Używanie własnego klucza (kluczy zarządzanych przez klienta) za pomocą usługi Media Services
Ostrzeżenie
Usługa Azure Media Services zostanie wycofana 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz Przewodnik po wycofaniu usługi AMS.
Bring Your Own Key (BYOK) to szeroka inicjatywa platformy Azure, która ułatwia klientom przenoszenie obciążeń do chmury. Klucze zarządzane przez klienta umożliwiają klientom przestrzeganie przepisów dotyczących zgodności z branżą i poprawia izolację dzierżawy usługi. Zapewnienie klientom kontroli nad kluczami szyfrowania to sposób minimalizowania niepotrzebnego dostępu i kontroli oraz budowania zaufania do usług firmy Microsoft.
Klucze i zarządzanie kluczami
Możesz użyć własnego klucza z usługą Media Services w przypadku korzystania z interfejsu API usługi Media Services 2020-05-01 lub nowszego. Domyślny klucz konta jest tworzony dla wszystkich kont, które są szyfrowane za pomocą klucza systemowego należącego do usługi Media Services. Jeśli używasz własnego klucza, klucz konta jest szyfrowany przy użyciu klucza. Klucze zawartości są szyfrowane przy użyciu klucza konta. Adresy URL i klucze weryfikacji tokenu symetrycznego jobInputHttp są również szyfrowane.
Usługa Media Services używa tożsamości zarządzanej konta usługi Media Services do odczytywania klucza z Key Vault należącego do Ciebie. Usługa Media Services wymaga, aby Key Vault znajduje się w tym samym regionie co konto oraz że ma włączoną ochronę przed usuwaniem nietrwałym i przeczyszczaniem.
Klucz może być kluczem 2048, 3072 lub kluczem 4096 RSA, a zarówno moduł HSM, jak i klucze oprogramowania są obsługiwane.
Uwaga
Klucze EC nie są obsługiwane.
Możesz określić nazwę klucza i wersję klucza lub tylko nazwę klucza. Jeśli używasz tylko nazwy klucza, usługa Media Services będzie używać najnowszej wersji klucza. Nowe wersje kluczy klienta są wykrywane automatycznie, a klucz konta jest ponownie szyfrowany.
Ostrzeżenie
Usługa Media Services monitoruje dostęp do klucza klienta. Jeśli klucz klienta stanie się niedostępny (na przykład klucz został usunięty lub Key Vault został usunięty lub przyznanie dostępu zostało usunięte), usługa Media Services przeniesie konto do stanu niedostępność klucza klienta (skutecznie wyłączając konto). Konto można jednak usunąć w tym stanie. Jedynymi obsługiwanymi operacjami są konta GET, LIST i DELETE; wszystkie inne żądania (kodowanie, przesyłanie strumieniowe itd.) nie powiedzą się, dopóki nie zostanie przywrócony dostęp do klucza konta.
Podwójne szyfrowanie
Usługa Media Services automatycznie obsługuje podwójne szyfrowanie. W przypadku danych magazynowanych pierwsza warstwa szyfrowania używa klucza zarządzanego przez klienta lub klucza zarządzanego przez firmę Microsoft w zależności od AccountEncryption
ustawienia konta. Druga warstwa szyfrowania danych magazynowanych jest dostarczana automatycznie przy użyciu oddzielnego klucza zarządzanego przez firmę Microsoft. Aby dowiedzieć się więcej na temat podwójnego szyfrowania, zobacz Podwójne szyfrowanie platformy Azure.
Uwaga
Podwójne szyfrowanie jest włączane automatycznie na koncie usługi Media Services. Należy jednak oddzielnie skonfigurować klucz zarządzany przez klienta i podwójne szyfrowanie na koncie magazynu. Aby dowiedzieć się więcej, zobacz Szyfrowanie magazynu.
Samouczki
- Używanie Azure Portal do używania kluczy zarządzanych przez klienta lub byOK z usługą Media Services
Uzyskiwanie pomocy i obsługi technicznej
Możesz skontaktować się z usługą Media Services z pytaniami lub postępować zgodnie z naszymi aktualizacjami, korzystając z jednej z następujących metod:
- Q & A
-
Stack Overflow. Tagowanie pytań przy użyciu polecenia
azure-media-services
. - @MSFTAzureMedia lub użyj @AzureSupport , aby poprosić o pomoc techniczną.
- Otwórz bilet pomocy technicznej za pośrednictwem Azure Portal.