Ta med din egen nyckel (kundhanterade nycklar) med Media Services
Varning
Azure Media Services dras tillbaka den 30 juni 2024. Mer information finns i AMS Pensionsguide.
Byok (Bring Your Own Key) är ett azure-initiativ som hjälper kunderna att flytta sina arbetsbelastningar till molnet. Kundhanterade nycklar gör det möjligt för kunder att följa branschefterlevnadsregler och förbättra klientisoleringen av en tjänst. Att ge kunderna kontroll över krypteringsnycklar är ett sätt att minimera onödig åtkomst och kontroll och skapa förtroende för Microsoft-tjänster.
Nycklar och nyckelhantering
Du kan använda din egen nyckel med Media Services när du använder Api:et Media Services 2020-05-01 eller senare. En standardkontonyckel skapas för alla konton som krypteras av en systemnyckel som ägs av Media Services. När du använder din egen nyckel krypteras kontonyckeln med din nyckel. Innehållsnycklar krypteras av kontonyckeln. JobInputHttp-url:ar och valideringsnycklar för symmetrisk token krypteras också.
Media Services använder den hanterade identiteten för Media Services-kontot för att läsa din nyckel från en Key Vault som ägs av dig. Media Services kräver att Key Vault finns i samma region som kontot och att mjuk borttagning och rensningsskydd är aktiverat.
Din nyckel kan vara en 2048, 3072 eller en 4096 RSA-nyckel, och både HSM och programvarunycklar stöds.
Anteckning
EC-nycklar stöds inte.
Du kan ange ett nyckelnamn och en nyckelversion, eller bara ett nyckelnamn. När du bara använder ett nyckelnamn använder Media Services den senaste nyckelversionen. Nya versioner av kundnycklar identifieras automatiskt och kontonyckeln krypteras om.
Varning
Media Services övervakar åtkomsten till kundnyckeln. Om kundnyckeln blir otillgänglig (till exempel om nyckeln har tagits bort eller Key Vault har tagits bort eller åtkomstbidraget har tagits bort) kommer Media Services att överföra kontot till det otillgängliga kundnyckeltillståndet (vilket effektivt inaktiverar kontot). Kontot kan dock tas bort i det här tillståndet. De enda åtgärder som stöds är kontot GET, LIST och DELETE. alla andra begäranden (kodning, direktuppspelning och så vidare) misslyckas tills åtkomsten till kontonyckeln har återställts.
Dubbel kryptering
Media Services stöder automatiskt dubbel kryptering. För vilande data använder det första krypteringslagret en kundhanterad nyckel eller en Microsoft-hanterad nyckel beroende på AccountEncryption inställningen för kontot. Det andra krypteringslagret för vilande data tillhandahålls automatiskt med en separat Microsoft-hanterad nyckel. Mer information om dubbel kryptering finns i Dubbel kryptering i Azure.
Anteckning
Dubbel kryptering aktiveras automatiskt på Media Services-kontot. Du måste dock konfigurera den kundhanterade nyckeln och dubbelkryptering på ditt lagringskonto separat. Mer information finns i Lagringskryptering.
Självstudier
Få hjälp och support
Du kan kontakta Media Services med frågor eller följa våra uppdateringar med någon av följande metoder:
- Q & A
- Stack Overflow. Tagga frågor med
azure-media-services. - @MSFTAzureMedia eller använd @AzureSupport för att begära support.
- Öppna en supportbegäran via Azure Portal.