Einschränken des Zugriffs auf die DRM-Lizenz- und AES-Schlüsselübermittlung mithilfe von Listen zugelassener IP-Adressen
Warnung
Azure Media Services wird am 30. Juni 2024 eingestellt. Weitere Informationen finden Sie im Leitfaden zur Einstellung von AMS.
Beim Sichern von Medien mit dem Inhaltsschutz und den DRM-Features (Digital Rights Management, Verwaltung digitaler Rechte) von Azure Media Services kann es vorkommen, dass Sie die Übermittlung von Lizenzen oder Schlüsselanforderungen auf einen bestimmten IP-Adressbereich von Clientgeräten in Ihrem Netzwerk beschränken müssen. Um die Wiedergabe und Übermittlung von Schlüsseln zu beschränken, können Sie die Liste zugelassener IP-Adressen für die Schlüsselübermittlung verwenden.
Sie können die Liste zugelassener IP-Adressen auch verwenden, um den öffentlichen Internetzugriff auf Datenverkehr zur Schlüsselübermittlung vollständig zu blockieren und nur Datenverkehr von Ihren privaten Netzwerkendpunkten zuzulassen.
Die Liste zugelassener IP-Adressen für die Schlüsselübermittlung beschränkt die Übermittlung von DRM-Lizenzen und AES-128-Schlüsseln auf Clients im angegebenen IP-Adressbereich in der Liste.
Media Services unterstützt IPv6 für das Streaming. Die Media Services-Liveereignis-, Streamingendpunkt- und Schlüsselübermittlungsdienste können von Clients sowohl über IPv4 als auch über IPv6 verwendet werden.
Festlegen der Liste zugelassener IP-Adressen für die Schlüsselübermittlung
Die Einstellungen für die Liste zugelassener IP-Adressen für die Schlüsselübermittlung befinden sich in der Media Services-Kontoressource. Beim Erstellen eines neuen Media Services-Kontos können Sie die zulässigen IP-Adressbereiche über die KeyDelivery-Eigenschaft der Media Services-Kontoressource einschränken.
Die defaultAction-Eigenschaft kann auf „Allow“ oder „Deny“ festgelegt werden, um die Übermittlung von Lizenzen und Schlüsseln an Clients im IP-Adressbereich der Liste zugelassener IP-Adressen zu steuern.
Die ipAllowList-Eigenschaft ist ein Array einzelner IPv4- oder IPv6-Adressen und/oder -Bereiche mit CIDR-Notation.
Festlegen der Liste zugelassener IP-Adressen im Portal
Sie können die Liste zugelassener IP-Adressen für die Schlüsselübermittlung im Azure-Portal konfigurieren und aktualisieren. Navigieren Sie zu Ihrem Media Services-Konto, und wählen Sie unter Einstellungen das Menü Schlüsselübermittlung aus.
IPv6-Unterstützung für Streamingendpunkte
Wenn ein Streamingendpunkt für die Verwendung eines CDN konfiguriert ist, wird die IP-Adressunterstützung in den Einstellungen des CDN-Anbieters konfiguriert.
Für Streamingendpunkte, die kein CDN verwenden, akzeptieren Streamingendpunkte standardmäßig Anforderungen von jeder IPv4-Adresse. Um alle IPv4- und IPv6-Adressen zu aktivieren, erstellen Sie sowohl IPv4 als auch IPv6 in der Ip-Zulassungsliste zulassen:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8
{
"properties": {
"accessControl": {
"ip": {
"allow": [
{
"name": "Allow all IPv6 addresses",
"address": "::",
"subnetPrefixLength": 0
},
{
"name": "Allow all IPv4 addresses",
"address": "0.0.0.0",
"subnetPrefixLength": 0
}
]
}
},
"cdnEnabled": false
},
"location": "{resourceLocation}"
}
Die IP-Zulassungsliste für einen Streamingendpunkt kann auch bestimmte IPv6-Adressen oder -Bereiche enthalten.
IPv6-Unterstützung für Liveereignisse
Standardmäßig akzeptieren Liveereignisse Inhalte von jeder IPv4-Adresse. Um jede IPv4- oder IPv6-Adresse zuzulassen, lassen Sie sowohl IPv4- als auch IPv6-Adressen in der Liste der zulässigen IP-Adressen zu:
Die IP-Zulassungsliste für ein Liveereignis kann auch bestimmte IPv6-Adressen oder -Bereiche enthalten. IPv6-Unterstützung für die Schlüsselübermittlung Standardmäßig werden Inhaltsschlüsselanforderungen von jeder IPv4- oder IPv6-Adresse akzeptiert. Die Zulassungsliste für die Schlüsselübermittlungs-IP kann verwendet werden, um die IP-Adressen einzuschränken, die eine Verbindung mit Schlüsselübermittlungsendpunkten herstellen können.
Die Ip-Zulassungsliste kann Folgendes enthalten:
- IPv4-Adressen
- IPv4-CIDR-Bereiche
- IPv6-Adressen
- IPv6-CIDR-Bereiche
Im folgenden Beispiel wird die IP-Zulassungsliste für die Schlüsselübermittlung festgelegt:
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01
{
"properties": {
"storageAccounts": [
{
"id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
}
],
"keyDelivery": {
"accessControl": {
"defaultAction": "Deny",
"ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
}
},
},
"location": "westus"
}
In diesem Beispiel wird die Anforderung von den folgenden Adressen akzeptiert:
- IPv6-Adressen zwischen 2001:1234:1234:0000:0000:0000:0000:4567 und 2001:1234:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF,
- IPv6-Adresse 2001:1235:0000:0000:0000:0000:0000:0000
- IPv4-Adressen zwischen 10.0.0.0 und 10.0.255.255
Zusätzliche Beispiele:
- Um Anforderungen von einer beliebigen IP-Adresse zuzulassen, legen Sie die "defaultAction" des "accessControl"-Blocks auf "Allow" fest (und geben Sie keine "ipAllowList" an.
- Um alle IPv4-Adressen zuzulassen und alle IPv6-Adressen zu blockieren, legen Sie die IP-Zulassungsliste auf [ "0.0.0.0/0" ] fest.
- Um alle IPv6-Adressen zuzulassen und alle IPv6-Adressen zu blockieren, legen Sie die Ip-Zulassungsliste auf [ "::/0" ] fest.
Anfordern von Hilfe und Support
Sie können Media Services mit Fragen kontaktieren oder unsere Updates mit einer der folgenden Methoden verfolgen:
- Q & A
- Stack Overflow. Markieren Sie Fragen mit
azure-media-services. - @MSFTAzureMedia oder verwenden Sie @AzureSupport , um Support anzufordern.
- Öffnen Sie ein Supportticket über die Azure-Portal.