IP 許可リストを使用して DRM ライセンスおよび AES キー配信へのアクセスを制限する

  • [アーティクル]

Media Services ロゴ v3

警告

Azure Media Services は、2024 年 6 月 30 日に廃止されます。 詳細については、 AMS 廃止ガイドを参照してください。

Media Services のコンテンツ保護と DRM の機能を使用してメディアを保護する際に、ネットワーク上の特定の IP 範囲のクライアント デバイスへのライセンスまたはキー要求の配信を制限しなければならない状況が発生する場合があります。 コンテンツの再生とキーの配信を制限する場合は、キー配信の IP 許可リストを使用できます。

また、許可リストを使用して、キー配信トラフィックへのすべてのパブリック インターネット アクセスを完全にブロックし、プライベート ネットワーク エンドポイントからのトラフィックのみを許可することもできます。

キー配信の IP 許可リストにより、DRM ライセンスと AES-128 キーの両方の配信が、指定された IP 許可リストの範囲内のクライアントに制限されます。

Media Services では、ストリーミング用の IPv6 がサポートされています。 Media Services ライブ イベント、ストリーミング エンドポイント、およびキー配信サービスは、IPv4 と IPv6 の両方でクライアントによって使用できます。

キー配信の許可リストの設定

キー配信の IP 許可リストの設定は、Media Services アカウント リソース上にあります。 新しい Media Services アカウントを作成するときに、Media Services アカウント リソースKeyDelivery プロパティを使用して、許可される IP 範囲を制限できます。

defaultAction プロパティを "Allow" または "Deny" に設定することで、許可リストの範囲内のクライアントへのライセンスとキーの配信を制御できます。

ipAllowList プロパティは、CIDR 表記を使用した単一の IPv4 または IPv6 アドレスまたは範囲の配列です。

ポータルでの許可リストの設定

Azure portal には、キー配信の IP 許可リストを構成および更新するためのメソッドが用意されています。 Media Services アカウントに移動し、 [設定] の下の [Key delivery](キー配信) メニューにアクセスします。

ストリーミング エンドポイント IPv6 のサポート

ストリーミング エンドポイントが CDN を使用するように構成されている場合、IP アドレスのサポートは CDN プロバイダー設定で構成されます。

CDN を使用しないストリーミング エンドポイントの場合、既定では、ストリーミング エンドポイントは任意の IPv4 アドレスからの要求を受け入れます。 すべての IPv4 アドレスと IPv6 アドレスを有効にするには、IP 許可リストで IPv4 と IPv6 の両方を許可するように作成します。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8

{
  "properties": {
    "accessControl": {
      "ip": {
        "allow": [
          {
            "name": "Allow all IPv6 addresses",
            "address": "::",
            "subnetPrefixLength": 0
          },
          {
            "name": "Allow all IPv4 addresses",
            "address": "0.0.0.0",
            "subnetPrefixLength": 0
          }
        ]
      }
    },
    "cdnEnabled": false
  },
 "location": "{resourceLocation}"
}

ストリーミング エンドポイントの IP 許可リストには、特定の IPv6 アドレスまたは範囲も含まれる場合があります。

ライブ イベント IPv6 のサポート

既定では、ライブ イベントは IPv4 アドレスからのコンテンツを受け入れます。 IPv4 または IPv6 アドレスを許可するには、IP 許可リストで IPv4 アドレスと IPv6 アドレスの両方を許可します。

ライブ イベントの IP 許可リストには、特定の IPv6 アドレスまたは範囲も含まれる場合があります。 キー配信 IPv6 のサポート 既定では、コンテンツ キー要求は任意の IPv4 または IPv6 アドレスから受け入れられます。 キー配信 IP 許可リストを使用して、キー配信エンドポイントに接続できる IP アドレスを制限できます。

IP 許可リストには、次のものが含まれる場合があります。

  • IPv4 アドレス
  • IPv4 CIDR 範囲
  • IPv6 アドレス
  • IPv6 CIDR 範囲

次の例では、キー配信の IP 許可リストを設定します。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01

{
  "properties": {
    "storageAccounts": [
      {
        "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
      }
    ],
    "keyDelivery": {
      "accessControl": {
        "defaultAction": "Deny",
        "ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
      }
    },
  },
  "location": "westus"
}

この例では、次のアドレスからの要求が受け入れられます。

  • 2001:1234:1234:0000:0000:0000:0000:4567 から 2001:1234:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:
  • IPv6 アドレス 2001:1235:0000:0000:0000:0000:0000:0000:0000
  • 10.0.0.0 から 10.0.255.255 までの IPv4 アドレス

その他の例:

  • 任意の IP アドレスからの要求を許可するには、"accessControl" ブロックの "defaultAction" を "Allow" に設定します (また、"ipAllowList" を指定しないでください)
  • すべての IPv4 アドレスを許可し、すべての IPv6 アドレスをブロックするには、IP 許可リストを [0.0.0.0/0" に設定します。
  • すべての IPv6 アドレスを許可し、すべての IPv6 アドレスをブロックするには、IP 許可リストを [::/0" ] に設定します。

ヘルプとサポート

質問がある場合は Media Services に問い合わせるか、次のいずれかの方法で更新内容に従ってください。