Chaves gerenciadas pelo cliente ou BYOK (Bring Your Own Key) com os Serviços de Mídia
Aviso
Os Serviços de Mídia do Azure serão desativados em 30 de junho de 2024. Para obter mais informações, consulte o Guia de Desativação do AMS.
O Bring Your Own Key (BYOK) é uma ampla iniciativa do Azure para ajudar os clientes a mover suas cargas de trabalho para a nuvem. As chaves gerenciadas pelo cliente permitem que os clientes sigam as regulamentações de conformidade do setor e melhoram o isolamento de locatários de um serviço. Dar aos clientes o controle das chaves de criptografia é uma maneira de minimizar o acesso e o controle desnecessários e criar confiança nos serviços da Microsoft.
Chaves e gerenciamento de chaves
Você pode usar uma chave própria com os Serviços de Mídia ao usar a API 2020-05-01 ou posterior dos Serviços de Mídia. Uma chave de conta padrão é criada para todas as contas que são criptografadas por uma chave do sistema de propriedade dos Serviços de Mídia. Quando você usa sua própria chave, a chave de conta é criptografada com sua chave. As chaves de conteúdo são criptografadas pela chave de conta. As URLs de JobInputHttp e as chaves de validação de token simétrico também são criptografadas.
Os Serviços de Mídia usam a identidade gerenciada da conta dos Serviços de Mídia para ler a sua chave de um Key Vault pertencente a você. Os Serviços de Mídia exigem que a Key Vault esteja na mesma região que a conta e que ela tenha a proteção de exclusão e limpeza reversível habilitada.
A sua chave pode ser uma chave RSA 2048, 3072 ou 4096, e ambas as chaves de software e HSM são suportadas.
Observação
As chaves do EC não são suportadas.
Você pode especificar um nome de chave e uma versão de chave, ou apenas um nome de chave. Se você usar apenas um nome de chave, os Serviços de Mídia usarão a versão de chave mais recente. Novas versões de chaves do cliente são detectadas automaticamente e a chave da conta é criptografada novamente.
Aviso
Os Serviços de Mídia monitoram o acesso à chave do cliente. Se a chave do cliente se tornar inacessível (por exemplo, a chave tiver sido excluída ou o Key Vault tiver sido excluído ou a concessão de acesso tiver sido removida), os Serviços de Mídia passarão a conta para o estado inacessível da chave do cliente (desabilitando efetivamente a conta). No entanto, a conta pode ser excluída nesse estado. As únicas operações com suporte são conta GET, LIST e DELETE; todas as outras solicitações (codificação, streaming e assim por diante) falharão até que o acesso à chave de conta seja restaurado.
Criptografia dupla
Os Serviços de Mídia dão suporte automaticamente à criptografia dupla. Para dados inativos, a primeira camada de criptografia usa uma chave gerenciada pelo cliente ou uma chave gerenciada da Microsoft, dependendo da configuração AccountEncryption da conta. A segunda camada de criptografia para dados inativos é fornecida automaticamente usando uma chave gerenciada da Microsoft separada. Para saber mais sobre a criptografia dupla, confira criptografia dupla do Azure.
Observação
A criptografia dupla é habilitada automaticamente na conta dos Serviços de Mídia. No entanto, você precisa configurar a chave gerenciada pelo cliente e a criptografia dupla em sua conta de armazenamento separadamente. Para saber mais, consulte Criptografia de armazenamento.
Tutoriais
Obter ajuda e suporte
Você pode entrar em contato com os Serviços de Mídia com perguntas ou seguir nossas atualizações por um dos seguintes métodos:
- P & R
-
Stack Overflow. Marque perguntas com
azure-media-services. - @MSFTAzureMedia ou use @AzureSupport para solicitar suporte.
- Abra um tíquete de suporte por meio do portal do Azure.