Azure Policy voor Media Services
Waarschuwing
Azure Media Services wordt op 30 juni 2024 buiten gebruik gesteld. Zie de Handleiding voor buitengebruikstelling van AMS voor meer informatie.
Azure Media Services biedt ingebouwde Azure Policy definities om organisatiestandaarden en naleving op schaal af te dwingen. Veelvoorkomende gebruiksvoorbeelden voor Azure Policy zijn het implementeren van governance voor resourceconsistentie, naleving van regelgeving, beveiliging, kosten en beheer.
Media Services biedt verschillende algemene use-casedefinities voor Azure Policy die zijn ingebouwd om u op weg te helpen.
Ingebouwde Azure Policy definities voor Media Services
Er zijn verschillende ingebouwde beleidsdefinities beschikbaar voor gebruik met Media Services om u op weg te helpen en om uw eigen aangepaste beleidsregels te definiëren.
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Media Services-accounts moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat Media Services-resources niet beschikbaar zijn op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van Media Services-resources beperken. Zie voor meer informatie: https://aka.ms/mediaservicesprivatelinkdocs. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Media Services-accounts moeten een API gebruiken die ondersteuning biedt voor Private Link | Media Services-accounts moeten worden gemaakt met een API die private link ondersteunt. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Media Services-accounts die toegang tot de verouderde v2-API toestaan, moeten worden geblokkeerd | De verouderde V2-API van Media Services staat aanvragen toe die niet kunnen worden beheerd met behulp van Azure Policy. Media Services-resources die zijn gemaakt met de API 2020-05-01 of hoger blokkeren de toegang tot de verouderde v2-API. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Beleid voor inhoudssleutels van Azure Media Services moet tokenverificatie gebruiken | Beleid voor inhoudssleutels definieert de voorwaarden waaraan moet worden voldaan om toegang te krijgen tot inhoudssleutels. Een tokenbeperking zorgt ervoor dat inhoudssleutels alleen toegankelijk zijn voor gebruikers die geldige tokens hebben van een verificatieservice, bijvoorbeeld Azure Active Directory. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Media Services-taken met HTTPS-invoer moeten invoer-URI's beperken tot toegestane URI-patronen | Https-invoer die door Media Services-taken wordt gebruikt, beperken tot bekende eindpunten. Invoer van HTTPS-eindpunten kan volledig worden uitgeschakeld door een lege lijst met toegestane taakinvoerpatronen in te stellen. Wanneer taakinvoer een 'baseUri' specificeert, worden de patronen vergeleken met deze waarde; wanneer 'baseUri' niet is ingesteld, wordt het patroon vergeleken met de eigenschap 'files'. | Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Media Services moet door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling at rest van uw Media Services-accounts te beheren. Standaard worden klantgegevens versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan wettelijke nalevingsstandaarden. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure-Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/mediaservicescmkdocs. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Media Services moet gebruikmaken van private link | met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Azure-backbone-netwerk. Door privé-eindpunten toe te koppelen aan Media Services, kunt u het risico op gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Media Services configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-omzetting voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om deze om te lossen naar het Media Services-account. Zie voor meer informatie: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Media Services configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres op de bron of bestemming. Door privé-eindpunten toe te koppelen aan Media Services, kunt u het risico op gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
De lijst met ingebouwde beleidsdefinities voor Media Services bevat de meest recente definities en koppelt de codedefinities en hoe u deze kunt openen in de portal.
Veelvoorkomende scenario's waarvoor Azure Policy is vereist
- Als uw bedrijfsbeveiliging vereist dat u ervoor zorgt dat alle Media Services-accounts worden gemaakt met Private Links, kunt u een beleidsdefinitie gebruiken om ervoor te zorgen dat accounts alleen worden gemaakt met de API 2020-05-01 (of hoger) om toegang tot de verouderde REST v2-API uit te schakelen en toegang te krijgen tot de functie Private Link.
- Als u specifieke opties wilt afdwingen voor de tokens die worden gebruikt voor inhoudssleutelbeleid, kan een Azure Policy definitie worden samengesteld om de specifieke vereisten te ondersteunen.
- Als uw beveiligingsdoelen vereisen dat een taakinvoerbron alleen afkomstig is van uw vertrouwde opslagaccounts en de toegang tot externe HTTP(S)-invoer beperkt via het gebruik van JobInputHttp, kan een Azure-beleid worden samengesteld om het invoer-URI-patroon te beperken.
Voorbeeld van beleidsdefinities
Azure Media Services onderhoudt en publiceert een set voorbeelddefinities Azure Policy in Git Hub. Zie de ingebouwde beleidsdefinities voor Media Services-voorbeelden in de Git Hub-opslagplaats azure-policy.
Azure-beleid, privé-eindpunten en Media Services
Media Services definieert een set ingebouwde Azure Policy definities om organisatiestandaarden af te dwingen en naleving op schaal te beoordelen.
Azure Policy voor privé-eindpunten in de portal
Het beleid Azure Media Services configureren met privé-eindpunten kan worden gebruikt om automatisch privé-eindpunten te maken voor Media Services-resources. De parameters voor het beleid stellen het subnet in waar de privékoppeling moet worden gemaakt en de groeps-id die moet worden gebruikt bij het maken van het privé-eindpunt. Als u automatisch privé-eindpunten wilt maken voor de levering van sleutels, livegebeurtenissen en streaming-eindpunten, moet het beleid afzonderlijk worden toegewezen voor elk van de groeps-id's (dat wil dat er een beleidstoewijzing wordt gemaakt met de groeps-id die is ingesteld op keydelivery, een tweede beleidstoewijzing wordt gemaakt met de groeps-id ingesteld op liveevent en een derde toewijzing stelt de groeps-id in op streamingendpoint). Omdat met dit beleid resources worden geïmplementeerd, moet het beleid worden gemaakt met een beheerde identiteit.
Het beleid Azure Media Services configureren voor het gebruik van privé-DNS-zones kan worden gebruikt om privé-DNS-zones voor Privé-eindpunten van Media Services te maken. Dit beleid wordt ook afzonderlijk toegepast op elke groeps-id.
Het Azure Media Services-beleid moet gebruikmaken van een privékoppeling , genereert controlegebeurtenissen voor Media Services-resources waarvoor private link niet is ingeschakeld.
Azure Policy voor netwerkbeveiliging
Wanneer private link wordt gebruikt om toegang te krijgen tot Media Services-resources, is een algemene vereiste om de toegang tot deze resources vanaf internet te beperken. De Azure Media Services-accounts moeten het openbare netwerktoegangsbeleid uitschakelen , kan worden gebruikt om Media Services-accounts te controleren die openbare netwerktoegang toestaan.
Netwerkbeveiliging uitgaande verbindingen
Azure Policy kunnen worden gebruikt om te beperken hoe Media Services toegang krijgt tot externe services. De Azure Media Services-taken met HTTPS-invoer moeten invoer-URI's beperken tot het beleid voor toegestane URI-patronen dat wordt gebruikt om Media Services-taken die worden gelezen vanuit HTTP- en HTTPS-URL's volledig te blokkeren of om Media Services-taken te beperken tot het lezen van URL's die overeenkomen met specifieke patronen.
Help en ondersteuning
U kunt contact opnemen met Media Services met vragen of onze updates op een van de volgende manieren volgen:
- Q & A
-
Stack Overflow. Tag vragen met
azure-media-services. - @MSFTAzureMedia of gebruik @AzureSupport om ondersteuning aan te vragen.
- Open een ondersteuningsticket via de Azure Portal.