Creare token di firma di accesso condiviso per contenitori di archiviazione

Questo articolo illustra come creare token di firma di accesso condiviso della delega utente usando il portale di Azure o Azure Storage Explorer. I token di firma di accesso condiviso della delega utente sono protetti con le credenziali di Microsoft Entra. I token di firma di accesso condiviso forniscono accesso sicuro e delegato alle risorse nell'account di archiviazione di Azure.

Suggerimento

Le identità gestite forniscono un metodo alternativo per concedere l'accesso ai dati di archiviazione senza la necessità di includere i token di firma di accesso condiviso con le richieste HTTP. VedereIdentità gestite per la traduzione di documenti.

• È possibile usare le identità gestite per concedere l'accesso a qualsiasi risorsa che supporti l'autenticazione di Microsoft Entra, incluse le proprie applicazioni.
• L'uso di identità gestite non richiede l'inclusione dei token di firma di accesso condiviso negli URL di origine e di destinazione.
• Non sono previsti costi aggiuntivi per l'uso di identità gestite in Azure.

A livello generale, ecco come funzionano i token di firma di accesso condiviso:

• Un'applicazione invia il token di firma di accesso condiviso ad Archiviazione di Azure come parte di una richiesta API REST.

• Il servizio di archiviazione verifica che la firma di accesso condiviso sia valida. In tal caso, la richiesta viene autorizzata.

• La richiesta viene rifiutata se il token di firma di accesso condiviso viene considerato non valido. In tal caso, viene restituito il codice errore 403 (Non consentito).

Archiviazione BLOB di Azure offre tre tipi di risorse:

• Gli account di archiviazione offrono uno spazio dei nomi univoco in Azure per i dati.
• I contenitori di archiviazione dati si trovano negli account di archiviazione e organizzano set di BLOB (file, testo o immagini).
• I BLOB si trovano in contenitori e archiviano dati di testo e binari, ad esempio file, testo e immagini.

Importante

• I token di firma di accesso condiviso vengono usati per concedere le autorizzazioni alle risorse di archiviazione e devono essere protetti nello stesso modo in cui viene protetta una chiave dell'account.

• Le operazioni che usano i token di firma di accesso condiviso devono essere eseguite solo su una connessione HTTPS e gli URI di firma di accesso condiviso devono essere distribuiti solo in una connessione sicura, ad esempio HTTPS.

Prerequisiti

Per iniziare, sono necessarie le risorse seguenti:

• Un account Azure attivo. Se non si ha un account, è possibile crearne uno gratuito.

• Una risorsa del Traduttore.

• Un account di Archiviazione BLOB di Azure con prestazioni standard. È anche necessario creare contenitori per archiviare e organizzare i file all'interno dell'account di archiviazione. Se non si sa come creare un account di archiviazione di Azure con un contenitore di archiviazione, seguire questi avvii rapidi:

  • Creare un account di archiviazione. Quando si crea l'account di archiviazione, selezionare Standard per prestazioni nel campo Dettagli istanza>Prestazioni.
  • Creare un contenitore. Quando si crea il contenitore, impostare livello di accesso pubblico su Contenitore (accesso in lettura anonimo per contenitori e file) nella finestra Nuovo contenitore.

Creare token di firma di accesso condiviso nel portale di Azure

Passare al portale di Azure, accedere al contenitore o a un file specifico come indicato di seguito e continuare seguendo questi passaggi:

Creare un token di firma di accesso condiviso per un contenitore	Creare un token di firma di accesso condiviso per un file specifico
Account di archiviazione personale → contenitori → contenitore personale	Account di archiviazione personale → contenitori → contenitore personale→ file personale

1. Fare clic con il pulsante destro del mouse sul contenitore o sul file e scegliere Genera SAS dal menu a discesa.

2. Selezionare Metodo di firma → Chiave di delega utente.

3. Definire le autorizzazioni selezionando e/o deselezionando la casella di controllo appropriata:

   • Il contenitore o il file di origine deve designare l'accesso in lettura e per elenchi.

   • Il contenitore o il file di destinazione deve designare l'accesso di scrittura e per elenchi.

4. Specificare i tempi di Inizio e Scadenza della chiave firmata.

   • Quando si crea una firma di accesso condiviso, la durata predefinita è di 48 ore. Dopo 48 ore, è necessario creare un nuovo token.
   • Valutare la possibilità di impostare una durata maggiore per il tempo in cui si usa l'account di archiviazione per le operazioni del servizio Traduttore.
   • Il valore del tempo di scadenza è determinato dal fatto che si stia usando una chiave dell'account o una chiave di delega utenteMetodo di firma:
     • Chiave dell'account: sebbene non viene imposto un limite di tempo massimo, è consigliabile configurare un criterio di scadenza per limitare l'intervallo e ridurre al minimo la compromissione. Configurare un criterio di scadenza per le firme di accesso condiviso.
     • Chiave di delega utente: il valore per il tempo di scadenza è al massimo di sette giorni dalla creazione del token di firma di accesso condiviso. La firma di accesso condiviso non è valida dopo la scadenza della chiave di delega utente, pertanto una firma di accesso condiviso con un tempo di scadenza superiore ai sette giorni rimarrà valida solo per sette giorni. Per altre informazioni, vedereUsare le credenziali di Microsoft Entra per proteggere una firma di accesso condiviso.

5. Il campo Indirizzi IP consentiti è facoltativo e specifica un indirizzo IP o un intervallo di indirizzi IP da cui accettare le richieste. Se l'indirizzo IP della richiesta non corrisponde all'indirizzo IP o all'intervallo di indirizzi specificato nel token di firma di accesso condiviso, l'autorizzazione non riesce. L'indirizzo IP, o un intervallo di indirizzi IP deve essere composto da indirizzi IP pubblici, non privati. Per altre informazioni, vedereSpecificare un indirizzo IP o un intervallo IP.

6. Il campo Protocolli consentiti è facoltativo e specifica il protocollo consentito per una richiesta effettuata con la firma di accesso condiviso. Il valore predefinito è HTTPS.

7. Esaminare e quindi selezionare Genera URL e token di firma di accesso condiviso.

8. La stringa di query Token di firma di accesso condiviso del BLOB e l'URL di firma di accesso condiviso del BLOB vengono visualizzati nell'area inferiore della finestra.

9. Copiare e incollare i valori dell'URL e del token di firma di accesso condiviso del BLOB in una posizione sicura. Verranno visualizzati una sola volta e non possono essere recuperati una volta chiusa la finestra.

10. Per costruire un URL di firma di accesso condiviso, accodare il token di firma di accesso condiviso (URI) all'URL per un servizio di archiviazione.

Creare token di firma di accesso condiviso con Azure Storage Explorer

Azure Storage Explorer è un'app autonoma gratuita che consente di gestire facilmente le risorse di archiviazione cloud di Azure dal desktop.

• È necessaria che l'app Azure Storage Explorer sia installata nell'ambiente di sviluppo Windows, macOS o Linux.

• Dopo aver installato l'app Azure Storage Explorer, connetterla all'account di archiviazione che si sta usando per la traduzione di documenti. Seguire questa procedura per creare i token per un contenitore di archiviazione o un file BLOB specifico:

Token di firma di accesso condiviso per contenitori di archiviazione

1. Aprire l'app Azure Storage Explorer nel computer locale e passare all'account di archiviazione connesso.

2. Espandere il nodo Account di archiviazione e selezionare Contenitori BLOB.

3. Espandere il nodo Contenitori BLOB e fare clic con il pulsante destro del mouse su un nodo del contenitore di archiviazione per visualizzare il menu delle opzioni.

4. Selezionare Ottieni firma di accesso condiviso... dal menu delle opzioni.

5. Nella finestra Firma di accesso condiviso effettuare le selezioni seguenti:

   • Selezionare il criterio di accesso (il valore predefinito è Nessuno).
   • Specificare la data e l'ora di Inizio e Scadenza della chiave firmata. È consigliabile una breve durata perché, una volta generata, non è possibile revocare una firma di accesso condiviso.
   • Selezionare il fuso orario per la data e l'ora di inizio e scadenza (il valore predefinito è Locale).
   • Definire le autorizzazioni del contenitore selezionando e/o deselezionando la casella di controllo appropriata.
   • Rivedere e selezionare Crea.

