Compartilhar via

Uso da Rede de Distribuição de Conteúdo do Microsoft Azure com o SAS

  • Artigo

Importante

A CDN do Azure Standard (clássica) será desativada em 30 de setembro de 2027. Para evitar qualquer interrupção de serviço, é importante migrar seus perfis da CDN do Azure Standard (clássica) para a camada Azure Front Door Standard ou Premium até 30 de setembro de 2027. Para obter mais informações, confira CDN do Azure Standard (clássica).

O CDN do Azure da Edgio será desativado em 15 de janeiro de 2025. Você deve migrar sua carga de trabalho para o Azure Front Door antes desta data para evitar interrupção do serviço.. Para obter mais informações, veja Perguntas frequentes sobre a aposentadoria do CDN do Azure da Edgeo.

Quando você configura uma conta de armazenamento para a Rede de Distribuição de Conteúdo do Microsoft Azure a ser usada para armazenar conteúdo em cache, por padrão, qualquer pessoa que conheça as URLs dos contêineres de armazenamento poderá acessar os arquivos que você carregou. Para proteger os arquivos na sua conta de armazenamento, você pode definir o acesso de seus contêineres de armazenamento de pública para privada. No entanto, se o fizer, ninguém poderá acessar seus arquivos.

Se você deseja conceder acesso limitado aos contêineres de armazenamento privado, você pode usar o recurso de Assinatura de Acesso Compartilhado (SAS) de sua conta de Armazenamento do Azure. Uma SAS é um URI que concede direitos de acesso restrito aos seus recursos do armazenamento do Azure sem expor sua chave de conta. Forneça uma SAS para clientes aos quais não confia sua chave de conta de armazenamento, mas para os quais deseja delegar acesso a determinados recursos da conta de armazenamento. Ao distribuir um URI de Assinatura de Acesso Compartilhado para esses clientes, você concede a eles acesso a um recurso por um período especificado.

Com uma SAS, você pode definir vários parâmetros de acesso para um blob, como horários de início e vencimento, permissões (leitura/gravação) e intervalos de IP. Este artigo descreve como usar SAS com a Rede de Distribuição de Conteúdo do Microsoft Azure. Para obter mais informações sobre a SAS, incluindo como criá-la e suas opções de parâmetro, consulte Usando assinaturas de acesso compartilhado (SAS).

Configurar a Rede de Distribuição de Conteúdo do Microsoft Azure para trabalhar com a SAS de armazenamento

As duas opções a seguir são recomendadas para usar a SAS com a Rede de Distribuição de Conteúdo do Microsoft Azure. Todas as opções pressupõem que você já tenha criado uma SAS que está em funcionamento (consulte os pré-requisitos).

Pré-requisitos

Para começar, crie uma conta de armazenamento e gere uma SAS para seu ativo. Você pode gerar dois tipos de assinaturas de acesso compartilhado: uma SAS de serviço ou uma SAS de conta. Para obter mais informações, confira Tipos de assinatura de acesso compartilhado.

Depois de gerar um token SAS, você pode acessar o arquivo de armazenamento de blob, acrescentando ?sv=<SAS token> em sua URL. Esta URL tem o seguinte formato:

https://<account name>.blob.core.windows.net/<container>/<file>?sv=<SAS token>

Por exemplo:

https://democdnstorage1.blob.core.windows.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=co&sp=r&se=2038-01-02T21:30:49Z&st=2018-01-02T13:30:49Z&spr=https&sig=QehoetQFWUEd1lhU5iOMGrHBmE727xYAbKJl5ohSiWI%3D

Para obter mais informações sobre a configuração dos parâmetros, consulte Considerações sobre parâmetros de SAS e Parâmetros de Assinatura de Acesso Compartilhado.

Captura de tela das configurações de SAS da rede de distribuição de conteúdo.

Opção 1: usar a SAS com passagem para o armazenamento de blobs da Rede de Distribuição de Conteúdo do Microsoft Azure

Essa opção é a mais simples e usa apenas um token de SAS, que é passado da Rede de Distribuição de Conteúdo do Microsoft Azure para o servidor de origem.

  1. Selecione um ponto de extremidade, selecione em Regras de cache e, em seguida, selecione Armazenar em cache todas as URLs exclusivas na lista Cache da cadeia de caracteres de consulta.

    Captura de tela das regras de armazenamento em cache da rede de distribuição de conteúdo.

  2. Depois de configurar a SAS em sua conta de armazenamento, você deve usar o token SAS com o ponto de extremidade de rede de distribuição de conteúdo e as URLs do servidor de origem para acessar o arquivo.

