Tutorial: Uso de Azure Portal para emplear claves administradas por el cliente o BYOK con Media Services

---

Advertencia

Azure Media Services se retirará el 30 de junio de 2024. Para obtener más información, consulte la Guía de retirada de AMS.

Con la API 2020-05-01 o una versión anterior, puede usar una clave RSA administrada por el cliente con una cuenta de Azure Media Services que tenga una identidad administrada por el sistema. Este tutorial indica los pasos en Azure Portal.

Los servicios utilizados son:

• Azure Storage
• Azure Key Vault
• Azure Media Services

En este tutorial, aprenderá a usar Azure Portal para las siguientes acciones:

• Cree un grupo de recursos.
• Crear una cuenta de almacenamiento con una identidad administrada por el sistema.
• Crear una cuenta de Media Services con una identidad administrada por el sistema.
• Crear un almacén de claves para almacenar una clave RSA administrada por el cliente.

Requisitos previos

Suscripción a Azure.

Si no tiene ninguna suscripción a Azure, cree una cuenta de evaluación gratuita.

Claves administradas por el sistema

Creación de un grupo de recursos con el portal

1. En la pantalla de inicio de Azure Portal, seleccione Crear un recurso. Aparecerá la pantalla de Marketplace.
2. Seleccione Grupos de recursos. Aparecerá una lista de grupos de recursos.
3. Seleccione Agregar. Aparecerá la pantalla Crear un grupo de recursos.
4. Seleccione la suscripción que desea usar para este grupo de recursos.
5. Escriba el nombre del grupo de recursos en el campo Grupo de recursos.
6. Seleccione la Región del grupo de recursos.
7. Seleccione Revisar + crear.

Importante

En los siguientes pasos de creación de la cuenta de almacenamiento, seleccionará la opción de clave administrada por el sistema en la configuración avanzada.

Creación de una cuenta de Media Services con el portal

1. Inicie sesión en Azure Portal.

2. Seleccione +Crear un recurso.

3. En el campo de búsqueda, escriba "Media Services" y seleccione Entrar. Los resultados de la búsqueda aparecerán incluyendo una tarjeta para Media Services.

4. Seleccione la tarjeta de Media Services . Aparecerá la pantalla de detalles de Media Services.

5. Seleccione Crear. Aparecerá la pantalla Crear una cuenta de Media Services.

6. En la sección Creación de una cuenta de Media Services escriba los valores necesarios.

   Nombre	Descripción
   Nombre de cuenta	Escriba el nombre de la nueva cuenta de Media Services. El nombre de la cuenta de Media Services debe estar compuesto totalmente de minúsculas o de números, sin espacios, y con una longitud de entre 3 y 24 caracteres.
   Suscripción	Si tiene más de una suscripción, en la lista de suscripciones de Azure seleccione una de entre aquellas a las que tiene acceso.
   Grupo de recursos	Seleccione el recurso nuevo o existente. Un grupo de recursos es una colección de recursos que comparten ciclos de vida, permisos y directivas. Obtenga más información aquí.
   Ubicación	Seleccione la región geográfica que se usará para almacenar los registros de elementos multimedia y de metadatos para la cuenta de Media Services. Esta región se utilizará para procesar y transmitir contenido multimedia. Solo las regiones de Media Services disponibles aparecen en la lista desplegable.
   Storage Account	Seleccione una cuenta de almacenamiento para proporcionar almacenamiento de blobs del contenido multimedia desde la cuenta de Media Services. Puede seleccionar una cuenta de almacenamiento existente en la misma región geográfica que la cuenta de Media Services o crear una nueva cuenta de almacenamiento. Se crea una nueva cuenta de almacenamiento en la misma región. Las reglas para los nombres de cuenta de almacenamiento son las mismas que para las cuentas de Media Services. Debe tener una cuenta de almacenamiento Principal y puede tener cualquier número de cuentas de almacenamiento Secundarias asociadas a su cuenta de Media Services. Puede usar Azure Portal para agregar cuentas de almacenamiento secundarias. Para más información, consulte Cuentas de Azure Storage con cuentas de Azure Media Services. La cuenta de Media Services y todas las cuentas de almacenamiento asociadas deben estar en la misma suscripción de Azure. Se recomienda encarecidamente usar cuentas de almacenamiento que se encuentren en la misma ubicación que la cuenta de Media Services para evitar costos adicionales debidos a la latencia y a la salida de datos.
   Configuración avanzada	Seleccione una identidad administrada de usuario creada previamente en la lista desplegable o cree una nueva identidad administrada por el usuario seleccionando el vínculo.

   Importante

   Todas las cuentas nuevas de Media Services requieren una identidad administrada por el usuario. Las cuentas creadas anteriormente que tienen una identidad administrada por el sistema no han cambiado.

7. Para confirmar y continuar, active la casilla junto a "Tengo todos los derechos para usar el contenido o archivo y acepto que se controlará según el Términos de los Servicios en Línea y la declaración de privacidad de Microsoft".

8. Haga clic en Revisar y crear o agregar etiquetas con el botón Siguiente:Etiquetas.

9. Haga clic en Crear en la pantalla siguiente. Se inicia la implementación.

Creación de un almacén de claves con el portal

1. Escriba Key Vault en el campo de búsqueda principal y seleccione Key Vault cuando aparezca en los resultados de la búsqueda.
2. Seleccione Crear almacén de claves. Aparece la pantalla Crear almacén de claves.
3. Seleccione el grupo de recursos que desea usar o cree uno nuevo.
4. Escriba un nombre en el campo Key Vault nombre.
5. Seleccione la región en la lista desplegable Región .
6. Seleccione un plan de tarifa en la lista desplegable Plan de tarifa.
7. Escriba el número de días en el campo Días para conservar los almacenes eliminados .
8. Habilite o deshabilite la protección de purga mediante los botones de radio Protección de purga .
9. Seleccione Next (Siguiente). Aparecerá la pantalla Directiva de acceso.
10. Seleccione la directiva de acceso de Vault o el control de acceso basado en rol de Azure para conceder al usuario los permisos adecuados.
11. Opcional: active una o varias de las casillas Acceso a recursos.
12. Opcional: seleccione el usuario en la lista Usuario si desea un control más específico del acceso.
13. Seleccione Next (Siguiente). Aparecerá la pantalla Redes.
14. Active o anule la selección de la casilla Habilitar acceso público . Si decide deshabilitar el acceso público:
    1. Seleccione el botón de radio Todas las redes para permitir todo el acceso público o seleccione el botón de radio Redes seleccionadas para restringir el tráfico de red a direcciones IP seleccionadas.
    2. Seleccione la flecha abajo + Agregar una red virtual y seleccione Agregar redes virtuales existentes o Agregar nueva red virtual. En el primer caso, seleccione la red virtual ya creada. En el segundo caso, aparece la pantalla Crear red virtual y la usará para crear una red virtual.
15. Active la casilla Permitir que los servicios de Microsoft de confianza omitan este firewall si desea conceder acceso a otros servicios.
16. Opcional: seleccione Crear un punto de conexión privado si desea crear un punto de conexión privado para el almacén de claves. Aparecerá la pantalla Crear punto de conexión privado.
    1. Seleccione la suscripción con la que desea trabajar en el menú desplegable Suscripción si aún no está seleccionada junto con el grupo de recursos.
    2. Seleccione una ubicación (región) en la lista desplegable Ubicación .
    3. Escriba un nombre para el punto de conexión privado en el campo Nombre .
    4. Seleccione la red virtual ya creada en la lista desplegable Red virtual .
    5. Seleccione la subred en la lista desplegable Subred .
    6. Seleccione Integrar con la zona DNS privada para alternar entre Sí o No.
    7. Seleccione la zona en la lista desplegable DNS privado zona.
17. Seleccione Revisar + crear. El portal comprobará si hay problemas con la configuración.
18. Seleccione Crear para implementar el almacén de claves.

Habilitación de claves administradas por el cliente en una cuenta de Media Services en el Azure Portal

1. Después de crear la cuenta de Media Services, vaya a ella en el Azure Portal.
2. Seleccione Cifrado.
3. Seleccione Claves administradas por el cliente en Tipo de cifrado.
4. Seleccione la identidad en la lista desplegable Identidad administrada .
5. Seleccione el vínculo Seleccionar desde el botón de radio del almacén de claves .
6. Seleccione el botón Seleccionar almacén de claves . Aparecerá la pantalla Seleccionar una tecla.
7. Seleccione el almacén de claves en la lista desplegable Almacén de claves.
8. Seleccione la clave de la lista Clave o cree una nueva.
9. Seleccione Guardar.

Importante

En los siguientes pasos de cifrado de almacenamiento, seleccionará la opción de clave administrada por el cliente.

Establecimiento del cifrado en una cuenta de almacenamiento

1. En el Azure Portal, vaya a la suscripción con la que desea trabajar.
2. Seleccione Recursos. La pantalla Recursos aparecerá con una lista de todos los recursos de esa suscripción.
3. Escriba el nombre (o parte del nombre) de la cuenta de almacenamiento que desea cifrar en el campo Buscar en la parte superior de la pantalla. Las coincidencias aparecerán debajo del campo de búsqueda.
4. Seleccione la cuenta de almacenamiento que busca. Aparecerá la pantalla de la cuenta de almacenamiento.
5. Seleccione Cifrado.
6. Seleccione el botón de radio Claves administradas por Microsoft o Claves administradas por el cliente .

Uso de claves administradas por Microsoft

De manera predeterminada, los datos de la cuenta de almacenamiento se cifran con claves administradas por Microsoft.

Uso de claves administradas por el cliente

1. Select Claves administradas por el cliente.
2. Seleccione Escribir el URI de la clave o Seleccionar de Key Vault.
   1. Si selecciona Escribir el URI de la clave, escriba el identificador URI de la clave en el campo Identificador URI de la clave y seleccione la suscripción. (Puede que ya esté seleccionada).
   2. Si selecciona Seleccionar en el almacén de claves, seleccione Seleccionar un almacén de claves y una clave. Aparecerá la pantalla Seleccionar clave desde Azure Key Vault.
3. Seleccione el almacén de claves que desea usar y seleccione una clave que ya tenga en el almacén de claves o Crear una nueva clave.
   1. Si decide crear una nueva clave, seleccione Generar o Importar desde el desplegable Opciones. Solo puede importar claves RSA.
   2. Para generar una nueva clave, asigne un nombre a la clave en el campo Nombre y seleccione el tipo de clave:
      1. Tamaños de clave de RSA: 2048, 3072 o 4096. Esto es lo que la mayoría de los clientes eligen.
      2. EC: nombres de curva elíptica: P-256, P-384, P-521 o P-256K
      3. Opcionalmente, puede establecer las fechas de activación y expiración de la clave.
      4. Seleccione Sí para habilitar la rotación de claves automática.
      5. Seleccione Crear.
   3. Para importar una clave, seleccione el archivo que se va a cargar mediante un clic en Seleccionar un campo de archivo.
      1. Asigne un nombre a la clave en el campo Nombre.
      2. Opcionalmente, puede establecer las fechas de activación y expiración de la clave.
      3. Seleccione Sí para habilitar la rotación de claves automática.
      4. Seleccione Crear.
   4. Seleccione Seleccionar para seleccionar esta clave para cifrar la cuenta de almacenamiento. Volverá a la pantalla de cifrado.
4. IMPORTANTE: Seleccione Guardar para guardar la configuración de cifrado o se perderán todos los cambios que acaba de hacer.

Cambio de la clave

Media Services detecta automáticamente cuándo se cambia la clave. OPCIONAL: Para probar este proceso, cree otra versión de clave para la misma clave. Media Services debe detectar que se ha cambiado la clave.

Limpieza de recursos

Si no va a seguir usando los recursos que ha creado y no desea que se le siga facturando, elimínelos.

Obtener ayuda y soporte técnico

Puede ponerse en contacto con Media Services con preguntas o seguir nuestras actualizaciones mediante uno de los métodos siguientes:

• PREGUNTAS Y RESPUESTAS
• Stack Overflow. Etiquete preguntas con azure-media-services.
• @MSFTAzureMedia o use @AzureSupport para solicitar soporte técnico.
• Abra una incidencia de soporte técnico a través del Azure Portal.