Azure Policy für Media Services
Warnung
Azure Media Services wird am 30. Juni 2024 eingestellt. Weitere Informationen finden Sie im Leitfaden zur Einstellung von AMS.
Azure Media Services bietet integrierte Azure Policy-Definitionen, die die Durchsetzung von Unternehmensstandards und Compliance in jedem Maßstab unterstützen. Häufige Anwendungsfälle für Azure Policy sind die Implementierung von Governance für Ressourcenkonsistenz, Einhaltung gesetzlicher Bestimmungen, Sicherheit, Kosten und Verwaltung.
Media Services enthält mehrere allgemeine Falldefinitionen für Azure Policy, die integriert sind, um Ihnen die ersten Schritte zu erleichtern.
Integrierte Azure Policy-Definitionen für Media Services
Für die Verwendung mit Media Services stehen mehrere integrierte Richtliniendefinitionen zur Verfügung, die Ihnen den Einstieg erleichtern und es Ihnen ermöglichen, Ihre eigenen Richtlinien zu definieren.
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Media Services-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Media Services-Ressourcen nicht über das öffentliche Internet zugänglich sind. Private Endpunkte können die Verfügbarkeit von Media Services-Ressourcen einschränken. Weitere Informationen finden Sie unter https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Deny, Disabled | 1.0.0 |
| Azure Media Services-Konten sollten ein API verwenden, welches Private Link unterstützt | Media Services-Konten sollten mit einem API erstellt werden, welches Private Link unterstützt. | Audit, Deny, Disabled | 1.0.0 |
| Azure Media Services-Konten, die Zugriff auf die Legacy-API (v2) erlauben, sollten blockiert werden | Die Media Services Legacy-API (v2) gestattet Anforderungen, die nicht über Azure Policy verwaltet werden können. Media Services-Ressourcen, die mit der API vom 01.05.2020 oder neuer erstellt wurden, blockieren den Zugriff auf die Legacy-API (v2). | Audit, Deny, Disabled | 1.0.0 |
| Azure Media Services-Richtlinien für symmetrische Schlüssel sollten die Tokenauthentifizierung verwenden | Richtlinien für symmetrische Schlüssel definieren die Bedingungen, die für den Zugriff auf symmetrische Schlüssel erfüllt sein müssen. Eine Tokeneinschränkung stellt sicher, dass nur Benutzer mit gültigen Token von einem Authentifizierungsdienst, z. B. Azure Active Directory, auf symmetrische Schlüssel zugreifen können. | Audit, Deny, Disabled | 1.0.0 |
| Azure Media Services-Aufträge mit HTTPS-Eingaben sollten Eingabe-URIs auf zulässige URI-Muster begrenzen | Beschränken Sie HTTPS-Eingaben, die von Media Services-Aufträgen verwendet werden, auf bekannte Endpunkte. Eingaben von HTTPS-Endpunkten können vollständig deaktiviert werden, indem eine leere Liste mit zulässigen Auftragseingabemustern festgelegt wird. Wenn in Auftragseingaben ein „baseUri“ angegeben wird, werden die Muster mit diesem Wert abgeglichen. Wenn „baseUri“ nicht festgelegt ist, wird das Muster mit der „files“-Eigenschaft abgeglichen. | Verweigern, deaktiviert | 1.0.1 |
| Azure Media Services-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihres Media Services-Kontos zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/mediaservicescmkdocs. | Audit, Deny, Disabled | 1.0.0 |
| Azure Media Services muss Private Link verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Media Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Media Services für die Verwendung privater DNS-Zonen konfigurieren | Verwenden Sie private DNS-Zonen, um die DNS-Auflösung für einen privaten Endpunkt außer Kraft zu setzen. Eine private DNS-Zone wird mit Ihrem virtuellen Netzwerk verknüpft, um Media Services-Konten aufzulösen. Weitere Informationen finden Sie unter https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Media Services mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihre virtuellen Netzwerke ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu Media Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
Die Liste der integrierten Richtliniendefinitionen für Media Services enthält die neuesten Definitionen und Links zu den Codedefinitionen und zur Vorgehensweise beim Zugreifen auf das Portal.
Häufige Szenarien, die Azure Policy erfordern
- Wenn die Sicherheit Ihres Unternehmens es erfordert, dass Sie sicherstellen, dass alle Media Services-Konten mit Private Links erstellt werden, können Sie mithilfe einer Richtliniendefinition sicherstellen, dass Konten nur mit der API 2020-05-01 (oder höher) erstellt werden, um den Zugriff auf die ältere REST v2-API zu deaktivieren und auf das Private Link-Feature zuzugreifen.
