Media Services での Bring Your Own Key (カスタマー マネージド キー)
警告
Azure Media Services は、2024 年 6 月 30 日に廃止されます。 詳細については、「 AMS 廃止ガイド」を参照してください。
Bring Your Own Key (BYOK) は、お客様のワークロードをクラウドに移行するのに役立つ Azure 全体でのイニシアティブです。 カスタマー マネージド キーを使用すると、お客様は業界のコンプライアンス規制に準拠し、サービスのテナント分離を強化できます。 お客様に暗号化キーの制御を委ねることは、不必要なアクセスや制御を最小限にして、Microsoft サービスへの信頼を育む方法となっています。
キーとキー管理
Media Services 2020-05-01 以降の API を使用するときには、Media Services で独自のキーを使用できます。 Media Services が所有するシステム キーで暗号化されるすべてのアカウントに対して、既定のアカウント キーが作成されます。 お客様独自のキーを使用するときには、アカウント キーはそのキーで暗号化されます。 コンテンツ キーは、アカウント キーによって暗号化されます。 JobInputHttp URL と、トークン検証用の対称キーも暗号化されます。
Media Services では、Media Services アカウントのマネージド ID を使用して、ユーザーが所有する Key Vault からキーを読み取ります。 Media Services では、その Key Vault がアカウントと同じリージョンにあり、そこで論理的な削除と消去保護が有効になっている必要があります。
お客様のキーには、2048、3072、または 4096 RSA キーを使用できます。また、HSM キーとソフトウェア キーの両方がサポートされています。
注意
EC キーはサポートされていません。
キー名とキー バージョン、またはキー名だけを指定できます。 キー名のみを使用すると、Media Services では最新のキー バージョンが使用されます。 新しいバージョンのカスタマー キーが自動的に検出され、アカウント キーが再暗号化されます。
警告
Media Services では、カスタマー キーへのアクセスが監視されます。 カスタマー キーにアクセスできなくなった場合 (キーが削除された場合、Key Vault が削除された場合、アクセスの付与が削除された場合など)、アカウントは Media Services によって、"カスタマー キー アクセス不能状態" に移行されます (事実上のアカウントの無効化)。 ただし、この状態のアカウントは削除可能です。 サポートされる操作は、アカウントの GET、LIST、DELETE だけで、その他のすべての要求 (エンコード、ストリーミングなど) は、アカウント キーへのアクセスが復元されるまで失敗します。
二重暗号化
Media Services では、自動的に二重暗号化がサポートされます。 保存データの場合、暗号化の最初のレイヤーでは、アカウント上の AccountEncryption 設定に応じて、カスタマー マネージド キーまたは Microsoft マネージド キーが使用されます。 保存データ用の暗号化の 2 番目のレイヤーは、個別の Microsoft マネージド キーを使用して自動的に提供されます。 二重暗号化の詳細については、Azure の二重暗号化に関するページを参照してください。
注意
Media Services アカウント上で二重暗号化は自動的に有効にされます。 ただし、ご利用のストレージ アカウントで、カスタマー マネージド キーと二重暗号化を別々に構成する必要があります。 詳細については、ストレージの暗号化に関するページを参照してください。
チュートリアル
ヘルプとサポート
Media Services に質問がある場合は、次のいずれかの方法で更新プログラムに従ってください。
- Q & A
- Stack Overflow。 質問に タグを付け、 を使用します
azure-media-services。 - @MSFTAzureMedia するか 、@AzureSupport を使用してサポートを要求します。
- Azure portalからサポート チケットを開きます。