Použití služby Azure Content Delivery Network s SAS

Důležité

30. září 2027 bude vyřazena služba Azure CDN Standard od Microsoftu (Classic). Abyste se vyhnuli přerušení služeb, je důležité do 30. září 2027 migrovat profily Azure CDN Standard z Microsoftu (classic) na úroveň Azure Front Door Standard nebo Premium. Další informace najdete v tématu Azure CDN Standard od Microsoftu (klasického) vyřazení.

Azure CDN z Edgio bude vyřazeno 4. listopadu 2025. Před tímto datem musíte migrovat úlohu do služby Azure Front Door, abyste se vyhnuli přerušení služeb. Další informace najdete v tématu Azure CDN z nejčastějších dotazů k vyřazení Edgio.

Když nastavíte účet úložiště pro Azure Content Delivery Network tak, aby se používal k ukládání obsahu do mezipaměti, má standardně každý, kdo zná adresy URL vašich kontejnerů úložiště, přístup k souborům, které jste nahráli. Pokud chcete chránit soubory ve vašem účtu úložiště, můžete nastavit přístup ke kontejnerům úložiště z veřejného na privátní. Pokud to ale uděláte, nikdo nebude mít přístup k vašim souborům.

Pokud chcete udělit omezený přístup ke kontejnerům privátního úložiště, můžete použít funkci sdíleného přístupového podpisu (SAS) vašeho účtu Azure Storage. SAS je identifikátor URI, který uděluje omezená přístupová práva k vašim prostředkům Azure Storage bez odhalení vašeho klíče účtu. Sas můžete poskytnout klientům, kterým nedůvěřujete s klíčem účtu úložiště, ale komu chcete delegovat přístup k určitým prostředkům účtu úložiště. Když těmto klientům distribuujete identifikátor URI sdíleného přístupového podpisu, udělíte jim přístup k prostředku po určitou dobu.

Pomocí sdíleného přístupového podpisu můžete definovat různé parametry přístupu k objektu blob, jako jsou časy spuštění a vypršení platnosti, oprávnění (čtení/zápis) a rozsahy IP adres. Tento článek popisuje, jak používat SAS se službou Azure Content Delivery Network. Další informace o SAS, včetně postupu jeho vytvoření a možností parametrů, najdete v tématu Použití sdílených přístupových podpisů (SAS).

Nastavení služby Azure Content Delivery Network pro práci se SDÍLENÝm přístupovým podpisem úložiště

Pro použití SAS se službou Azure Content Delivery Network se doporučují následující dvě možnosti. Všechny možnosti předpokládají, že jste už vytvořili funkční SAS (viz požadavky).

Požadavky

Začněte tím, že vytvoříte účet úložiště a potom vygenerujete SAS pro váš prostředek. Můžete vygenerovat dva typy uložených přístupových podpisů: SAS služby nebo SAS účtu. Další informace naleznete v tématu Typy sdílených přístupových podpisů.

Po vygenerování tokenu SAS můžete získat přístup k souboru úložiště objektů blob připojením ?sv=<SAS token> k adrese URL. Tato adresa URL má následující formát:

https://<account name>.blob.core.windows.net/<container>/<file>?sv=<SAS token>

Příklad:

https://democdnstorage1.blob.core.windows.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=co&sp=r&se=2038-01-02T21:30:49Z&st=2018-01-02T13:30:49Z&spr=https&sig=QehoetQFWUEd1lhU5iOMGrHBmE727xYAbKJl5ohSiWI%3D

Další informace o nastavení parametrů najdete v tématu Aspekty parametrů SAS a Parametry sdíleného přístupového podpisu.

Snímek obrazovky s nastavením SAS sítě pro doručování obsahu

Možnost 1: Použití SAS s předávacím úložištěm objektů blob ze služby Azure Content Delivery Network

Tato možnost je nejjednodušší a používá jeden token SAS, který se předává ze služby Azure Content Delivery Network na původní server.

  1. Vyberte koncový bod, vyberte Pravidla ukládání do mezipaměti a pak v seznamu ukládání řetězců dotazu vyberte Uložit každou jedinečnou adresu URL.

    Snímek obrazovky s pravidly ukládání do mezipaměti sítě pro doručování obsahu

  2. Po nastavení sdíleného přístupového podpisu na účtu úložiště musíte pro přístup k souboru použít token SAS s koncovým bodem sítě pro doručování obsahu a adresami URL zdrojového serveru.

    Výsledná adresa URL koncového bodu sítě pro doručování obsahu má následující formát: https://<endpoint hostname>.azureedge.net/<container>/<file>?sv=<SAS token>

    Příklad:

    https://demoendpoint.azureedge.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3D

  3. Dolaďte dobu trvání mezipaměti buď pomocí pravidel ukládání do mezipaměti, nebo přidáním Cache-Control hlaviček na původní server. Vzhledem k tomu, že Azure Content Delivery Network považuje token SAS za řetězec prostého dotazu, osvědčeným postupem je nastavit dobu ukládání do mezipaměti, která vyprší nebo před vypršením platnosti SAS. Pokud je soubor uložený v mezipaměti delší dobu, než je sas aktivní, může být soubor přístupný ze zdrojového serveru Azure Content Delivery Network po uplynutí doby vypršení platnosti SAS. Pokud k této situaci dojde a chcete, aby byl soubor uložený v mezipaměti nepřístupný, musíte u souboru provést operaci vyprázdnění, aby se vymazaly z mezipaměti. Informace o nastavení doby trvání mezipaměti ve službě Azure Content Delivery Network najdete v tématu Řízení chování služby Azure Content Delivery Network při ukládání do mezipaměti pomocí pravidel ukládání do mezipaměti.

Možnost 2: Použití ověřování tokenu zabezpečení sítě pro doručování obsahu s pravidlem přepsání

Pokud chcete použít ověřování tokenů zabezpečení azure Content Delivery Network, musíte mít Azure CDN Premium z profilu Edgio . Tato možnost je nejbezpečnější a přizpůsobitelná. Klientský přístup je založený na parametrech zabezpečení, které jste nastavili na tokenu zabezpečení. Po vytvoření a nastavení tokenu zabezpečení se vyžaduje na všech adresách URL koncových bodů sítě pro doručování obsahu. Kvůli pravidlu přepsání adresy URL se ale v koncovém bodu sítě pro doručování obsahu nevyžaduje token SAS. Pokud se token SAS později stane neplatným, služba Azure Content Delivery Network nemůže obnovit platnost obsahu ze zdrojového serveru.

  1. Vytvořte token zabezpečení služby Azure Content Delivery Network a aktivujte ho pomocí modulu pravidel pro koncový bod sítě pro doručování obsahu a cestu, kam mají uživatelé přístup k souboru.

    Adresa URL koncového bodu tokenu zabezpečení má následující formát:

    https://<endpoint hostname>.azureedge.net/<container>/<file>?<security_token>

    Příklad:

    https://sasstoragedemo.azureedge.net/container1/demo.jpg?a4fbc3710fd3449a7c99986bkquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3D

    Možnosti parametrů pro ověřování tokenu zabezpečení se liší od možností parametrů tokenu SAS. Pokud se rozhodnete použít čas vypršení platnosti při vytváření tokenu zabezpečení, měli byste ho nastavit na stejnou hodnotu jako čas vypršení platnosti tokenu SAS. Tím zajistíte, že je doba vypršení platnosti předvídatelná.

  2. Pomocí modulu pravidel vytvořte pravidlo přepsání adresy URL, které povolí přístup tokenu SAS ke všem objektům blob v kontejneru. Šíření nových pravidel trvá až 4 hodiny.

    Následující ukázkové pravidlo přepsání adresy URL používá vzor regulárního výrazu se skupinou zachycení a koncovým bodem s názvem sasstoragedemo:

    Zdroj:

    (container1/.*)

    Destination:

    $1&sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3DSnímek obrazovky s pravidlem přepsání adresy URL sítě pro doručování obsahu – vlevoSnímek obrazovky s pravidlem přepsání adresy URL sítě pro doručování obsahu – vpravo

  3. Pokud sas obnovíte, ujistěte se, že aktualizujete pravidlo přepsání adresy URL novým tokenem SAS.

Důležité informace o parametrech SAS

Vzhledem k tomu, že parametry SAS nejsou viditelné pro Azure Content Delivery Network, nemůže služba Azure Content Delivery Network na základě nich měnit chování doručování. Definovaná omezení parametrů se vztahují pouze na požadavky, které služba Azure Content Delivery Network provádí na původní server, nikoli pro požadavky z klienta do služby Azure Content Delivery Network. Tento rozdíl je důležitý při nastavování parametrů SAS. Pokud se vyžadují tyto pokročilé funkce a používáte možnost 2, nastavte příslušná omezení tokenu zabezpečení služby Azure Content Delivery Network.

Název parametru SAS Popis
Počátek Doba, po kterou může Azure Content Delivery Network začít přistupovat k souboru objektu blob. Vzhledem ke nerovnoměrné distribuci hodin (když se signál hodin dorazí v různých časech pro různé komponenty), zvolte čas 15 minut dříve, pokud chcete, aby byl prostředek k dispozici okamžitě.
End Doba, po které už Azure Content Delivery Network nemá přístup k souboru objektu blob. Dříve uložené soubory v mezipaměti ve službě Azure Content Delivery Network jsou stále přístupné. Pokud chcete řídit dobu vypršení platnosti souboru, nastavte odpovídající dobu vypršení platnosti tokenu zabezpečení služby Azure Content Delivery Network nebo vyprázdněte prostředek.
Povolené IP adresy Nepovinné. Pokud používáte Azure CDN z Edgio, můžete tento parametr nastavit na rozsahy definované v Azure Content Delivery Network z rozsahů IP adres serveru Edgio Edge.
Povolené protokoly Protokoly povolené pro požadavek provedený pomocí sdíleného přístupového podpisu účtu. Doporučuje se nastavení HTTPS.

Další kroky

Další informace o SAS najdete v následujících článcích:

Další informace o nastavení ověřování tokenů najdete v tématu Zabezpečení prostředků azure Content Delivery Network pomocí ověřování tokenů.