Ограничение доступа к доставке лицензии DRM и ключей AES с помощью списков разрешенных IP-адресов

  • Статья

Логотип Служб мультимедиа версии 3

Предупреждение

Поддержка Служб мультимедиа Azure будет прекращена 30 июня 2024 г. Дополнительные сведения см. в руководстве по прекращению поддержки AMS.

При защите мультимедиа с помощью функций Защита содержимого и DRM Службы мультимедиа можно столкнуться со сценариями, в которых необходимо ограничить доставку запросов лицензий или ключей определенному диапазону IP-адресов клиентских устройств в сети. Чтобы ограничить воспроизведение контента и доставку ключей, можно использовать список разрешенных IP-адресов для службы доставки ключей.

Кроме того, можно также использовать список разрешений, чтобы полностью блокировать доступ к трафику доставки ключей через общедоступный Интернет и разрешить только трафик из конечных точек частной сети.

Список разрешенных IP-адресов для доставки ключей позволяет ограничивать доставку лицензий DRM и ключей AES-128 клиентам в рамках предоставленного диапазона списка разрешенных IP-адресов.

Службы мультимедиа поддерживают IPv6 для потоковой передачи. Клиенты могут использовать динамические события Служб мультимедиа, конечную точку потоковой передачи и службы доставки ключей по протоколам IPv4 и IPv6.

Настройка списка разрешений для доставки ключей

Параметры списка разрешенных IP-адресов доставки ключей находятся в ресурсе учетной записи Службы мультимедиа. При создании учетной записи Службы мультимедиа можно ограничить разрешенные диапазоны IP-адресов с помощью свойства KeyDelivery в ресурсе учетной записи Службы мультимедиа.

Для свойства defaultAction можно задать значение "Разрешить" или "Отклонить", чтобы управлять доставкой лицензий и ключей клиентам в диапазоне списка разрешений.

Свойство ipAllowList — это массив из одного адреса IPv4 или IPv6 и (или) диапазонов, использующих нотацию CIDR.

Настройка списка разрешений на портале

Портал Azure предоставляет метод настройки и обновления списка разрешенных IP-адресов для доставки ключей. Перейдите к учетной записи Служб мультимедиа и в разделе Параметры откройте меню Доставка ключей.

Поддержка IPv6 конечных точек потоковой передачи

Если конечная точка потоковой передачи настроена для использования CDN, поддержка IP-адресов настраивается в параметрах поставщика CDN.

Для конечных точек потоковой передачи, которые не используют CDN, по умолчанию конечные точки потоковой передачи принимают запросы с любого IPv4-адреса. Чтобы включить все адреса IPv4 и IPv6, создайте разрешение IPv4 и IPv6 в списке разрешенных IP-адресов:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8

{
  "properties": {
    "accessControl": {
      "ip": {
        "allow": [
          {
            "name": "Allow all IPv6 addresses",
            "address": "::",
            "subnetPrefixLength": 0
          },
          {
            "name": "Allow all IPv4 addresses",
            "address": "0.0.0.0",
            "subnetPrefixLength": 0
          }
        ]
      }
    },
    "cdnEnabled": false
  },
 "location": "{resourceLocation}"
}

Список разрешенных IP-адресов для конечной точки потоковой передачи также может включать определенные IPv6-адреса или диапазоны.

Поддержка IPv6 трансляций

По умолчанию трансляции принимают содержимое с любого IPv4-адреса. Чтобы разрешить любой адрес IPv4 или IPv6, разрешите адреса IPv4 и IPv6 в списке разрешенных IP-адресов:

Список разрешенных IP-адресов для трансляции может также включать определенные IPv6-адреса или диапазоны. Поддержка IPv6 доставки ключей. По умолчанию запросы ключей содержимого принимаются с любого адреса IPv4 или IPv6. Список разрешенных IP-адресов доставки ключей можно использовать для ограничения IP-адресов, которые могут подключаться к конечным точкам доставки ключей.

Список разрешенных IP-адресов может содержать:

  • IPv4-адреса
  • Диапазоны CIDR IPv4
  • IPv6-адреса
  • Диапазоны CIDR IPv6

В следующем примере задается список разрешенных IP-адресов для доставки ключей:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01

{
  "properties": {
    "storageAccounts": [
      {
        "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
      }
    ],
    "keyDelivery": {
      "accessControl": {
        "defaultAction": "Deny",
        "ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
      }
    },
  },
  "location": "westus"
}

В этом примере будет принят запрос со следующих адресов:

  • IPv6-адреса между 2001:1234:1234:0000:0000:0000:0000:4567 и 2001:1234:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF,
  • IPv6-адрес 2001:1235:0000:0000:0000:0000:0000:0000
  • IPv4-адреса между 10.0.0.0 и 10.0.255.255

Дополнительные примеры

  • Чтобы разрешить запросы с любого IP-адреса, задайте для параметра defaultAction блока accessControl значение Allow (и не указывайте ipAllowList).
  • Чтобы разрешить все IPv4-адреса и заблокировать все IPv6-адреса, задайте для списка разрешенных IP-адресов значение [ "0.0.0.0/0" ]
  • Чтобы разрешить все IPv6-адреса и заблокировать все IPv6-адреса, задайте для списка разрешенных IP-адресов значение [ "::/0" ]

Справка и поддержка

Вы можете обратиться к Службам мультимедиа с вопросами или следить за нашими обновлениями одним из следующих способов: