搭配媒體服務的自備金鑰 (客戶自控金鑰)

---

警告

Azure 媒體服務將於 2024 年 6 月 30 日淘汰。 如需詳細資訊，請參閱 AMS淘汰指南。

自備金鑰 (BYOK) 是 Azure 範圍計畫，可協助客戶將其工作負載移至雲端。 客戶自控金鑰可讓客戶遵守產業合規性法規，並改善服務的租用戶隔離。 讓客戶控制加密金鑰是將不必要的存取和控制降到最低及建立 Microsoft 服務信賴度的方法。

金鑰和金鑰管理

當您使用媒體服務 2020-05-01 或更新版本的 API 時，可以搭配媒體服務使用您自己的金鑰。 針對媒體服務所擁有的系統金鑰加密所有帳戶建立預設帳戶金鑰。 當您使用自己的金鑰時，帳戶金鑰會使用您的金鑰加密。 內容金鑰由帳戶金鑰加密。 也會加密 JobInputHttp URL 和對稱權杖驗證金鑰。

媒體服務會使用媒體服務帳戶的受控識別，從您擁有的 Key Vault 讀取您的金鑰。 媒體服務要求 Key Vault 位在與帳戶相同的區域中，且已啟用虛刪除和清除保護。

您的金鑰可以是 2048、3072 或 4096 RSA 金鑰，而且支援 HSM 和軟體金鑰。

注意

不支援 EC 金鑰。

您可以指定金鑰名稱和金鑰版本，或只指定金鑰名稱。 當您僅使用金鑰名稱時，媒體服務會使用最新的金鑰版本。 自動偵測新版本的客戶金鑰，並重新加密帳戶金鑰。

警告

媒體服務會監視客戶金鑰的存取權。 如果客戶金鑰變成無法存取 (例如：已刪除金鑰，或已刪除 Key Vault，或已移除存取授與)，媒體服務會將帳戶轉換為客戶金鑰無法存取的狀態 (有效地停用帳戶)。 然而，帳戶可以在此狀態中刪除。 僅支援的作業為帳戶 GET、LIST 和 DELETE；在還原帳戶金鑰的存取權為止之前，所有其他要求 (編碼、串流等) 都將失敗。

雙重加密

媒體服務會自動支援雙重加密。 針對待用數據，第一層加密會根據 AccountEncryption 帳戶上的設定，使用客戶管理的密鑰或 Microsoft 管理的密鑰。 待用資料的第二層加密會自動使用個別的 Microsoft 受控金鑰來提供。 若要深入了解雙重加密，請參閱 Azure 雙重加密。

注意

會在媒體服務帳戶上自動啟用雙重加密。 不過，您必須個別在記憶體帳戶上設定客戶管理的金鑰和雙重加密。 若要深入了解，請參閱儲存體加密。

教學課程

• 使用 Azure 入口網站來搭配媒體服務使用客戶自控金鑰或 BYOK

取得說明及支援

您可以連絡媒體服務並提出問題，或遵循下列其中一種方法來追蹤我們的更新：

• 問與答
• Stack Overflow。 使用 azure-media-services標記問題。
• @MSFTAzureMedia 或使用 @AzureSupport 來要求支援。
• 透過 Azure 入口網站 開啟支援票證。