Oktatóanyag: Tároló elérése Media Services által felügyelt identitással
Figyelmeztetés
Az Azure Media Services 2024. június 30-án megszűnik. További információkért lásd az AMS kivezetési útmutatót.
Megjegyzés
A felügyelt identitások csak a v3 API használatával létrehozott Media Services-fiókokhoz érhetők el. Ha a v2 API-t használja, és felügyelt identitásokat szeretne használni, migráljon a v2-ről a v3-ra Migrálás Media Services v2-ről v3-ra.
Ha egy tárfiókhoz szeretne hozzáférni, ha a tárfiók úgy van konfigurálva, hogy blokkolja az ismeretlen IP-címekről érkező kéréseket, a Media Services-fióknak hozzáférést kell biztosítani a Storage-fiókhoz. Az alábbi lépéseket követve hozzon létre egy felügyelt identitást a Media Services-fiókhoz, és adjon hozzáférést az identitásnak a tárolóhoz a Media Services parancssori felületével.
Ez az oktatóanyag a 2020-05-01 Media Services API-t használja.
Áttekintés
Figyelmeztetés
A JobInputHTTP- vagy SAS-URL-címeket nem használhatja olyan tárfiókhoz, amely nincs Media Services-fiókhoz társítva. Ezek kényelmes megoldást jelentenek azoknak az ügyfeleknek, akik már rendelkeznek HTTP(S) használatával elérhető tartalommal , például ha egy nyilvános kiszolgálón médiafájlokat tárolnak, vagy egy másik felhőszolgáltatónál vannak tárolva. Ha új megoldásokat hoz létre, használja az Eszközök elemet a feladatok bemeneteihez.
A Media Services által használt tárfiókhoz való hozzáférés biztonságossá tételéhez:
- Konfigurálja a tárfiókot úgy, hogy az összes IP-címet megtagadja (vagy csak az ügyfél hálózatában engedélyezze az IP-címeket)
- A tárfiók konfigurálása az "AzureServices" hozzáférésének engedélyezéséhez
- A Media Services konfigurálása a tárfiókhoz való hozzáféréshez felügyelt identitás használatával
- Médiatartalom feltöltése a Media Services-eszközökbe
- Olyan kódolási feladatokat hozhat létre, amelyek a Media Services Assetst használják a feladat bemeneteként. NE használjon SAS URL-címeket vagy JobInputHTTP-t.
Bejelentkezés az Azure-ba
A cikkben szereplő parancsok használatához először be kell jelentkeznie a használni kívánt előfizetésbe.
Jelentkezzen be az Azure-ba. Ha ezt a parancsot használja, a rendszer kérni fogja a használni kívánt előfizetést.
az login
Előfizetés beállítása
Ezzel a paranccsal beállíthatja a használni kívánt előfizetést.
Az Azure-előfizetés beállítása a parancssori felülettel
Az alábbi parancsban adja meg a Media Services-fiókhoz használni kívánt Azure-előfizetés azonosítóját.
az account set --subscription <subscriptionName>
Erőforrások neve
Az első lépések előtt döntse el a létrehozni kívánt erőforrások nevét. Ezeknek könnyen azonosíthatóknak kell lenniük készletként, különösen akkor, ha nem tervezi használni őket a tesztelés befejezése után. Az elnevezési szabályok számos erőforrástípus esetében eltérőek, ezért érdemes az összes kisbetűs szabályt betartani. Például a "mediatest1rg" az erőforráscsoport nevére, a "mediatest1stor" pedig a tárfiók nevére. A cikk minden lépéséhez ugyanazokat a neveket használja.
Ezekre a nevekre az alábbi parancsok hivatkoznak. A szükséges erőforrások nevei a következők:
- myRG
- myStorageAccount
- myAmsAccount
- location
Megjegyzés
A fenti kötőjelek csak az útmutató szavak elválasztására szolgálnak. Az Azure-szolgáltatásokban az erőforrások elnevezésének inkonzisztenciája miatt ne használjon kötőjeleket az erőforrások elnevezésekor. Emellett nem hozza létre a régió nevét. A régió nevét az Azure határozza meg.
Azure-régiók listázása
Ha nem biztos abban, hogy a tényleges régiónevet használja, a következő paranccsal szerezhet be egy listát:
Ezzel a paranccsal listázhatja a fiókjához elérhető régiókat.
az account list-locations --query "[].{DisplayName:displayName, Name:name}" -o table
Sequence
Az alábbi lépések mindegyike egy adott sorrendben történik, mert a JSON-válaszokból származó egy vagy több érték a sorozat következő lépésében lesz felhasználva.
Storage-fiók létrehozása
A létrehozott Media Services-fiókhoz hozzá kell társítania egy tárfiókot. Először hozza létre a Media Services-fiókhoz tartozó tárfiókot. A következő lépésekhez a tárfiók nevét myStorageAccount fogja használni.
Azure Storage-fiók létrehozása a parancssori felülettel
Azure Storage-fiók létrehozásához használja az alábbi parancsokat.
Tárfiók létrehozásához először létre kell hoznia egy erőforráscsoportot egy helyen belül.
Az elérhető helyek listájához használja a következő parancsot:
Elérhető helyek listázása a parancssori felülettel
Az elérhető helyek listájához használja a következő parancsot:
az account list-locations
Erőforráscsoport létrehozása a parancssori felülettel
Egy erőforráscsoport létrehozásához használja a következő parancsot:
az group create -n <resourceGroupName> --location chooseLocation
SKU kiválasztása
Emellett ki kell választania egy termékváltozatot a tárfiókhoz. A tárfiókokat listázhatja.
Válasszon termékváltozatot a következő listából: Standard_LRS, Standard_GRS, Standard_RAGRS, Standard_ZRS, Premium_LRS, Premium_ZRS, Standard_GZRS, Standard_RAGZRS.
- Váltson
myStorageAccount24 karakternél rövidebb hosszúságú egyedi névre. - Váltson
chooseLocationarra a régióra, amelyben dolgozni szeretne. - Váltson
chooseSKUaz előnyben részesített termékváltozatra.
az storage account create -n <myStorageAccount> -g <resourceGroup> --location <chooseLocation> --sku <chooseSKU>
Media Services-fiók létrehozása szolgáltatásnévvel (felügyelt identitással)
Most hozza létre a Media Services-fiókot egy szolgáltatásnévvel, más néven felügyelt identitással.
Fontos
Fontos, hogy ne felejtse el használni a --mi jelzőt a parancsban. Ellenkező esetben nem fogja tudni megtalálni a principalId következőt egy későbbi lépéshez.
Az alábbi Azure CLI-parancs egy új Media Services-fiókot hoz létre. Cserélje le a következő értékeket: your-media-services-account-nameyour-storage-account-name, és your-resource-group-name a használni kívánt nevekre. A parancs feltételezi, hogy már létrehozott egy erőforráscsoportot és egy Tárfiókot.
A Media Services-fióknak egy rendszer által hozzárendelt felügyelt identitást ad a --mi-system-assigned jelzővel.
az ams account create --name <your-media-services-account-name> --resource-group <your-resource-group-name> --mi-system-assigned --storage-account <your-storage-account-name>
Példa JSON-válaszra:
{
"encryption": {
"keyVaultProperties": null,
"type": "SystemKey"
},
"id": "/subscriptions/00000000-0000-0000-0000-00000000/resourceGroups/your-resource-group/providers/Microsoft.Media/mediaservices/your-media-services-account-name",
"identity": {
"principalId": "00000000-0000-0000-0000-00000000",
"tenantId": "00000000-0000-0000-0000-00000000",
"type": "SystemAssigned"
},
"location": "your-region",
"mediaServiceId": "00000000-0000-0000-0000-00000000",
"name": "your-media-services-account-name",
"resourceGroup": "your-resource-group",
"storageAccounts": [
{
"id": "/subscriptions/00000000-0000-0000-0000-00000000/resourceGroups/mediatest1rg/providers/Microsoft.Storage/storageAccounts/your-storage-account-name",
"resourceGroup": "your-resource-group",
"type": "Primary"
}
],
"storageAuthentication": "System",
"systemData": {
"createdAt": "2021-05-14T21:25:12.3492071Z",
"createdBy": "you@example.com",
"createdByType": "User",
"lastModifiedAt": "2021-05-14T21:25:12.3492071Z",
"lastModifiedBy": "you@example.com",
"lastModifiedByType": "User"
},
"tags": null,
"type": "Microsoft.Media/mediaservices"
}
A Media Services felügyelt identitásának hozzáférésének biztosítása a Tárfiókhoz
Adjon hozzáférést a Media Services felügyelt identitásának a Tárfiókhoz. Három parancs létezik:
A Media Services-fiók felügyelt identitásának lekérése (megjelenítése)
Az alábbi első parancs a Media Services-fiók felügyelt identitását mutatja, amely a principalId parancs által visszaadott JSON-ban szerepel.
Ez a parancs egy Media Services-fiók összes tulajdonságát megjeleníti.
az ams account show --name <your-media-services-account-name> --resource-group <your-resource-group>
Megjegyzés
Ha hozzáférési szerepköröket rendelt a Media Services-fiókhoz, ez a sor a következőt adja vissza "storageAuthentication": "ManagedIdentity": .
Példa JSON-válaszra:
{
"encryption": {
"keyVaultProperties": null,
"type": "SystemKey"
},
"id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Media/mediaservices/your-media-services-account",
"identity": {
"principalId": "00000000-0000-0000-0000-000000000000",
"tenantId": "00000000-0000-0000-0000-000000000000",
"type": "SystemAssigned" //Type will show "Managed Identity" if you have assigned a role to the Media Services account.
},
"location": "your-region",
"mediaServiceId": "00000000-0000-0000-0000-000000000000",
"name": "your-media-services-account",
"resourceGroup": "your-resource-group-name",
"storageAccounts": [
{
"id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name",
"resourceGroup": "your-resource-group-name",
"type": "Primary"
}
],
"storageAuthentication": "System", //If you have assigned access roles to the account, this line will return storageAuthentication": "ManagedIdentity"
"systemData": {
"createdAt": "2021-05-14T21:25:12.3492071Z",
"createdBy": "you@example.com",
"createdByType": "User",
"lastModifiedAt": "2021-05-14T21:25:12.3492071Z",
"lastModifiedBy": "you@example.com",
"lastModifiedByType": "User"
},
"tags": null,
"type": "Microsoft.Media/mediaservices"
}
A Storage Blob Közreműködő szerepkör-hozzárendelésének létrehozása
A következő parancs létrehoz egy Storage Blob Közreműködő szerepkört.
Váltson assignee a következőre principalId: . A parancs feltételezi, hogy már létrehozott egy erőforráscsoportot és egy Tárfiókot. Használja your-resource-group-name a és your-storage-account-name a értéket az scope alábbi parancsban látható módon:
az role assignment create --assignee 00000000-0000-0000-000000000000 --role "Storage Blob Data Contributor" --scope "/subscriptions/00000000-0000-0000-000000000000/resourceGroups/<your-resource-group-name>/providers/Microsoft.Storage/storageAccounts/<your-storage-account-name>"
Példa JSON-válaszra:
{
"canDelegate": null,
"condition": null,
"conditionVersion": null,
"description": null,
"id": "/subscriptions/00000000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-000000000000",
"name": "00000000-0000-0000-000000000000",
"principalId": "00000000-0000-0000-000000000000",
"principalType": "ServicePrincipal",
"resourceGroup": "your-resource-group-name",
"roleDefinitionId": "/subscriptions/00000000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-000000000000",
"scope": "/subscriptions/00000000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name",
"type": "Microsoft.Authorization/roleAssignments"
}
Az Olvasó szerepkör-hozzárendelés létrehozása
A következő parancs létrehoz egy Olvasó szerepkört.
Váltson assignee a következőre principalId: . A parancs feltételezi, hogy már létrehozott egy erőforráscsoportot és egy Tárfiókot. Használja your-resource-group-name a és your-storage-account-name a értéket az scope alábbi parancsban látható módon:
az role assignment create --assignee 00000000-0000-0000-000000000000 --role "Reader" --scope "/subscriptions/00000000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name"
Példa JSON-válaszra:
{
"canDelegate": null,
"condition": null,
"conditionVersion": null,
"description": null,
"id": "/subscriptions/00000000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-000000000000",
"name": "00000000-0000-0000-000000000000",
"principalId": "00000000-0000-0000-000000000000",
"principalType": "Reader",
"resourceGroup": "your-resource-group-name",
"roleDefinitionId": "/subscriptions/00000000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-000000000000",
"scope": "/subscriptions/00000000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name",
"type": "Microsoft.Authorization/roleAssignments"
}
A Tárfiók elérése a felügyelt identitással
Az alábbi parancs hozzáférést biztosít a Media Services felügyelt identitásához egy tárfiókhoz.