- Wenn Sie bestimmte Optionen für die Token durchsetzen möchten, die für Richtlinien von symmetrischen Schlüsseln verwendet werden, kann eine Azure Policy-Definition erstellt werden, um die spezifischen Anforderungen zu unterstützen.
- Wenn Ihre Sicherheitsziele es erfordern, dass eine Auftragseingabequelle nur von Ihren vertrauenswürdigen Speicherkonten stammen darf und der Zugriff auf externe HTTP(S)-Eingaben mithilfe von „JobInputHttp“ eingeschränkt werden muss, kann eine Azure-Richtlinie erstellt werden, um das URI-Eingabemuster zu begrenzen.
Beispiele für Richtliniendefinitionen
Azure Media Services verwaltet und veröffentlicht eine Reihe von Azure Policy-Beispieldefinitionen in GitHub. Weitere Informationen finden Sie in den Beispielen für integrierte Richtliniendefinitionen für Media Services im GitHub-Repository „azure-policy“.
Azure-Richtlinien, private Endpunkte und Media Services
Media Services legt mehrere integrierte Azure Policy-Definitionen fest, die die Durchsetzung von Unternehmensstandards und die Bewertung von Compliance im großen Stil unterstützen.
Azure Policy für private Endpunkte im Portal
Mit der Richtlinie Azure Media Services mit privaten Endpunkten konfigurieren können automatisch private Endpunkte für Media Services-Ressourcen erstellt werden. Die Parameter für die Richtlinie legen das Subnetz, in dem die private Verbindung erstellt werden soll, sowie die Gruppen-ID fest, die beim Erstellen des privaten Endpunkts verwendet werden soll. Für die automatische Erstellung privater Endpunkte für Schlüsselübermittlung, Liveereignisse und Streamingendpunkte muss die Richtlinie für jede Gruppen-ID separat zugewiesen werden. Das bedeutet Folgendes: Eine Richtlinienzuweisung muss mit der auf keydelivery festgelegten Gruppen-ID erstellt werden, eine zweite Richtlinienzuweisung wird mit der auf liveevent festgelegten Gruppen-ID erstellt, und eine dritte Zuordnung legt die Gruppen-ID auf streamingendpoint fest. Da diese Richtlinie Ressourcen bereitstellt, muss sie mit einer verwalteten Identität erstellt werden.
Mit der Richtlinie Azure Media Services für die Verwendung privater DNS-Zonen konfigurieren können private DNS-Zonen für private Media Services-Endpunkte erstellt werden. Diese Richtlinie wird auch separat für jede Gruppen-ID angewendet.
Mit der Richtlinie Azure Media Services muss Private Link verwenden werden Überwachungsereignisse für Media Services-Ressourcen generiert, für die keine private Verbindung aktiviert ist.
Azure Policy für Netzwerksicherheit
Wenn eine private Verbindung für den Zugriff auf Media Services-Ressourcen verwendet wird, ist eine allgemeine Voraussetzung, dass der Zugriff auf diese Ressourcen aus dem Internet eingeschränkt wird. Mit der Richtlinie Azure Media Services-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren können Media Services-Konten überwacht werden, die den öffentlichen Netzwerkzugriff zulassen.
Ausgehende Netzwerksicherheit
Mit Azure Policy kann eingeschränkt werden, wie Media Services auf externe Dienste zugreift. Die Richtlinie Azure Media Services-Aufträge mit HTTPS-Eingaben sollten Eingabe-URIs auf zulässige URI-Muster begrenzen. kann verwendet werden, um Media Services-Aufträge, die über HTTP- und HTTPS-URLS lesen, vollständig zu blockieren oder Media Services-Aufträge auf das Lesen über URLs zu beschränken, die bestimmten Mustern entsprechen.
Anfordern von Hilfe und Support
Sie können Media Services mit Fragen kontaktieren oder unsere Updates mit einer der folgenden Methoden verfolgen:
- Q & A
- Stack Overflow. Markieren Sie Fragen mit
azure-media-services. - @MSFTAzureMedia oder verwenden Sie @AzureSupport , um Support anzufordern.
- Öffnen Sie ein Supportticket über die Azure-Portal.