Политика Azure для Cлужб мультимедиа
Предупреждение
Поддержка Служб мультимедиа Azure будет прекращена 30 июня 2024 г. Дополнительные сведения см. в руководстве по прекращению поддержки AMS.
Службы мультимедиа Azure предоставляют встроенные определения Политики Azure, которые помогают обеспечить соблюдение стандартов организации и соответствие требованиям в масштабе. Политика Azure широко применяется для реализации средств контроля за согласованностью ресурсов, соответствием нормативным требованиям, безопасностью, расходами и управлением.
Cлужбы мультимедиа предоставляют несколько распространенных определений вариантов использования для Политики Azure, которые помогут вам приступить к работе.
Встроенные определения Политики Azure для Cлужб мультимедиа
В Службах мультимедиа доступно несколько встроенных определений политик, которые помогут вам начать работу, а также позволят определять собственные настраиваемые политики.
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетным записям Служб мультимедиа Azure должен быть запрещен доступ к общедоступным сетям | Отключение от общедоступной сети обеспечивает дополнительную защиту и гарантирует, что ресурсы Служб мультимедиа Azure не будут доступны в Интернете. Создание частных конечных точек позволяет ограничить доступ к ресурсам Служб мультимедиа. См. дополнительные сведения: https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Deny, Disabled | 1.0.0 |
| Учетные записи служб мультимедиа Azure должны использовать API, который поддерживает Приватный канал | Учетные записи Служб мультимедиа должны создаваться с помощью API, который поддерживает Приватный канал. | Audit, Deny, Disabled | 1.0.0 |
| Учетные записи служб мультимедиа Azure, предоставляющие доступ к устаревшей API версии 2, должны блокироваться | Устаревший API версии 2 Служб мультимедиа позволяет выполнять запросы, которые не могут быть управляемыми с помощью Политики Azure. Ресурсы Служб мультимедиа, созданные с помощью API 2020-05-01 или более поздней версии, блокируют доступ к устаревшему API версии 2. | Audit, Deny, Disabled | 1.0.0 |
| Политики ключей содержимого Служб мультимедиа Azure должны использовать проверку подлинности по маркерам | Политики ключей содержимого определяют условия, которые должны соблюдаться для доступа к ключам содержимого. Ограничение маркеров гарантирует, что ключи содержимого могут быть доступны только пользователям, имеющим действительные маркеры из службы проверки подлинности, например Azure Active Directory. | Audit, Deny, Disabled | 1.0.0 |
| Задания Служб мультимедиа Azure с входными данными HTTPS должны ограничивать входные URI шаблонами разрешенных URI | Ограничьте входные данные HTTPS, используемые заданиями Служб мультимедиа, на известные конечные точки. Входные данные из конечных точек HTTPS можно полностью отключить, настроив пустой список шаблонов разрешенных входных данных заданий. Если входные данные задания указывают значение baseUri, шаблоны сопоставляются с этим значением; если baseUri не задан, шаблон сопоставляется со свойством files. | Deny, Disabled | 1.0.1 |
| Службы мультимедиа Azure должны использовать для шифрования неактивных данных управляемые клиентом ключи | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в учетных записях Служб мультимедиа. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Подробная информация собрана на странице https://aka.ms/mediaservicescmkdocs. | Audit, Deny, Disabled | 1.0.0 |
| Службы мультимедиа Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со Службами мультимедиа, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. по адресу https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Disabled | 1.0.0 |
| Настройка Служб мультимедиа Azure для использования частных зон DNS | Использование частных зон DNS для переопределения разрешения DNS для частной конечной точки. Частная зона DNS связывается с виртуальной сетью для разрешения в учетные записи Служб мультимедиа. См. дополнительные сведения: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка Служб мультимедиа Azure с частными конечными точками | Частные конечные точки подключают ваши виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или месте назначения. Сопоставляя частные конечные точки со Службами мультимедиа, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. по адресу https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
Список встроенных определений политик для Cлужб мультимедиа содержит последние определения и связывает определения кода и способы доступа к ним на портале.
Типичные сценарии, для которых нужно использовать Политику Azure
- Если для защиты вашего предприятия нужно, чтобы все учетные записи Cлужб мультимедиа были созданы с помощью Приватного канала, можно использовать определение политики, чтобы убедиться, что учетные записи будут созданы только с помощью API 2020-05-01 (или более поздней версии), запретить доступ к устаревшей версии API для интерфейса REST версии 2 и получить доступ к возможности "Приватный канал".
- Если вы хотите применить определенные параметры к токенам, используемым для политик ключей содержимого, создайте определение Политики Azure, которое позволит поддерживать конкретные требования.
- Если для целей безопасности требуется, чтобы в источник входных данных задания поступали только данные из доверенных учетных записей хранения, а также вам нужно ограничить доступ к входным данным внешнего HTTP с помощью JobInputHttp, создайте политику Azure для ограничения шаблона универсального кода ресурса (URI) для входных данных.
Примеры определений политики
Службы мультимедиа Azure сохраняют и публикуют набор примеров определений Политики Azure в концентраторе Git. См. примеры встроенных определений политики для Служб мультимедиа в репозитории концентратора Git azure-policy.
Политики Azure, частные конечные точки и Службы мультимедиа
Службы мультимедиа определяют набор встроенных определений Политики Azure, чтобы обеспечить соблюдение организационных стандартов и оценить соответствие в большом масштабе.
Политика Azure для частных конечных точек на портале
Политику Настройка служб мультимедиа Azure с помощью частных конечных точек можно использовать для автоматического создания частных конечных точек для ресурсов Служб мультимедиа. Параметры политики задают подсеть, в которой следует создать приватный канал, и идентификатор группы, который следует использовать при создании частной конечной точки. Чтобы автоматически создавать частные конечные точки для доставки ключей, трансляций и конечных точек потоковой передачи, политика должна быть назначена отдельно для каждого из идентификаторов группы (т. е. будет создано назначение политики с идентификатором группы со значением keydelivery, второе назначение политики — со значением liveevent и назначение политики — со значением streamingendpoint). Так как эта политика развертывает ресурсы, она должна быть создана с помощью управляемого удостоверения.
Политику Настройка Служб мультимедиа Azure для использования частных зон DNS можно использовать для создания частных зон DNS для частных конечных точек Служб мультимедиа. Эта политика также применяется отдельно для каждого идентификатора группы.
Политика Службы мультимедиа Azure должны использовать приватный канал будет генерировать события аудита для ресурсов Служб мультимедиа, для которых не включен приватный канал.
Политика Azure для обеспечения безопасности сети
Когда для доступа к ресурсам служб мультимедиа используется приватный канал, общим требованием является ограничение доступа к этим ресурсам из Интернета. Политику Учетные записи служб мультимедиа Azure должны отключить доступ к общедоступной сети можно использовать для аудита учетных записей Служб мультимедиа, разрешающих доступ к общедоступной сети.
Безопасность исходящей сети
Политику Azure можно использовать для ограничения доступа ко внешним службам Служб мультимедиа. Политика Задания Служб мультимедиа Azure с входными данными HTTPS должны ограничивать входные URI разрешенными шаблонами URI должна использоваться либо для полной блокировки заданий Служб мультимедиа со считыванием с URL-адресов HTTP и HTTPS, либо для ограничения заданий служб мультимедиа считыванием с URL-адресов, соответствующих определенным шаблонам.
Справка и поддержка
Вы можете обратиться к Службам мультимедиа с вопросами или следить за нашими обновлениями одним из следующих способов:
- ВОПРОСЫ И ОТВЕТЫ
- Stack Overflow. Пометьте вопросы тегом
azure-media-services. - @MSFTAzureMedia или используйте @AzureSupport , чтобы запросить поддержку.
- Отправьте запрос в службу поддержки через портал Azure.