Bring your own key (kunci terkelola pelanggan) dengan Media Services

  • Artikel

Logo Azure Media Services v3

Peringatan

Azure Media Services akan dihentikan pada 30 Juni 2024. Untuk informasi selengkapnya, lihat Panduan Penghentian AMS.

Bring Your Own Key (BYOK) adalah inisiatif luas Azure untuk membantu pelanggan memindahkan beban kerja mereka ke cloud. Kunci terkelola pelanggan memungkinkan pelanggan mematuhi peraturan kepatuhan industri dan meningkatkan isolasi penyewa layanan. Memberi pelanggan kontrol kunci enkripsi adalah cara untuk meminimalkan akses dan kontrol yang tidak perlu dan membangun keyakinan pada layanan Microsoft.

Kunci dan manajemen kunci

Anda dapat menggunakan kunci Anda sendiri dengan Media Services jika menggunakan Media Services 2020-05-01 atau API yang lebih baru. Kunci akun default dibuat untuk semua akun yang dienkripsi oleh kunci sistem yang dimiliki oleh Media Services. Saat Anda menggunakan kunci Anda sendiri, kunci akun dienkripsi dengan kunci Anda. Kunci konten dienkripsi oleh kunci akun. Url JobInputHttp dan kunci validasi token simetris juga dienkripsi.

Kunci yang dikelola pelanggan menggantikan kunci yang dikelola sistem

Media Services menggunakan Identitas Terkelola dari akun Media Services untuk membaca kunci Anda dari Key Vault yang dimiliki oleh Anda. Media Services mengharuskan Key Vault berada di wilayah yang sama dengan akun, dan perlindungan penghapusan sementara dan penghapusan menyeluruh diaktifkan.

Kunci Anda dapat berupa kunci RSA 2048, 3072, atau 4096, dan kunci HSM serta perangkat lunak didukung.

Catatan

Kunci EC tidak didukung.

Anda dapat menentukan nama kunci dan versi kunci, atau hanya nama kunci. Saat Anda hanya menggunakan nama kunci, Media Services akan menggunakan versi kunci terbaru. Versi baru kunci pelanggan terdeteksi secara otomatis, dan kunci akun dienkripsi ulang.

Peringatan

Media Services memantau akses ke kunci pelanggan. Jika kunci pelanggan menjadi tidak dapat diakses (misalnya, kunci telah dihapus atau Key Vault telah dihapus atau hibah akses telah dihapus), Media Services akan mengalihkan akun ke Status Tidak Dapat Diakses Kunci Pelanggan (secara efektif menonaktifkan akun). Namun, akun dapat dihapus dalam status ini. Satu-satunya operasi yang didukung adalah akun GET, LIST, dan DELETE; semua permintaan lainnya (pengodean, streaming, dan sebagainya) akan gagal sampai akses ke kunci akun dipulihkan.

Enkripsi ganda

Media Services secara otomatis mendukung enkripsi ganda. Untuk data tidak aktif, lapisan enkripsi pertama menggunakan kunci yang dikelola pelanggan atau kunci yang dikelola Microsoft, tergantung pada pengaturan AccountEncryption di akun. Lapisan kedua enkripsi untuk data tidak aktif disediakan secara otomatis menggunakan kunci terkelola Microsoft terpisah. Untuk mempelajari lebih lanjut tentang enkripsi ganda, lihat Enkripsi ganda Azure.

Catatan

Enkripsi ganda diaktifkan secara otomatis pada akun Media Services. Namun, Anda perlu mengonfigurasi kunci yang dikelola pelanggan dan enkripsi ganda di akun penyimpanan Anda secara terpisah. Untuk mempelajari lebih lanjut, lihat Enkripsi penyimpanan.

Tutorial

Mendapatkan bantuan dan dukungan

Anda dapat menghubungi Media Services dengan pertanyaan atau mengikuti pembaruan kami dengan salah satu metode berikut: