Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Azure CDN Standard van Microsoft (klassiek) biedt geen ondersteuning voor het maken van profielen, het onboarden van nieuwe domeinen of beheerde certificaten en wordt buiten gebruik gesteld op September 30, 2027. Om serviceonderbreking te voorkomen, migreren naar Azure Front Door Standard of Premium. Zie Azure CDN Standard van Microsoft (klassiek) buitengebruikstelling voor meer informatie.
Wanneer u een opslagaccount instelt voor Azure-netwerk voor contentlevering om inhoud in de cache op te slaan, heeft iedereen die de URL's voor uw opslagcontainers kent standaard toegang tot de bestanden die u hebt geüpload. Als u de bestanden in uw opslagaccount wilt beveiligen, kunt u de toegang van uw opslagcontainers instellen van openbaar naar privé. Als u dit echter doet, heeft niemand toegang tot uw bestanden.
Als u beperkte toegang tot persoonlijke opslagcontainers wilt verlenen, kunt u de SAS-functie (Shared Access Signature) van uw Azure-opslagaccount gebruiken. Een SAS is een URI die beperkte toegangsrechten verleent aan uw Azure Storage-resources zonder uw accountsleutel prijs te geven. U kunt een SAS verstrekken aan klanten die u niet vertrouwt met de sleutel van uw opslagaccount, maar aan wie u toegang tot bepaalde opslagaccountbronnen wilt geven. Door een Shared Access Signature-URI naar deze clients te distribueren, verleent u deze gedurende een opgegeven periode toegang tot een resource.
Met een SAS kunt u verschillende parameters voor toegang tot een blob definiëren, zoals begin- en verlooptijden, machtigingen (lezen/schrijven) en IP-bereiken. In dit artikel wordt beschreven hoe u SAS gebruikt met Azure-netwerk voor contentlevering. Zie Shared Access Signatures (SAS) gebruiken voor meer informatie over SAS, waaronder het maken ervan en de bijbehorende parameteropties.
Azure-netwerk voor contentlevering instellen voor gebruik met opslag-SAS
De volgende twee opties worden aanbevolen voor het gebruik van SAS met Azure-netwerk voor contentlevering. Bij alle opties wordt ervan uitgegaan dat u al een werkende SAS hebt gemaakt (zie vereisten).
Vereisten
Maak eerst een opslagaccount en genereer vervolgens een SAS voor uw asset. U kunt twee typen opgeslagen toegangshandtekeningen genereren: een service-SAS of een account-SAS. Zie Typen handtekeningen voor gedeelde toegang voor meer informatie.
Nadat u een SAS-token hebt gegenereerd, hebt u toegang tot uw blobopslagbestand door deze ?sv=<SAS token> toe te voegen aan uw URL. Deze URL heeft de volgende indeling:
https://<account name>.blob.core.windows.net/<container>/<file>?sv=<SAS token>
Voorbeeld:
https://democdnstorage1.blob.core.windows.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=co&sp=r&se=2038-01-02T21:30:49Z&st=2018-01-02T13:30:49Z&spr=https&sig=QehoetQFWUEd1lhU5iOMGrHBmE727xYAbKJl5ohSiWI%3D
Zie overwegingen voor SAS-parameters en Shared Access Signature-parameters voor meer informatie over het instellen van parameters.
SAS gebruiken met pass-through naar blobopslag vanuit Azure-netwerk voor contentlevering
Deze optie is het eenvoudigst en maakt gebruik van één SAS-token, dat wordt doorgegeven van Azure-netwerk voor contentlevering aan de oorspronkelijke server.
Selecteer een eindpunt, selecteer Caching-regels en selecteer vervolgens Cache elke unieke URL uit de lijst Query string caching.
Nadat u SAS hebt ingesteld in uw opslagaccount, moet u het SAS-token gebruiken met het eindpunt van het netwerk voor contentlevering en url's van de oorspronkelijke server voor toegang tot het bestand.
De resulterende URL van het netwerkeindpunt voor contentlevering heeft de volgende indeling:
https://<endpoint hostname>.azureedge.net/<container>/<file>?sv=<SAS token>Voorbeeld:
https://demoendpoint.azureedge.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3DStel de cacheduur af door gebruik te maken van cacheregels of door headers op de oorspronkelijke server toe te voegen. Omdat Azure-netwerk voor contentlevering het SAS-token behandelt als een gewone querytekenreeks, moet u als best practice een cacheduur instellen die verloopt op of vóór de SAS-verlooptijd. Als een bestand gedurende een langere periode in de cache wordt opgeslagen dan de SAS actief is, is het bestand mogelijk toegankelijk vanaf de oorspronkelijke Server van het Azure-netwerk voor contentlevering nadat de SAS-verlooptijd is verstreken. Als deze situatie zich voordoet en u het in de cache opgeslagen bestand ontoegankelijk wilt maken, moet u een opschoningsbewerking uitvoeren op het bestand om het uit de cache te wissen. Voor informatie over het instellen van de cacheduur in Azure-netwerk voor contentlevering, zie het cachegedrag van Azure-netwerk voor contentlevering beheren met cachingregels.
Overwegingen voor SAS-parameters
Omdat SAS-parameters niet zichtbaar zijn voor Azure-netwerk voor contentlevering, kan Azure-netwerk voor contentlevering het leveringsgedrag ervan niet wijzigen op basis van deze parameters. De gedefinieerde parameterbeperkingen gelden alleen voor aanvragen die azure Content Delivery Network doet op de oorspronkelijke server, niet voor aanvragen van de client naar Azure-netwerk voor contentlevering. Dit onderscheid is belangrijk om rekening mee te houden wanneer u SAS-parameters instelt.
| SAS-parameternaam | Beschrijving |
|---|---|
| Start | Het tijdstip waarop Azure-netwerk voor contentlevering toegang kan krijgen tot het blobbestand. Als gevolg van klokverschil (wanneer een kloksignaal op verschillende tijdstippen voor verschillende onderdelen aankomt), kiest u een tijd van 15 minuten eerder als u wilt dat de asset onmiddellijk beschikbaar is. |
| Eind | De tijd waarna Azure-netwerk voor contentlevering geen toegang meer heeft tot het blobbestand. Eerder in de cache opgeslagen bestanden in Azure-netwerk voor contentlevering zijn nog steeds toegankelijk. Als u de verlooptijd van het bestand wilt beheren, stelt u de juiste verlooptijd in op het Azure-netwerk voor contentlevering-beveiligingstoken of schoont u de asset op. |
| Toegestane IP-adressen | Optioneel. |
| Toegestane protocollen | De toegestane protocollen voor een aanvraag die is gedaan met account-SAS. De HTTPS-instelling wordt aanbevolen. |
Volgende stappen
Zie de volgende artikelen voor meer informatie over SAS:
- Shared Access Signatures (SAS) gebruiken
- Shared Access Signatures, deel 2: Een SAS maken en gebruiken met Blob Storage
Zie Azure-netwerk voor contentlevering-assets beveiligen met tokenverificatie voor meer informatie over het instellen van tokenverificatie.