Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
CDN do Azure Standard da Microsoft (Classic) não suporta criação de perfil, integração de novos domínios ou certificados geridos e será retirado a 30 de setembro de 2027. Para evitar interrupções no serviço, migre para Azure Front Door Standard ou Premium. Para mais informações, consulte CDN do Azure Standard from Microsoft (classic) descontinuação.
Quando configuras uma conta de armazenamento para o Rede de Entrega de Conteúdos do Azure para usar em cache de conteúdo, por defeito, qualquer pessoa que conheça as URLs dos teus contentores de armazenamento pode aceder aos ficheiros que carregaste. Para proteger os ficheiros na sua conta de armazenamento, pode definir o acesso dos seus contentores de armazenamento de público para privado. No entanto, se o fizeres, ninguém consegue aceder aos teus ficheiros.
Se quiser conceder acesso limitado a contêineres de armazenamento privado, você pode usar o recurso SAS (Assinatura de Acesso Compartilhado) da sua conta de Armazenamento do Azure. Uma SAS é um URI que concede direitos de acesso restritos aos recursos de Armazenamento do Azure sem expor a sua chave de conta. Pode fornecer um SAS a clientes a quem não quer dar a chave da conta de armazenamento, mas a quem deseja delegar acesso a determinados recursos dessa conta. Ao distribuir um URI de Assinatura de Acesso Partilhado a estes clientes, concede-lhes acesso a um recurso por um período de tempo especificado.
Com um SAS, pode definir vários parâmetros de acesso a um blob, como tempos de início e expiração, permissões (leitura/escrita) e intervalos de IP. Este artigo descreve como usar SAS com Rede de Entrega de Conteúdos do Azure. Para mais informações sobre o SAS, incluindo como criá-lo e as opções dos seus parâmetros, consulte Utilização de assinaturas de acesso partilhado (SAS).
Configurar o Rede de Entrega de Conteúdos do Azure para trabalhar com armazenamento SAS
As seguintes duas opções são recomendadas para usar SAS com Rede de Entrega de Conteúdos do Azure. Todas as opções assumem que já criaste um SAS funcional (ver pré-requisitos).
Prerequisites
Para começar, cria uma conta de armazenamento e depois gera um SAS para o teu ativo. Pode gerar dois tipos de assinaturas de acesso armazenadas: uma SAS de serviço ou uma SAS de conta. Para mais informações, consulte Tipos de assinaturas de acesso partilhado.
Depois de gerar um token SAS, pode aceder ao seu ficheiro de armazenamento blob anexando ?sv=<SAS token> ao seu URL. Este URL tem o seguinte formato:
https://<account name>.blob.core.windows.net/<container>/<file>?sv=<SAS token>
Por exemplo:
https://democdnstorage1.blob.core.windows.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=co&sp=r&se=2038-01-02T21:30:49Z&st=2018-01-02T13:30:49Z&spr=https&sig=QehoetQFWUEd1lhU5iOMGrHBmE727xYAbKJl5ohSiWI%3D
Para mais informações sobre a definição de parâmetros, consulte considerações sobre parâmetros SAS e parâmetros de Assinatura de Acesso Partilhado.
Utilizar SAS com passagem direta para armazenamento de blobs na Rede de Entrega de Conteúdos do Azure
Esta opção é a mais simples e utiliza um único token SAS, que é passado do Rede de Entrega de Conteúdos do Azure para o servidor de origem.
Selecione um endpoint, selecione Regras de cache e depois selecione Cachear cada URL única da lista Cache de strings de consulta.
Depois de configurar o SAS na sua conta de armazenamento, deve usar o token SAS com o endpoint da rede de entrega de conteúdo e os URLs do servidor de origem para aceder ao ficheiro.
A URL resultante do endpoint da rede de distribuição de conteúdos tem o seguinte formato:
https://<endpoint hostname>.azureedge.net/<container>/<file>?sv=<SAS token>Por exemplo:
https://demoendpoint.azureedge.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3DAjuste finamente a duração da cache, seja usando regras de cache ou adicionando
Cache-Controlcabeçalhos no servidor de origem. Como o Rede de Entrega de Conteúdos do Azure trata o token SAS como uma string de consulta simples, como uma boa prática, deve configurar uma duração de cache que expire no tempo de expiração do SAS ou antes. Caso contrário, se um ficheiro estiver armazenado em cache por mais tempo do que o SAS está ativo, o ficheiro poderá ser acessível a partir do servidor de origem da Rede de Entrega de Conteúdos do Azure após o tempo de expiração do SAS. Se esta situação ocorrer e quiser tornar o seu ficheiro em cache inacessível, deve realizar uma operação de purga no ficheiro para o limpar da cache. Para informações sobre a definição da duração da cache no Rede de Entrega de Conteúdos do Azure, veja Control Rede de Entrega de Conteúdos do Azure comportamento de cache com regras de cache.
Considerações sobre parâmetros SAS
Como os parâmetros SAS não são visíveis para o Rede de Entrega de Conteúdos do Azure, o Rede de Entrega de Conteúdos do Azure não pode alterar o seu comportamento de entrega com base neles. As restrições de parâmetros definidas aplicam-se apenas a pedidos que a Rede de Entrega de Conteúdos do Azure faz ao servidor de origem, não a pedidos do cliente para a Rede de Entrega de Conteúdos do Azure. Esta distinção é importante a considerar ao definir parâmetros SAS.
| Nome do parâmetro SAS | Descrição |
|---|---|
| Iniciar | O momento em que o Rede de Entrega de Conteúdos do Azure pode começar a aceder ao ficheiro blob. Devido ao desvio do relógio (quando um sinal de relógio chega em horários diferentes para diferentes componentes), escolha um horário 15 minutos mais cedo se quiser que o ativo esteja disponível imediatamente. |
| End | O tempo após o qual o Rede de Entrega de Conteúdos do Azure já não pode aceder ao ficheiro blob. Ficheiros anteriormente armazenados em cache no Rede de Entrega de Conteúdos do Azure ainda estão acessíveis. Para controlar o tempo de expiração do ficheiro, defina o tempo de expiração apropriado no token de segurança do Rede de Entrega de Conteúdos do Azure ou elimine o ativo. |
| Endereços IP permitidos | Opcional. |
| Protocolos permitidos | Os protocolos permitiam um pedido feito à conta SAS. Recomenda-se a definição HTTPS. |
Passos seguintes
Para mais informações sobre a SAS, consulte os seguintes artigos:
- Utilizar assinaturas de acesso partilhado (SAS)
- Assinaturas de Acesso Partilhado, Parte 2: Criar e usar um SAS com armazenamento Blob
Para mais informações sobre como configurar autenticação de tokens, consulte Securização de ativos Rede de Entrega de Conteúdos do Azure com autenticação de tokens.