Saját kulcs (ügyfél által felügyelt kulcsok) használata a Media Services szolgáltatással
Figyelmeztetés
Az Azure Media Services 2024. június 30-án megszűnik. További információkért lásd az AMS kivezetési útmutatót.
A Bring Your Own Key (BYOK) egy azure-beli kezdeményezés, amely segít az ügyfeleknek a számítási feladatok felhőbe való áthelyezésében. Az ügyfél által felügyelt kulcsok lehetővé teszik, hogy az ügyfelek betartsák az iparági megfelelőségi előírásokat, és javítsák a szolgáltatások bérlői elkülönítését. A titkosítási kulcsok felügyeletének biztosítása az ügyfelek számára a szükségtelen hozzáférés és vezérlés minimalizálására és a Microsoft-szolgáltatásokba vetett bizalom kiépítésére.
Kulcsok és kulcskezelés
A Media Services 2020-05-01 vagy újabb API használatakor használhatja saját kulcsát a Media Services szolgáltatással. A rendszer létrehoz egy alapértelmezett fiókkulcsot az összes olyan fiókhoz, amelyet a Media Services tulajdonában lévő rendszerkulcs titkosít. Ha saját kulcsot használ, a rendszer titkosítja a fiókkulcsot a kulccsal. A tartalomkulcsokat a fiókkulcs titkosítja. A JobInputHttp URL-címek és szimmetrikus jogkivonat-érvényesítési kulcsok is titkosítva vannak.
A Media Services a Media Services-fiók felügyelt identitásával olvassa be a kulcsot az Ön tulajdonában lévő Key Vault. A Media Services megköveteli, hogy a Key Vault ugyanabban a régióban legyen, mint a fiók, és hogy engedélyezve legyen a helyreállítható törlés és törlés elleni védelem.
A kulcs lehet 2048, 3072 vagy 4096 RSA-kulcs, és a HSM és a szoftverkulcsok is támogatottak.
Megjegyzés
Az EC-kulcsok nem támogatottak.
Megadhat egy kulcsnevet és egy kulcsverziót, vagy csak egy kulcsnevet. Ha csak egy kulcsnevet használ, a Media Services a legújabb kulcsverziót fogja használni. A rendszer automatikusan észleli az ügyfélkulcsok új verzióit, és a fiókkulcs újra lesz titkosítva.
Figyelmeztetés
A Media Services figyeli az ügyfélkulcshoz való hozzáférést. Ha az ügyfélkulcs elérhetetlenné válik (például a kulcsot törölték, vagy a Key Vault törölték, vagy a hozzáférési engedélyt eltávolították), a Media Services átváltja a fiókot az Ügyfélkulcs elérhetetlen állapotára (a fiók tényleges letiltása). A fiók azonban ebben az állapotban törölhető. Az egyetlen támogatott művelet a fiók GET, LIST és DELETE; az összes többi kérés (kódolás, streamelés stb.) meghiúsul, amíg a fiókkulcshoz való hozzáférés vissza nem állítható.
Dupla titkosítás
A Media Services automatikusan támogatja a dupla titkosítást. Inaktív adatok esetén az első titkosítási réteg ügyfél által felügyelt kulcsot vagy Microsoft által felügyelt kulcsot használ a AccountEncryption fiók beállításától függően. Az inaktív adatok második titkosítási rétege automatikusan, külön Microsoft által felügyelt kulccsal érhető el. A dupla titkosítással kapcsolatos további információkért lásd: Azure double encryption.
Megjegyzés
A dupla titkosítás automatikusan engedélyezve van a Media Services-fiókban. Az ügyfél által felügyelt kulcsot és a dupla titkosítást azonban külön kell konfigurálnia a tárfiókon. További információ: Tártitkosítás.
Oktatóanyagok
Súgó és támogatás
Kérdéseket tehet fel a Media Serviceshez, vagy kövesse a frissítéseket az alábbi módszerek egyikével:
- Q & A
- Stack Overflow. Kérdések címkézése a következővel:
azure-media-services. - @MSFTAzureMediavagy @AzureSupport használatával kérjen támogatást.
- Nyisson meg egy támogatási jegyet a Azure Portal keresztül.