IP 허용 목록을 사용하여 DRM 라이선스 및 AES 키 배달에 대한 액세스 제한

  • 아티클

Media Services 로고 v3

경고

Azure Media Services는 2024년 6월 30일에 사용 중지됩니다. 자세한 내용은 AMS 사용 중지 가이드를 참조하세요.

Media Services의 콘텐츠 보호 및 DRM 기능을 사용하여 미디어를 보호하는 경우 라이선스 또는 키 요청 배달을 네트워크에서 클라이언트 디바이스의 특정 IP 범위로 제한해야 하는 시나리오가 발생할 수 있습니다. 콘텐츠 재생 및 키 배달을 제한하기 위해 키 배달에 IP 허용 목록을 사용할 수 있습니다.

또한 허용 목록을 사용하여 키 배달 트래픽에 대한 모든 공용 인터넷 액세스를 완전히 차단하고 개인 네트워크 엔드포인트의 트래픽만 허용할 수 있습니다.

키 배달용 IP 허용 목록은 제공된 IP 허용 목록 범위 내에 있는 클라이언트에 대한 DRM 라이선스 및 AES-128 키의 배달을 제한합니다.

Media Services는 스트리밍을 위해 IPv6을 지원합니다. Media Services 라이브 이벤트, 스트리밍 엔드포인트 및 키 배달 서비스는 IPv4 및 IPv6 둘 다에서 클라이언트에서 사용할 수 있습니다.

키 배달에 대한 허용 목록 설정

키 배달 IP 허용 목록의 설정은 Media Services 계정 리소스에 있습니다. 새 Media Services 계정을 만들 때 Media Services 계정 리소스KeyDelivery 속성을 통해 허용되는 IP 범위를 제한할 수 있습니다.

defaultAction 속성은 "허용" 또는 "거부"로 설정하여 라이선스 및 키를 허용 목록 범위의 클라이언트로 배달하는 것을 제어할 수 있습니다.

ipAllowList 속성은 CIDR 표기법을 사용하는 단일 IPv4 또는 IPv6 주소 및/또는 범위의 배열입니다.

포털에서 허용 목록 설정

Azure Portal은 키 배달용 IP 허용 목록을 구성하고 업데이트하기 위한 방법을 제공합니다. Media Services 계정으로 이동하여 설정에서 키 배달 메뉴에 액세스합니다.

스트리밍 엔드포인트 IPv6 지원

스트리밍 엔드포인트가 CDN을 사용하도록 구성된 경우 IP 주소 지원은 CDN 공급자 설정에서 구성됩니다.

CDN을 사용하지 않는 스트리밍 엔드포인트의 경우 기본적으로 스트리밍 엔드포인트는 모든 IPv4 주소의 요청을 수락합니다. 모든 IPv4 및 IPv6 주소를 사용하도록 설정하려면 IP 허용 목록에서 IPv4 및 IPv6을 모두 허용합니다.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8

{
  "properties": {
    "accessControl": {
      "ip": {
        "allow": [
          {
            "name": "Allow all IPv6 addresses",
            "address": "::",
            "subnetPrefixLength": 0
          },
          {
            "name": "Allow all IPv4 addresses",
            "address": "0.0.0.0",
            "subnetPrefixLength": 0
          }
        ]
      }
    },
    "cdnEnabled": false
  },
 "location": "{resourceLocation}"
}

스트리밍 엔드포인트의 IP 허용 목록에는 특정 IPv6 주소 또는 범위도 포함될 수 있습니다.

라이브 이벤트 IPv6 지원

기본적으로 라이브 이벤트는 모든 IPv4 주소의 콘텐츠를 허용합니다. IPv4 또는 IPv6 주소를 허용하려면 IP 허용 목록에서 IPv4 및 IPv6 주소를 모두 허용합니다.

라이브 이벤트에 대한 IP 허용 목록에는 특정 IPv6 주소 또는 범위도 포함될 수 있습니다. 키 배달 IPv6 지원 기본적으로 콘텐츠 키 요청은 모든 IPv4 또는 IPv6 주소에서 수락됩니다. 키 배달 IP 허용 목록을 사용하여 키 배달 엔드포인트에 연결할 수 있는 IP 주소를 제한할 수 있습니다.

IP 허용 목록에는 다음이 포함될 수 있습니다.

  • IPv4 주소
  • IPv4 CIDR 범위
  • IPv6 주소
  • IPv6 CIDR 범위

다음 예제에서는 키 배달에 대한 IP 허용 목록을 설정합니다.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01

{
  "properties": {
    "storageAccounts": [
      {
        "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
      }
    ],
    "keyDelivery": {
      "accessControl": {
        "defaultAction": "Deny",
        "ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
      }
    },
  },
  "location": "westus"
}

이 예제에서는 다음 주소의 요청이 수락됩니다.

  • 2001:1234:1234:0000:0000:0000:0000:0000:4567 및 2001:1234:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF,
  • IPv6 주소 2001:1235:0000:0000:0000:0000:0000:0000:0000
  • 10.0.0.0에서 10.0.255.255 사이의 IPv4 주소

추가 예:

  • IP 주소의 요청을 허용하려면 "accessControl" 블록의 "defaultAction"을 "허용"으로 설정하고 "ipAllowList"를 지정하지 마세요.
  • 모든 IPv4 주소를 허용하고 모든 IPv6 주소를 차단하려면 IP 허용 목록을 [ "0.0.0.0/0" ]로 설정합니다.
  • 모든 IPv6 주소를 허용하고 모든 IPv6 주소를 차단하려면 IP 허용 목록을 [ "::/0" ]로 설정합니다.

도움말 및 지원 보기

다음 방법 중 하나로 Media Services에 문의하거나 업데이트를 따를 수 있습니다.