Používání vlastního klíče (klíče spravované zákazníkem) pomocí Media Services
Upozornění
Služba Azure Media Services bude vyřazena 30. června 2024. Další informace najdete v průvodci vyřazením AMS.
Přineste si vlastní klíč (BYOK) je celo azureová iniciativa, která zákazníkům pomáhá s přesunem jejich úloh do cloudu. Klíče spravované zákazníkem umožňují zákazníkům dodržovat oborové předpisy a zlepšují izolaci tenantů služby. Poskytnutí kontroly nad šifrovacími klíči zákazníkům je způsob, jak minimalizovat nepotřebný přístup a kontrolu a vybudovat důvěru ve služby Microsoftu.
Správa klíčů a klíčů
Vlastní klíč můžete se službou Media Services použít při použití rozhraní API Media Services 2020-05-01 nebo novějšího. Pro všechny účty se vytvoří výchozí klíč účtu, který je šifrovaný systémovým klíčem vlastněným službou Media Services. Když použijete vlastní klíč, klíč účtu se zašifruje pomocí vašeho klíče. Klíče obsahu se šifrují pomocí klíče účtu. Šifrují se také adresy URL JobInputHttp a klíče pro ověření symetrického tokenu.
Služba Media Services používá spravovanou identitu účtu Media Services ke čtení vašeho klíče z Key Vault, který vlastníte. Služba Media Services vyžaduje, aby Key Vault byla ve stejné oblasti jako účet a aby byla povolena ochrana proti obnovitelnému odstranění a vymazání.
Váš klíč může být klíč 2048, 3072 nebo 4096 RSA a podporují se hsm i softwarové klíče.
Poznámka
Klíče EC nejsou podporovány.
Můžete zadat název a verzi klíče nebo jenom název klíče. Pokud použijete jenom název klíče, služba Media Services použije nejnovější verzi klíče. Automaticky se zjistí nové verze klíčů zákazníka a klíč účtu se znovu zašifruje.
Upozornění
Služba Media Services monitoruje přístup ke klíči zákazníka. Pokud klíč zákazníka přestane být přístupný (například klíč byl odstraněn, Key Vault byl odstraněn nebo bylo odebráno udělení přístupu), služba Media Services převede účet do nepřístupného stavu klíče zákazníka (ve skutečnosti účet zakáže). Účet se ale dá v tomto stavu odstranit. Jedinými podporovanými operacemi jsou get, LIST a DELETE; všechny ostatní požadavky (kódování, streamování atd.) selžou, dokud se neobnoví přístup ke klíči účtu.
Dvojité šifrování
Služba Media Services automaticky podporuje dvojité šifrování. U neaktivních uložených dat používá první vrstva šifrování klíč spravovaný zákazníkem nebo klíč spravovaný Microsoftem v závislosti na AccountEncryption nastavení účtu. Druhá vrstva šifrování neaktivních uložených dat se poskytuje automaticky pomocí samostatného klíče spravovaného Microsoftem. Další informace o dvojitém šifrování najdete v tématu Dvojité šifrování Azure.
Poznámka
U účtu Media Services je automaticky povoleno dvojité šifrování. Musíte ale nakonfigurovat klíč spravovaný zákazníkem a dvojité šifrování účtu úložiště samostatně. Další informace najdete v tématu Šifrování úložiště.
Kurzy
Získání nápovědy a podpory
Službu Media Services můžete kontaktovat s dotazy nebo můžete sledovat naše aktualizace jedním z následujících způsobů:
- Q & A
- Stack Overflow Označit otázky pomocí
azure-media-services. - @MSFTAzureMedia nebo použijte @AzureSupport a požádejte o podporu.
- Otevřete lístek podpory prostřednictvím Azure Portal.