Sdílet prostřednictvím


Omezení přístupu k licenci DRM a doručování klíčů AES pomocí seznamů povolených IP adres

Logo Media Services v3


Upozornění

Služba Azure Media Services bude vyřazena 30. června 2024. Další informace najdete v průvodci vyřazením AMS.

Při zabezpečení médií pomocí funkcí ochrany obsahu a DRM služby Media Services můžete narazit na scénáře, kdy potřebujete omezit doručování licencí nebo žádostí o klíč na konkrétní rozsah IP adres klientských zařízení ve vaší síti. Pokud chcete omezit přehrávání obsahu a doručování klíčů, můžete použít seznam povolených IP adres pro doručování klíčů.

Kromě toho můžete pomocí seznamu povolených také úplně zablokovat veškerý veřejný internetový přístup k provozu doručování klíčů a povolit jenom provoz z koncových bodů privátní sítě.

Seznam povolených IP adres pro doručování klíčů omezuje doručování licencí DRM i klíčů AES-128 klientům v rámci zadaného rozsahu povolených IP adres.

Služba Media Services podporuje streamování IPv6. Klienti s protokolem IPv4 i IPv6 můžou používat služby Živých událostí Media Services, Koncový bod streamování a doručování klíčů.

Nastavení seznamu povolených pro doručování klíčů

Nastavení seznamu povolených IP adres pro doručování klíčů najdete v prostředku účtu Media Services. Při vytváření nového účtu Media Services můžete omezit povolené rozsahy IP adres prostřednictvím vlastnosti KeyDeliveryv prostředku účtu Media Services.

Vlastnost defaultAction je možné nastavit na "Povolit" nebo "Odepřít", aby se řídilo doručování licencí a klíčů klientům v rozsahu povolených.

Vlastnost ipAllowList je pole jedné adresy IPv4 nebo IPv6 nebo rozsahů používající zápis CIDR.

Nastavení seznamu povolených na portálu

Azure Portal poskytuje metodu konfigurace a aktualizace seznamu povolených IP adres pro doručování klíčů. Přejděte na svůj účet Media Services a přejděte do nabídky Doručování klíčů v části Nastavení.

Podpora protokolu IPv6 koncových bodů streamování

Pokud je koncový bod streamování nakonfigurovaný tak, aby používal CDN, je v nastavení zprostředkovatele CDN nakonfigurovaná podpora IP adres.

Pro koncové body streamování, které nepoužívají SÍŤ CDN, ve výchozím nastavení koncové body streamování přijímají požadavky z jakékoli adresy IPv4. Pokud chcete povolit všechny adresy IPv4 a IPv6, v seznamu povolených IP adres vytvořte možnost povolit IPv4 i IPv6:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8

{
  "properties": {
    "accessControl": {
      "ip": {
        "allow": [
          {
            "name": "Allow all IPv6 addresses",
            "address": "::",
            "subnetPrefixLength": 0
          },
          {
            "name": "Allow all IPv4 addresses",
            "address": "0.0.0.0",
            "subnetPrefixLength": 0
          }
        ]
      }
    },
    "cdnEnabled": false
  },
 "location": "{resourceLocation}"
}

Seznam povolených IP adres pro koncový bod streamování může také obsahovat konkrétní IPv6 adresy nebo rozsahy.

Podpora protokolu Live Events IPv6

Živé události ve výchozím nastavení přijímají obsah z jakékoli IPv4 adresy. Pokud chcete povolit jakoukoli adresu IPv4 nebo IPv6, povolte adresy IPv4 i IPv6 na seznamu povolených IP adres:

Seznam povolených IP adres pro živou událost může obsahovat také konkrétní IPv6 adresy nebo rozsahy. Podpora doručování klíčů IPv6 Ve výchozím nastavení se žádosti o klíč obsahu přijímají z jakékoli adresy IPv4 nebo IPv6. Seznam povolených IP adres pro doručování klíčů je možné použít k omezení IP adres, které se můžou připojovat ke koncovým bodům doručování klíčů.

Seznam povolených IP adres může obsahovat:

  • Adresy IPv4
  • Rozsahy CIDR IPv4
  • Adresy IPv6
  • Rozsahy CIDR IPv6

Následující příklad nastaví seznam povolených IP adres pro doručování klíčů:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01

{
  "properties": {
    "storageAccounts": [
      {
        "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
      }
    ],
    "keyDelivery": {
      "accessControl": {
        "defaultAction": "Deny",
        "ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
      }
    },
  },
  "location": "westus"
}

V tomto příkladu se přijme požadavek z následujících adres:

  • Adresy IPv6 mezi 2001:1234:1234:0000:0000:0000:0000:4567 a 2001:1234:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF: FFFF,
  • Adresa IPv6 2001:1235:0000:0000:0000:0000:0000:0000:0000
  • Adresy IPv4 mezi 10.0.0.0 a 10.0.255.255

Další příklady:

  • Pokud chcete povolit požadavky z jakékoli IP adresy, nastavte výchozí akci bloku accessControl na Allow (a nezadávejte ipAllowList).
  • Pokud chcete povolit všechny adresy IPv4 a blokovat všechny adresy IPv6, nastavte seznam povolených IP adres na [ "0.0.0.0/0" ]
  • Pokud chcete povolit všechny adresy IPv6 a blokovat všechny adresy IPv6, nastavte seznam povolených IP adres na [ "::/0" ]

Získání nápovědy a podpory

Službu Media Services můžete kontaktovat s dotazy nebo můžete sledovat naše aktualizace jedním z následujících způsobů: