Azure Policy a Media Serviceshez
Figyelmeztetés
Az Azure Media Services 2024. június 30-án megszűnik. További információkért lásd az AMS kivezetési útmutatót.
Az Azure Media Services beépített Azure Policy definíciókat biztosít a szervezeti szabványok és megfelelőség nagy léptékű érvényesítéséhez. A Azure Policy gyakori használati esetei közé tartozik az erőforrás-konzisztencia, a jogszabályi megfelelőség, a biztonság, a költségek és a felügyelet szabályozásának implementálása.
A Media Services számos gyakori használati esetdefiníciót biztosít az Azure Policy, amelyeket beépítettek az első lépésekhez.
A Media Services beépített Azure Policy definíciói
Számos beépített szabályzatdefiníció érhető el a Media Servicesben az első lépésekhez, és lehetővé teszi saját egyéni szabályzatok meghatározását.
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Media Services-fiókoknak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása javítja a biztonságot, mert biztosítja, hogy a Media Services-erőforrások ne legyenek közzétéve a nyilvános interneten. A privát végpontok létrehozása korlátozhatja a Media Services-erőforrások kitettségét. További információ: https://aka.ms/mediaservicesprivatelinkdocs. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Media Services-fiókoknak olyan API-t kell használniuk, amely támogatja a Private Link | A Media Services-fiókokat olyan API-val kell létrehozni, amely támogatja a privát kapcsolatot. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Le kell tiltani azokat az Azure Media Services-fiókokat, amelyek engedélyezik az örökölt v2 API-hoz való hozzáférést | A Media Services örökölt v2 API-ja olyan kéréseket engedélyez, amelyek nem kezelhetők Azure Policy használatával. A 2020-05-01 API-val vagy újabb verzióval létrehozott Media Services-erőforrások blokkolják az örökölt v2 API elérését. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Media Services tartalomkulcs-szabályzatának jogkivonat-hitelesítést kell használnia | A tartalomkulcs-szabályzatok meghatározzák a tartalomkulcsok eléréséhez szükséges feltételeket. A jogkivonat-korlátozások biztosítják, hogy a tartalomkulcsokhoz csak olyan felhasználók férhessenek hozzá, amelyek érvényes jogkivonatokkal rendelkeznek egy hitelesítési szolgáltatásból, például az Azure Active Directoryból. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A HTTPS-bemenetekkel rendelkező Azure Media Services-feladatoknak az engedélyezett URI-mintákra kell korlátozniuk a bemeneti URI-kat | A Media Services-feladatok által használt HTTPS-bemenetek korlátozása ismert végpontokra. A HTTPS-végpontokról érkező bemenetek teljes mértékben letilthatók az engedélyezett feladatbeviteli minták üres listájának beállításával. Ha a feladat bemenetei "baseUri" értéket adnak meg, a minták ezzel az értékkel lesznek egyeztetve; Ha a "baseUri" nincs beállítva, a minta megfelel a "files" tulajdonságnak. | Megtagadás, letiltva | 1.0.1 |
| Az Azure Media Servicesnek ügyfél által felügyelt kulcsokat kell használnia az inaktív adatok titkosításához | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a Media Services-fiókok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsok általában szükségesek a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault kulccsal. Teljes körű irányítással és felelősséggel rendelkezik a kulcsfontosságú életciklusért, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/mediaservicescmkdocs. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Media Servicesnek privát hivatkozást kell használnia | Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Media Serviceshez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Letiltva | 1.0.0 |
| Az Azure Media Services konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja a privát végpont DNS-felbontását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz a Media Services-fiókhoz való feloldás érdekében. További információ: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Media Services konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Media Serviceshez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
A Media Services beépített szabályzatdefinícióinak listája tartalmazza a legújabb definíciókat, és összekapcsolja a kóddefiníciókat és azok elérését a portálon.
Gyakori forgatókönyvek, amelyek Azure Policy
- Ha a vállalati biztonság megköveteli, hogy az összes Media Services-fiók privát hivatkozásokkal legyen létrehozva, szabályzatdefinícióval gondoskodhat arról, hogy a fiókok csak a 2020-05-01 API-val (vagy újabb verzióval) legyenek létrehozva az örökölt REST v2 API-hoz való hozzáférés letiltásához és a Private Link funkció eléréséhez.
