Utiliser des clés BYOK (clé gérées par le client) avec Media Services
Avertissement
Azure Media Services sera mis hors service le 30 juin 2024. Pour plus d’informations, consultez le Guide de mise hors service AMS.
Bring Your Own Key (BYOK) est une initiative à l’échelle d’Azure qui aide les clients à déplacer leurs charges de travail vers le cloud. Les clés gérées par le client permettent aux clients d’adhérer aux réglementations du secteur en matière de conformité et d’améliorer l’isolation des locataires d’un service. Le fait de donner le contrôle des clés de chiffrement aux clients est un moyen de réduire l’accès et le contrôle inutiles et d’améliorer la confiance dans les services Microsoft.
Clés et gestion des clés
Vous pouvez utiliser votre propre clé avec Media Services lorsque vous utilisez l’API Media Services 2020-05-01 ou ultérieure. Une clé de compte par défaut est créée pour tous les comptes chiffrés par une clé système appartenant à Media Services. Lorsque vous utilisez votre propre clé, la clé de compte est chiffrée avec votre clé. Les clés de contenu sont chiffrées par la clé de compte. Les URL JobInputHttp et les clés de validation de jeton symétriques sont également chiffrées.
Media Services utilise l’identité managée du compte Media Services pour lire votre clé à partir du Key Vault dont vous êtes propriétaire. Media Services exige que le Key Vault se trouve dans la même région que le compte, et que les options de suppression réversible et de protection contre la suppression définitive soient activées.
Votre clé peut être une clé RSA 2048, 3072 ou 4096, et les clés HSM et logicielles sont toutes deux prises en charge.
Notes
Les clés EC ne sont pas prises en charge.
Vous pouvez spécifier un nom et une version de clé, ou simplement un nom de clé. Si vous utilisez seulement un nom de clé, Media Services utilise la dernière version de la clé. Les nouvelles versions de clés de client sont détectées automatiquement et la clé de compte est à nouveau chiffrée.
Avertissement
Media Services surveille l’accès à la clé de client. Si la clé de client devient inaccessible (par exemple, si elle-même, le Key Vault ou l’autorisation d’accès est supprimé), Media Services définit l’état de la clé de client du compte sur Inaccessible (ce qui a pour effet de désactiver le compte). Le compte peut toutefois être supprimé même dans cet état. Les seules opérations prises en charge sont les opérations d’extraction (GET), de liste (LIST) et de suppression (DELETE) de compte. Toutes les autres requêtes (encodage, diffusion en continu, etc.) échouent tant que l’accès à la clé du compte n’est pas restauré.
Double chiffrement
Media Services prend automatiquement en charge le chiffrement double. Pour les données au repos, la première couche de chiffrement utilise une clé gérée par le client ou une clé gérée par Microsoft en fonction du paramètre AccountEncryption sur le compte. La deuxième couche de chiffrement des données au repos est fournie automatiquement à l’aide d’une clé gérée par Microsoft distincte. Pour en savoir plus sur le double chiffrement, consultez Double chiffrement Azure.
Notes
Le chiffrement double est activé automatiquement sur le compte Media Services. Toutefois, vous devez configurer séparément la clé gérée par le client et le chiffrement double sur votre compte de stockage. Pour plus d’informations, consultez Chiffrement du stockage.
Tutoriels
Obtenir de l’aide et du support
Vous pouvez contacter Media Services pour vous poser des questions ou suivre nos mises à jour en suivant l’une des méthodes suivantes :
- Q & R
- Stack Overflow. Balisez les questions avec
azure-media-services. - @MSFTAzureMedia ou utiliser @AzureSupport pour demander du support.
- Ouvrez un ticket de support via le Portail Azure.