Použití služby Azure Content Delivery Network s SAS
Důležité
30. září 2027 bude vyřazena služba Azure CDN Standard od Microsoftu (Classic). Abyste se vyhnuli přerušení služeb, je důležité do 30. září 2027 migrovat profily Azure CDN Standard z Microsoftu (classic) na úroveň Azure Front Door Standard nebo Premium. Další informace najdete v tématu Azure CDN Standard od Microsoftu (klasického) vyřazení.
15. ledna 2025 byla vyřazena služba Azure CDN z Edgio. Další informace najdete v tématu Azure CDN z nejčastějších dotazů k vyřazení Edgio.
Když nastavíte účet úložiště pro Azure Content Delivery Network tak, aby se používal k ukládání obsahu do mezipaměti, má standardně každý, kdo zná adresy URL vašich kontejnerů úložiště, přístup k souborům, které jste nahráli. Pokud chcete chránit soubory ve vašem účtu úložiště, můžete nastavit přístup ke kontejnerům úložiště z veřejného na privátní. Pokud to ale uděláte, nikdo nebude mít přístup k vašim souborům.
Pokud chcete udělit omezený přístup ke kontejnerům privátního úložiště, můžete použít funkci sdíleného přístupového podpisu (SAS) vašeho účtu Azure Storage. SAS je identifikátor URI, který uděluje omezená přístupová práva k vašim prostředkům Azure Storage bez odhalení vašeho klíče účtu. Sas můžete poskytnout klientům, kterým nedůvěřujete s klíčem účtu úložiště, ale komu chcete delegovat přístup k určitým prostředkům účtu úložiště. Když těmto klientům distribuujete identifikátor URI sdíleného přístupového podpisu, udělíte jim přístup k prostředku po určitou dobu.
Pomocí sdíleného přístupového podpisu můžete definovat různé parametry přístupu k objektu blob, jako jsou časy spuštění a vypršení platnosti, oprávnění (čtení/zápis) a rozsahy IP adres. Tento článek popisuje, jak používat SAS se službou Azure Content Delivery Network. Další informace o SAS, včetně postupu jeho vytvoření a možností parametrů, najdete v tématu Použití sdílených přístupových podpisů (SAS).
Nastavení služby Azure Content Delivery Network pro práci se SDÍLENÝm přístupovým podpisem úložiště
Pro použití SAS se službou Azure Content Delivery Network se doporučují následující dvě možnosti. Všechny možnosti předpokládají, že jste už vytvořili funkční SAS (viz požadavky).
Požadavky
Začněte tím, že vytvoříte účet úložiště a potom vygenerujete SAS pro váš prostředek. Můžete vygenerovat dva typy uložených přístupových podpisů: SAS služby nebo SAS účtu. Další informace naleznete v tématu Typy sdílených přístupových podpisů.
Po vygenerování tokenu SAS můžete získat přístup k souboru úložiště objektů blob připojením ?sv=<SAS token> k adrese URL. Tato adresa URL má následující formát:
https://<account name>.blob.core.windows.net/<container>/<file>?sv=<SAS token>
Příklad:
https://democdnstorage1.blob.core.windows.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=co&sp=r&se=2038-01-02T21:30:49Z&st=2018-01-02T13:30:49Z&spr=https&sig=QehoetQFWUEd1lhU5iOMGrHBmE727xYAbKJl5ohSiWI%3D
Další informace o nastavení parametrů najdete v tématu Aspekty parametrů SAS a Parametry sdíleného přístupového podpisu.
Použití SAS s předávacím úložištěm objektů blob ze služby Azure Content Delivery Network
Tato možnost je nejjednodušší a používá jeden token SAS, který se předává ze služby Azure Content Delivery Network na původní server.
Vyberte koncový bod, vyberte Pravidla ukládání do mezipaměti a pak v seznamu ukládání řetězců dotazu vyberte Uložit každou jedinečnou adresu URL.
Po nastavení sdíleného přístupového podpisu na účtu úložiště musíte pro přístup k souboru použít token SAS s koncovým bodem sítě pro doručování obsahu a adresami URL zdrojového serveru.
Výsledná adresa URL koncového bodu sítě pro doručování obsahu má následující formát:
https://<endpoint hostname>.azureedge.net/<container>/<file>?sv=<SAS token>Příklad:
https://demoendpoint.azureedge.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3DDolaďte dobu trvání mezipaměti buď pomocí pravidel ukládání do mezipaměti, nebo přidáním
Cache-Controlhlaviček na původní server. Vzhledem k tomu, že Azure Content Delivery Network považuje token SAS za řetězec prostého dotazu, osvědčeným postupem je nastavit dobu ukládání do mezipaměti, která vyprší nebo před vypršením platnosti SAS. Pokud je soubor uložený v mezipaměti delší dobu, než je sas aktivní, může být soubor přístupný ze zdrojového serveru Azure Content Delivery Network po uplynutí doby vypršení platnosti SAS. Pokud k této situaci dojde a chcete, aby byl soubor uložený v mezipaměti nepřístupný, musíte u souboru provést operaci vyprázdnění, aby se vymazaly z mezipaměti. Informace o nastavení doby trvání mezipaměti ve službě Azure Content Delivery Network najdete v tématu Řízení chování služby Azure Content Delivery Network při ukládání do mezipaměti pomocí pravidel ukládání do mezipaměti.
Důležité informace o parametrech SAS
Vzhledem k tomu, že parametry SAS nejsou viditelné pro Azure Content Delivery Network, nemůže služba Azure Content Delivery Network na základě nich měnit chování doručování. Definovaná omezení parametrů se vztahují pouze na požadavky, které služba Azure Content Delivery Network provádí na původní server, nikoli pro požadavky z klienta do služby Azure Content Delivery Network. Tento rozdíl je důležitý při nastavování parametrů SAS.
| Název parametru SAS | Popis |
|---|---|
| Počátek | Doba, po kterou může Azure Content Delivery Network začít přistupovat k souboru objektu blob. Vzhledem ke nerovnoměrné distribuci hodin (když se signál hodin dorazí v různých časech pro různé komponenty), zvolte čas 15 minut dříve, pokud chcete, aby byl prostředek k dispozici okamžitě. |
| End | Doba, po které už Azure Content Delivery Network nemá přístup k souboru objektu blob. Dříve uložené soubory v mezipaměti ve službě Azure Content Delivery Network jsou stále přístupné. Pokud chcete řídit dobu vypršení platnosti souboru, nastavte odpovídající dobu vypršení platnosti tokenu zabezpečení služby Azure Content Delivery Network nebo vyprázdněte prostředek. |
| Povolené IP adresy | Nepovinné. |
| Povolené protokoly | Protokoly povolené pro požadavek provedený pomocí sdíleného přístupového podpisu účtu. Doporučuje se nastavení HTTPS. |
Další kroky
Další informace o SAS najdete v následujících článcích:
- Použití sdílených přístupových podpisů (SAS)
- Sdílené přístupové podpisy, část 2: Vytvoření a použití SAS s úložištěm objektů blob
Další informace o nastavení ověřování tokenů najdete v tématu Zabezpečení prostředků azure Content Delivery Network pomocí ověřování tokenů.