媒體服務的 Azure 原則
警告
Azure 媒體服務將於 2024 年 6 月 30 日淘汰。 如需詳細資訊,請參閱 AMS淘汰指南。
Azure 媒體服務提供內建 Azure 原則 定義,以協助大規模強制執行組織標準和合規性。 Azure 原則的常見使用案例包括針對資源一致性、法規合規性、安全性、成本和管理來進行治理。
媒體服務提供數個常見內建 Azure 原則的使用案例定義來幫助您快速入門。
媒體服務的內建 Azure 原則定義
有數個內建原則定義可與媒體服務搭配使用,可協助您開始使用,並可讓您定義自己的自定義原則。
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 媒體服務帳戶應停用公用網路存取 | 停用公用網路存取可確保媒體服務資源不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制媒體服務資源的曝光程度。 深入了解:https://aka.ms/mediaservicesprivatelinkdocs。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 媒體服務帳戶應該使用支援私人連結的 API | 媒體服務帳戶應該使用支援私人連結的 API 來建立。 | Audit, Deny, Disabled | 1.0.0 |
| 應封鎖允許存取舊版 v2 API 的 Azure 媒體服務帳戶 | 媒體服務舊版 v2 API 允許無法使用 Azure 原則管理的要求。 使用 2020-05-01 API 或更新版本建立的媒體服務資源會封鎖對舊版 v2 API 的存取。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 媒體服務內容金鑰原則應該使用權杖驗證 | 內容金鑰原則會定義必須符合才能存取內容金鑰的條件。 權杖限制可確保只有使用者具有來自驗證服務的有效權杖才能存取內容金鑰,例如 Azure Active Directory。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 媒體服務使用 HTTPS 輸入的作業應將輸入 URI 限制為允許的 URI 模式 | 將媒體服務作業所使用的 HTTPS 輸入限制為已知的端點。 您可以設定所允許作業輸入模式的空白清單,來完全停用來自 HTTPS 端點的輸入。 當作業輸入指定 'baseUri' 時,模式將會與此值進行比對;未設定 'baseUri' 時,模式會與 'files' 屬性進行比對。 | 稽核, 拒絕, 停用 | 1.0.1 |
| Azure 媒體服務應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理媒體服務帳戶的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/mediaservicescmkdocs。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 媒體服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至 Azure 媒體服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/mediaservicesprivatelinkdocs。 | AuditIfNotExists, Disabled | 1.0.0 |
| 設定 Azure 媒體服務,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure 媒體服務帳戶進行解析。 深入了解:https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| 使用私人端點設定 Azure 媒體服務 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 透過將私人端點對應至 Azure 媒體服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/mediaservicesprivatelinkdocs。 | DeployIfNotExists, Disabled | 1.0.0 |
媒體服務的內建原則定義清單提供最新的定義和程式碼定義的連結,以及在入口網站中存取它們的方法。
需要 Azure 原則的常見案例
- 如果您企業的安全性措施要求您確保所有媒體服務帳戶都是透過 Private Link 所建立的,您可以使用原則定義來確保這些帳戶都是利用 2020-05-01 API (或更新版本) 所建立的,藉此停用舊版 REST v2 API 的存取權並存取Private Link 功能。
- 如果您想要對內容金鑰原則所使用的權杖執行特定選項,您可以建立一個 Azure 原則定義來支援具體需求。
- 如果您的安全性目標要求您限制作業的輸入來源,使其只能來自受信任的儲存體帳戶,並利用 JobInputHttp 來限制對外部 HTTP(S) 輸入的存取權,您可以建立一個 Azure 原則來限制輸入 URI 模式。
原則定義範例
Azure 媒體服務會在 Github 維護並發佈一組 Azure 原則定義範例。 請參閱 Azure 原則 Github 存放庫中的媒體服務內建原則定義範例。
Azure 原則、私人端點和媒體服務
媒體服務會定義一組內建 Azure 原則 定義,以協助強制執行組織標準及大規模評估合規性。
入口網站中私人端點的 Azure 原則
使用 私人端點設定 Azure 媒體服務 原則可用來自動建立媒體服務資源的私人端點。 原則的參數會設定應建立私人連結的子網,以及建立私人端點時要使用的群組標識符。 若要自動建立密鑰傳遞、即時事件和串流端點的私人端點,您必須針對每個群組標識符個別指派原則 (,也就是原則指派會使用設定為 keydelivery 的群組標識符來建立,第二個原則指派會使用設定為 liveevent 的群組標識符來建立,而第三個指派會將群組標識符設定為 streamingendpoint) 。 當此原則部署資源時,必須使用受控識別來建立原則。
將 Azure 媒體服務設定為使用私人 DNS 區域 原則可用來建立媒體服務私人端點的私人 DNS 區域。 此原則也會針對每個群組標識碼個別套用。
Azure 媒體服務應該使用私人鏈接原則,為未啟用私人鏈接的媒體服務資源產生稽核事件。
Azure 原則 網路安全性
使用私人連結來存取媒體服務資源時,常見的需求是限制從因特網存取這些資源。 Azure 媒體服務帳戶應停用公用網路存取原則,可用來稽核允許公用網路存取的媒體服務帳戶。
輸出網路安全性
Azure 原則 可用來限制媒體服務存取外部服務的方式。 具有 HTTPS 輸入的 Azure 媒體服務作業應該將輸入 URI 限制為允許的 URI 模式原則,以完全封鎖從 HTTP 和 HTTPS URLS 讀取的媒體服務作業,或限制媒體服務作業從符合特定模式的 URL 讀取。
取得說明及支援
您可以連絡媒體服務並提出問題,或遵循下列其中一種方法來追蹤我們的更新:
- 問與答
-
Stack Overflow。 使用
azure-media-services標記問題。 - @MSFTAzureMedia 或使用 @AzureSupport 來要求支援。
- 透過 Azure 入口網站 開啟支援票證。