教程:使用 Azure 门户将客户管理的密钥或 BYOK 与媒体服务配合使用
警告
Azure 媒体服务将于 2024 年 6 月 30 日停用。 有关详细信息,请参阅 AMS 停用指南。
借助 2020-05-01 或更高版本的 API,可将客户管理的 RSA 密钥与具有系统托管标识的 Azure 媒体服务帐户配合使用。本教程包含 Azure 门户中的步骤。
使用的服务是:
- Azure 存储
- Azure Key Vault
- Azure 媒体服务
本教程介绍如何使用 Azure 门户来完成以下操作:
- 创建资源组。
- 创建包含系统托管标识的存储帐户。
- 创建包含系统托管标识的媒体服务帐户。
- 创建用于存储客户管理的 RSA 密钥的密钥保管库。
先决条件
Azure 订阅。
如果没有 Azure 订阅,请创建一个免费的试用帐户。
系统管理的密钥
使用门户创建资源组
- 在 Azure 门户的主屏幕上,选择“创建资源”。 将显示“市场”屏幕。
- 选择“资源组”。 将显示资源组列表。
- 选择 添加 。 将显示“创建资源组”屏幕。
- 选择要用于此资源组的订阅。
- 在“资源组”字段中输入资源组名称。
- 选择资源组所在的“区域”。
- 选择“查看 + 创建”。
重要
对于以下存储帐户创建步骤,需要在“高级设置”中选择“系统管理的密钥”选项。
使用门户创建媒体服务帐户
登录到 Azure 门户。
选择“+创建资源”。
在搜索字段中输入“媒体服务”,然后选择 Enter。 随后将显示搜索结果,其中包括媒体服务的卡片。
选择“媒体服务”卡片。 随后将显示媒体服务详细信息屏幕。
选择“创建”。 随后将显示“创建媒体服务帐户”屏幕。
在“创建媒体服务帐户”部分中输入所需的值。
名称 说明 帐户名 输入新的媒体服务帐户的名称。 媒体服务帐户名称由小写字母或数字构成(不含空格),长度为 3 到 24 个字符。 订阅 如果有多个订阅,请从有权访问的 Azure 订阅的列表中选择一个订阅。 资源组 选择新的或现有的资源。 资源组是共享生命周期、权限和策略的资源的集合。 在此处了解更多信息。 位置 选择用于存储媒体服务帐户的媒体和元数据记录的地理区域。 此区域用于处理和流式传输媒体。 下拉列表中仅显示可用的媒体服务区域。 存储帐户 选择一个存储帐户,以便为媒体服务帐户中的媒体内容提供 Blob 存储。 可以选择位于媒体服务帐户所在的地理区域内的现有存储帐户,也可以创建一个新的存储帐户。 在同一区域内会创建一个新的存储帐户。 适用于存储帐户名的规则对媒体服务帐户同样适用。
必须具有一个主存储帐户,并且可以拥有任意数量的与媒体服务帐户关联的辅助存储帐户 。 可以使用 Azure 门户来添加辅助存储帐户。 有关详细信息,请参阅 Azure 存储帐户与 Azure 媒体服务帐户。
媒体服务帐户和所有关联的存储帐户必须位于同一 Azure 订阅中。 强烈建议在媒体服务帐户所在的位置使用存储帐户,避免额外的延迟和数据出口成本。高级设置 从下拉列表中选择以前创建的用户托管标识,或者通过选择链接创建新的用户托管标识。 重要
所有新媒体服务帐户都需要使用用户托管标识。 以前创建的具有系统托管标识的帐户未更改。
选中“我拥有使用内容/文件所需的全部权限,并同意按照在线服务条款和 Microsoft 隐私声明处理它们。”旁边的复选框以确认并继续。
单击“查看 + 创建”,或使用“下一步: 标记”按钮来添加标记。
在以下屏幕上单击“创建”。 将开始部署。
使用门户创建密钥保管库
- 在主要搜索字段中输入“密钥保管库”,在“密钥保管库”出现在搜索结果中后选择它。
- 选择“创建密钥保管库”。 此时将显示“创建密钥保管库”屏幕。
- 选择要使用的资源组,或创建新的资源组。
- 在“密钥保管库名称”字段中输入名称。
- 从“区域”下拉列表中选择区域。
- 从“定价层”下拉列表中选择一个定价层。
- 在“已删除的保管库的保留天数”字段中输入天数。
- 使用“清除保护”单选按钮启用或禁用清除保护。
- 选择“下一页”。 将显示“访问策略”屏幕。
- 选择“保管库访问策略”或“Azure 基于角色的访问控制”,为用户提供相应的权限。
- 可选:选中一个或多个“资源访问权限”复选框。
- 可选:如果你想要更精细地控制访问权限,请在“用户”列表中选择用户。
- 选择“下一页”。 将显示“网络”屏幕。
- 选中或取消选中“启用公共访问”复选框。 如果选择禁用公共访问:
- 选中“所有网络”单选按钮以允许所有公共访问,或选中“选定网络”单选按钮以将网络流量限制为选定的 IP。
- 选择“+ 添加虚拟网络”向下箭头,然后选择“添加现有的虚拟网络”或“添加新的虚拟网络”。 对于第一种情况,请选择已创建的虚拟网络。 对于第二种情况,将显示“创建虚拟网络”屏幕,你将在其中创建虚拟网络。
- 如果你要向其他服务授予访问权限,请选中“允许受信任的 Microsoft 服务绕过此防火墙”复选框。
- 可选:如果你要为密钥保管库创建专用终结点,请选择“创建专用终结点”。 此时将显示“创建专用终结点”屏幕。
- 如果你尚未连同资源组一起选择要使用的订阅,请从“订阅”下拉菜单中选择所需的订阅。
- 从“位置”下拉列表中选择一个位置(区域)。
- 在“名称”字段中输入专用终结点的名称。
- 从“虚拟网络”下拉列表中选择已创建的虚拟网络。
- 从“子网”下拉列表中选择子网。
- 选择“与专用 DNS 区域集成”切换开关,在“是”与“否”之间切换。
- 从“专用 DNS 区域”下拉列表中选择区域。
- 选择“查看 + 创建”。 门户将检查任何设置问题。
- 选择“创建”以部署密钥保管库。
在 Azure 门户中对媒体服务帐户启用客户管理的密钥
- 创建媒体服务帐户后,在 Azure 门户中导航到该帐户。
- 选择“加密”。
- 在“加密类型”下选择“客户管理的密钥”。
- 从“托管标识”下拉列表中选择标识。
- 选中带链接的“从密钥保管库中选择”单选按钮。
- 选择“选择密钥保管库”按钮。 此时将显示“选择密钥”屏幕。
- 从“密钥保管库”下拉列表中选择密钥保管库。
- 从“密钥”列表中选择密钥,或创建新的密钥。
- 选择“保存”。
重要
对于以下存储加密步骤,需要选择“客户管理的密钥”选项。
在存储帐户上设置加密
- 在 Azure 门户中,导航到要使用的订阅。
- 选择“资源”。 此时将显示“资源”屏幕,其中列出了该订阅的所有资源。
- 在屏幕顶部的“搜索”字段中,输入要加密的存储帐户的名称(或部分名称)。 匹配项将显示在搜索字段下方。
- 选择所需的存储帐户。 将显示存储帐户屏幕。
- 选择“加密”。
- 选中“Microsoft 管理的密钥”或“客户管理的密钥”单选按钮。
使用 Microsoft 托管密钥
默认情况下,使用 Microsoft 托管密钥加密存储帐户中的数据。
使用客户管理的密钥
- 选择“客户管理的密钥”。
- 选择“输入密钥 URI”或“从密钥保管库中选择” 。
- 如果选择“输入密钥 URI”,请在“密钥 URI”字段中输入密钥 URI,然后选择订阅。 (该选项可能已选中。)
- 如果选择了“从密钥保管库中选择”,请选择“选择密钥保管库和密钥”。 “从 Azure Key Vault 选择密钥”屏幕将会显示。
- 选择要使用的“密钥保管库”,然后选择密钥保管库中已有的密钥或者创建新密钥 。
- 如果选择创建新密钥,请从“选项”下拉列表中选择“生成”或“导入” 。 只能导入 RSA 密钥。
- 若要生成新密钥,请在“名称”字段中为密钥命名,然后选择密钥类型:
- RSA - 密钥大小:2048、3072 或 4096。 这是大多数客户的选择。
- EC - 椭圆曲线名称:P-256、P-384、P-521 或 P-256K
- (可选)可以设置密钥的激活日期和到期日期。
- 选择“是”,启用自动轮换密钥。
- 选择“创建” 。
- 若要导入密钥,请单击“选择文件”字段中的任意位置,选择要上传的文件。
- 在“名称”字段中为密钥命名。
- (可选)可以设置密钥的激活日期和到期日期。
- 选择“是”,启用自动轮换密钥。
- 选择“创建” 。
- 选择“选择”,选择此密钥以加密存储帐户。 将返回到“加密”屏幕。
- 重要说明! 选择“保存”,以保存加密设置,否则刚刚执行的所有操作均无效。
更改密钥
媒体服务自动检测密钥何时发生了更改。 可选:若要对此进程进行测试,请为同一密钥创建另一个密钥版本。 媒体服务应该会检测到此密钥已发生更改。
清理资源
如果不打算继续使用所创建的资源,并且不想继续付费,请删除这些资源。
获得帮助和支持
如果有任何疑问,可以联系媒体服务,或者使用以下方法之一关注我们的更新:
- 问答
-
Stack Overflow。 使用
azure-media-services
标记问题。 - @MSFTAzureMedia 或使用 @AzureSupport 请求支持。
- 通过 Azure 门户提交支持票证。