Azure Blob 存储是微软 Azure 提供的一种对象存储服务，用来存放文件、图片、备份、视频等数据。简单说，它就像“可以通过 HTTP 访问的云硬盘”。本教程将带你一步步搭建一个私有存储账户，并生成一个临时 SAS 令牌供合作伙伴安全访问文件。

准备工作：登录 Azure 门户

首先，你需要一个 Azure 账户（如果没有，可以免费注册）。登录 Azure 门户（portal.azure.com），这是管理所有 Azure 资源的地方。

第一步：创建存储账户

1. 在 Azure 门户顶部的搜索栏中输入“存储账户”，然后点击进入。
2. 点击“+ 创建”按钮开始新建。
3. 创建一个新的资源组（资源组是管理多个资源的逻辑容器，方便统一管理）。
4. 为存储账户取一个全局唯一的名称，全部使用小写字母。
5. 性能选择“标准”即可，适合大多数场景。
6. 点击“查看 + 创建”，然后点击“创建”。等待部署完成。
7. 部署完成后，点击“转到资源”进入存储账户概览页面。

第二步：启用异地冗余存储 (GRS)

为了数据安全，建议启用异地冗余存储 (GRS)。GRS 会自动将数据复制到另一个 Azure 区域，即使主区域出问题，数据也不会丢失。

1. 在存储账户菜单中，找到“设置”下的“配置”。
2. 在“复制”选项中选择“异地冗余存储 (GRS)”。
3. 点击“保存”。

第三步：创建私有容器并上传文件

容器就像存储账户里的文件夹，用来存放 Blob 文件。

1. 在存储账户菜单中，找到“数据存储”下的“容器”。
2. 点击“+ 容器”。
3. 容器名称输入“private”，公共访问级别选择“私有（无匿名访问）”。这样文件就不能通过直接链接被公开访问，只有经过授权才能读取。
4. 点击“创建”。
5. 点击新创建的容器“private”，然后点击“上传”。选择一个小文件（比如图片或文本文件）上传。
6. 上传后，点击该文件，复制其 URL。
7. 在浏览器新标签页中粘贴该 URL。你应该会看到类似“ResourceNotFound”或“403 禁止访问”的错误。这证明你的容器是安全的！

第四步：生成并测试 SAS 令牌

现在，假设你想让一个外部合作伙伴临时访问这个文件 24 小时。你可以生成一个共享访问签名 (SAS) 令牌，它是一个临时的、安全的权限令牌。

1. 在存储账户中，找到刚才上传的文件，点击它。
2. 在文件详情页中，找到“生成 SAS”选项卡。
3. 设置权限：根据需求勾选“读取”或“写入”。这里只勾选“读取”。
4. 设置开始时间和到期时间：例如，开始时间设为当前时间，到期时间设为 24 小时后。
5. 点击“生成 SAS 令牌和 URL”。
6. 立即复制生成的 Blob SAS URL，关闭面板后 Azure 不会再次显示它。
7. 将 SAS URL 粘贴到浏览器新标签页。如果文件是图片，会直接显示；如果是其他类型，可能会自动下载。这说明 SAS 令牌生效了！

下一步可以做什么？

• 设置生命周期管理规则：将 30 天前的文件自动转移到“冷”访问层，以节省成本。
• 学习跨账户对象复制：将数据复制到另一个区域，用于备份或静态网站托管。

恭喜！你已经掌握了 Azure Blob 存储的基本操作：创建私有存储、保护数据、以及通过 SAS 令牌安全共享文件。