Použití služby Azure Content Delivery Network s SAS
Důležité
30. září 2027 bude vyřazena služba Azure CDN Standard od Microsoftu (Classic). Abyste se vyhnuli přerušení služeb, je důležité do 30. září 2027 migrovat profily Azure CDN Standard z Microsoftu (classic) na úroveň Azure Front Door Standard nebo Premium. Další informace najdete v tématu Azure CDN Standard od Microsoftu (klasického) vyřazení.
Azure CDN z Edgio bude vyřazeno z Januray 15, 2025. Před tímto datem musíte migrovat úlohu do služby Azure Front Door, abyste se vyhnuli přerušení služeb. Další informace najdete v tématu Azure CDN z nejčastějších dotazů k vyřazení Edgio.
Když nastavíte účet úložiště pro Azure Content Delivery Network tak, aby se používal k ukládání obsahu do mezipaměti, má standardně každý, kdo zná adresy URL vašich kontejnerů úložiště, přístup k souborům, které jste nahráli. Pokud chcete chránit soubory ve vašem účtu úložiště, můžete nastavit přístup ke kontejnerům úložiště z veřejného na privátní. Pokud to ale uděláte, nikdo nebude mít přístup k vašim souborům.
Pokud chcete udělit omezený přístup ke kontejnerům privátního úložiště, můžete použít funkci sdíleného přístupového podpisu (SAS) vašeho účtu Azure Storage. SAS je identifikátor URI, který uděluje omezená přístupová práva k vašim prostředkům Azure Storage bez odhalení vašeho klíče účtu. Sas můžete poskytnout klientům, kterým nedůvěřujete s klíčem účtu úložiště, ale komu chcete delegovat přístup k určitým prostředkům účtu úložiště. Když těmto klientům distribuujete identifikátor URI sdíleného přístupového podpisu, udělíte jim přístup k prostředku po určitou dobu.
Pomocí sdíleného přístupového podpisu můžete definovat různé parametry přístupu k objektu blob, jako jsou časy spuštění a vypršení platnosti, oprávnění (čtení/zápis) a rozsahy IP adres. Tento článek popisuje, jak používat SAS se službou Azure Content Delivery Network. Další informace o SAS, včetně postupu jeho vytvoření a možností parametrů, najdete v tématu Použití sdílených přístupových podpisů (SAS).
Nastavení služby Azure Content Delivery Network pro práci se SDÍLENÝm přístupovým podpisem úložiště
Pro použití SAS se službou Azure Content Delivery Network se doporučují následující dvě možnosti. Všechny možnosti předpokládají, že jste už vytvořili funkční SAS (viz požadavky).
Požadavky
Začněte tím, že vytvoříte účet úložiště a potom vygenerujete SAS pro váš prostředek. Můžete vygenerovat dva typy uložených přístupových podpisů: SAS služby nebo SAS účtu. Další informace naleznete v tématu Typy sdílených přístupových podpisů.
Po vygenerování tokenu SAS můžete získat přístup k souboru úložiště objektů blob připojením ?sv=<SAS token>
k adrese URL. Tato adresa URL má následující formát:
https://<account name>.blob.core.windows.net/<container>/<file>?sv=<SAS token>
Příklad:
https://democdnstorage1.blob.core.windows.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=co&sp=r&se=2038-01-02T21:30:49Z&st=2018-01-02T13:30:49Z&spr=https&sig=QehoetQFWUEd1lhU5iOMGrHBmE727xYAbKJl5ohSiWI%3D
Další informace o nastavení parametrů najdete v tématu Aspekty parametrů SAS a Parametry sdíleného přístupového podpisu.
Možnost 1: Použití SAS s předávacím úložištěm objektů blob ze služby Azure Content Delivery Network
Tato možnost je nejjednodušší a používá jeden token SAS, který se předává ze služby Azure Content Delivery Network na původní server.
Vyberte koncový bod, vyberte Pravidla ukládání do mezipaměti a pak v seznamu ukládání řetězců dotazu vyberte Uložit každou jedinečnou adresu URL.
Po nastavení sdíleného přístupového podpisu na účtu úložiště musíte pro přístup k souboru použít token SAS s koncovým bodem sítě pro doručování obsahu a adresami URL zdrojového serveru.
Výsledná adresa URL koncového bodu sítě pro doručování obsahu má následující formát:
https://<endpoint hostname>.azureedge.net/<container>/<file>?sv=<SAS token>
Příklad:
https://demoendpoint.azureedge.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3D
Dolaďte dobu trvání mezipaměti buď pomocí pravidel ukládání do mezipaměti, nebo přidáním
Cache-Control
hlaviček na původní server. Vzhledem k tomu, že Azure Content Delivery Network považuje token SAS za řetězec prostého dotazu, osvědčeným postupem je nastavit dobu ukládání do mezipaměti, která vyprší nebo před vypršením platnosti SAS. Pokud je soubor uložený v mezipaměti delší dobu, než je sas aktivní, může být soubor přístupný ze zdrojového serveru Azure Content Delivery Network po uplynutí doby vypršení platnosti SAS. Pokud k této situaci dojde a chcete, aby byl soubor uložený v mezipaměti nepřístupný, musíte u souboru provést operaci vyprázdnění, aby se vymazaly z mezipaměti. Informace o nastavení doby trvání mezipaměti ve službě Azure Content Delivery Network najdete v tématu Řízení chování služby Azure Content Delivery Network při ukládání do mezipaměti pomocí pravidel ukládání do mezipaměti.
Možnost 2: Použití ověřování tokenu zabezpečení sítě pro doručování obsahu s pravidlem přepsání
Pokud chcete použít ověřování tokenů zabezpečení azure Content Delivery Network, musíte mít Azure CDN Premium z profilu Edgio . Tato možnost je nejbezpečnější a přizpůsobitelná. Klientský přístup je založený na parametrech zabezpečení, které jste nastavili na tokenu zabezpečení. Po vytvoření a nastavení tokenu zabezpečení se vyžaduje na všech adresách URL koncových bodů sítě pro doručování obsahu. Kvůli pravidlu přepsání adresy URL se ale v koncovém bodu sítě pro doručování obsahu nevyžaduje token SAS. Pokud se token SAS později stane neplatným, služba Azure Content Delivery Network nemůže obnovit platnost obsahu ze zdrojového serveru.
Vytvořte token zabezpečení služby Azure Content Delivery Network a aktivujte ho pomocí modulu pravidel pro koncový bod sítě pro doručování obsahu a cestu, kam mají uživatelé přístup k souboru.
Adresa URL koncového bodu tokenu zabezpečení má následující formát:
https://<endpoint hostname>.azureedge.net/<container>/<file>?<security_token>
Příklad:
https://sasstoragedemo.azureedge.net/container1/demo.jpg?a4fbc3710fd3449a7c99986bkquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3D
Možnosti parametrů pro ověřování tokenu zabezpečení se liší od možností parametrů tokenu SAS. Pokud se rozhodnete použít čas vypršení platnosti při vytváření tokenu zabezpečení, měli byste ho nastavit na stejnou hodnotu jako čas vypršení platnosti tokenu SAS. Tím zajistíte, že je doba vypršení platnosti předvídatelná.
Pomocí modulu pravidel vytvořte pravidlo přepsání adresy URL, které povolí přístup tokenu SAS ke všem objektům blob v kontejneru. Šíření nových pravidel trvá až 4 hodiny.
Následující ukázkové pravidlo přepsání adresy URL používá vzor regulárního výrazu se skupinou zachycení a koncovým bodem s názvem sasstoragedemo:
Zdroj:
(container1/.*)
Destination:
$1&sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3D
Pokud sas obnovíte, ujistěte se, že aktualizujete pravidlo přepsání adresy URL novým tokenem SAS.
Důležité informace o parametrech SAS
Vzhledem k tomu, že parametry SAS nejsou viditelné pro Azure Content Delivery Network, nemůže služba Azure Content Delivery Network na základě nich měnit chování doručování. Definovaná omezení parametrů se vztahují pouze na požadavky, které služba Azure Content Delivery Network provádí na původní server, nikoli pro požadavky z klienta do služby Azure Content Delivery Network. Tento rozdíl je důležitý při nastavování parametrů SAS. Pokud se vyžadují tyto pokročilé funkce a používáte možnost 2, nastavte příslušná omezení tokenu zabezpečení služby Azure Content Delivery Network.
Název parametru SAS | Popis |
---|---|
Počátek | Doba, po kterou může Azure Content Delivery Network začít přistupovat k souboru objektu blob. Vzhledem ke nerovnoměrné distribuci hodin (když se signál hodin dorazí v různých časech pro různé komponenty), zvolte čas 15 minut dříve, pokud chcete, aby byl prostředek k dispozici okamžitě. |
End | Doba, po které už Azure Content Delivery Network nemá přístup k souboru objektu blob. Dříve uložené soubory v mezipaměti ve službě Azure Content Delivery Network jsou stále přístupné. Pokud chcete řídit dobu vypršení platnosti souboru, nastavte odpovídající dobu vypršení platnosti tokenu zabezpečení služby Azure Content Delivery Network nebo vyprázdněte prostředek. |
Povolené IP adresy | Nepovinné. Pokud používáte Azure CDN z Edgio, můžete tento parametr nastavit na rozsahy definované v Azure Content Delivery Network z rozsahů IP adres serveru Edgio Edge. |
Povolené protokoly | Protokoly povolené pro požadavek provedený pomocí sdíleného přístupového podpisu účtu. Doporučuje se nastavení HTTPS. |
Další kroky
Další informace o SAS najdete v následujících článcích:
- Použití sdílených přístupových podpisů (SAS)
- Sdílené přístupové podpisy, část 2: Vytvoření a použití SAS s úložištěm objektů blob
Další informace o nastavení ověřování tokenů najdete v tématu Zabezpečení prostředků azure Content Delivery Network pomocí ověřování tokenů.