Azure Policy pour Media Services
Avertissement
Azure Media Services sera mis hors service le 30 juin 2024. Pour plus d’informations, consultez le Guide de mise hors service AMS.
Azure Media Services fournit des définitions Azure Policy intégrées pour aider à appliquer les normes organisationnelles et la conformité à l’échelle. Les cas d’usage courants pour Azure Policy incluent la mise en œuvre de la gouvernance pour la cohérence des ressources, la conformité réglementaire, la sécurité, le coût et la gestion.
Media Services fournit plusieurs définitions de cas d’usage courantes pour Azure Policy pour vous aider à démarrer.
Définitions Azure Policy intégrées pour Media Services
Plusieurs définitions de stratégies intégrées peuvent être utilisées avec Media Services pour vous aider à démarrer et vous permettre de définir vos propres stratégies personnalisées.
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes Azure Media Services doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public améliore la sécurité en garantissant que les ressources Media Services ne sont pas exposées sur le réseau Internet public. La création de points de terminaison privés peut limiter l’exposition des ressources Media Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes Azure Media Services doivent utiliser une API qui prend en charge Private Link | Les comptes Media Services doivent être créés avec une API qui prend en charge la liaison privée. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes Azure Media Services qui autorisent l’accès à l’API v2 héritée doivent être bloqués | L’API héritée Media Services v2 autorise les requêtes qui ne peuvent pas être managées à l’aide d’Azure Policy. Les ressources Media Services créées à l’aide de l’API 2020-05-01 ou version ultérieure bloquent l’accès à l’API v2 héritée. | Audit, Refuser, Désactivé | 1.0.0 |
| Les stratégies de clé de contenu Azure Media Services doivent utiliser l’authentification par jeton | Les stratégies de clés de contenu définissent les conditions requises pour accéder aux clés de contenu. Une restriction par jeton garantit que les clés de contenu sont accessibles uniquement aux utilisateurs qui ont des jetons valides à partir d’un service d’authentification, par exemple Azure Active Directory. | Audit, Refuser, Désactivé | 1.0.0 |
| Les tâches Azure Media Services avec des entrées HTTPS doivent limiter les URI d’entrée aux modèles d’URI autorisés | Restreignez les entrées HTTPS utilisées par les tâches Media Services aux points de terminaison connus. Les entrées des points de terminaison HTTPS peuvent être entièrement désactivées en définissant une liste vide de modèles d’entrée de tâche autorisés. Quand les entrées de tâche spécifient un « baseUri », les modèles sont comparés à cette valeur. Quand « baseUri » n’est pas défini, le modèle est mis en correspondance avec la propriété « files ». | Deny, Disabled | 1.0.1 |
| Azure Media Services doit utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de vos comptes Media Services. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/mediaservicescmkdocs. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure Media Services doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Media Services, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure Media Services pour utiliser des zones DNS privées | Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel à résoudre en compte Media Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure Media Services avec des points de terminaison privés | Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Media Services, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Désactivé | 1.0.0 |
La liste des définitions de stratégie intégrées pour Media Services fournit les dernières définitions, et lie les définitions de code et la façon d’y accéder dans le portail.
Scénarios courants nécessitant Azure Policy
- Si la sécurité de votre entreprise vous oblige à vous assurer que tous les comptes Media Services sont créés avec des liens privés, vous pouvez utiliser une définition de stratégie pour vous assurer que les comptes sont créés uniquement avec l’API 2020-05-01 (ou version ultérieure) pour désactiver l’accès à l’API REST héritée v2 et accéder à la fonctionnalité Private Link.
- Si vous souhaitez appliquer des options spécifiques sur les jetons utilisés pour les stratégies de clés de contenu, une définition Azure Policy peut être conçue pour prendre en charge les exigences spécifiques.
- Si vos objectifs de sécurité vous obligent à limiter une source d’entrée de travail de façon à ce qu’elle provienne uniquement de vos comptes de stockage approuvés, et à limiter l’accès aux entrées HTTP(S) externes via l’utilisation de JobInputHttp, une stratégie Azure peut être conçue pour limiter le modèle d’URI d’entrée.
Exemples de définitions de stratégie
Azure Media Services gère et publie un ensemble d’exemples de définitions d’Azure Policy dans le hub Git. Consultez les définitions de stratégie intégrées pour les exemples de Media Services dans le référentiel de hub Git azure-policy.
Stratégies Azure, points de terminaison privés et Media Services
Media Services définit un ensemble de définitions Azure Policy intégrées pour aider à appliquer les normes organisationnelles et évaluer la conformité à grande échelle.
Azure Policy pour les points de terminaison privés dans le portail
La stratégie Configurer Azure Media Services avec des points de terminaison privés peut être utilisée pour créer automatiquement des points de terminaison privés pour les ressources Media Services. Les paramètres de la stratégie définissent le sous-réseau où la liaison privée doit être créée et l’ID de groupe à utiliser lors de la création du point de terminaison privé. Pour créer automatiquement des points de terminaison privés pour la remise de clés, les événements en direct et les points de terminaison de streaming, la stratégie doit être affectée séparément pour chacun des ID de groupe (c’est-à-dire, une affectation de stratégie est créée avec l’ID de groupe défini sur keydelivery, une deuxième affectation de stratégie est créée avec l’ID de groupe défini sur liveevent et une troisième affectation définit l’ID de groupe sur streamingendpoint). Comme cette stratégie déploie des ressources, elle doit être créée avec une identité managée.
La stratégie Configurer Azure Media Services pour utiliser des zones DNS privées peut être utilisée pour créer des zones DNS privées pour les points de terminaison privés Media Services. Cette stratégie est également appliquée séparément pour chaque ID de groupe.
La stratégie Azure Media Services doit utiliser une liaison privée génère des événements d’audit pour les ressources Media Services qui n’ont pas de liaison privée activée.
Azure Policy pour la sécurité réseau
Lorsque la liaison privée est utilisée pour accéder aux ressources Media Services, une exigence courante consiste à limiter l’accès à ces ressources à partir d’Internet. La stratégie Les comptes Azure Media Services doivent désactiver l’accès au réseau public peut être utilisée pour auditer des comptes Media Services qui autorisent l’accès au réseau public.
Sécurité réseau sortante
Azure Policy peut être utilisé pour restreindre la façon dont Media Services accède aux services externes. La stratégie Les travaux Azure Media Services avec des entrées HTTPS doivent limiter les URI d’entrée aux modèles d’URI autorisés peut être utilisée pour bloquer entièrement les travaux Media Services qui lisent à partir d’URL HTTP et HTTPS ou pour limiter des travaux Media Services à lire à partir d’URL qui correspondent à des modèles spécifiques.
Obtenir de l’aide et du support
Vous pouvez contacter Media Services pour toute question ou suivre nos mises à jour selon l’une des méthodes suivantes :
- Q & R
- Stack Overflow. Étiquetez les questions avec
azure-media-services. - @MSFTAzureMedia ou utiliser @AzureSupport pour demander du support.
- Ouvrez un ticket de support via le Portail Azure.