DRM-licenchez és AES-kulcskézbesítéshez való hozzáférés korlátozása IP-engedélyezési listák használatával

Cikk
01/22/2024

Figyelmeztetés

Az Azure Media Services 2024. június 30-án megszűnik. További információkért lásd az AMS kivezetési útmutatót.

Amikor a Media Services tartalomvédelmi és DRM-funkcióival védi a médiatartalmakat, olyan helyzetekbe ütközhet, amikor a licencek vagy kulcskérések kézbesítését a hálózaton lévő ügyféleszközök meghatározott IP-címtartományára kell korlátozni. A tartalomlejátszás és a kulcsok kézbesítésének korlátozásához használhatja a Kulcskézbesítés IP-engedélyezési listáját.

Emellett az engedélyezési listával teljes mértékben letilthatja a kulcskézbesítési forgalomhoz való összes nyilvános internet-hozzáférést, és csak a privát hálózati végpontok forgalmát engedélyezheti.

A Kulcskézbesítés IP-engedélyezési listája korlátozza a DRM-licencek és az AES-128 kulcsok kézbesítését a megadott IP-engedélyezési listán belüli ügyfelek számára.

A Media Services támogatja az IPv6-ot a streameléshez. A Media Services élő eseményt, streamvégpontot és kulcskézbesítési szolgáltatásokat az ügyfelek IPv4-en és IPv6-n keresztül is használhatják.

Az engedélyezési lista beállítása kulcskézbesítéshez

A Kulcskézbesítési IP-engedélyezési lista beállításai a Media Services-fiók erőforrásán találhatók. Új Media Services-fiók létrehozásakor az engedélyezett IP-címtartományokat a Media Services-fiók erőforráskeyDelivery tulajdonságával korlátozhatja.

A defaultAction tulajdonság "Engedélyezés" vagy "Megtagadás" értékre állítható be, így szabályozhatja a licencek és kulcsok kézbesítését az engedélyezési listatartományban lévő ügyfeleknek.

Az ipAllowList tulajdonság egyetlen IPv4- vagy IPv6-címből és/vagy ciDR-jelölést használó tartományból álló tömb.

Az engedélyezési lista beállítása a portálon

A Azure Portal egy metódust biztosít az IP-engedélyezési lista kulcskézbesítéshez való konfigurálásához és frissítéséhez. Lépjen a Media Services-fiókjához, és nyissa meg a Kulcskézbesítésmenüt a Beállítások területen.

Streamvégpontok IPv6-támogatása

Ha a streamvégpont CDN használatára van konfigurálva, az IP-cím támogatása a CDN-szolgáltató beállításaiban lesz konfigurálva.

A CDN-t nem használó streamvégpontok esetében a streamvégpontok alapértelmezés szerint bármilyen IPv4-címről fogadnak kéréseket. Az összes IPv4- és IPv6-cím engedélyezéséhez hozza létre az IPv4 és az IPv6 engedélyezését az IP-engedélyezési listában:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8

{
  "properties": {
    "accessControl": {
      "ip": {
        "allow": [
          {
            "name": "Allow all IPv6 addresses",
            "address": "::",
            "subnetPrefixLength": 0
          },
          {
            "name": "Allow all IPv4 addresses",
            "address": "0.0.0.0",
            "subnetPrefixLength": 0
          }
        ]
      }
    },
    "cdnEnabled": false
  },
 "location": "{resourceLocation}"
}

A streamvégpontok IP-engedélyezési listája adott IPv6-címeket vagy -tartományokat is tartalmazhat.

Élő események IPv6-támogatása

Az élő események alapértelmezés szerint bármilyen IPv4-címről fogadnak el tartalmat. Bármely IPv4- vagy IPv6-cím engedélyezéséhez engedélyezze az IPv4- és IPv6-címeket az IP-engedélyezési listában:

Az élő események IP-engedélyezési listája adott IPv6-címeket vagy -tartományokat is tartalmazhat. Kulcskézbesítés IPv6-támogatása Alapértelmezés szerint a tartalomkulcs-kérések bármely IPv4- vagy IPv6-címről fogadhatók el. A Kulcskézbesítési IP-cím engedélyezési listája használható a kulcskézbesítési végpontokhoz esetlegesen csatlakozó IP-címek korlátozására.

Az IP-engedélyezési lista a következőt tartalmazhatja:

IPv4-címek
IPv4 CIDR-tartományok
IPv6-címek
IPv6 CIDR-tartományok

Az alábbi példa a kulcskézbesítés IP-engedélyezési listáját állítja be:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01

{
  "properties": {
    "storageAccounts": [
      {
        "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
      }
    ],
    "keyDelivery": {
      "accessControl": {
        "defaultAction": "Deny",
        "ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
      }
    },
  },
  "location": "westus"
}

Ebben a példában a következő címekről érkező kérést fogadjuk el:

IPv6-címek 2001:1234:1234:0000:0000:0000:0000:4567 és 2001:1234:FFFF:FFFF:FFFF:FFFF:FFFF,
IPv6-cím 2001:1235:0000:0000:0000:0000:0000:0000
IPv4-címek 10.0.0.0 és 10.0.255.255 között

További példák:

Bármely IP-címről érkező kérések engedélyezéséhez állítsa az "accessControl" blokk "defaultAction" értékét "Engedélyezés" értékre (és ne adjon meg "ipAllowList" értéket)
Az összes IPv4-cím engedélyezéséhez és az összes IPv6-cím letiltásához állítsa az IP-engedélyezési listát [ "0.0.0.0/0" ]
Az összes IPv6-cím engedélyezéséhez és az összes IPv6-cím letiltásához állítsa az IP-engedélyezési listát [ "::/0" ] értékre.

Súgó és támogatás

Kérdéseket tehet fel a Media Serviceshez, vagy kövesse a frissítéseket az alábbi módszerek egyikével:

Q & A
Stack Overflow. Kérdések címkézése a következővel: azure-media-services.
@MSFTAzureMedia vagy @AzureSupport használatával kérjen támogatást.
Nyisson meg egy támogatási jegyet a Azure Portal keresztül.

Megosztás a következőn keresztül: