Używanie własnego klucza (kluczy zarządzanych przez klienta) za pomocą usługi Media Services

  • Artykuł

Logo usługi Media Services w wersji 3

Ostrzeżenie

Usługa Azure Media Services zostanie wycofana 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz Przewodnik po wycofaniu usługi AMS.

Bring Your Own Key (BYOK) to szeroka inicjatywa platformy Azure, która ułatwia klientom przenoszenie obciążeń do chmury. Klucze zarządzane przez klienta umożliwiają klientom przestrzeganie przepisów dotyczących zgodności z branżą i poprawia izolację dzierżawy usługi. Zapewnienie klientom kontroli nad kluczami szyfrowania to sposób minimalizowania niepotrzebnego dostępu i kontroli oraz budowania zaufania do usług firmy Microsoft.

Klucze i zarządzanie kluczami

Możesz użyć własnego klucza z usługą Media Services w przypadku korzystania z interfejsu API usługi Media Services 2020-05-01 lub nowszego. Domyślny klucz konta jest tworzony dla wszystkich kont, które są szyfrowane za pomocą klucza systemowego należącego do usługi Media Services. Jeśli używasz własnego klucza, klucz konta jest szyfrowany przy użyciu klucza. Klucze zawartości są szyfrowane przy użyciu klucza konta. Adresy URL i klucze weryfikacji tokenu symetrycznego jobInputHttp są również szyfrowane.

Klucz zarządzany przez klienta zastępuje klucz zarządzany przez system

Usługa Media Services używa tożsamości zarządzanej konta usługi Media Services do odczytywania klucza z Key Vault należącego do Ciebie. Usługa Media Services wymaga, aby Key Vault znajduje się w tym samym regionie co konto oraz że ma włączoną ochronę przed usuwaniem nietrwałym i przeczyszczaniem.

Klucz może być kluczem 2048, 3072 lub kluczem 4096 RSA, a zarówno moduł HSM, jak i klucze oprogramowania są obsługiwane.

Uwaga

Klucze EC nie są obsługiwane.

Możesz określić nazwę klucza i wersję klucza lub tylko nazwę klucza. Jeśli używasz tylko nazwy klucza, usługa Media Services będzie używać najnowszej wersji klucza. Nowe wersje kluczy klienta są wykrywane automatycznie, a klucz konta jest ponownie szyfrowany.

Ostrzeżenie

Usługa Media Services monitoruje dostęp do klucza klienta. Jeśli klucz klienta stanie się niedostępny (na przykład klucz został usunięty lub Key Vault został usunięty lub przyznanie dostępu zostało usunięte), usługa Media Services przeniesie konto do stanu niedostępność klucza klienta (skutecznie wyłączając konto). Konto można jednak usunąć w tym stanie. Jedynymi obsługiwanymi operacjami są konta GET, LIST i DELETE; wszystkie inne żądania (kodowanie, przesyłanie strumieniowe itd.) nie powiedzą się, dopóki nie zostanie przywrócony dostęp do klucza konta.

Podwójne szyfrowanie

Usługa Media Services automatycznie obsługuje podwójne szyfrowanie. W przypadku danych magazynowanych pierwsza warstwa szyfrowania używa klucza zarządzanego przez klienta lub klucza zarządzanego przez firmę Microsoft w zależności od AccountEncryption ustawienia konta. Druga warstwa szyfrowania danych magazynowanych jest dostarczana automatycznie przy użyciu oddzielnego klucza zarządzanego przez firmę Microsoft. Aby dowiedzieć się więcej na temat podwójnego szyfrowania, zobacz Podwójne szyfrowanie platformy Azure.

Uwaga

Podwójne szyfrowanie jest włączane automatycznie na koncie usługi Media Services. Należy jednak oddzielnie skonfigurować klucz zarządzany przez klienta i podwójne szyfrowanie na koncie magazynu. Aby dowiedzieć się więcej, zobacz Szyfrowanie magazynu.

Samouczki

Uzyskiwanie pomocy i obsługi technicznej

Możesz skontaktować się z usługą Media Services z pytaniami lub postępować zgodnie z naszymi aktualizacjami, korzystając z jednej z następujących metod: