Tutorial: Verwenden von kundenseitig verwalteten Schlüsseln oder BYOK mit Media Services über das Azure-Portal

---

Warnung

Azure Media Services wird am 30. Juni 2024 eingestellt. Weitere Informationen finden Sie im Leitfaden zur Einstellung von AMS.

Mit der Version 2020-05-01 oder einer höheren Version der API können Sie einen kundenseitig verwalteten RSA-Schlüssel mit einem Azure Media Services-Konto verwenden, das eine vom systemseitig verwaltete Identität hat. Dieses Tutorial behandelt die Schritte im Azure-Portal.

Dies sind die verwendeten Dienste:

• Azure Storage
• Azure Key Vault
• Azure Media Services

In diesem Tutorial erfahren Sie, wie Sie das Azure-Portal für Folgendes verwenden:

• Erstellen Sie eine Ressourcengruppe.
• Erstellen eines Speicherkontos mit einer vom System verwalteten Identität.
• Erstellen eines Media Services-Kontos mit einer vom System verwalteten Identität.
• Erstellen eines Schlüsseltresors zum Speichern eines vom Kunden verwalteten RSA-Schlüssels.

Voraussetzungen

Ein Azure-Abonnement.

Falls Sie noch nicht über ein Azure-Abonnement verfügen, können Sie ein kostenloses Testkonto erstellen.

Systemseitig verwaltete Schlüssel

Erstellen einer Ressourcengruppe mit dem Portal

1. Wählen Sie auf dem Startbildschirm des Azure-Portals die Option Ressource erstellen aus. Der Marketplace-Bildschirm wird angezeigt.
2. Klicken Sie auf Ressourcengruppen. Eine Liste der Ressourcengruppen wird angezeigt.
3. Wählen Sie Hinzufügen. Der Bildschirm „Ressourcengruppe erstellen“ wird angezeigt.
4. Wählen Sie das Abonnement aus, das für diese Ressourcengruppe verwendet werden soll.
5. Geben Sie den Namen der Ressourcengruppe in das Feld Ressourcengruppe ein.
6. Wählen Sie die Region für die Ressourcengruppe aus.
7. Klicken Sie auf Überprüfen + erstellen.

Wichtig

Für die folgenden Schritte zum Erstellen eines Speicherkontos wählen Sie in „Erweiterte Einstellungen“ die Option für systemseitig verwaltete Schlüssel aus.

Erstellen eines Media Services-Kontos über das Portal

1. Melden Sie sich beim Azure-Portal an.

2. Wählen Sie Ressource erstellen aus.

3. Geben Sie im Suchfeld "Media Services" ein, und wählen Sie die EINGABETASTE aus. Suchergebnisse werden angezeigt, einschließlich einer Karte für Media Services.

4. Wählen Sie die media Services-Karte aus. Der Media Services-Detailbildschirm wird angezeigt.

5. Klicken Sie auf Erstellen. Der Bildschirm Erstellen eines Media Services-Kontos wird angezeigt.

6. Geben Sie im Abschnitt Erstellen eines Media Services-Kontos die erforderlichen Werte ein.

   Name	BESCHREIBUNG
   Kontoname	Geben Sie den Namen des neuen Media Services-Kontos ein. Der Name eines Media Services-Kontos darf nur Kleinbuchstaben oder Ziffern ohne Leerzeichen enthalten und muss aus 3 bis 24 Zeichen bestehen.
   Abonnement	Wenn Sie über mehrere Abonnements verfügen, wählen Sie eines aus der Liste der Azure-Abonnements aus, auf die Sie Zugriff haben.
   Ressourcengruppe	Wählen Sie die neue oder vorhandene Ressource aus. Eine Ressourcengruppe ist eine Sammlung von Ressourcen mit gleichem Lebenszyklus, gleichen Berechtigungen und gleichen Richtlinien. Hiererhalten Sie weitere Informationen.
   Location	Wählen Sie die geografische Region aus, in der die Medien- und Metadaten-Datensätze für Ihr Media Services-Konto gespeichert werden sollen. Dieser Bereich wird zum Verarbeiten und Streamen Ihrer Medien verwendet. Im Dropdownlistenfeld werden nur die verfügbaren Media Services-Regionen angezeigt.
   Speicherkonto	Wählen Sie ein Speicherkonto aus, das als Blobspeicher für die Medieninhalte aus Ihrem Media Services-Konto dienen soll. Sie können ein vorhandenes Speicherkonto in derselben geografischen Region wie Ihr Media Services-Konto auswählen oder ein neues Speicherkonto erstellen. Ein neues Speicherkonto wird in derselben Region erstellt. Für Namen von Speicherkonten gelten die gleichen Regeln wie für Namen von Media Services-Konten. Sie müssen über ein primäres Speicherkonto verfügen. Darüber hinaus können Sie beliebig viele sekundäre Speicherkonten an Ihr Media Services-Konto anfügen. Sie können das Azure-Portal verwenden, um sekundäre Speicherkonten hinzuzufügen. Weitere Informationen finden Sie unter Azure Storage-Konten mit Azure Media Services-Konten. Das Media Services-Konto und alle zugeordneten Speicherkonten müssen im gleichen Azure-Abonnement enthalten sein. Zur Vermeidung zusätzlicher Wartezeit und Kosten für ausgehenden Datenverkehr wird dringend empfohlen, Speicherkonten zu verwenden, die sich an demselben Ort wie das Media Services-Konto befinden.
   Erweiterte Einstellungen	Wählen Sie eine zuvor erstellte vom Benutzer verwaltete Identität aus der Dropdownliste aus, oder klicken Sie auf den Link, um eine neue vom Benutzer verwaltete Identität zu erstellen.

   Wichtig

   Alle neuen Media Services-Konten erfordern eine vom Benutzer verwaltete Identität. Zuvor erstellte Konten mit einer vom System verwalteten Identität haben sich nicht geändert.

7. Aktivieren Sie das Kontrollkästchen neben „Ich verfüge über alle Rechte zur Verwendung der Inhalte/Dateien und stimme einer Verarbeitung gemäß Bestimmungen für Onlinedienste und Datenschutzerklärung zu“, um den Inhalt zu bestätigen und fortzufahren.

8. Klicken Sie auf Überprüfen und erstellen oder fügen Sie über die Schaltfläche Weiter: Tags Tags hinzu.

9. Klicken Sie auf dem folgenden Bildschirm auf Erstellen. Die Bereitstellung beginnt.

Erstellen eines Schlüsseltresors im Portal

1. Geben Sie Schlüsseltresor in das suchfeld Standard ein, und wählen Sie Key Vault aus, wenn es in den Suchergebnissen angezeigt wird.
2. Wählen Sie Schlüsseltresor erstellen aus. Der Bildschirm „Schlüsseltresor erstellen“ wird angezeigt.
3. Wählen Sie die Ressourcengruppe aus, die Sie verwenden möchten, oder erstellen Sie eine neue.
4. Geben Sie einen Namen in das Feld Key Vault Name ein.
5. Wählen Sie die Region aus der Dropdownliste Region aus.
6. Wählen Sie in der Dropdownliste Tarif einen Tarif aus.
7. Geben Sie im Feld Tage zum Aufbewahren gelöschter Tresore die Anzahl der Tage ein.
8. Aktivieren oder deaktivieren Sie den Löschschutz mithilfe der Optionsfelder Schutz löschen .
9. Wählen Sie Weiter aus. Der Bildschirm „Zugriffsrichtlinie“ wird angezeigt.
10. Wählen Sie entweder die Tresor-Zugriffsrichtlinie oder die rollenbasierte Zugriffssteuerung in Azure aus, um dem Benutzer die entsprechenden Berechtigungen zu erteilen.
11. Optional: Aktivieren Sie mindestens eines der Kontrollkästchen Ressourcenzugriff .
12. Optional: Wählen Sie den Benutzer in der Liste Benutzer aus, wenn Sie eine präzisere Steuerung des Zugriffs wünschen.
13. Wählen Sie Weiter aus. Der Bildschirm „Netzwerk“ wird angezeigt.
14. Aktivieren oder deaktivieren Sie das Kontrollkästchen Öffentlichen Zugriff aktivieren . Wenn Sie den öffentlichen Zugriff deaktivieren möchten:
    1. Wählen Sie das Optionsfeld Alle Netzwerke aus, um den gesamten öffentlichen Zugriff zuzulassen, oder wählen Sie das Optionsfeld Ausgewählte Netzwerke aus, um den Netzwerkdatenverkehr auf ausgewählte IP-Adressen zu beschränken.
    2. Wählen Sie den Pfeil + Virtuelles Netzwerk hinzufügen nach unten aus, und wählen Sie entweder Vorhandene virtuelle Netzwerke hinzufügen oder Neues virtuelles Netzwerk hinzufügen aus. Wählen Sie im ersten Fall das bereits erstellte virtuelle Netzwerk aus. Im zweiten Fall wird der Bildschirm Virtuelles Netzwerk erstellen angezeigt, und Sie verwenden ihn, um ein virtuelles Netzwerk zu erstellen.
15. Aktivieren Sie das Kontrollkästchen Vertrauenswürdigen Microsoft-Diensten die Umgehung dieser Firewall erlauben , wenn Sie Zugriff auf andere Dienste gewähren möchten.
16. Optional: Wählen Sie Privaten Endpunkt erstellen aus, wenn Sie einen privaten Endpunkt für den Schlüsseltresor erstellen möchten. Der Bildschirm Privaten Endpunkt erstellen wird angezeigt.
    1. Wählen Sie das Abonnement, mit dem Sie arbeiten möchten, im Dropdownmenü Abonnement aus, wenn es nicht bereits zusammen mit der Ressourcengruppe ausgewählt ist.
    2. Wählen Sie einen Standort (Region) aus der Dropdownliste Standort aus.
    3. Geben Sie im Feld Name einen Namen für den privaten Endpunkt ein.
    4. Wählen Sie in der Dropdownliste Virtuelles Netzwerk das bereits erstellte virtuelle Netzwerk aus.
    5. Wählen Sie das Subnetz aus der Dropdownliste Subnetz aus.
    6. Wählen Sie In private DNS-Zone integrieren aus, um zwischen Ja oder Nein umzuschalten.
    7. Wählen Sie die Zone aus der Dropdownliste Privates DNS Zone aus.
17. Klicken Sie auf Überprüfen + erstellen. Das Portal sucht nach Problemen mit dem Setup.
18. Wählen Sie Erstellen aus, um den Schlüsseltresor bereitzustellen.

Aktivieren von kundenseitig verwalteten Schlüsseln für ein Media Services-Konto im Azure-Portal

1. Navigieren Sie nach dem Erstellen des Media Services-Kontos im Azure-Portal zu diesem Konto.
2. Wählen Sie Verschlüsselung aus.
3. Wählen Sie unter Verschlüsselungstyp die Option Kundenseitig verwaltete Schlüssel aus.
4. Wählen Sie die Identität aus der Dropdownliste Verwaltete Identität aus.
5. Wählen Sie das Optionsfeld Aus Schlüsseltresor auswählen aus.
6. Wählen Sie die Schaltfläche Schlüsseltresor auswählen aus. Der Bildschirm Schlüssel auswählen wird angezeigt.
7. Wählen Sie den Schlüsseltresor aus der Dropdownliste Schlüsseltresor aus.
8. Wählen Sie den Schlüssel aus der Liste Schlüssel aus, oder erstellen Sie einen neuen Schlüssel.
9. Wählen Sie Speichern aus.

Wichtig

Für die folgenden Schritte zur Speicherverschlüsselung wählen Sie die Option Kundenseitig verwalteter Schlüssel aus.

Festlegen der Verschlüsselung für ein Speicherkonto

1. Navigieren Sie im Azure-Portal zu dem Abonnement, mit dem Sie arbeiten möchten.
2. Wählen Sie Ressourcen aus. Der Bildschirm Ressourcen wird mit einer Liste aller Ressourcen für dieses Abonnement angezeigt.
3. Geben Sie im Feld Suchen oben auf dem Bildschirm den Namen (oder einen Teil des Namens) des Speicherkontos ein, das Sie verschlüsseln möchten. Daraufhin werden unterhalb des Suchfelds Treffer angezeigt.
4. Wählen Sie das gewünschte Speicherkonto aus. Der Speicherkontobildschirm wird angezeigt.
5. Wählen Sie Verschlüsselung aus.
6. Wählen Sie entweder das Optionsfeld Von Microsoft verwaltete Schlüssel oder Kundenseitig verwaltete Schlüssel aus.