Az alábbi parancsban váltson your-resource-group-name az erőforráscsoport nevére, és your-media-services-account-namea Használni kívánt Media Services-fiók nevére:
az ams account storage set-authentication --storage-auth ManagedIdentity --resource-group <your-resource-group_name> --account-name <your-media-services-account-name>
Példa JSON-válaszra:
{
"encryption": {
"keyVaultProperties": null,
"type": "SystemKey"
},
"id": "/subscriptions/00000000-0000-0000-00000000/resourceGroups/your-resource-group-name/providers/Microsoft.Media/mediaservices/your-storage-account-name",
"identity": null,
"location": "West US 2",
"mediaServiceId": "00000000-0000-0000-00000000",
"name": "your-media-services-account",
"resourceGroup": "your-resource-group-name",
"storageAccounts": [
{
"id": "/subscriptions/2b461b25-f7b4-4a22-90cc-d640a14b5471/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name",
"resourceGroup": "your-resource-group-name",
"type": "Primary"
}
],
"storageAuthentication": "ManagedIdentity",
"systemData": {
"createdAt": "2021-05-17T19:15:00.8850297Z",
"createdBy": "you@example.com",
"createdByType": "User",
"lastModifiedAt": "2021-05-17T21:23:11.3863627Z",
"lastModifiedBy": "you@example.com",
"lastModifiedByType": "User"
},
"tags": null,
"type": "Microsoft.Media/mediaservices"
}
Érvényesítés
Ha ellenőrizni szeretné, hogy a fiók ügyfél által felügyelt kulccsal van-e titkosítva, tekintse meg a fiók titkosítási tulajdonságait:
Ez a parancs egy Media Services-fiók összes tulajdonságát megjeleníti.
az ams account show --name <your-media-services-account-name> --resource-group <your-resource-group>
Megjegyzés
Ha hozzáférési szerepköröket rendelt a Media Services-fiókhoz, ez a sor a következőt adja vissza "storageAuthentication": "ManagedIdentity": .
Példa JSON-válaszra:
{
"encryption": {
"keyVaultProperties": null,
"type": "SystemKey"
},
"id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Media/mediaservices/your-media-services-account",
"identity": {
"principalId": "00000000-0000-0000-0000-000000000000",
"tenantId": "00000000-0000-0000-0000-000000000000",
"type": "SystemAssigned" //Type will show "Managed Identity" if you have assigned a role to the Media Services account.
},
"location": "your-region",
"mediaServiceId": "00000000-0000-0000-0000-000000000000",
"name": "your-media-services-account",
"resourceGroup": "your-resource-group-name",
"storageAccounts": [
{
"id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name",
"resourceGroup": "your-resource-group-name",
"type": "Primary"
}
],
"storageAuthentication": "System", //If you have assigned access roles to the account, this line will return storageAuthentication": "ManagedIdentity"
"systemData": {
"createdAt": "2021-05-14T21:25:12.3492071Z",
"createdBy": "you@example.com",
"createdByType": "User",
"lastModifiedAt": "2021-05-14T21:25:12.3492071Z",
"lastModifiedBy": "you@example.com",
"lastModifiedByType": "User"
},
"tags": null,
"type": "Microsoft.Media/mediaservices"
}
A storageAuthentication tulajdonságnak a "ManagedIdentity" értéket kell megjelenítenie.
További ellenőrzés céljából az Azure Storage-naplókban ellenőrizheti, hogy melyik hitelesítési módszert használja az egyes kérésekhez.
Az erőforrások eltávolítása
Ha nem tervezi használni a létrehozott erőforrásokat, törölje az erőforráscsoportot.
Erőforráscsoport törlése a parancssori felülettel
az group delete --name <your-resource-group-name>
Súgó és támogatás
Kérdéseket tehet fel a Media Serviceshez, vagy kövesse a frissítéseket az alábbi módszerek egyikével:
- Q & A
- Stack Overflow. Kérdések címkézése a következővel:
azure-media-services. - @MSFTAzureMediavagy @AzureSupport használatával kérjen támogatást.
- Nyisson meg egy támogatási jegyet a Azure Portal keresztül.