Belirteç kimlik doğrulaması ile Azure Content Delivery Network varlıklarının güvenliğini sağlama

Önemli

Bu yalnızca Edgio'dan Azure CDN Premium'un bir özelliğidir. Microsoft'tan Azure CDN'de kuralları yapılandırmak için lütfen Standart kural altyapısını kullanın. Akamai'den Azure CDN için gelişmiş kurallar kullanılamaz. CDN özelliklerinin tam karşılaştırması için bkz . Azure CDN ürün özellikleri.

Genel bakış

Belirteç kimlik doğrulaması, Azure içerik teslim ağının varlıkları yetkisiz istemcilere sunmasını engellemenizi sağlayan bir mekanizmadır. Belirteç kimlik doğrulaması genellikle, ileti panosu gibi farklı bir web sitesinin varlıklarınızı izinsiz kullandığı içeriğin sık bağlanmasını önlemek için yapılır. Hotlinking, içerik teslim maliyetlerinizi etkileyebilir. İçerik teslim ağında belirteç kimlik doğrulamasını etkinleştirdiğinizde, içerik teslim ağı içeriği teslim etmeden önce isteklerin kimliği içerik teslim ağı uç sunucusu tarafından doğrulanır.

Nasıl çalışır?

Belirteç kimlik doğrulaması, isteklerin istek sahibi hakkında kodlanmış bilgileri tutan bir belirteç değeri içermesini gerektirerek isteklerin güvenilen bir site tarafından oluşturulduğunu doğrular. İçerik bir istek sahibine yalnızca kodlanmış bilgiler gereksinimleri karşılıyorsa sunulur; aksi takdirde istekler reddedilir. Aşağıdaki parametrelerden birini veya daha fazlasını kullanarak gereksinimleri ayarlayabilirsiniz:

• Ülke/Bölge: Ülke/bölge kodu tarafından belirtilen ülkelerden/bölgelerden gelen isteklere izin verin veya reddedin.
• URL: Yalnızca belirtilen varlık veya yol ile eşleşen isteklere izin verin.
• Konak: İstek üst bilgisinde belirtilen konakları kullanan isteklere izin verin veya reddedin.
• Başvuran: Belirtilen başvurandan gelen isteğe izin verin veya reddedin.
• IP adresi: Yalnızca belirli IP adresinden veya IP alt ağından gelen isteklere izin verin.
• Protokol: İçeriği istemek için kullanılan protokole göre isteklere izin verin veya istekleri reddedin.
• Süre sonu: Bağlantının yalnızca sınırlı bir süre boyunca geçerli kalmasını sağlamak için bir tarih ve saat aralığı atayın.

Daha fazla bilgi için, Belirteç kimlik doğrulamasını ayarlama bölümünde her parametre için ayrıntılı yapılandırma örneklerine bakın.

Önemli

Bu hesapta herhangi bir yol için belirteç yetkilendirmesi etkinleştirildiyse, sorgu dizesini önbelleğe almak için kullanılabilecek tek mod standart önbellek modudur. Daha fazla bilgi için bkz . Sorgu dizeleriyle Azure Content Delivery Network önbelleğe alma davranışını denetleme.

Referans mimarisi

Aşağıdaki iş akışı diyagramı, içerik teslim ağının web uygulamanızla çalışmak için belirteç kimlik doğrulamasını nasıl kullandığını açıklar.

İçerik teslim ağ uç noktasında belirteç doğrulama mantığı

Aşağıdaki akış çizelgesinde, içerik teslim ağı uç noktasında belirteç kimlik doğrulaması yapılandırıldığında Azure Content Delivery Network'in bir istemci isteğini nasıl doğruladığından emin olunması açıklanır.

Belirteç kimlik doğrulamayı ayarlama

1. Azure portalından içerik teslim ağı profilinize göz atın ve ardından Yönet'i seçerek ek portalı başlatın.

   

2. HTTP Büyük'ün üzerine gelin ve açılır öğede Belirteç Kimlik Doğrulaması'nı seçin. Ardından şifreleme anahtarını ve şifreleme parametrelerini aşağıdaki gibi ayarlayabilirsiniz:

   1. Bir veya daha fazla şifreleme anahtarı oluşturun. Şifreleme anahtarı büyük/küçük harfe duyarlıdır ve alfasayısal karakterlerin herhangi bir bileşimini içerebilir. Boşluklar da dahil olmak üzere diğer karakter türlerine izin verilmez. Uzunluk üst sınırı 250 karakterdir. Şifreleme anahtarlarınızın rastgele olduğundan emin olmak için Bunları OpenSSL aracını kullanarak oluşturmanız önerilir.

      OpenSSL aracı aşağıdaki söz dizimine sahiptir:

      rand -hex <key length>

      Örneğin:

      OpenSSL> rand -hex 32

      Kapalı kalma süresini önlemek için hem birincil hem de yedekleme anahtarı oluşturun. Yedekleme anahtarı, birincil anahtarınız güncelleştirilirken içeriğinize kesintisiz erişim sağlar.

   2. Birincil Anahtar kutusuna benzersiz bir şifreleme anahtarı girin ve isteğe bağlı olarak Yedekleme Anahtarı kutusuna bir yedekleme anahtarı girin.

   3. En Düşük Şifreleme Sürümü listesinden her anahtar için en düşük şifreleme sürümünü seçin ve ardından Güncelleştir'i seçin:

      • V2: Anahtarın sürüm 2.0 ve 3.0 belirteçleri oluşturmak için kullanılabileceğini gösterir. Bu seçeneği yalnızca eski sürüm 2.0 şifreleme anahtarından sürüm 3.0 anahtarına geçiş yaptığınız durumlar için kullanın.
      • V3: (Önerilen) Anahtarın yalnızca sürüm 3.0 belirteçleri oluşturmak için kullanılabileceğini gösterir.

      

   4. Şifreleme parametrelerini ayarlamak ve belirteç oluşturmak için şifreleme aracını kullanın. Şifreleme aracıyla, son kullanma süresi, ülke/bölge, başvuran, protokol ve istemci IP'sine (herhangi bir kombinasyonda) göre isteklere izin verebilir veya istekleri reddedebilirsiniz. Belirteç oluşturmak için birleştirilebilen parametre sayısı ve birleşimi için bir sınır olmasa da, belirtecin toplam uzunluğu 512 karakterle sınırlıdır.

      

      Şifreleme Aracı bölümüne aşağıdaki şifreleme parametrelerinden birinin veya daha fazlasının değerlerini girin:

      Parametre adı	Açıklama
      ec_expire	Belirteci sona erdirmek için bir süre sonu atar ve bundan sonra belirtecin süresi dolar. Süre sonundan sonra gönderilen istekler reddedilir. Bu parametre, '1/1/1970 00:00:00 GMT' standart Unix döneminin üzerinden geçen saniye sayısını temel alan bir Unix zaman damgası kullanır. (Standart saat ile Unix saati arasında dönüştürme yapmak için çevrimiçi araçları kullanabilirsiniz.) Örneğin, belirtecin 'de 12/31/2016 12:00:00 GMTsüresinin dolmasını istiyorsanız Unix zaman damgası değerini 1483185600girin.
      ec_url_allow	Belirteçleri belirli bir varlığa veya yola göre uyarlamanıza olanak tanır. URL'si belirli bir göreli yol ile başlayan isteklere erişimi kısıtlar. URL'ler büyük/küçük harfe duyarlıdır. Her yolu virgülle ayırarak birden çok yol girin; boşluk eklemeyin. Gereksinimlerinize bağlı olarak, farklı erişim düzeyi sağlamak için farklı değerler ayarlayabilirsiniz. Örneğin, URL http://www.mydomain.com/pictures/city/strasbourg.pngiçin aşağıdaki giriş değerleri için bu isteklere izin verilir: '/' giriş değeri: Tüm isteklere izin verilir. '/pictures' giriş değeri, aşağıdaki isteklere izin verilir: 'http://www.mydomain.com/pictures.png' 'http://www.mydomain.com/pictures/city/strasbourg.png' 'http://www.mydomain.com/picturesnew/city/strasbourgh.png' '/pictures/' giriş değeri: Yalnızca '/pictures/' yolunu içeren isteklere izin verilir. Örneğin, 'http://www.mydomain.com/pictures/city/strasbourg.png'. '/pictures/city/strasbourg.png' giriş değeri: Yalnızca bu belirli yol ve varlık için isteklere izin verilir.
      ec_country_allow	Yalnızca bir veya daha fazla belirtilen ülkeden/bölgeden gelen isteklere izin verir. Diğer tüm ülkelerden/bölgelerden gelen istekler reddedilir. Her ülke/bölge için iki harfli [ISO 3166 ülke/bölge kodu](/previous-versions/azure/mt761717(v=azure.100)) kullanın ve her birini virgülle ayırın; boşluk eklemeyin. Örneğin, yalnızca Birleşik Devletler ve Fransa'dan erişime izin vermek istiyorsanız ,'US,FR' girin.
      ec_country_deny	Belirtilen bir veya daha fazla ülkeden/bölgeden kaynaklanan istekleri reddeder. Diğer tüm ülkelerden/bölgelerden gelen isteklere izin verilir. Uygulama, ec_country_allow parametresiyle aynıdır. Hem ec_country_allow hem de ec_country_deny parametrelerinde bir ülke/bölge kodu varsa, ec_country_allow parametresi önceliklidir.
      ec_ref_allow	Yalnızca belirtilen başvurandan gelen isteklere izin verir. Başvuran, istenen kaynağa bağlı olan web sayfasının URL'sini tanımlar. Parametre değerine protokolü eklemeyin. Aşağıdaki giriş türlerine izin verilir: Konak adı veya konak adı ve yol. Birden çok başvuran. Birden çok başvuran eklemek için her başvuranı virgülle ayırın; boşluk eklemeyin. Bir başvuran değeri belirtirseniz, ancak tarayıcı yapılandırması nedeniyle istekte başvuran bilgileri gönderilmezse, istek varsayılan olarak reddedilir. Eksik veya boş başvuran bilgilerine sahip istekler. varsayılan olarak, ec_ref_allow parametresi bu tür istekleri engeller. Bu isteklere izin vermek için " eksik" metnini girin veya boş bir değer girin (sondaki virgülle). Alt. Alt etki alanları için yıldız işareti (\*) girin. Örneğin, 'contoso.com' alt etki alanları için '*.contoso.com' girin. Örneğin , altındaki tüm alt etki contoso2.comalanları ve boş veya eksik başvuranları www.contoso.comolan isteklere erişim izni vermek için girinwww.contoso.com,*.contoso.com,missing.
      ec_ref_deny	Belirtilen başvurandan gelen istekleri reddeder. Uygulama, ec_ref_allow parametresiyle aynıdır. Hem ec_ref_allow hem de ec_ref_deny parametrelerinde başvuran varsa, ec_ref_allow parametresi önceliklidir.
      ec_proto_allow	Yalnızca belirtilen protokolden gelen isteklere izin verir. Geçerli değerler 'http', 'https' veya 'http,https'dir.
      ec_proto_deny	Belirtilen protokolden gelen istekleri reddeder. Uygulama, ec_proto_allow parametresiyle aynıdır. Hem ec_proto_allow hem de ec_proto_deny parametrelerinde bir protokol varsa, ec_proto_allow parametresi önceliklidir.
      ec_clientip	Belirtilen istek sahibinin IP adresine erişimi kısıtlar. Hem İnternet Protokolü sürüm 4 (IPv4) hem de İnternet Protokolü sürüm 6 (IPv6) desteklenir. Tek bir istek IP adresi veya belirli bir alt ağ ile ilişkili IP adresleri belirtebilirsiniz. Örneğin, '11.22.33.0/22', 11.22.32.1 IP adreslerinden 11.22.35.254'e yönelik isteklere izin verir.

   5. Şifreleme parametresi değerlerini girmeyi tamamladıktan sonra Şifreleme Anahtarı listesinden şifrelemek için bir anahtar seçin (hem birincil hem de yedekleme anahtarı oluşturduysanız).