- Ha konkrét beállításokat szeretne érvényesíteni a tartalomkulcs-szabályzatokhoz használt jogkivonatokon, létrehozhat egy Azure Policy definíciót, amely támogatja az adott követelményeket.
- Ha a biztonsági célok megkövetelik, hogy a feladat bemeneti forrásai csak a megbízható tárfiókokból származzanak, és korlátozza a külső HTTP-bemenetekhez való hozzáférést a JobInputHttp használatával, létrehozhat egy Azure-szabályzatot a bemeneti URI-minta korlátozásához.
Példa szabályzatdefiníciókra
Az Azure Media Services több mint Azure Policy definíciót tart fenn és tesz közzé a Git Hubban. Tekintse meg a Media Services-minták beépített szabályzatdefinícióit az azure-policy Git Hub-adattárban.
Azure-szabályzatok, privát végpontok és Media Services
A Media Services beépített Azure Policy definíciók készletét határozza meg, amelyek segítenek kikényszeríteni a szervezeti szabványokat és felmérni a megfelelőséget a nagy léptékben.
Azure Policy privát végpontokhoz a portálon
Az Azure Media Services konfigurálása privát végpontokkal szabályzattal automatikusan létrehozhat privát végpontokat a Media Services-erőforrásokhoz. A szabályzat paraméterei beállítják azt az alhálózatot, ahol létre kell hozni a privát kapcsolatot, valamint a privát végpont létrehozásakor használni kívánt csoportazonosítót. Ha automatikusan privát végpontokat szeretne létrehozni a kulcskézbesítéshez, az élő eseményekhez és a streamvégpontokhoz, a szabályzatot külön kell hozzárendelni az egyes csoportazonosítókhoz (azaz egy szabályzat-hozzárendelést kell létrehozni a kulcsdelivery csoportazonosítóval, létrejön egy második szabályzat-hozzárendelés a liveevent csoportazonosítóval, egy harmadik hozzárendelés pedig streamendpointra állítja a csoportazonosítót). Mivel ez a szabályzat erőforrásokat helyez üzembe, a szabályzatot felügyelt identitással kell létrehozni.
Az Azure Media Services konfigurálása privát DNS-zónák használatára szabályzattal privát DNS-zónákat hozhat létre a Privát Media Services-végpontokhoz. Ezt a házirendet külön is alkalmazza a rendszer az egyes csoportazonosítókra.
Az Azure Media Servicesnek privát kapcsolati szabályzatot kell használnia , amely naplózási eseményeket hoz létre olyan Media Services-erőforrások esetében, amelyeknél nincs engedélyezve a privát kapcsolat.
hálózati biztonság Azure Policy
A Media Services-erőforrások eléréséhez használt privát kapcsolat gyakori követelménye, hogy az internetről korlátozza az erőforrásokhoz való hozzáférést. Az Azure Media Services-fiókoknak le kell tiltania a nyilvános hálózati hozzáférési szabályzatot a nyilvános hálózati hozzáférést engedélyező Media Services-fiókok naplózására.
Kimenő hálózati biztonság
Azure Policy a Media Services külső szolgáltatásokhoz való hozzáférésének korlátozására használható. A HTTPS-bemenetekkel rendelkező Azure Media Services-feladatoknak az engedélyezett URI-mintákra kell korlátozniuk a bemeneti URI-kat , vagy teljes mértékben letiltják a HTTP-ből és HTTPS URL-címekről beolvasott Media Services-feladatokat, vagy a Media Services-feladatoknak az adott mintáknak megfelelő URL-címekről való olvasásra kell korlátozniuk.
Súgó és támogatás
Kérdéseket tehet fel a Media Serviceshez, vagy kövesse a frissítéseket az alábbi módszerek egyikével:
- Q & A
-
Stack Overflow. Kérdések címkézése a következővel:
azure-media-services. - @MSFTAzureMediavagy @AzureSupport használatával kérhet támogatást.
- Nyisson meg egy támogatási jegyet a Azure Portal keresztül.