Verwenden der von Microsoft verwalteten Schlüssel

Standardmäßig werden Daten im Speicherkonto mit von Microsoft verwalteten Schlüsseln verschlüsselt.

Verwenden kundenseitig verwalteter Schlüssel

1. Wählen Sie Von Kunden verwaltete Schlüssel aus.
2. Wählen Sie entweder Schlüssel-URI eingeben oder Aus Schlüsseltresor auswählen aus.
   1. Geben Sie bei Verwendung von Schlüssel-URI eingeben den Schlüssel-URI in das entsprechende Feld ein, und wählen Sie das Abonnement aus. (Gegebenenfalls wurde es bereits automatisch ausgewählt.)
   2. Wenn Sie Aus Schlüsseltresor auswählen auswählen, wählen Sie Schlüsseltresor und Schlüssel auswählen aus. Der Bildschirm zum Auswählen des Schlüssels aus Azure Key Vault wird angezeigt.
3. Wählen Sie die Instanz von Key Vault aus, die Sie verwenden möchten, und wählen Sie entweder einen Schlüssel aus, der bereits in Ihrem Schlüsseltresor vorhanden ist, oder erstellen Sie einen neuen Schlüssel.
   1. Wenn Sie sich für die Erstellung eines neuen Schlüssels entscheiden, wählen Sie in der Dropdownliste Optionen entweder Generieren oder Importieren aus. Sie können nur RSA-Schlüssel importieren.
   2. Wenn Sie einen neuen Schlüssel generieren möchten, geben Sie dem Schlüssel im Feld Name einen Namen, und wählen Sie dann den Schlüsseltyp aus:
      1. RSA – Schlüsselgrößen: 2048,3072 oder 4096. Diese Option wird von den meisten Kunden verwendet.
      2. EC – Elliptic Curve-Namen: P-256, P-384, P-521 oder P-256K
      3. Falls gewünscht, können Sie das Aktivierungs- und das Ablaufdatum des Schlüssels festlegen.
      4. Wählen Sie Ja aus, um die automatische Schlüsselrotation zu aktivieren.
      5. Klicken Sie auf Erstellen.
   3. Wenn Sie einen Schlüssel importieren möchten, wählen Sie die hochzuladende Datei aus, indem Sie auf eine beliebige Stelle im Feld Datei auswählen klicken.
      1. Geben Sie dem Schlüssel im Feld Name einen Namen.
      2. Falls gewünscht, können Sie das Aktivierungs- und das Ablaufdatum des Schlüssels festlegen.
      3. Wählen Sie Ja aus, um die automatische Schlüsselrotation zu aktivieren.
      4. Klicken Sie auf Erstellen.
   4. Wählen Sie Auswählen aus, um diesen Schlüssel für die Verschlüsselung Ihres Speicherkontos auszuwählen. Daraufhin gelangen Sie wieder zum Verschlüsselungsbildschirm.
4. WICHTIG! Wählen Sie Speichern aus, um Ihre Verschlüsselungseinstellungen zu speichern. Andernfalls wird die gesamte soeben vorgenommene Konfiguration verworfen.

Ändern des Schlüssels

Media Services erkennt Änderungen des Schlüssels automatisch. OPTIONAL: Um diesen Vorgang zu testen, erstellen Sie eine weitere Schlüsselversion für denselben Schlüssel. Media Services sollte erkennen, dass dieser Schlüssel geändert wurde.

Bereinigen von Ressourcen

Wenn Sie die von Ihnen erstellten Ressourcen nicht weiter verwenden möchten und sie Ihnen nicht mehr in Rechnung gestellt werden sollen, löschen Sie sie.

Anfordern von Hilfe und Support

Sie können Media Services mit Fragen kontaktieren oder unsere Updates mit einer der folgenden Methoden verfolgen:

• Q & A
• Stack Overflow. Markieren Sie Fragen mit azure-media-services.
• @MSFTAzureMedia oder verwenden Sie @AzureSupport , um Support anzufordern.
• Öffnen Sie ein Supportticket über die Azure-Portal.