Azure Policy pro Media Services
Upozornění
Služba Azure Media Services bude vyřazena 30. června 2024. Další informace najdete v průvodci vyřazením AMS.
Azure Media Services poskytuje integrované definice Azure Policy, které pomáhají vynucovat standardy organizace a dodržování předpisů ve velkém. Mezi běžné případy použití pro Azure Policy patří implementace zásad správného řízení pro konzistenci prostředků, dodržování právních předpisů, zabezpečení, náklady a správu.
Služba Media Services poskytuje několik běžných definic případů použití pro Azure Policy, které jsou integrované, které vám pomůžou začít.
Integrované definice Azure Policy pro Media Services
Pro použití se službou Media Services je k dispozici několik předdefinovaných definic zásad, které vám pomůžou začít a umožňují definovat vlastní zásady.
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Účty Azure Media Services by měly zakázat veřejný síťový přístup | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby prostředky Media Services nebyly vystaveny na veřejném internetu. Vytváření privátních koncových bodů může omezit expozici prostředků Media Services. Další informace najdete tady: https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty Azure Media Services by měly používat rozhraní API, které podporuje Private Link | Účty Media Services by se měly vytvářet pomocí rozhraní API, které podporuje privátní propojení. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty Azure Media Services, které umožňují přístup ke starší verzi rozhraní API v2, by měly být blokované. | Starší verze rozhraní API služby Media Services v2 umožňuje požadavky, které nelze spravovat pomocí Azure Policy. Prostředky Služby Media Services vytvořené pomocí rozhraní API 2020-05-01 nebo novější blokují přístup ke starší verzi rozhraní API v2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zásady klíče obsahu služby Azure Media Services by měly používat ověřování tokenem. | Zásady klíče obsahu definují podmínky, které musí být splněny pro přístup ke klíčům obsahu. Omezení tokenů zajišťuje, aby ke klíčům obsahu měli přístup jenom uživatelé, kteří mají platné tokeny z ověřovací služby, například Azure Active Directory. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Úlohy Azure Media Services se vstupy HTTPS by měly omezit vstupní identifikátory URI na povolené vzory identifikátorů URI. | Omezte vstupy HTTPS používané úlohami Media Services na známé koncové body. Vstupy z koncových bodů HTTPS je možné zcela zakázat nastavením prázdného seznamu povolených vzorů zadávání úloh. Pokud vstupy úlohy určují 'baseUri', vzory budou porovnány s touto hodnotou; pokud není nastaven parametr baseUri, vzor se porovná s vlastností files. | Odepření, zakázáno | 1.0.1 |
| Azure Media Services by měla k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních účtů Media Services. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault, který jste vytvořili a vlastní. Máte plnou kontrolu a odpovědnost za životní cyklus klíče, včetně obměně a správy. Další informace najdete v tématu https://aka.ms/mediaservicescmkdocs. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Media Services by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi uživatelem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Media Services můžete snížit riziko úniku dat. Další informace o privátních odkazech najdete tady: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Zakázáno | 1.0.0 |
| Konfigurace služby Azure Media Services tak, aby používala privátní zóny DNS | K přepsání překladu DNS pro privátní koncový bod použijte privátní zóny DNS. Privátní zóna DNS je propojená s vaší virtuální sítí, aby se přeložil na účet Media Services. Další informace najdete tady: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Zakázáno | 1.0.0 |
| Konfigurace služby Azure Media Services s privátními koncovými body | Privátní koncové body připojují vaše virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na Media Services můžete snížit riziko úniku dat. Další informace o privátních odkazech najdete tady: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Zakázáno | 1.0.0 |
Seznam předdefinovaných definic zásad pro Media Services poskytuje nejnovější definice a propojuje definice kódu a způsob přístupu k nim na portálu.
Běžné scénáře, které vyžadují Azure Policy
- Pokud vaše podnikové zabezpečení vyžaduje, abyste zajistili, že se všechny účty Media Services vytvoří pomocí privátních propojení, můžete pomocí definice zásad zajistit, aby se účty vytvářely jenom pomocí rozhraní API 2020-05-01 (nebo novějším), abyste zakázali přístup ke starší verzi rozhraní REST API v2 a přistupovali k funkci Private Link.
- Pokud chcete vynutit konkrétní možnosti tokenů používaných pro zásady klíče obsahu, můžete vytvořit definici Azure Policy, která bude podporovat konkrétní požadavky.
- Pokud vaše cíle zabezpečení vyžadují, abyste omezili vstupní zdroj úlohy tak, aby pocházel pouze z důvěryhodných účtů úložiště, a omezili přístup k externím vstupům HTTP pomocí JobInputHttp, můžete vytvořit zásady Azure, které omezí vzor vstupního identifikátoru URI.
Ukázkové definice zásad
Azure Media Services udržuje a publikuje sadu ukázkových definic Azure Policy v Git Hubu. Projděte si předdefinované definice zásad pro ukázky Media Services v úložišti azure-policy git hubu.
Zásady Azure, privátní koncové body a Media Services
Služba Media Services definuje sadu předdefinovaných definic Azure Policy, které pomáhají vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém.
Azure Policy pro privátní koncové body na portálu
Zásady Konfigurace služby Azure Media Services s privátními koncovými body se dají použít k automatickému vytváření privátních koncových bodů pro prostředky Media Services. Parametry pro zásadu nastaví podsíť, ve které se má vytvořit privátní propojení, a ID skupiny, které se má použít při vytváření privátního koncového bodu. Pokud chcete automaticky vytvářet privátní koncové body pro doručování klíčů, živé události a koncové body streamování, musí být zásady přiřazeny samostatně pro každé ID skupiny (tj. vytvoří se přiřazení zásad s ID skupiny nastaveným na keydelivery, vytvoří se druhé přiřazení zásad s ID skupiny nastaveným na liveevent a třetí přiřazení nastaví ID skupiny na streamingendpoint). Vzhledem k tomu, že tato zásada nasazuje prostředky, musí být zásada vytvořena se spravovanou identitou.
K vytvoření privátních zón DNS pro privátní koncové body Media Services je možné použít zásadu Konfigurace služby Azure Media Services pro použití privátních zón DNS . Tato zásada se také použije samostatně pro každé ID skupiny.
Služba Azure Media Services by měla používat zásady privátního propojení , které budou generovat události auditu pro prostředky Media Services, které nemají povolené privátní propojení.
Azure Policy pro zabezpečení sítě
Pokud se pro přístup k prostředkům služby Media Services používá privátní propojení, je běžným požadavkem omezit přístup k těmto prostředkům z internetu. Účty Azure Media Services by měly zakázat zásady přístupu k veřejné síti, které je možné použít k auditování účtů Media Services, které umožňují přístup z veřejné sítě.
Zabezpečení odchozí sítě
Azure Policy můžete použít k omezení přístupu služby Media Services k externím službám. Úlohy Služby Azure Media Services se vstupy HTTPS by měly omezit vstupní identifikátory URI na povolené vzory identifikátorů URI, které se používají buď k tomu, aby zcela blokovaly úlohy Služby Media Services, které čtou z http a HTTPS URL, nebo aby se omezily úlohy Služby Media Services na čtení z adres URL, které odpovídají konkrétním vzorům.
Získání nápovědy a podpory
Media Services můžete kontaktovat s dotazy nebo sledovat naše aktualizace jedním z následujících způsobů:
- Q & A
-
Stack Overflow Označit otázky pomocí
azure-media-services. - @MSFTAzureMedia nebo použijte @AzureSupport a požádejte o podporu.
- Otevřete lístek podpory prostřednictvím Azure Portal.