   6. Şifreleme Sürümü listesinden bir şifreleme sürümü seçin: Sürüm 2 için V2 veya sürüm 3 için V3 (önerilir).

   7. Belirteci oluşturmak için Şifrele'yi seçin.

      Belirteç oluşturulduktan sonra Oluşturulan Belirteç kutusunda görüntülenir. Belirteci kullanmak için url yolunuzda dosyanın sonuna sorgu dizesi olarak ekleyin. Örneğin, http://www.domain.com/content.mov?a4fbc3710fd3449a7c99986b.

   8. İsteğe bağlı olarak, belirtecinizin parametrelerini görüntüleyebilmeniz için şifre çözme aracıyla belirtecinizi test edin. Belirteç değerini Şifre Çözülecek Belirteç kutusuna yapıştırın. Şifre Çözme Anahtarı listesinden kullanılacak şifreleme anahtarını seçin ve ardından Şifre Çöz'e tıklayın.

      Belirtecin şifresi çözüldükten sonra parametreleri Özgün Parametreler kutusunda görüntülenir.

   9. İsteğe bağlı olarak, istek reddedildiğinde döndürülen yanıt kodu türünü özelleştirin. Etkin'i ve ardından Yanıt Kodu listesinden yanıt kodunu seçin. Üst Bilgi Adı otomatik olarak Konum olarak ayarlanır. Yeni yanıt kodunu uygulamak için Kaydet'i seçin. Bazı yanıt kodları için, Üst Bilgi Değeri kutusuna hata sayfanızın URL'sini de girmeniz gerekir. 403 yanıt kodu (Yasak) varsayılan olarak seçilidir.

3. HTTP Büyük bölümünde Kural Altyapısı'yı seçin. Özellik uygulama yollarını tanımlamak, belirteç kimlik doğrulaması özelliğini etkinleştirmek ve ek belirteç kimlik doğrulamasıyla ilgili özellikleri etkinleştirmek için kural altyapısını kullanırsınız. Daha fazla bilgi için bkz . Kural altyapısı başvurusu.

   1. Belirteç kimlik doğrulaması uygulamak istediğiniz varlığı veya yolu tanımlamak için mevcut bir kuralı seçin veya yeni bir kural oluşturun.

   2. Bir kuralda belirteç kimlik doğrulamasını etkinleştirmek için Özellikler listesinden Belirteç Kimlik Doğrulaması'nı ve ardından Etkin'i seçin. Kuralı güncelleştiriyorsanız Güncelleştir'i veya kural oluşturuyorsanız Ekle'yi seçin.

      

4. Kural altyapısında, belirteç kimlik doğrulamasıyla ilgili daha fazla özelliği de etkinleştirebilirsiniz. Aşağıdaki özelliklerden herhangi birini etkinleştirmek için Özellikler listesinden seçin ve ardından Etkin'i seçin.

   • Belirteç Kimlik Doğrulaması Reddetme Kodu: bir istek reddedildiğinde kullanıcıya döndürülen yanıt türünü belirler. Burada ayarlanan kurallar, belirteç tabanlı kimlik doğrulaması sayfasındaki Özel Engelleme İşleme bölümünde ayarlanan yanıt kodunu geçersiz kılar.

   • Belirteç Kimlik Doğrulaması URL Olayını Yoksay: Belirteci doğrulamak için kullanılan URL'nin büyük/küçük harfe duyarlı olup olmadığını belirler.

   • Belirteç Kimlik Doğrulama Parametresi: İstenen URL'de görünen belirteç kimlik doğrulaması sorgu dizesi parametresini yeniden adlandırır.

     

5. GitHub'da kaynak koduna erişerek belirtecinizi özelleştirebilirsiniz. Kullanılabilir diller şunlardır:

   • C
   • C#
   • PHP
   • Perl
   • Java
   • Python

Azure Content Delivery Network özellikleri ve sağlayıcı fiyatlandırması

Özellikler hakkında bilgi için bkz . Azure Content Delivery Network ürün özellikleri. Fiyatlandırma hakkında bilgi için bkz . Content Delivery Network fiyatlandırması.