Creación de tokens de SAS para contenedores de almacenamiento

Este contenido se aplica a:v4.0 (versión preliminar)v3.1 (GA)v3.0 (GA)v2.1 (GA)

En este artículo, obtenga información sobre cómo crear tokens de firma de acceso compartido (SAS) de delegación de usuarios mediante Azure Portal o el Explorador de Azure Storage. Los tokens de SAS de delegación de usuarios se protegen con credenciales de Microsoft Entra. Un token de SAS proporciona acceso delegado y seguro a los recursos de la cuenta de almacenamiento de Azure.

En general, los tokens de SAS funcionan así:

• La aplicación envía el token de SAS a Azure Storage como parte de una solicitud de API REST.

• Si el servicio de almacenamiento confirma que la firma SAS es válida, la solicitud se autoriza.

• Si el token de SAS no se considera válido, la solicitud se rechaza con el código de error 403 (prohibido).

Azure Blob Storage ofrece tres tipos de recursos:

• Las cuentas de almacenamiento proporcionan un espacio de nombres único en Azure para los datos.
• Los contenedores de almacenamiento de datos se encuentran en las cuentas de almacenamiento y organizan los conjuntos de blobs.
• Los blobs se encuentran en contenedores y almacenan texto y datos binarios, como archivos, texto e imágenes.

Cuándo usar un token de SAS

• Entrenamiento de modelos personalizados. El conjunto reunido de documentos de entrenamiento debe cargarse en un contenedor de Azure Blob Storage. Puede optar por usar un token de SAS para conceder acceso a los documentos de entrenamiento.

• Uso de contenedores de almacenamiento con acceso público. Puede optar por usar un token de SAS para conceder acceso limitado a los recursos de almacenamiento que tienen acceso de lectura público.

  Importante

  • Si la cuenta de almacenamiento de Azure está protegida por una red virtual o un firewall, no puede conceder acceso mediante un token de SAS. Tiene que usar una identidad administrada para conceder acceso al recurso de almacenamiento.

  • La identidad administrada admite cuentas de Azure Blob Storage de acceso privado y público.

  • Los tokens de SAS conceden permisos a los recursos de almacenamiento y deben protegerse de la misma manera que una clave de cuenta.

  • Las operaciones que utilizan tokens de SAS deben realizarse únicamente sobre una conexión HTTPS y los URI de SAS solo se deben distribuir por una conexión segura como HTTPS.

Requisitos previos

Para empezar, necesitará lo siguiente:

• Una cuenta de Azure activa. En caso de no tener ninguna, puede crear una cuenta gratuita.

• Un recurso Documento de inteligencia o multiservicio.

• Una cuenta de Azure Blob Storage con un rendimiento estándar. También debe crear contenedores para almacenar y organizar los datos de los blobs en la cuenta de almacenamiento. Si no sabe cómo crear una cuenta de almacenamiento de Azure con un contenedor de almacenamiento, siga estos inicios rápidos:

  • Crear una cuenta de almacenamiento. Al crear la cuenta de almacenamiento, seleccione el rendimiento Estándar en el campo Detalles de instancia>Rendimiento.
  • Cree un contenedor. Al crear un contenedor, establezca Nivel de acceso público en Contenedor (acceso de lectura anónimo para contenedores y blobs) en la ventana Nuevo contenedor.

Carga de los documentos

1. Inicie sesión en Azure Portal.

   • Seleccione Su cuenta de almacenamiento → Almacenamiento de datos → Contenedores.

   

2. Seleccione un contenedor de la lista.

3. En el menú de la parte superior de la página, seleccione Cargar.

   

4. Aparece la ventana Cargar blob. Seleccione los archivos que quiere cargar.

   

   Nota:

   De forma predeterminada, la API de REST utiliza documentos ubicados en la raíz de su contenedor. También puede usar datos organizados en subcarpetas si lo especifica en la llamada API. Para obtener más información, vea Organización de los datos en subcarpetas.

Uso de Azure Portal

Azure Portal es una consola basada en web que permite administrar la suscripción y los recursos de Azure mediante una interfaz gráfica de usuario (GUI).

1. Inicie sesión en Azure Portal.

2. Vaya a Su cuenta de almacenamiento> contenedores>su contenedor.

3. Seleccione la pestaña Generar SAS en el menú junto a la parte superior de la página.

4. Seleccione Método de firma → Clave de delegación de usuario.

5. Para definir Permisos, active o desactive la casilla correspondiente.
   

   • Asegúrese de que están seleccionados los permisos de Lectura, Escritura, Eliminación y Enumeración.

   

   Importante

   • Si recibe un mensaje similar al siguiente, también debe asignar acceso a los datos de blob de la cuenta de almacenamiento:

     

   • El control de acceso basado en rol de Azure (RBAC de Azure) es el sistema de autorización empleado para administrar el acceso a los recursos de Azure. Azure RBAC le ayuda a administrar el acceso y los permisos de los recursos de Azure.

   • Asigne un rol de Azure para acceder a datos de blobs para asignar un rol con permisos de lectura, escritura y eliminación para el contenedor de Azure Storage. ConsulteColaborador de datos de blobs de almacenamiento.

