Ograniczanie dostępu do licencji DRM i dostarczania kluczy AES przy użyciu list dozwolonych adresów IP
Ostrzeżenie
Usługa Azure Media Services zostanie wycofana 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz Przewodnik po wycofaniu usługi AMS.
Podczas zabezpieczania nośnika za pomocą funkcji ochrony zawartości i funkcji DRM usługi Media Services można napotkać scenariusze, w których konieczne jest ograniczenie dostarczania licencji lub kluczowych żądań do określonego zakresu adresów IP urządzeń klienckich w sieci. Aby ograniczyć odtwarzanie zawartości i dostarczanie kluczy, możesz użyć listy dozwolonych adresów IP dla dostarczania kluczy.
Ponadto można również użyć listy dozwolonych, aby całkowicie zablokować cały publiczny dostęp do Internetu do ruchu dostarczania kluczy i zezwalać tylko na ruch z prywatnych punktów końcowych sieci.
Lista dozwolonych adresów IP dla usługi Key Delivery ogranicza dostarczanie zarówno licencji DRM, jak i kluczy AES-128 klientom w podanym zakresie dozwolonych adresów IP.
Usługa Media Services obsługuje protokół IPv6 do przesyłania strumieniowego. Usługi Media Services Live Event, Punkt końcowy przesyłania strumieniowego i kluczowe usługi dostarczania mogą być używane przez klientów za pośrednictwem protokołu IPv4 i IPv6.
Ustawianie listy dozwolonych dla dostarczania kluczy
Ustawienia listy dozwolonych adresów IP dostarczania kluczy znajdują się w zasobie konta usługi Media Services. Podczas tworzenia nowego konta usługi Media Services można ograniczyć dozwolone zakresy adresów IP za pośrednictwem właściwości KeyDelivery w zasobie konta usługi Media Services.
Właściwość defaultAction można ustawić na wartość "Zezwalaj" lub "Odmów", aby kontrolować dostarczanie licencji i kluczy klientom w zakresie dozwolonych list.
Właściwość ipAllowList jest tablicą pojedynczych adresów IPv4 lub IPv6 i/lub zakresów przy użyciu notacji CIDR.
Ustawianie listy dozwolonych w portalu
Azure Portal udostępnia metodę konfigurowania i aktualizowania listy dozwolonych adresów IP na potrzeby dostarczania kluczy. Przejdź do konta usługi Media Services i uzyskaj dostęp do menu Dostarczanie klucza w obszarze Ustawienia.
Obsługa punktów końcowych przesyłania strumieniowego IPv6
Po skonfigurowaniu punktu końcowego przesyłania strumieniowego do korzystania z sieci CDN obsługa adresów IP jest konfigurowana w ustawieniach dostawcy usługi CDN.
W przypadku punktów końcowych przesyłania strumieniowego, które domyślnie nie używają sieci CDN, punkty końcowe przesyłania strumieniowego akceptują żądania z dowolnego adresu IPv4. Aby włączyć wszystkie adresy IPv4 i IPv6, utwórz opcję Zezwalaj zarówno na adresY IPv4, jak i IPv6 na liście dozwolonych adresów IP:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8
{
"properties": {
"accessControl": {
"ip": {
"allow": [
{
"name": "Allow all IPv6 addresses",
"address": "::",
"subnetPrefixLength": 0
},
{
"name": "Allow all IPv4 addresses",
"address": "0.0.0.0",
"subnetPrefixLength": 0
}
]
}
},
"cdnEnabled": false
},
"location": "{resourceLocation}"
}
Lista dozwolonych adresów IP dla punktu końcowego przesyłania strumieniowego może również zawierać określone adresy IPv6 lub zakresy.
Obsługa protokołu IPv6 wydarzeń na żywo
Domyślnie wydarzenia na żywo akceptują zawartość z dowolnego adresu IPv4. Aby zezwolić na dowolny adres IPv4 lub IPv6, zezwalaj na adresy IPv4 i IPv6 na liście dozwolonych adresów IP:
Lista dozwolonych adresów IP dla wydarzenia na żywo może również zawierać określone adresy IPv6 lub zakresy. Domyślnie obsługa protokołu IPv6 dostarczania kluczy zawartości jest akceptowana z dowolnego adresu IPv4 lub IPv6. Lista dozwolonych adresów IP dostarczania kluczy może służyć do ograniczania adresów IP, które mogą łączyć się z punktami końcowymi dostarczania kluczy.
Lista dozwolonych adresów IP może zawierać następujące elementy:
- Adresy IPv4
- Zakresy CIDR IPv4
- Adresy IPv6
- Zakresy CIDR IPv6
W poniższym przykładzie ustawiono listę dozwolonych adresów IP dla dostarczania kluczy:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01
{
"properties": {
"storageAccounts": [
{
"id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
}
],
"keyDelivery": {
"accessControl": {
"defaultAction": "Deny",
"ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
}
},
},
"location": "westus"
}
W tym przykładzie żądanie z następujących adresów zostanie zaakceptowane:
- Adresy IPv6 między 2001:1234:1234:0000:0000:0000:0000:4567 i 2001:1234:FFFF,
- Adres IPv6 2001:1235:0000:0000:0000:0000:0000:0000
- Adresy IPv4 z zakresu od 10.0.0.0 do 10.0.255.255
Dodatkowe przykłady:
- Aby zezwolić na żądania z dowolnego adresu IP, ustaw wartość "defaultAction" bloku "accessControl" na wartość "Zezwalaj" (i nie określaj "ipAllowList)
- Aby zezwolić na wszystkie adresy IPv4 i zablokować wszystkie adresy IPv6, ustaw listę dozwolonych adresów IP na wartość [0.0.0.0/0" ]
- Aby zezwolić na wszystkie adresy IPv6 i zablokować wszystkie adresy IPv6, ustaw listę dozwolonych adresów IP na [ ":/0" ]
Uzyskiwanie pomocy i obsługi technicznej
Możesz skontaktować się z usługą Media Services z pytaniami lub postępować zgodnie z naszymi aktualizacjami przy użyciu jednej z następujących metod:
- Q & A
-
Stack Overflow. Tagowanie pytań przy użyciu polecenia
azure-media-services
. - @MSFTAzureMedia lub użyj @AzureSupport , aby poprosić o pomoc techniczną.
- Otwórz bilet pomocy technicznej za pośrednictwem Azure Portal.