Compartilhar via

Uso da Rede de Distribuição de Conteúdo do Microsoft Azure com o SAS

  • Artigo

Importante

A CDN do Azure Standard (clássica) será desativada em 30 de setembro de 2027. Para evitar qualquer interrupção de serviço, é importante migrar seus perfis da CDN Standard do Azure da Microsoft (clássico) para a camada Azure Front Door Standard ou Premium até 30 de setembro de 2027. Para obter mais informações, confira CDN do Azure Standard (clássica).

A CDN do Azure do Edgio foi desativada em 15 de janeiro de 2025. Para obter mais informações, veja Perguntas frequentes sobre a aposentadoria do CDN do Azure da Edgeo.

Quando você configura uma conta de armazenamento para a Rede de Distribuição de Conteúdo do Microsoft Azure a ser usada para armazenar conteúdo em cache, por padrão, qualquer pessoa que conheça as URLs dos contêineres de armazenamento poderá acessar os arquivos que você carregou. Para proteger os arquivos na sua conta de armazenamento, você pode definir o acesso de seus contêineres de armazenamento de pública para privada. No entanto, se o fizer, ninguém poderá acessar seus arquivos.

Se você deseja conceder acesso limitado aos contêineres de armazenamento privado, você pode usar o recurso de Assinatura de Acesso Compartilhado (SAS) de sua conta de Armazenamento do Azure. Uma SAS é um URI que concede direitos de acesso restrito aos seus recursos do armazenamento do Azure sem expor sua chave de conta. Forneça uma SAS para clientes aos quais não confia sua chave de conta de armazenamento, mas para os quais deseja delegar acesso a determinados recursos da conta de armazenamento. Ao distribuir um URI de Assinatura de Acesso Compartilhado para esses clientes, você concede a eles acesso a um recurso por um período especificado.

Com uma SAS, você pode definir vários parâmetros de acesso para um blob, como horários de início e vencimento, permissões (leitura/gravação) e intervalos de IP. Este artigo descreve como usar SAS com a Rede de Distribuição de Conteúdo do Microsoft Azure. Para obter mais informações sobre a SAS, incluindo como criá-la e suas opções de parâmetro, consulte Usando assinaturas de acesso compartilhado (SAS).

Configurar a Rede de Distribuição de Conteúdo do Microsoft Azure para trabalhar com a SAS de armazenamento

As duas opções a seguir são recomendadas para usar a SAS com a Rede de Distribuição de Conteúdo do Microsoft Azure. Todas as opções pressupõem que você já tenha criado uma SAS que está em funcionamento (consulte os pré-requisitos).

Pré-requisitos

Para começar, crie uma conta de armazenamento e gere uma SAS para seu ativo. Você pode gerar dois tipos de assinaturas de acesso compartilhado: uma SAS de serviço ou uma SAS de conta. Para obter mais informações, confira Tipos de assinatura de acesso compartilhado.

Depois de gerar um token SAS, você pode acessar o arquivo de armazenamento de blob, acrescentando ?sv=<SAS token> em sua URL. Esta URL tem o seguinte formato:

https://<account name>.blob.core.windows.net/<container>/<file>?sv=<SAS token>

Por exemplo:

https://democdnstorage1.blob.core.windows.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=co&sp=r&se=2038-01-02T21:30:49Z&st=2018-01-02T13:30:49Z&spr=https&sig=QehoetQFWUEd1lhU5iOMGrHBmE727xYAbKJl5ohSiWI%3D

Para obter mais informações sobre a configuração dos parâmetros, consulte Considerações sobre parâmetros de SAS e Parâmetros de Assinatura de Acesso Compartilhado.

Captura de tela das configurações de SAS da rede de distribuição de conteúdo.

Usar o SAS com passagem para armazenamento de blob da Rede de Distribuição de Conteúdo do Azure

Essa opção é a mais simples e usa apenas um token de SAS, que é passado da Rede de Distribuição de Conteúdo do Microsoft Azure para o servidor de origem.

  1. Selecione um ponto de extremidade, selecione em Regras de cache e, em seguida, selecione Armazenar em cache todas as URLs exclusivas na lista Cache da cadeia de caracteres de consulta.

    Captura de tela das regras de armazenamento em cache da rede de distribuição de conteúdo.

  2. Depois de configurar a SAS em sua conta de armazenamento, você deve usar o token SAS com o ponto de extremidade de rede de distribuição de conteúdo e as URLs do servidor de origem para acessar o arquivo.

    A URL do ponto de extremidade de rede de distribuição de conteúdo resultante tem o seguinte formato: https://<endpoint hostname>.azureedge.net/<container>/<file>?sv=<SAS token>

    Por exemplo:

    https://demoendpoint.azureedge.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3D

  3. Ajuste a duração do cache usando regras de cache ou adicionando cabeçalhos Cache-Control no servidor de origem. Como a CDN do Azure trata o token de SAS como uma cadeia de caracteres de consulta simples, como uma melhor prática, você deve definir a uma duração do cache que expira na mesma hora que a SAS ou antes. Caso contrário, se um arquivo for armazenado em cache por mais tempo que a SAS estiver ativa, o arquivo poderá ficar acessível no servidor de origem da CDN do Azure depois de decorrido o tempo de expiração da SAS. Se esta situação ocorrer e você desejar tornar o arquivo armazenado em cache inacessível, execute uma operação de limpeza no arquivo para limpá-lo do cache. Para obter informações sobre como definir a duração do cache na CDN do Azure, consulte Controlar o comportamento de cache da Rede de Distribuição de Conteúdo do Microsoft Azure com regras de cache.

Considerações sobre parâmetros da SAS

Como parâmetros da SAS não são visíveis para a CDN do Azure, a CDN do Azure não pode alterar seu comportamento de entrega com base neles. As restrições de parâmetro definidas se aplicam apenas a solicitações que a CDN do Azure faz para o servidor de origem, não para solicitações do cliente à CDN do Azure. Essa distinção é importante de considerar quando você define os parâmetros de SAS.

Nome do parâmetro da SAS Descrição
Iniciar A hora em que a CDN do Azure pode começar a acessar o arquivo de blob. Devido à distorção do relógio (quando um sinal de relógio chega em momentos diferentes para diferentes componentes), se quiser disponibilizar o ativo imediatamente, escolha um horário 15 minutos antes.
End A hora após a qual a CDN do Azure não poderá mais acessar o arquivo de blob. Arquivos armazenados em cache anteriormente na CDN do Azure ainda estarão acessíveis. Para controlar a hora de expiração do arquivo, defina a hora de expiração apropriada no token de segurança da CDN do Azure ou limpe o ativo.
Endereços IP permitidos Opcional.
Protocolos permitidos Os protocolos permitidos para uma solicitação feita com a conta de SAS. A configuração HTTPS é recomendada.

Próximas etapas

Para saber mais sobre SAS, veja os seguintes artigos:

Para saber mais sobre como configurar a autenticação de token, confira Protegendo ativos da Rede de Distribuição de Conteúdo do Azure com autenticação de token.