Limitare l'accesso alla licenza DRM e al recapito delle chiavi AES usando gli elenchi di indirizzi IP consentiti
Avviso
Servizi multimediali di Azure verrà ritirato il 30 giugno 2024. Per altre informazioni, vedere la Guida al ritiro di AMS.
Quando si proteggono i supporti con la protezione del contenuto e le funzionalità DRM di Servizi multimediali, è possibile riscontrare scenari in cui è necessario limitare la distribuzione di licenze o richieste chiave a un intervallo IP specifico di dispositivi client nella rete. Per limitare la riproduzione del contenuto e la distribuzione di chiavi, è possibile usare l'elenco indirizzi IP consentiti per il recapito delle chiavi.
Inoltre, è anche possibile usare l'elenco consenti per bloccare completamente l'accesso a Internet pubblico al traffico di recapito delle chiavi e consentire solo il traffico dagli endpoint di rete privati.
L'elenco indirizzi IP consentiti per il recapito delle chiavi limita la distribuzione di licenze DRM e chiavi AES-128 ai client all'interno dell'intervallo di indirizzi IP consentiti fornito.
Servizi multimediali supporta IPv6 per lo streaming. I servizi live, gli endpoint di streaming e i servizi di distribuzione delle chiavi di Servizi multimediali possono essere usati dai client sia su IPv4 che su IPv6.
Impostazione dell'elenco consenti per il recapito delle chiavi
Le impostazioni per l'elenco indirizzi IP per il recapito delle chiavi si trovano nella risorsa dell'account di Servizi multimediali. Quando si crea un nuovo account di Servizi multimediali, è possibile limitare gli intervalli IP consentiti tramite la proprietà KeyDelivery nella risorsa dell'account di Servizi multimediali.
La proprietà defaultAction può essere impostata su "Consenti" o "Nega" per controllare il recapito di licenze e chiavi ai client nell'intervallo consentito.
La proprietà ipAllowList è una matrice di singoli indirizzi IPv4 o IPv6 e/o intervalli usando la notazione CIDR.
Impostazione dell'elenco elementi consentiti nel portale
Il portale di Azure fornisce un metodo per la configurazione e l'aggiornamento dell'elenco indirizzi IP consentiti per il recapito delle chiavi. Passare all'account di Servizi multimediali e accedere al menu Recapito chiavi in Impostazioni.
Supporto per gli endpoint di streaming IPv6
Quando un endpoint di streaming è configurato per l'uso di una rete CDN, il supporto degli indirizzi IP viene configurato nelle impostazioni del provider della rete CDN.
Per gli endpoint di streaming che non usano una rete CDN, per impostazione predefinita, gli endpoint di streaming accettano richieste da qualsiasi indirizzo IPv4. Per abilitare tutti gli indirizzi IPv4 e IPv6, creare consenti sia IPv4 che IPv6 nell'elenco indirizzi IP consentiti:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8
{
"properties": {
"accessControl": {
"ip": {
"allow": [
{
"name": "Allow all IPv6 addresses",
"address": "::",
"subnetPrefixLength": 0
},
{
"name": "Allow all IPv4 addresses",
"address": "0.0.0.0",
"subnetPrefixLength": 0
}
]
}
},
"cdnEnabled": false
},
"location": "{resourceLocation}"
}
L'elenco indirizzi IP consentiti per un endpoint di streaming può includere anche indirizzi O intervalli IPv6 specifici.
Supporto IPv6 per gli eventi live
Per impostazione predefinita, gli eventi live accettano il contenuto da qualsiasi indirizzo IPv4. Per consentire qualsiasi indirizzo IPv4 o IPv6, consentire gli indirizzi IPv4 e IPv6 nell'elenco indirizzi IP consentiti:
L'elenco indirizzi IP consentiti per un evento live può includere anche indirizzi O intervalli IPv6 specifici. Supporto IPv6 per il recapito delle chiavi per impostazione predefinita, le richieste di chiavi simmetriche vengono accettate da qualsiasi indirizzo IPv4 o IPv6. L'elenco di indirizzi IP per il recapito delle chiavi può essere usato per limitare gli indirizzi IP che possono connettersi agli endpoint di recapito delle chiavi.
L'elenco indirizzi IP consentiti può contenere:
- Indirizzi IPv4
- Intervalli CIDR IPv4
- Indirizzi IPv6
- Intervalli CIDR IPv6
Nell'esempio seguente viene impostato l'elenco indirizzi IP consentiti per il recapito delle chiavi:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01
{
"properties": {
"storageAccounts": [
{
"id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
}
],
"keyDelivery": {
"accessControl": {
"defaultAction": "Deny",
"ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
}
},
},
"location": "westus"
}
Per questo esempio, la richiesta dagli indirizzi seguenti verrà accettata:
- Indirizzi IPv6 compresi tra 2001:1234:1234:0000:0000:0000:0000:4567 e 2001:1234:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF,
- Indirizzo IPv6 2001:1235:0000:0000:0000:0000:0000:0000:0000
- Indirizzi IPv4 compresi tra 10.0.0.0 e 10.0.255.255
Esempi aggiuntivi:
- Per consentire le richieste da qualsiasi indirizzo IP, impostare "defaultAction" del blocco "accessControl" su "Consenti" (e non specificare "ipAllowList)
- Per consentire tutti gli indirizzi IPv4 e bloccare tutti gli indirizzi IPv6, impostare l'elenco indirizzi IP consentiti su [ "0.0.0.0/0" ]
- Per consentire tutti gli indirizzi IPv6 e bloccare tutti gli indirizzi IPv6, impostare l'elenco indirizzi IP consentiti su [ "::/0" ]
Guida e supporto tecnico
È possibile contattare Servizi multimediali con domande o seguire gli aggiornamenti tramite uno dei metodi seguenti:
- DOMANDE E RISPOSTE
-
Stack Overflow. Contrassegna le domande con
azure-media-services
. - @MSFTAzureMedia o usare @AzureSupport per richiedere supporto.
- Aprire un ticket di supporto tramite il portale di Azure.