    A URL do ponto de extremidade de rede de distribuição de conteúdo resultante tem o seguinte formato: https://<endpoint hostname>.azureedge.net/<container>/<file>?sv=<SAS token>

    Por exemplo:

    https://demoendpoint.azureedge.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3D

  3. Ajuste a duração do cache usando regras de cache ou adicionando cabeçalhos Cache-Control no servidor de origem. Como a CDN do Azure trata o token de SAS como uma cadeia de caracteres de consulta simples, como uma melhor prática, você deve definir a uma duração do cache que expira na mesma hora que a SAS ou antes. Caso contrário, se um arquivo for armazenado em cache por mais tempo que a SAS estiver ativa, o arquivo poderá ficar acessível no servidor de origem da CDN do Azure depois de decorrido o tempo de expiração da SAS. Se esta situação ocorrer e você desejar tornar o arquivo armazenado em cache inacessível, execute uma operação de limpeza no arquivo para limpá-lo do cache. Para obter informações sobre como definir a duração do cache na CDN do Azure, consulte Controlar o comportamento de cache da Rede de Distribuição de Conteúdo do Microsoft Azure com regras de cache.

Opção 2: usar a autenticação de token de segurança da CDN com uma regra de regeneração

Para usar a autenticação de token de segurança da CDN do Azure, você precisa ter um perfil da CDN Premium do Azure da Edgio. Essa opção é a mais segura e personalizável. O acesso do cliente é baseado nos parâmetros de segurança que você define no token de segurança da CDN. Após criar e configurar o token de segurança, ele será necessário em todas as URLs de ponto de extremidade da CDN. No entanto, devido à regra de Regeneração de URL, o token SAS não é necessário no ponto de extremidade da CDN. Se o token SAS mais tarde se tornar inválido, a Rede de Distribuição de Conteúdo do Microsoft Azure não poderá revalidar o conteúdo do servidor de origem.

  1. Crie um token de segurança da Rede de Distribuição de Conteúdo do Azure e ative-o usando o mecanismo de regras para o ponto de extremidade de rede de distribuição de conteúdo e o caminho onde os usuários podem acessar o arquivo.

    Uma URL de ponto de extremidade de token de segurança tem o seguinte formato:

    https://<endpoint hostname>.azureedge.net/<container>/<file>?<security_token>

    Por exemplo:

    https://sasstoragedemo.azureedge.net/container1/demo.jpg?a4fbc3710fd3449a7c99986bkquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3D

    As opções de parâmetro para uma autenticação de token de segurança são diferentes das opções de parâmetro para um token da SAS. Se optar por usar uma hora de expiração quando criar um token de segurança, você deverá defini-la com o mesmo valor que a hora de expiração do token de SAS. Isso garante que a hora de expiração seja previsível.

  2. Use o mecanismo de regras para criar uma regra de regravação de URL para permitir acesso com token SAS a todos os blobs no contêiner. A propagação das novas regras pode demorar até 4 horas.

    A seguinte regra de Regravação de URL de exemplo usa um padrão de expressão regular com um grupo de captura e um ponto de extremidade chamado sasstoragedemo:

    Origem:

    (container1/.*)

    Destino:

    $1&sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3DCaptura de tela da regra de regeneração da URL da rede de distribuição de conteúdo – à esquerda.Captura de tela da regra de regeneração da URL da rede de distribuição de conteúdo – à direita.

  3. Se você renovar a SAS, certifique-se de atualizar a regra de regeneração de URL com o novo token SAS.

Considerações sobre parâmetros da SAS

Como parâmetros da SAS não são visíveis para a CDN do Azure, a CDN do Azure não pode alterar seu comportamento de entrega com base neles. As restrições de parâmetro definidas se aplicam apenas a solicitações que a CDN do Azure faz para o servidor de origem, não para solicitações do cliente à CDN do Azure. Essa distinção é importante de considerar quando você define os parâmetros de SAS. Se esses recursos avançados forem necessários e ao usar a Opção 2, defina as restrições apropriadas no token de segurança da CDN do Azure.

Nome do parâmetro da SAS Descrição
Iniciar A hora em que a CDN do Azure pode começar a acessar o arquivo de blob. Devido à distorção do relógio (quando um sinal de relógio chega em momentos diferentes para diferentes componentes), se quiser disponibilizar o ativo imediatamente, escolha um horário 15 minutos antes.
End A hora após a qual a CDN do Azure não poderá mais acessar o arquivo de blob. Arquivos armazenados em cache anteriormente na CDN do Azure ainda estarão acessíveis. Para controlar a hora de expiração do arquivo, defina a hora de expiração apropriada no token de segurança da CDN do Azure ou limpe o ativo.
Endereços IP permitidos Opcional. Ao usar a CDN do Azure da Edgio, defina esse parâmetro para os intervalos definidos em Rede de Distribuição de Conteúdo do Microsoft Azure a partir de intervalos de IP do Servidor de borda da Edgio.
Protocolos permitidos Os protocolos permitidos para uma solicitação feita com a conta de SAS. A configuração HTTPS é recomendada.

Próximas etapas

Para saber mais sobre SAS, veja os seguintes artigos:

Para saber mais sobre como configurar a autenticação de token, confira Protegendo ativos da Rede de Distribuição de Conteúdo do Azure com autenticação de token.