Oktatóanyag: Tároló elérése felügyelt Media Services-identitással
Figyelmeztetés
Az Azure Media Services 2024. június 30-án megszűnik. További információ: AMS nyugdíjazási útmutató.
Jegyzet
A felügyelt identitások csak a v3 API használatával létrehozott Media Services-fiókokhoz érhetők el. Ha a v2 API-t használja, és felügyelt identitásokat szeretne használni, migráljon a v2-ről a v3-ra, Migrálás a Media Services v2-ről a v3-ra bevezetési.
Ha egy tárfiókot szeretne elérni, amikor a tárfiók úgy van konfigurálva, hogy blokkolja az ismeretlen IP-címekről érkező kéréseket, a Media Services-fióknak hozzáférést kell biztosítani a Tárfiókhoz. Az alábbi lépéseket követve hozzon létre egy felügyelt identitást a Media Services-fiókhoz, és adjon hozzáférést az identitásnak a tárolóhoz a Media Services parancssori felületével.
Ez az oktatóanyag a 2020-05-01 Media Services API-t használja.
Áttekintés
Figyelmeztetés
A JobInputHTTP vagy SAS URL-címek nem használhatók Media Services-fiókhoz nem társított tárfiókkal. Ezek olyan ügyfelek kényelmét szolgálják, akik meglévő tartalommal, amelyek http(s) használatával érhetők el, például ha egy nyilvános kiszolgálón médiafájlokat tárol, vagy egy másik felhőszolgáltatónál vannak tárolva. Ha új megoldásokat hoz létre, használja az Assets függvényt a feladatok bemeneteihez.
A Media Services által használt tárfiókhoz való hozzáférés biztonságossá tételéhez:
- Konfigurálja a tárfiókot úgy, hogy az összes IP-címet megtagadja (vagy csak az ügyfél hálózatában engedélyezze az IP-címeket)
- A tárfiók konfigurálása az "AzureServices" hozzáférésének engedélyezéséhez
- A Media Services konfigurálása a tárfiók felügyelt identitással való elérésére
- Médiatartalmak feltöltése a Media Services-eszközökre
- Olyan kódolási feladatokat hozhat létre, amelyek a Media Services-eszközöket használják feladatbemenetként. NE SAS URL-címeket vagy JobInputHTTP-t használjon.
Bejelentkezés az Azure-ba
A cikkben szereplő parancsok bármelyikének használatához először be kell jelentkeznie a használni kívánt előfizetésbe.
Jelentkezzen be az Azure-ba. A parancs használatakor a rendszer kérni fogja a használni kívánt előfizetést.
az login
Előfizetés beállítása
Ezzel a paranccsal állíthatja be a használni kívánt előfizetést.
Az Azure-előfizetés beállítása a parancssori felülettel
Az alábbi parancsban adja meg a Media Services-fiókhoz használni kívánt Azure-előfizetés-azonosítót.
az account set --subscription <subscriptionName>
Erőforrásnevek
Az első lépések előtt döntse el a létrehozni kívánt erőforrások nevét. Ezeknek könnyen azonosíthatóknak kell lenniük készletként, különösen akkor, ha a tesztelés befejezése után nem tervezi használni őket. Az elnevezési szabályok számos erőforrástípus esetében eltérőek, ezért érdemes az összes kisbetűs szabályt betartani. Az erőforráscsoport neve például "mediatest1rg", a tárfiók neve pedig "mediatest1stor". A cikk minden lépéséhez ugyanazokat a neveket használja.
Ezekre a nevekre az alábbi parancsok hivatkoznak. A szükséges erőforrások nevei a következők:
- myRG
- myStorageAccount
- myAmsAccount
- hely
Jegyzet
A fenti kötőjelek csak az útmutató szavak elválasztására szolgálnak. Az Azure-szolgáltatásokban az erőforrások elnevezésének inkonzisztencia miatt ne használjon kötőjeleket az erőforrások elnevezésekor. Emellett nem hozza létre a régió nevét. A régió nevét az Azure határozza meg.
Azure-régiók listázása
Ha nem biztos abban, hogy a tényleges régiónevet szeretné használni, a következő paranccsal szerezhet be egy listát:
Ezzel a paranccsal listázhatja a fiókhoz elérhető régiókat.
az account list-locations --query "[].{DisplayName:displayName, Name:name}" -o table
Következés
Az alábbi lépések mindegyike egy adott sorrendben történik, mert a JSON-válaszok egy vagy több értéke a sorozat következő lépésében lesz felhasználva.
Tárfiók létrehozása
A létrehozandó Media Services-fiókhoz hozzá kell társítania egy tárfiókot. Először hozza létre a Media Services-fiókhoz tartozó tárfiókot. A következő lépésekhez a tárfiók nevét fogja használni, amely felváltja a myStorageAccount.
Azure Storage-fiók létrehozása a parancssori felülettel
Azure Storage-fiók létrehozásához használja az alábbi parancsokat.
Tárfiók létrehozásához először létre kell hoznia egy erőforráscsoportot egy helyen belül.
Az elérhető helyek listájához használja a következő parancsot:
Elérhető helyek listázása a parancssori felülettel
Az elérhető helyek listájához használja a következő parancsot:
az account list-locations
Erőforráscsoport létrehozása a parancssori felülettel
Erőforráscsoport létrehozásához használja a következő parancsot:
az group create -n <resourceGroupName> --location chooseLocation
Termékváltozat kiválasztása
Emellett ki kell választania egy termékváltozatot a tárfiókjához. A tárfiókokat listázhatja.
Válasszon termékváltozatot a következő listában: Standard_LRS, Standard_GRS, Standard_RAGRS, Standard_ZRS, Premium_LRS, Premium_ZRS, Standard_GZRS, Standard_RAGZRS.
- Módosítsa a
myStorageAccountegy 24 karakternél rövidebb hosszúságú egyedi névre. - Módosítsa a
chooseLocationarra a régióra, amelyben dolgozni szeretne. - Módosítsa a
chooseSKUaz előnyben részesített termékváltozatra.
az storage account create -n <myStorageAccount> -g <resourceGroup> --location <chooseLocation> --sku <chooseSKU>
Media Services-fiók létrehozása szolgáltatásnévvel (felügyelt identitással)
Most hozza létre a Media Services-fiókot egy szolgáltatásnévvel, más néven felügyelt identitással.
Fontos
Fontos, hogy ne felejtse el használni a --mi jelölőt a parancsban. Ellenkező esetben nem fogja tudni megtalálni a principalId egy későbbi lépéshez.
Az alábbi Azure CLI-parancs létrehoz egy új Media Services-fiókot. Cserélje le a következő értékeket: your-media-services-account-nameyour-storage-account-nameés your-resource-group-name a használni kívánt nevekre. A parancs feltételezi, hogy már létrehozott egy erőforráscsoportot és egy Tárfiókot.
A Media Services-fióknak egy, a --mi-system-assigned jelzővel ellátott felügyelt identitást ad.
az ams account create --name <your-media-services-account-name> --resource-group <your-resource-group-name> --mi-system-assigned --storage-account <your-storage-account-name>
Példa JSON-válaszra:
{
"encryption": {
"keyVaultProperties": null,
"type": "SystemKey"
},
"id": "/subscriptions/00000000-0000-0000-0000-00000000/resourceGroups/your-resource-group/providers/Microsoft.Media/mediaservices/your-media-services-account-name",
"identity": {
"principalId": "00000000-0000-0000-0000-00000000",
"tenantId": "00000000-0000-0000-0000-00000000",
"type": "SystemAssigned"
},
"location": "your-region",
"mediaServiceId": "00000000-0000-0000-0000-00000000",
"name": "your-media-services-account-name",
"resourceGroup": "your-resource-group",
"storageAccounts": [
{
"id": "/subscriptions/00000000-0000-0000-0000-00000000/resourceGroups/mediatest1rg/providers/Microsoft.Storage/storageAccounts/your-storage-account-name",
"resourceGroup": "your-resource-group",
"type": "Primary"
}
],
"storageAuthentication": "System",
"systemData": {
"createdAt": "2021-05-14T21:25:12.3492071Z",
"createdBy": "you@example.com",
"createdByType": "User",
"lastModifiedAt": "2021-05-14T21:25:12.3492071Z",
"lastModifiedBy": "you@example.com",
"lastModifiedByType": "User"
},
"tags": null,
"type": "Microsoft.Media/mediaservices"
}
A Media Services felügyelt identitásának hozzáférésének biztosítása a Tárfiókhoz
Adjon hozzáférést a Media Services felügyelt identitásának a Tárfiókhoz. Három parancs létezik:
A Media Services-fiók felügyelt identitásának lekérése (megjelenítése)
Az alábbi első parancs a Media Services-fiók felügyelt identitását jeleníti meg, amely a parancs által visszaadott JSON-ban felsorolt principalId.
Ez a parancs egy Media Services-fiók összes tulajdonságát megjeleníti.
az ams account show --name <your-media-services-account-name> --resource-group <your-resource-group>
Jegyzet
Ha hozzáférési szerepköröket rendelt a Media Services-fiókhoz, ez a sor "storageAuthentication": "ManagedIdentity"ad vissza.
Példa JSON-válaszra:
{
"encryption": {
"keyVaultProperties": null,
"type": "SystemKey"
},
"id": "/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/your-resource-group-name/providers/Microsoft.Media/mediaservices/your-media-services-account",
"identity": {
"principalId": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"type": "SystemAssigned" //Type will show "Managed Identity" if you have assigned a role to the Media Services account.
},
"location": "your-region",
"mediaServiceId": "00000000-0000-0000-0000-000000000000",
"name": "your-media-services-account",
"resourceGroup": "your-resource-group-name",
"storageAccounts": [
{
"id": "/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name",
"resourceGroup": "your-resource-group-name",
"type": "Primary"
}
],
"storageAuthentication": "System", //If you have assigned access roles to the account, this line will return storageAuthentication": "ManagedIdentity"
"systemData": {
"createdAt": "2021-05-14T21:25:12.3492071Z",
"createdBy": "you@example.com",
"createdByType": "User",
"lastModifiedAt": "2021-05-14T21:25:12.3492071Z",
"lastModifiedBy": "you@example.com",
"lastModifiedByType": "User"
},
"tags": null,
"type": "Microsoft.Media/mediaservices"
}
A Storage Blob Közreműködő szerepkör-hozzárendelésének létrehozása
Az alábbi parancs létrehoz egy Storage Blob-közreműködői szerepkört.
assignee módosítása a principalId. A parancs feltételezi, hogy már létrehozott egy erőforráscsoportot és egy Tárfiókot. Használja your-resource-group-name és your-storage-account-name a scope érték részeként az alábbi parancsban látható módon:
az role assignment create --assignee 00000000-0000-0000-000000000000 --role "Storage Blob Data Contributor" --scope "/subscriptions/00000000-0000-0000-000000000000/resourceGroups/<your-resource-group-name>/providers/Microsoft.Storage/storageAccounts/<your-storage-account-name>"
Példa JSON-válaszra:
{
"canDelegate": null,
"condition": null,
"conditionVersion": null,
"description": null,
"id": "/subscriptions/00000000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-000000000000",
"name": "00000000-0000-0000-000000000000",
"principalId": "00000000-0000-0000-000000000000",
"principalType": "ServicePrincipal",
"resourceGroup": "your-resource-group-name",
"roleDefinitionId": "/subscriptions/00000000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-000000000000",
"scope": "/subscriptions/00000000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name",
"type": "Microsoft.Authorization/roleAssignments"
}
Az Olvasó szerepkör-hozzárendelés létrehozása
Az alábbi parancs létrehoz egy Olvasó szerepkört.
assignee módosítása a principalId. A parancs feltételezi, hogy már létrehozott egy erőforráscsoportot és egy Tárfiókot. Használja your-resource-group-name és your-storage-account-name a scope érték részeként az alábbi parancsban látható módon:
az role assignment create --assignee 00000000-0000-0000-000000000000 --role "Reader" --scope "/subscriptions/00000000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name"
Példa JSON-válaszra:
{
"canDelegate": null,
"condition": null,
"conditionVersion": null,
"description": null,
"id": "/subscriptions/00000000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-000000000000",
"name": "00000000-0000-0000-000000000000",
"principalId": "00000000-0000-0000-000000000000",
"principalType": "Reader",
"resourceGroup": "your-resource-group-name",
"roleDefinitionId": "/subscriptions/00000000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-000000000000",
"scope": "/subscriptions/00000000-0000-0000-000000000000/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name",
"type": "Microsoft.Authorization/roleAssignments"
}
A felügyelt identitás használata a Tárfiók eléréséhez
Az alábbi parancs hozzáférést biztosít egy Media Services felügyelt identitáshoz egy tárfiókhoz.