6. Especifique la fecha y hora de inicio y expiración de la clave firmada.

   • Cuando se crea una firma de acceso compartido (SAS), la duración predeterminada es de 48 horas. Después de 48 horas, deberá crear un nuevo token.
   • Considere la posibilidad de establecer un período de duración más largo para el tiempo que esté utilizando su cuenta de almacenamiento para las operaciones de Servicio de Document Intelligence.
   • El valor de la hora de expiración viene determinado por si usa una clave de cuenta o una clave de delegación de usuarioMétodo de firma:
     • Clave de cuenta: no hay límite de tiempo máximo impuesto. Sin embargo, se recomiendan los procedimientos recomendados para configurar una directiva de expiración para limitar el intervalo y minimizar el riesgo. Configuración de una directiva de expiración para firmas de acceso compartido.
     • Clave de delegación de usuario: el valor de la hora de expiración es de siete días como máximo a partir de la creación del token de SAS. La SAS no es válida después de que expire la clave de delegación de usuarios, por lo que una SAS con un tiempo de expiración de más de siete días seguirá siendo válida solo durante siete días. Para más información, consulteUsar credenciales de Microsoft Entra para proteger una SAS.

7. El campo Direcciones IP permitidas es opcional y especifica una dirección IP o un intervalo de direcciones IP desde el que se aceptan solicitudes. Si la dirección IP de la solicitud no coincide con la dirección IP o el intervalo de direcciones especificado en el token de SAS, se produce un error en la autorización. La dirección IP o un intervalo de direcciones IP deben ser direcciones IP públicas, no privadas. Para obtener más información, veaEspecificación de una dirección IP o un intervalo IP.

8. El campo Protocolos permitidos es opcional y especifica el protocolo permitido para una solicitud realizada con el token de SAS. El valor predeterminado es HTTPS.

9. Seleccione Generar URL y token de SAS.

10. La cadena de consulta Token de SAS de blob y URL de SAS de blob aparecen en el área inferior de la ventana. Para usar el token de SAS de blob, anéxelo a un URI del servicio de almacenamiento.

11. Copie y pegue los valores Token de SAS de blob y URL de SAS de blob en una ubicación segura. Solo se muestran una vez y no se pueden recuperar una vez cerrada la ventana.

12. Para construir una dirección URL de SAS, asocie el token de SAS (URI) a la dirección URL de un servicio de almacenamiento.

Uso del Explorador de Azure Storage

El Explorador de Azure Storage es una aplicación independiente que permite administrar con facilidad los recursos del almacenamiento en la nube de Azure desde el escritorio.

Introducción

• Se necesita la aplicación Explorador de Azure Storage instalada en el entorno de desarrollo de Windows, macOS o Linux.

• Una vez instalada la aplicación Azure Storage Explorer, conéctela a la cuenta de almacenamiento que esté usando para Document Intelligence.

Creación de tokens de SAS

1. Abra la aplicación Explorador de Azure Storage en la máquina local y vaya a las cuentas de almacenamiento conectadas.

2. Expanda el nodo Cuentas de almacenamiento y seleccione Contenedores de blob.

3. Expanda el nodo Contenedores de blob y haga clic con el botón derecho en un nodo contenedor de almacenamiento para mostrar el menú de opciones.

4. Seleccione Obtener firma de acceso compartido en el menú de opciones.

5. En la ventana Firma de acceso compartido, realice las selecciones siguientes:

   • Seleccione la directiva de acceso (el valor predeterminado es ninguna).
   • Especifique la fecha y hora de inicio y de expiración de la clave firmada. Se recomienda una duración corta porque, una vez generada, no se puede revocar una SAS.
   • Seleccione la zona horaria de la fecha y hora de inicio y de expiración (el valor predeterminado es la zona horaria local).
   • Defina los Permisos de contenedor seleccionando las casillas Leer, Escribir, Enumerar y Eliminar.
   • Seleccione key1 o key2.
   • Repase y seleccione Crear.

6. Aparece una nueva ventana con el nombre del contenedor, el URL de la SAS y la cadena de consulta del contenedor.

7. Copie y pegue la dirección URL de SAS y los valores de la cadena de consulta en una ubicación segura. Estos solo se mostrarán una vez y no se podrán recuperar una vez cerrada la ventana.

8. Para construir una dirección URL de SAS, asocie el token de SAS (URI) a la dirección URL de un servicio de almacenamiento.

Uso de la dirección URL de SAS para conceder acceso

La dirección URL de SAS incluye un conjunto especial de parámetros de consulta. Estos parámetros indican cómo el cliente accede a los recursos.

API DE REST

Para usar la dirección URL de SAS con la API REST, agregue la dirección URL de SAS al cuerpo de la solicitud:

{
    "source":"<BLOB SAS URL>"
}

Eso es todo. Ha aprendido a crear tokens de SAS para autorizar el acceso a los datos a los clientes.

Paso siguiente

Creación de un conjunto de datos de aprendizaje