6. Viene visualizzata una nuova finestra con il nome del contenitore, l'URI e la stringa di query per il contenitore.

7. Copiare e incollare i valori del contenitore, dell'URI e della stringa di query in una posizione sicura. Verranno visualizzati una sola volta e non possono essere recuperati una volta chiusa la finestra.

8. Per costruire un URL di firma di accesso condiviso, accodare il token di firma di accesso condiviso (URI) all'URL per un servizio di archiviazione.

Token di firma di accesso condiviso per file di BLOB specifici

1. Aprire l'app Azure Storage Explorer nel computer locale e passare all'account di archiviazione connesso.

2. Espandere il nodo di archiviazione e selezionare Contenitori BLOB.

3. Espandere il nodo Contenitori BLOB e selezionare un nodo contenitore per visualizzare il contenuto nella finestra principale.

4. Selezionare il file in cui si vuole delegare l'accesso con firma di accesso condiviso e fare clic con il pulsante destro del mouse per visualizzare il menu delle opzioni.

5. Selezionare Ottieni firma di accesso condiviso... dal menu delle opzioni.

6. Nella finestra Firma di accesso condiviso effettuare le selezioni seguenti:

   • Selezionare il criterio di accesso (il valore predefinito è Nessuno).
   • Specificare la data e l'ora di Inizio e Scadenza della chiave firmata. È consigliabile una breve durata perché, una volta generata, non è possibile revocare una firma di accesso condiviso.
   • Selezionare il fuso orario per la data e l'ora di inizio e scadenza (il valore predefinito è Locale).
   • Definire le autorizzazioni del contenitore selezionando e/o deselezionando la casella di controllo appropriata.
     • Il contenitore o il file di origine deve designare l'accesso in lettura e per elenchi.
     • Il contenitore o il file di destinazione deve designare l'accesso di scrittura e per elenchi.
   • Selezionare key1 o key2.
   • Rivedere e selezionare Crea.

7. Viene visualizzata una nuova finestra con il nome BLOB, l'URI e la stringa di query per il BLOB.

8. Copiare e incollare i valori del BLOB, dell'URI e della stringa di query in una posizione sicura. Verranno visualizzati una sola volta e non possono essere recuperati una volta chiusa la finestra.

9. Per costruire un URL di firma di accesso condiviso, accodare il token di firma di accesso condiviso (URI) all'URL per un servizio di archiviazione.

Usare l'URL della firma di accesso condiviso per concedere l'accesso

L'URL della firma di accesso condiviso include un set speciale di parametri di query. Questi parametri indicano in che modo il client accede alle risorse.

È possibile includere l'URL della firma di accesso condiviso nelle richieste API REST in due modi:

• Usare l'URL della firma di accesso condiviso come valori sourceURL e targetURL.

• Accodare la stringa di query della firma di accesso condiviso ai valori sourceURL e targetURL esistenti.

Ecco una richiesta API REST di esempio:

{
    "inputs": [
        {
            "storageType": "File",
            "source": {
                "sourceUrl": "https://my.blob.core.windows.net/source-en/source-english.docx?sv=2019-12-12&st=2021-01-26T18%3A30%3A20Z&se=2021-02-05T18%3A30%3A00Z&sr=c&sp=rl&sig=d7PZKyQsIeE6xb%2B1M4Yb56I%2FEEKoNIF65D%2Fs0IFsYcE%3D"
            },
            "targets": [
                {
                    "targetUrl": "https://my.blob.core.windows.net/target/try/Target-Spanish.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
                    "language": "es"
                },
                {
                    "targetUrl": "https://my.blob.core.windows.net/target/try/Target-German.docx?sv=2019-12-12&st=2021-01-26T18%3A31%3A11Z&se=2021-02-05T18%3A31%3A00Z&sr=c&sp=wl&sig=AgddSzXLXwHKpGHr7wALt2DGQJHCzNFF%2F3L94JHAWZM%3D",
                    "language": "de"
                }
            ]
        }
    ]
}

Ecco fatto! È stato illustrato come creare token di firma di accesso condiviso per autorizzare le modalità di accesso ai dati da parte dei client.

Passaggi successivi

Introduzione alla traduzione di documenti