Traga a sua própria chave (chaves geridas pelo cliente) com os Serviços de Multimédia
Aviso
Os Serviços de Multimédia do Azure serão descontinuados a 30 de junho de 2024. Para obter mais informações, veja o Guia de Extinção do AMS.
Bring Your Own Key (BYOK) é uma iniciativa do Azure para ajudar os clientes a moverem as suas cargas de trabalho para a cloud. As chaves geridas pelo cliente permitem que os clientes cumpram os regulamentos de conformidade do setor e melhoram o isolamento de inquilinos de um serviço. Dar aos clientes o controlo das chaves de encriptação é uma forma de minimizar o acesso e o controlo desnecessários e aumentar a confiança nos serviços Microsoft.
Gestão de chaves e chaves
Pode utilizar a sua própria chave com os Serviços de Multimédia quando utiliza a API dos Serviços de Multimédia 2020-05-01 ou posterior. É criada uma chave de conta predefinida para todas as contas encriptadas por uma chave de sistema pertencente aos Serviços de Multimédia. Quando utiliza a sua própria chave, a chave da conta é encriptada com a sua chave. As chaves de conteúdo são encriptadas pela chave de conta. Os URLs jobInputHttp e as chaves de validação de tokens simétricos também são encriptados.
Os Serviços de Multimédia utilizam a Identidade Gerida da conta dos Serviços de Multimédia para ler a sua chave a partir de um Key Vault propriedade do utilizador. Os Serviços de Multimédia requerem que o Key Vault esteja na mesma região que a conta e que tenha a proteção contra eliminação recuperável e remoção ativada.
A sua chave pode ser uma chave RSA 2048, 3072 ou 4096 e as chaves de HSM e software são suportadas.
Nota
As chaves EC não são suportadas.
Pode especificar um nome de chave e uma versão da chave ou apenas um nome de chave. Quando utiliza apenas um nome de chave, os Serviços de Multimédia utilizarão a versão mais recente da chave. São detetadas automaticamente novas versões de chaves de cliente e a chave de conta é encriptada novamente.
Aviso
Os Serviços de Multimédia monitorizam o acesso à chave de cliente. Se a chave de cliente ficar inacessível (por exemplo, a chave tiver sido eliminada ou a Key Vault tiver sido eliminada ou a concessão de acesso tiver sido removida), os Serviços de Multimédia transitarão a conta para o Estado Inacessível da Chave de Cliente (desativando efetivamente a conta). No entanto, a conta pode ser eliminada neste estado. As únicas operações suportadas são a conta GET, LIST e DELETE; todos os outros pedidos (codificação, transmissão em fluxo, etc.) falharão até que o acesso à chave da conta seja restaurado.
Encriptação dupla
Os Serviços de Multimédia suportam automaticamente encriptação dupla. Para dados inativos, a primeira camada de encriptação utiliza uma chave gerida pelo cliente ou uma chave gerida pela Microsoft, consoante a AccountEncryption
definição na conta. A segunda camada de encriptação para dados inativos é fornecida automaticamente através de uma chave gerida pela Microsoft separada. Para saber mais sobre a encriptação dupla, veja Encriptação dupla do Azure.
Nota
A encriptação dupla é ativada automaticamente na conta dos Serviços de Multimédia. No entanto, tem de configurar a chave gerida pelo cliente e a encriptação dupla na sua conta de armazenamento separadamente. Para saber mais, veja Encriptação de armazenamento.
Tutoriais
Obter ajuda e suporte
Pode contactar os Serviços de Multimédia com perguntas ou seguir as nossas atualizações através de um dos seguintes métodos:
- Q & A
-
Stack Overflow. Perguntas sobre etiquetas com
azure-media-services
. - @MSFTAzureMedia ou utilize @AzureSupport para pedir suporte.
- Abra um pedido de suporte através do portal do Azure.