هام
إذا تلقيت رسالة مشابهة للرسالة التالية، فستحتاج أيضاً إلى تعيين الوصول إلى بيانات blob في حساب التخزين الخاص بك:
التحكم في الوصول استنادًا إلى الدور في Azure (التحكم في الوصول استنادًا إلى الدور في Azure) هو نظام التخويل المستخدم لإدارة الوصول إلى موارد Azure. يساعدك التحكم في الوصول استنادًا إلى الدور في Azure على إدارة الوصول والأذونات لموارد Azure.
قم بتعيين دور Azure للوصول إلى بيانات blob لتعيين دور يسمح بأذونات القراءة والكتابة والحذف لحاوية تخزين Azure. راجع تخزين بيانات Blob المساهم.
حدد المفتاح الموقّع مرات Start وExpiry.
- عند إنشاء رمز SAS، فإن المدة الافتراضية هي 48 ساعة. بعد 48 ساعة، ستحتاج إلى إنشاء رمز مميز جديد.
- ضع في اعتبارك تعيين فترة مدة أطول للوقت الذي تستخدم فيه حساب التخزين لعمليات Document Intelligence Service.
- يتم تحديد قيمة وقت انتهاء الصلاحية من خلال ما إذا كنت تستخدم مفتاح حساب أو طريقة توقيع مفتاحتفويض المستخدم:
- مفتاح الحساب: لا يوجد حد أقصى للوقت مفروض؛ ومع ذلك، توصي أفضل الممارسات بتكوين نهج انتهاء صلاحية للحد من الفاصل الزمني وتقليل الاختراق. تكوين نهج انتهاء صلاحية لتوقيعات الوصول المشتركة.
- مفتاح تفويض المستخدم: قيمة وقت انتهاء الصلاحية هي سبعة أيام كحد أقصى من إنشاء رمز SAS المميز. SAS غير صالح بعد انتهاء صلاحية مفتاح تفويض المستخدم، لذلك لا يزال SAS مع وقت انتهاء صلاحية أكبر من سبعة أيام صالحا لمدة سبعة أيام فقط. لمزيد من المعلومات، راجعاستخدام بيانات اعتماد Microsoft Entra لتأمين SAS.
حقل عناوين IP المسموح بها اختياري ويحدد عنوان IP أو نطاق من عناوين IP التي يمكن من خلالها قبول الطلبات. إذا لم يتطابق عنوان IP للطلب مع عنوان IP أو نطاق العنوان المحدد على رمز SAS المميز، يفشل التخويل. يجب أن يكون عنوان IP أو نطاق عناوين IP عناوين IP عامة، وليست خاصة. لمزيد من المعلومات، راجع تحديد عنوان IP أو نطاق IP.
يعد الحقل البروتوكولات المسموح بها اختيارياً ويحدد البروتوكول المسموح به للطلب الذي يتم إجراؤه باستخدام رمز SAS المميز. القيمة الافتراضية هي HTTPS.
حدد إنشاء رمز SAS المميز وعنوان URL.
تظهر سلسلة الاستعلام رمز SAS المميز لكائن ثنائي كبير الحجموعنوان URL لـ SAS الخاص بكائن ثنائي كبير الحجم في المنطقة السفلية من النافذة. لاستخدام رمز SAS المميز لكائن ثنائي كبير الحجم، قم بإلحاقه بـ URI لخدمة التخزين.
نسخ ولصق رمز SAS المميز لكائن ثنائي كبير الحجموقيم عنوان URL لـ SAS الخاصة بكائن ثنائي كبير الحجمفي موقع آمن. يتم عرضها مرة واحدة فقط ولا يمكن استردادها بعد إغلاق النافذة.
من أجل إنشاء عنوان URL لـ SAS ، قم بإلحاق رمز SAS المميز (URI) بعنوان URL لخدمة التخزين.
استخدام Azure Storage Explorer
Azure Storage Explorer هو تطبيق مستقل مجاني يمكّنك من إدارة موارد التخزين السحابية Azure بسهولة من سطح المكتب.
الشروع في العمل
تحتاج إلى تثبيت تطبيق Azure Storage Explorer في بيئة تطوير Windows أو macOS أو Linux.
بعد تثبيت تطبيق Azure Storage Explorer، قم بتوصيله بحساب التخزين الذي تستخدمه ل Document Intelligence.
قم بإنشاء رموز SAS الخاصة بك
افتح تطبيق Azure Storage Explorer على جهازك المحلي وانتقل إلى حسابات التخزين المتصلة.
قم بتوسيع عقدة "حسابات التخزين" وحدد Blob Containers.
وسّع عقدة حاويات كائن ثنائي كبير الحجم وانقر بزر الماوس الأيمن فوق عقدة الحاوية للتخزين لعرض قائمة الخيارات.
حدد Get Shared Access Signature من قائمة الخيارات.
في نافذة توقيع بالوصول المشترك، قم بإجراء التحديدات التالية:
- حدد سياسة الوصول خاصتك (لا يمثل الوضع الافتراضي شيء).
- حدد المفتاح الموقع لوقت وتاريخ البدء وانتهاء الصلاحية. يوصى بعمر قصير لأنه بمجرد إنشائه، لا يمكن إبطال SAS.
- حدد المنطقة الزمنية لتاريخ ووقت البدء والانتهاء (الافتراضي محلي).
- حدد حاويتك Permissions عن طريق تحديد مربعات الاختيار Read وWrite وList وDelete.
- حدد key1 أو key2.
- راجع وحدد Create.
تظهر نافذة جديدة مع اسم الحاوية وعنوان URL SAS وسلسلة الاستعلام للحاوية الخاصة بك.
انسخ والصق عنوان URL الخاص بـ SAS وقيم سلسلة الاستعلام في مكان آمن. سيتم عرضها مرة واحدة فقط ولا يمكن استردادها بمجرد إغلاق النافذة.
من أجل إنشاء عنوان URL لـ SAS ، قم بإلحاق رمز SAS المميز (URI) بعنوان URL لخدمة التخزين.
استخدم عنوان URL الخاص بـ SAS لمنح الوصول
يتضمن عنوان SAS URL مجموعة خاصة من معامِلات طلب البحث . تشير هذه المعلمات إلى كيفية وصول العميل إلى الموارد.
واجهة برمجة تطبيقات REST
لاستخدام SAS URL مع REST API ، أضف عنوان URL الخاص بـ SAS إلى نص الطلب:
{
"source":"<BLOB SAS URL>"
}
هكذا! لقد تعلمت كيفية إنشاء رموز SAS لتفويض كيفية وصول العملاء إلى بياناتك.