Azure Policy untuk Media Services
Peringatan
Azure Media Services akan dihentikan pada 30 Juni 2024. Untuk informasi selengkapnya, lihat Panduan Penghentian AMS.
Azure Media Services menyediakan beberapa definisi Azure Policy bawaan untuk membantu menegakkan standar organisasi dan kepatuhan dalam skala besar. Kasus penggunaan secara umum Azure Policy meliputi menerapkan tata kelola untuk konsistensi sumber daya, kepatuhan terhadap peraturan, keamanan, biaya, dan manajemen.
Media Services menyediakan beberapa definisi kasus penggunaan umum untuk Azure Policy bawaan untuk membantu Anda memulai.
Definisi Azure Policy bawaan untuk Media Services
Beberapa definisi kebijakan bawaan dapat digunakan dengan Media Services untuk membantu Anda memulai dan memungkinkan Anda menentukan kebijakan kustom Anda sendiri.
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun Azure Media Services harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya Media Services tidak terpapar di internet publik. Membuat titik akhir privat dapat membatasi pemaparan sumber daya Media Services. Pelajari selengkapnya di: https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Media Services harus menggunakan API yang mendukung Private Link | Akun Media Services harus dibuat dengan API yang mendukung private link. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Media Services yang mengizinkan akses ke warisan v2 API harus diblokir | Media Services warisan v2 API memungkinkan permintaan yang tidak dapat dikelola menggunakan Azure Policy. Sumber daya Media Services yang dibuat menggunakan API 01-05-2020 atau yang lebih baru memblokir akses ke warisan v2 API. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Kebijakan kunci konten Azure Media Services harus menggunakan autentikasi token | Kebijakan kunci konten menentukan kondisi yang harus dipenuhi untuk mengakses kunci konten. Pembatasan token memastikan kunci konten hanya dapat diakses oleh pengguna yang memiliki token yang valid dari layanan autentikasi, contohnya Azure Active Directory. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Pekerjaan Azure Media Services dengan input HTTPS harus membatasi URI input ke pola URI yang diizinkan | Batasi input HTTPS yang digunakan oleh pekerjaan Media Services ke titik akhir yang diketahui. Input dari titik akhir HTTPS dapat dinonaktifkan sepenuhnya dengan mengatur daftar kosong pola input pekerjaan yang diizinkan. Di mana input pekerjaan menentukan 'baseUri', polanya akan dicocokkan dengan nilai ini; ketika 'baseUri' tidak diatur, pola dicocokkan dengan properti 'file'. | Tolak, Dinonaktifkan | 1.0.1 |
| Azure Media Services harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif di akun Media Services Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/mediaservicescmkdocs. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Media Services harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke Media Services, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Konfigurasi Azure Media Services untuk menggunakan zona DNS privat | Gunakan zona DNS privat untuk mengambil alih resolusi DNS untuk titik akhir privat. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke akun Media Services. Pelajari selengkapnya di: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Dinonaktifkan | 1.0.0 |
| Konfigurasi Azure Media Services dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Dengan memetakan titik akhir privat ke Media Services, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Dinonaktifkan | 1.0.0 |
Daftar definisi kebijakan bawaan untuk Media Services memberikan definisi terbaru dan menghubungkan definisi kode dan cara mengaksesnya di Portal.
Skenario umum yang membutuhkan Azure Policy
- Jika keamanan perusahaan Anda mengharuskan Anda untuk memastikan bahwa semua akun Media Services dibuat dengan Tautan Privat, Anda dapat menggunakan definisi kebijakan untuk memastikan bahwa akun hanya dibuat dengan API 2020-05-01 (atau yang lebih baru) untuk menonaktifkan akses ke API REST v2 lama dan mengakses fitur Tautan Privat.
- Jika Anda ingin menegakkan opsi spesifik pada token yang digunakan untuk Kebijakan Kunci Konten, definisi Azure Policy dapat dibangun untuk mendukung persyaratan spesifik.
- Jika tujuan keamanan Anda mengharuskan Anda untuk membatasi sumber input Pekerjaan hanya berasal dari akun penyimpanan tepercaya Anda, dan membatasi akses ke input HTTP eksternal melalui penggunaan JobInputHttp, Azure policy dapat dibangun untuk membatasi pola input URI.
Contoh definisi kebijakan
Azure Media Services memelihara dan menerbitkan satu set contoh definisi Azure Policy di Git hub. Lihat sampel definisi kebijakan bawaan untuk sampel Layanan Media di repositori Git hub Azure policy.
Kebijakan Azure, titik akhir privat, dan Azure Media Services
Azure Media Services menentukan set definisi bawaan Azure Policy untuk membantu memberlakukan standar organisasi dan untuk menilai kepatuhan dalam skala besar.
Azure Policy untuk Titik Akhir Privat di portal
Kebijakan Mengonfigurasi Azure Media Services dengan titik akhir privat dapat digunakan untuk membuat titik akhir privat secara otomatis untuk sumber daya Media Services. Parameter untuk kebijakan menetapkan subnet tempat tautan privat harus dibuat dan ID grup yang akan digunakan saat membuat titik akhir privat. Untuk membuat titik akhir privat secara otomatis untuk penyediaan kunci, acara langsung, dan titik akhir streaming, kebijakan harus ditetapkan secara terpisah untuk setiap ID grup (yaitu, penetapan kebijakan akan dibuat dengan ID grup yang diatur ke keydelivery, penetapan kebijakan kedua akan dibuat dengan ID grup yang diatur ke liveevent dan tugas ketiga akan mengatur ID grup ke streamingendpoint). Saat kebijakan ini menyebarkan sumber daya, kebijakan harus dibuat dengan Identitas Terkelola.
Kebijakan Mengonfigurasi Azure Media Services untuk menggunakan zona DNS privat dapat digunakan untuk membuat zona DNS privat untuk titik akhir privat Media Services. Kebijakan ini juga diterapkan secara terpisah untuk setiap ID grup.
Kebijakan Azure Media Services harus menggunakan tautan privat akan menghasilkan kejadian audit untuk sumber daya Media Services yang tautan privatnya belum aktif.
Azure Policy untuk keamanan jaringan
Ketika tautan privat digunakan untuk mengakses sumber daya Media Services, persyaratan umumnya adalah membatasi akses ke sumber daya ini dari internet. Kebijakan Akun Azure Media Services harus menonaktifkan akses jaringan publik dapat digunakan untuk mengaudit akun Media Services yang mengizinkan akses jaringan publik.
Keamanan jaringan keluar
Azure Policy dapat digunakan untuk membatasi cara Media Services mengakses layanan eksternal. Kebijakan Pekerjaan Azure Media Services dengan input HTTPS harus membatasi URI input ke pola URI yang diizinkan dapat digunakan baik untuk sepenuhnya memblokir pekerjaan Media Services yang membaca dari URL HTTP dan HTTPS atau membatasi pekerjaan Media Services membaca dari URL yang cocok dengan pola spesifik.
Mendapatkan bantuan dan dukungan
Anda dapat menghubungi Media Services dengan pertanyaan atau mengikuti pembaruan kami dengan salah satu metode berikut:
- T & A
- Stack Overflow. Beri tag pertanyaan dengan
azure-media-services. - @MSFTAzureMedia atau gunakan @AzureSupport untuk meminta dukungan.
- Buka tiket dukungan melalui portal Azure.