Bring Your Own Key (chiavi gestite dal cliente) con Servizi multimediali
Avviso
Servizi multimediali di Azure verrà ritirato il 30 giugno 2024. Per altre informazioni, vedere la Guida al ritiro di AMS.
Bring Your Own Key (BYOK) è un'iniziativa a livello di Azure per aiutare i clienti a spostare i carichi di lavoro nel cloud. Le chiavi gestite dal cliente consentono ai clienti di rispettare le normative di conformità del settore e migliorano l'isolamento del tenant di un servizio. Offrire ai clienti il controllo delle chiavi di crittografia è un modo per ridurre al minimo l'accesso e il controllo non necessari e creare fiducia nei servizi Microsoft.
Chiavi e gestione delle chiavi
È possibile usare la propria chiave con Servizi multimediali quando si usa l'API Servizi multimediali 2020-05-01 o versione successiva. Viene creata una chiave dell'account predefinita per tutti gli account crittografati da una chiave di sistema di proprietà di Servizi multimediali. Quando si usa la propria chiave, la chiave dell'account viene crittografata con la chiave. Le chiavi simmetriche vengono crittografate dalla chiave dell'account. Vengono crittografati anche gli URL jobInputHttp e le chiavi di convalida del token simmetrico.
Servizi multimediali usa l'identità gestita dell'account di Servizi multimediali per leggere la chiave da un Key Vault di proprietà dell'utente. Servizi multimediali richiede che il Key Vault si trova nella stessa area dell'account e che abbia la protezione di eliminazione temporanea e eliminazione abilitata.
La chiave può essere una chiave RSA 2048, 3072 o 4096 RSA e sono supportate sia le chiavi HSM che le chiavi software.
Nota
Le chiavi EC non sono supportate.
È possibile specificare un nome di chiave e una versione della chiave oppure solo un nome di chiave. Quando si usa solo un nome di chiave, Servizi multimediali userà la versione della chiave più recente. Vengono rilevate automaticamente nuove versioni delle chiavi cliente e la chiave dell'account viene crittografata nuovamente.
Avviso
Servizi multimediali monitora l'accesso alla chiave del cliente. Se la chiave del cliente diventa inaccessibile (ad esempio, la chiave è stata eliminata o la Key Vault è stata eliminata o la concessione di accesso è stata rimossa), Servizi multimediali eseguirà la transizione dell'account allo stato inaccessibile della chiave del cliente (disabilitando effettivamente l'account). Tuttavia, l'account può essere eliminato in questo stato. Le uniche operazioni supportate sono GET, LIST e DELETE dell'account; tutte le altre richieste (codifica, streaming e così via) avranno esito negativo fino al ripristino dell'accesso alla chiave dell'account.
Crittografia doppia
Servizi multimediali supporta automaticamente la doppia crittografia. Per i dati inattivi, il primo livello di crittografia usa una chiave gestita dal cliente o una chiave gestita da Microsoft a seconda dell'impostazione AccountEncryption dell'account. Il secondo livello di crittografia per i dati inattivi viene fornito automaticamente usando una chiave gestita da Microsoft separata. Per altre informazioni sulla doppia crittografia, vedere Crittografia doppia di Azure.
Nota
La crittografia doppia viene abilitata automaticamente nell'account di Servizi multimediali. Tuttavia, è necessario configurare separatamente la chiave gestita dal cliente e la doppia crittografia nell'account di archiviazione. Per altre informazioni, vedere Crittografia dell'archiviazione.
Esercitazioni
Guida e supporto tecnico
È possibile contattare Servizi multimediali con domande o seguire gli aggiornamenti tramite uno dei metodi seguenti:
- DOMANDE E RISPOSTE
- Stack Overflow. Contrassegna le domande con
azure-media-services. - @MSFTAzureMedia o usare @AzureSupport per richiedere supporto.
- Aprire un ticket di supporto tramite il portale di Azure.