Restreindre l’accès à la licence DRM et à la distribution de clé AES à l’aide de listes d’adresses IP autorisées
Avertissement
Azure Media Services sera mis hors service le 30 juin 2024. Pour plus d’informations, consultez le Guide de mise hors service AMS.
Lors de la sécurisation des supports avec les fonctions de Protection du contenu et DRM des services multimédia, vous pouvez rencontrer des scénarios où vous devez limiter la livraison des licences ou des requêtes de clé à une plage spécifique d’IP d’appareils client sur votre réseau. Pour limiter la lecture et la remise de contenu des clés, vous pouvez utiliser la liste d’adresses IP autorisées pour la remise de clés.
En outre, vous pouvez également utiliser la liste d’autorisation pour bloquer complètement tout l’accès Internet public au trafic de remise de clé et autoriser uniquement le trafic à partir de vos points de terminaison de réseau privé.
La liste d’adresses IP autorisées pour la remise de clés limite la remise de licences DRM et de clés AES-128 aux clients au sein de la plage d’adresses IP autorisées fournie.
Media Services prend en charge IPv6 pour la diffusion en continu. Les services d’événement en direct Media Services, de point de terminaison de streaming et de remise de clés peuvent être utilisés par les clients sur IPv4 et IPv6.
Définition de la liste d’autorisation pour la remise de clés
Les paramètres de la liste d’adresses IP autorisées pour la remise de clés se trouvent sur la ressource de compte Media Services. Lors de la création d’un nouveau compte Media Services, vous pouvez restreindre les plages d’adresses IP autorisées grâce à la propriété KeyDelivery de la ressource de compte Media Services.
La propriété defaultAction peut être définie sur « Autoriser » ou « Refuser » pour contrôler la livraison des licences et des clés aux clients dans la plage de la liste d’autorisation.
La propriété ipAllowList est un tableau de plages et/ou d’adresses IPv4 ou IPv6 uniques utilisant la notation CIDR.
Définition de la liste d’autorisation dans le portail
Le portail Azure fournit une méthode pour configurer et mettre à jour les listes d’adresses IP autorisées pour la remise de clés. Connectez-vous à votre compte Media Services et accédez au menu Livraison de clés sous Paramètres.
Prise en charge IPv6 des points de terminaison de streaming
Lorsqu’un point de terminaison de streaming est configuré pour utiliser un CDN, la prise en charge des adresses IP est configurée dans les paramètres du fournisseur CDN.
Pour les points de terminaison de streaming qui n’utilisent pas de CDN, par défaut, les points de terminaison de streaming acceptent les demandes provenant de n’importe quelle adresse IPv4. Pour activer toutes les adresses IPv4 et IPv6, créez autoriser les adresses IPv4 et IPv6 dans la liste d’adresses IP autorisées :
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8
{
"properties": {
"accessControl": {
"ip": {
"allow": [
{
"name": "Allow all IPv6 addresses",
"address": "::",
"subnetPrefixLength": 0
},
{
"name": "Allow all IPv4 addresses",
"address": "0.0.0.0",
"subnetPrefixLength": 0
}
]
}
},
"cdnEnabled": false
},
"location": "{resourceLocation}"
}
La liste d’adresses IP autorisées pour un point de terminaison de streaming peut également inclure des adresses ou des plages IPv6 spécifiques.
Prise en charge IPv6 des événements en direct
Par défaut, les événements en direct acceptent le contenu de n’importe quelle adresse IPv4. Pour autoriser n’importe quelle adresse IPv4 ou IPv6, autorisez les adresses IPv4 et IPv6 dans la liste d’adresses IP autorisées :
La liste d’adresses IP autorisées pour un événement en direct peut également inclure des adresses ou des plages IPv6 spécifiques. Prise en charge de la distribution de clé IPv6 Par défaut, les demandes de clé de contenu sont acceptées à partir de n’importe quelle adresse IPv4 ou IPv6. La liste d’adresses IP autorisées de remise de clés peut être utilisée pour restreindre les adresses IP susceptibles de se connecter aux points de terminaison de remise de clé.
La liste d’adresses IP autorisées peut contenir :
- Adresses IPv4
- Plages CIDR IPv4
- Adresses IPv6
- Plages CIDR IPv6
L’exemple suivant définit la liste d’adresses IP autorisées pour la remise de clé :
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01
{
"properties": {
"storageAccounts": [
{
"id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
}
],
"keyDelivery": {
"accessControl": {
"defaultAction": "Deny",
"ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
}
},
},
"location": "westus"
}
Pour cet exemple, la demande provenant des adresses suivantes est acceptée :
- Adresses IPv6 comprises entre 2001 :1234 :1234 :0000 :0000 :0000 :0000 :4567 et 2001 :1234 :FFFF :FFFF :FFFF :FFFF :FFFF,
- Adresse IPv6 2001 :1235 :0000 :0000 :0000 :0000 :0000 :0000
- Adresses IPv4 comprises entre 10.0.0.0 et 10.0.255.255
Autres exemples :
- Pour autoriser les demandes provenant de n’importe quelle adresse IP, définissez « defaultAction » du bloc « accessControl » sur « Allow » (et ne spécifiez pas de « ipAllowList »)
- Pour autoriser toutes les adresses IPv4 et bloquer toutes les adresses IPv6, définissez la liste d’adresses IP autorisées sur [ « 0.0.0.0/0 » ]
- Pour autoriser toutes les adresses IPv6 et bloquer toutes les adresses IPv6, définissez la liste d’adresses IP autorisées sur [ « ::/0 » ]
Obtenir de l’aide et du support
Vous pouvez contacter Media Services pour toute question ou suivre nos mises à jour selon l’une des méthodes suivantes :
- Q & R
-
Stack Overflow. Étiquetez les questions avec
azure-media-services
. - @MSFTAzureMedia ou utiliser @AzureSupport pour demander de l’aide.
- Ouvrez un ticket de support via le Portail Azure.