Azure Policy dla usługi Media Services
Ostrzeżenie
Usługa Azure Media Services zostanie wycofana 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz Przewodnik po wycofaniu usługi AMS.
Usługa Azure Media Services udostępnia wbudowane definicje Azure Policy, które ułatwiają wymuszanie standardów organizacyjnych i zgodności na dużą skalę. Typowe przypadki użycia Azure Policy obejmują implementowanie ładu na potrzeby spójności zasobów, zgodności z przepisami, zabezpieczeń, kosztów i zarządzania.
Usługa Media Services udostępnia kilka typowych definicji przypadków użycia dla Azure Policy wbudowanych, które ułatwiają rozpoczęcie pracy.
Wbudowane definicje Azure Policy dla usługi Media Services
Kilka wbudowanych definicji zasad jest dostępnych do użycia z usługą Media Services, aby ułatwić rozpoczęcie pracy i umożliwić definiowanie własnych zasad niestandardowych.
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta usługi Azure Media Services powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasoby usługi Media Services nie są widoczne w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie zasobów usługi Media Services. Dowiedz się więcej o: https://aka.ms/mediaservicesprivatelinkdocs. | Inspekcja, odmowa, wyłączone | 1.0.0 |
| Konta usługi Azure Media Services powinny używać interfejsu API obsługującego Private Link | Konta usługi Media Services należy utworzyć za pomocą interfejsu API obsługującego link prywatny. | Inspekcja, odmowa, wyłączone | 1.0.0 |
| Konta usługi Azure Media Services, które zezwalają na dostęp do starszego interfejsu API w wersji 2, powinny być blokowane | Interfejs API usługi Media Services w wersji 2 umożliwia zarządzanie żądaniami, których nie można zarządzać przy użyciu Azure Policy. Zasoby usługi Media Services utworzone przy użyciu interfejsu API 2020-05-01 lub nowszego blokują dostęp do starszego interfejsu API w wersji 2. | Inspekcja, odmowa, wyłączone | 1.0.0 |
| Zasady klucza zawartości usługi Azure Media Services powinny używać uwierzytelniania tokenu | Zasady klucza zawartości definiują warunki, które muszą zostać spełnione w celu uzyskania dostępu do kluczy zawartości. Ograniczenie tokenu zapewnia dostęp do kluczy zawartości tylko dla użytkowników, którzy mają prawidłowe tokeny z usługi uwierzytelniania, na przykład Azure Active Directory. | Inspekcja, odmowa, wyłączone | 1.0.0 |
| Zadania usługi Azure Media Services z danymi wejściowymi HTTPS powinny ograniczać identyfikatory URI wejściowe do dozwolonych wzorców identyfikatorów URI | Ogranicz dane wejściowe HTTPS używane przez zadania usługi Media Services do znanych punktów końcowych. Dane wejściowe z punktów końcowych HTTPS można całkowicie wyłączyć, ustawiając pustą listę dozwolonych wzorców wejściowych zadań. Gdzie dane wejściowe zadania określają "baseUri", wzorce będą dopasowywane do tej wartości; gdy parametr "baseUri" nie jest ustawiony, wzorzec jest zgodny z właściwością "files". | Odmów, Wyłączone | 1.0.1 |
| Usługa Azure Media Services powinna używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych kont usługi Media Services. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych za pomocą klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na stronie https://aka.ms/mediaservicescmkdocs. | Inspekcja, odmowa, wyłączone | 1.0.0 |
| Usługa Azure Media Services powinna używać łącza prywatnego | Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Media Services, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Media Services do korzystania z prywatnych stref DNS | Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania konta usługi Media Services. Dowiedz się więcej o: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Media Services z prywatnymi punktami końcowymi | Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na usługę Media Services, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
Lista wbudowanych definicji zasad dla usługi Media Services zawiera najnowsze definicje i łączy definicje kodu oraz sposób uzyskiwania do nich dostępu w portalu.
Typowe scenariusze wymagające Azure Policy
- Jeśli zabezpieczenia przedsiębiorstwa wymagają upewnienia się, że wszystkie konta usługi Media Services są tworzone za pomocą linków prywatnych, możesz użyć definicji zasad, aby upewnić się, że konta są tworzone tylko przy użyciu interfejsu API 2020-05-01 (lub nowszego), aby wyłączyć dostęp do starszego interfejsu API REST w wersji 2 i uzyskać dostęp do funkcji Private Link.
