Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este contenido se aplica a:
v4.0 (GA)v3.1 (GA)
v3.0 (en retirada)v2.1 (en retirada)
En este artículo, aprenderá a crear tokens de delegación de usuarios, firma de acceso compartido (SAS), mediante el portal de Azure o Explorador de Azure Storage. Los tokens de SAS de delegación de usuarios se protegen con credenciales de Microsoft Entra. Los tokens de SAS proporcionan acceso seguro y delegado a los recursos de la cuenta de almacenamiento de Azure.
En un nivel alto, este es el funcionamiento de los tokens de SAS:
En primer lugar, la aplicación envía el token de SAS a Azure Storage como parte de una solicitud de API REST.
A continuación, si el servicio de almacenamiento comprueba que la SAS es válida, la solicitud está autorizada. Si, el token de SAS se considera no válido, se rechaza la solicitud y se devuelve el código de error 403 (Prohibido).
Azure Blob Storage ofrece tres tipos de recursos:
- Las cuentas de Storage proporcionan un espacio de nombres único en Azure para sus datos.
- Los contenedores de almacenamiento de datos se encuentran en cuentas de almacenamiento y organizan conjuntos de blobs.
- Los blobs se encuentran en contenedores y almacenan datos binarios y de texto, como archivos, texto e imágenes.
Cuándo usar un token de SAS
Entrenamiento de modelos personalizados. El conjunto ensamblado de documentos de entrenamiento debe cargarse en un contenedor de Azure Blob Storage. Puede optar por usar un token de SAS para conceder acceso a los documentos de entrenamiento.
Uso de contenedores de almacenamiento con acceso público. Puede optar por usar un token de SAS para conceder acceso limitado a los recursos de almacenamiento que tienen acceso de lectura público.
Importante
Si la cuenta de almacenamiento de Azure está protegida por una red virtual o un firewall, no puede conceder acceso con un token de SAS. Tendrá que usar una identidad administrada para conceder acceso al recurso de almacenamiento.
Identidad administrada admite tanto las cuentas de almacenamiento de blobs de Azure de acceso privado como público.
Los tokens de SAS conceden permisos a los recursos de almacenamiento y deben protegerse de la misma manera que una clave de cuenta.
Las operaciones que usan tokens de SAS solo deben realizarse a través de una conexión HTTPS y los URI de SAS solo deben distribuirse en una conexión segura, como HTTPS.
Requisitos previos
Para empezar, necesita lo siguiente:
Una cuenta Azure activa. Si no tiene una, puede crear una cuenta gratuita.
Recurso Document Intelligence o multiservicio.
Una cuenta de rendimiento estándarAzure Blob Storage. Debe crear contenedores para almacenar y organizar los datos del blob dentro de la cuenta de almacenamiento. Si no sabe cómo crear una cuenta de almacenamiento de Azure con un contenedor de almacenamiento, siga estos inicios rápidos:
- Cree una cuenta de almacenamiento. Al crear la cuenta de almacenamiento, seleccione Rendimiento estándar en el campoRendimiento> de la instancia.
- Cree un contenedor. Al crear el contenedor, establezca Nivel de acceso público en Contenedor (acceso de lectura anónimo para contenedores y blobs) en la ventana Nuevo contenedor .
Carga de los documentos
Inicie sesión en el portal Azure.
- Seleccione La cuenta de almacenamiento → Almacenamiento de datos → Contenedores.
Seleccione un contenedor de la lista.
Seleccione Cargar en el menú de la parte superior de la página.
Aparece la ventana Cargar blob . Seleccione los archivos que desea cargar.
Nota
De forma predeterminada, la API REST usa documentos ubicados en la raíz del contenedor. También puede usar los datos organizados en subcarpetas si se especifican en la llamada a la API. Para obtener más información, consulte Organizar los datos en subcarpetas.
Generación de tokens de SAS
Una vez que se cumplen los requisitos previos y carga los documentos, ahora puede generar tokens de SAS. Hay dos rutas de acceso que se pueden tomar desde aquí; uno que usa el portal de Azure y el otro mediante el explorador de almacenamiento de Azure. Seleccione entre las dos pestañas siguientes para obtener más información.
El portal de Azure es una consola basada en web que le permite administrar la suscripción y los recursos de Azure mediante una interfaz gráfica de usuario (GUI).
Inicie sesión en el portal Azure.
Vaya a su cuenta de almacenamiento>contenedores>su contenedor.
Seleccione Generar SAS en el menú situado cerca de la parte superior de la página.
Seleccione Método de firma → Clave de delegación de usuarios.
Para definir permisos , active o desactive la casilla correspondiente.
- Asegúrese de que se seleccionan los permisos Leer, Escribir, Eliminar y Enumerar .
Importante
Si recibe un mensaje similar al siguiente, también debe asignar acceso a los datos de blob de la cuenta de almacenamiento:
Azure control de acceso basado en rol (Azure RBAC) es el sistema de autorización que se usa para administrar el acceso a los recursos de Azure. Azure RBAC le ayuda a administrar el acceso y los permisos de los recursos de Azure.
Asignación de un rol de Azure el acceso a datos de blob para asignar un rol que tenga permisos de lectura, escritura y eliminación del contenedor de almacenamiento de Azure. ConsulteColaborador de datos de blobs de almacenamiento.
Especifique la fecha y hora de inicio y expiración de la clave firmada.
- Al crear un token de SAS, la duración predeterminada es de 48 horas. Después de 48 horas, deberá crear un nuevo token.
- Considere la posibilidad de establecer un período de duración más largo durante el tiempo que usa la cuenta de almacenamiento para las operaciones de Document Intelligence Service.
- El valor de la hora de expiración viene determinado por si usa una clave de cuenta o una clave de delegación de usuarioMétodo de firma:
- Clave de cuenta: sin límite de tiempo máximo impuesto; sin embargo, se recomiendan los procedimientos recomendados para configurar una directiva de expiración para limitar el intervalo y minimizar el riesgo. Configure una directiva de expiración para las firmas de acceso compartido.
- Clave de delegación de usuarios: el valor del tiempo de expiración es un máximo de siete días a partir de la creación del token de SAS. La SAS no es válida después de que expire la clave de delegación de usuarios, por lo que una SAS con un tiempo de expiración superior a siete días seguirá siendo válida durante siete días. Para más información, consulteUsar credenciales de Microsoft Entra para proteger una SAS.
El campo Direcciones IP permitidas es opcional y especifica una dirección IP o un intervalo de direcciones IP desde las que aceptar solicitudes. Si la dirección IP de la solicitud no coincide con la dirección IP o el intervalo de direcciones especificado en el token de SAS, se produce un error en la autorización. La dirección IP o un intervalo de direcciones IP deben ser direcciones IP públicas, no privadas. Para obtener más información, veaEspecificar una dirección IP o un intervalo IP.
El campo Protocolos permitidos es opcional y especifica el protocolo permitido para una solicitud realizada con el token de SAS. El valor predeterminado es HTTPS.
Seleccione Generar token y dirección URL de SAS.
La cadena de consulta Token de SAS de blob y URL de SAS de blob aparecen en el área inferior de la ventana. Para usar el token de SAS de Blob, anexe a un URI del servicio de almacenamiento.
Copie y pegue los valores Token de SAS de blob y URL de SAS de blob en una ubicación segura. Los valores se muestran solo una vez y no se pueden recuperar después de cerrar la ventana.
Para construir una dirección URL de SAS, anexe el token de SAS (URI) a la dirección URL de un servicio de almacenamiento.