Az alábbi parancsban módosítsa a your-resource-group-name az erőforráscsoport nevére, és your-media-services-account-namea használni kívánt Media Services-fióknévre:
az ams account storage set-authentication --storage-auth ManagedIdentity --resource-group <your-resource-group_name> --account-name <your-media-services-account-name>
Példa JSON-válaszra:
{
"encryption": {
"keyVaultProperties": null,
"type": "SystemKey"
},
"id": "/subscriptions/00000000-0000-0000-00000000/resourceGroups/your-resource-group-name/providers/Microsoft.Media/mediaservices/your-storage-account-name",
"identity": null,
"location": "West US 2",
"mediaServiceId": "00000000-0000-0000-00000000",
"name": "your-media-services-account",
"resourceGroup": "your-resource-group-name",
"storageAccounts": [
{
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name",
"resourceGroup": "your-resource-group-name",
"type": "Primary"
}
],
"storageAuthentication": "ManagedIdentity",
"systemData": {
"createdAt": "2021-05-17T19:15:00.8850297Z",
"createdBy": "you@example.com",
"createdByType": "User",
"lastModifiedAt": "2021-05-17T21:23:11.3863627Z",
"lastModifiedBy": "you@example.com",
"lastModifiedByType": "User"
},
"tags": null,
"type": "Microsoft.Media/mediaservices"
}
Érvényesítés
Ha ellenőrizni szeretné, hogy a fiók ügyfél által felügyelt kulccsal van-e titkosítva, tekintse meg a fiók titkosítási tulajdonságait:
Ez a parancs egy Media Services-fiók összes tulajdonságát megjeleníti.
az ams account show --name <your-media-services-account-name> --resource-group <your-resource-group>
Jegyzet
Ha hozzáférési szerepköröket rendelt a Media Services-fiókhoz, ez a sor "storageAuthentication": "ManagedIdentity"ad vissza.
Példa JSON-válaszra:
{
"encryption": {
"keyVaultProperties": null,
"type": "SystemKey"
},
"id": "/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/your-resource-group-name/providers/Microsoft.Media/mediaservices/your-media-services-account",
"identity": {
"principalId": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
"tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"type": "SystemAssigned" //Type will show "Managed Identity" if you have assigned a role to the Media Services account.
},
"location": "your-region",
"mediaServiceId": "00000000-0000-0000-0000-000000000000",
"name": "your-media-services-account",
"resourceGroup": "your-resource-group-name",
"storageAccounts": [
{
"id": "/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/your-resource-group-name/providers/Microsoft.Storage/storageAccounts/your-storage-account-name",
"resourceGroup": "your-resource-group-name",
"type": "Primary"
}
],
"storageAuthentication": "System", //If you have assigned access roles to the account, this line will return storageAuthentication": "ManagedIdentity"
"systemData": {
"createdAt": "2021-05-14T21:25:12.3492071Z",
"createdBy": "you@example.com",
"createdByType": "User",
"lastModifiedAt": "2021-05-14T21:25:12.3492071Z",
"lastModifiedBy": "you@example.com",
"lastModifiedByType": "User"
},
"tags": null,
"type": "Microsoft.Media/mediaservices"
}
A storageAuthentication tulajdonságnak a "ManagedIdentity" tulajdonságot kell megjelenítenie.
További ellenőrzés céljából az Azure Storage-naplókban ellenőrizheti, hogy melyik hitelesítési módszert használja az egyes kérésekhez.
Erőforrások törlése
Ha nem tervezi használni a létrehozott erőforrásokat, törölje az erőforráscsoportot.
Erőforráscsoport törlése a parancssori felülettel
az group delete --name <your-resource-group-name>
Segítség és támogatás kérése
Kérdéseket tehet fel a Media Serviceshez, vagy az alábbi módszerek egyikével követheti a frissítéseket:
- Q & A
-
Stack Overflow. Kérdések címkézése
azure-media-services. - @MSFTAzureMedia vagy @AzureSupport használatával kérhet támogatást.
- Nyisson meg egy támogatási jegyet az Azure Portalon.