- Jeśli chcesz wymusić określone opcje na tokenach używanych dla zasad klucza zawartości, można utworzyć definicję Azure Policy w celu obsługi określonych wymagań.
- Jeśli cele zabezpieczeń wymagają ograniczenia źródła danych wejściowych zadania tylko z zaufanych kont magazynu i ograniczenia dostępu do zewnętrznych danych wejściowych HTTP za pomocą funkcji JobInputHttp, można utworzyć zasady platformy Azure, aby ograniczyć wzorzec identyfikatora URI wejściowego.
Przykładowe definicje zasad
Usługa Azure Media Services utrzymuje i publikuje zestaw przykładowych definicji Azure Policy w usłudze Git Hub. Zobacz wbudowane definicje zasad dla przykładów usługi Media Services w repozytorium git hub azure-policy.
Zasady platformy Azure, prywatne punkty końcowe i usługi Media Services
Usługa Media Services definiuje zestaw wbudowanych definicji Azure Policy, które ułatwiają wymuszanie standardów organizacyjnych i ocenę zgodności na dużą skalę.
Azure Policy dla prywatnych punktów końcowych w portalu
Zasady Konfigurowanie usługi Azure Media Services z prywatnymi punktami końcowymi mogą służyć do automatycznego tworzenia prywatnych punktów końcowych dla zasobów usługi Media Services. Parametry zasad ustawiają podsieć, w której należy utworzyć łącze prywatne, oraz identyfikator grupy do użycia podczas tworzenia prywatnego punktu końcowego. Aby automatycznie tworzyć prywatne punkty końcowe dla dostarczania kluczy, zdarzeń na żywo i punktów końcowych przesyłania strumieniowego, zasady muszą być przypisane oddzielnie dla każdego identyfikatora grupy (tj. przypisanie zasad zostanie utworzone przy użyciu identyfikatora grupy ustawionego na keydelivery, drugie przypisanie zasad zostanie utworzone z identyfikatorem grupy ustawionym na liveevent , a trzecie przypisanie ustawi identyfikator grupy na streamingendpoint). Ponieważ te zasady wdrażają zasoby, zasady muszą zostać utworzone przy użyciu tożsamości zarządzanej.
Konfigurowanie usługi Azure Media Services do używania zasad prywatnych stref DNS może służyć do tworzenia prywatnych stref DNS dla prywatnych punktów końcowych usługi Media Services. Te zasady są również stosowane oddzielnie dla każdego identyfikatora grupy.
Usługa Azure Media Services powinna używać zasad linków prywatnych spowoduje wygenerowanie zdarzeń inspekcji dla zasobów usługi Media Services, które nie mają włączonego łącza prywatnego.
Azure Policy na potrzeby zabezpieczeń sieci
Gdy link prywatny jest używany do uzyskiwania dostępu do zasobów usługi Media Services, typowym wymaganiem jest ograniczenie dostępu do tych zasobów z Internetu. Konta usługi Azure Media Services powinny wyłączać zasady dostępu do sieci publicznej mogą służyć do inspekcji kont usługi Media Services, które zezwalają na dostęp do sieci publicznej.
Zabezpieczenia sieci wychodzącej
Azure Policy można użyć do ograniczenia sposobu uzyskiwania dostępu do usług zewnętrznych przez usługę Media Services. Zadania usługi Azure Media Services z danymi wejściowymi HTTPS powinny ograniczać identyfikatory URI danych wejściowych do zasad dozwolonych wzorców identyfikatorów URI do całkowitego blokowania zadań usługi Media Services odczytanych z adresów URL PROTOKOŁU HTTP i HTTPS lub ograniczenia zadań usługi Media Services do odczytu z adresów URL pasujących do określonych wzorców.
Uzyskiwanie pomocy i obsługi technicznej
Możesz skontaktować się z usługą Media Services z pytaniami lub postępować zgodnie z naszymi aktualizacjami przy użyciu jednej z następujących metod:
- Q & A
-
Stack Overflow. Tagowanie pytań przy użyciu polecenia
azure-media-services. - @MSFTAzureMedia lub użyj @AzureSupport , aby poprosić o pomoc techniczną.
- Otwórz bilet pomocy technicznej za pośrednictwem Azure Portal.