チュートリアル:Azure portal を使用して Media Services でカスタマー マネージド キーまたは BYOK を使用する

  • [アーティクル]

Media Services ロゴ v3

警告

Azure Media Services は、2024 年 6 月 30 日に廃止されます。 詳細については、「 AMS 廃止ガイド」を参照してください。

2020-05-01 以降のバージョンの API を使用すると、システム マネージド ID が割り当てられた Azure Media Services アカウントでカスタマー マネージド RSA キーを使用できます。このチュートリアルでは、Azure portal での手順を取り上げます。

次のサービスが使用されます。

  • Azure Storage
  • Azure Key Vault
  • Azure Media Services

このチュートリアルでは、Azure portal を使用して次のことを行います。

  • リソース グループを作成する。
  • システム マネージド ID が割り当てられたストレージ アカウントを作成する。
  • システム マネージド ID が割り当てられた Media Services アカウントを作成する。
  • カスタマー マネージド RSA キーを格納するためのキー コンテナーを作成する。

前提条件

Azure サブスクリプション。

Azure サブスクリプションを持っていない場合は、無料試用版アカウントを作成できます

システム マネージド キー

ポータルを使用してリソース グループを作成する

  1. Azure portal のホーム画面で [リソースの作成] を選択します。 [Marketplace] 画面が表示されます。
  2. [リソース グループ] を選択します。 リソース グループの一覧が表示されます。
  3. [追加] を選択します。 [リソース グループを作成します] 画面が表示されます。
  4. このリソース グループに使用するサブスクリプションを選択します。
  5. [リソース グループ] フィールドにリソース グループの名前を入力します。
  6. リソース グループのリージョンを選択します。
  7. [Review + create](レビュー + 作成) を選択します。

重要

以降のストレージ アカウント作成手順では、[Advanced settings](詳細設定) でシステム マネージド キーを選択します。

ポータルを使用して Media Services アカウントを作成する

  1. Azure Portal にサインインします。

  2. [+リソースの作成] を選択します。

  3. 検索フィールドに「Media Services」と入力し、Enter キーを 押します。 Media Services のカードを含む検索結果が表示されます。

  4. [Media Services] カードを選択します。 Media Services の詳細画面が表示されます。

  5. [作成] を選択します [Media Services アカウントの作成] 画面が表示されます。

  6. [Media Services アカウントを作成する] セクションに必要な値を入力します。

    名前 説明
    アカウント名 新しい Media Services アカウントの名前を入力します。 Media Services アカウント名に使用できる文字は、小文字または数字のみで、空白を含めることはできません。長さは 3 文字から 24 文字です。
    サブスクリプション 複数のサブスクリプションがある場合は、アクセス権のある Azure サブスクリプションの一覧から 1 つを選択します。
    リソース グループ 新規または既存のリソースを選択します。 リソース グループとは、ライフサイクル、アクセス許可、ポリシーを共有するリソースの集まりです。 こちらをご覧ください。
    場所 Media Services アカウントのメディアとメタデータのレコードを保存する地理的リージョンを選択します。 このリージョンでメディアの処理とストリーミングが行われます。 ドロップダウン リストのボックスには、利用可能な Media Services リージョンのみが表示されます。
    ストレージ アカウント Media Services アカウントのメディア コンテンツの BLOB ストレージとなるストレージ アカウントを選択します。 Media Services アカウントと同じリージョンにある既存のストレージ アカウントを選択することも、新しいストレージ アカウントを作成することもできます。 新しいストレージ アカウントは同じリージョンに作成されます。 ストレージ アカウントの命名規則は、Media Services アカウントと同じです。

    1 つのプライマリ ストレージ アカウントを持つ必要があります。Media Services アカウントに関連付けられた任意の数の セカンダリ ストレージ アカウントを持つことができます。 Azure portal を使用して、セカンダリ ストレージ アカウントを追加できます。 詳細については、Azure Storage アカウントの Azure Media Services アカウントに関するページを参照してください。

    Media Services アカウントおよび関連するすべてのストレージ アカウントは、同じ Azure サブスクリプションに存在する必要があります。 待ち時間やデータ エグレス コストが増加することを回避するために、ストレージ アカウントを Media Services アカウントと同じ場所で使用することを強くお勧めします。
    詳細設定 ドロップダウン リストから以前に作成したユーザー マネージド ID を選ぶか、リンクを選んで新しいユーザー マネージド ID を作成します。

    重要

    すべての新しい Media Services アカウントには、ユーザー マネージド ID が必要です。 システム マネージド ID が割り当てられている以前に作成したアカウントは変更されません。

  7. [コンテンツまたはファイルを使うためのすべての権限を自分が持っており、オンライン サービス条件と Microsoft のプライバシーに関する声明に従って処理されることに同意します。] の横のチェックボックスをオンにして確認し、次に進みます。

  8. [確認および作成] をクリックするか、[次へ: タグ] ボタンでタグを追加します。

  9. 次の画面で [作成] をクリックします。 デプロイが開始されます。

ポータルを使用してキー コンテナーを作成する

  1. メイン検索フィールドに「Key Vault」と入力し、検索結果に表示されたら [Key Vault] を選択します。
  2. [ キー コンテナーの作成] を選択します。 [Key Vault の作成] 画面が表示されます。
  3. 使用するリソース グループを選択するか、新しく作成します。
  4. [Key Vault名] フィールドに名前を入力します。
  5. [リージョン] ドロップダウン リストから リージョン を選択します。
  6. [価格レベル] ドロップダウン リストから 価格レベル を選択します。
  7. [ 削除されたコンテナーを保持する日数 ] フィールドに日数を入力します。
  8. [消去保護] ラジオ ボタンを使用して 、消去保護 を有効または無効にします。
  9. [次へ] を選択します。 アクセス ポリシー画面が表示されます。
  10. Vault アクセス ポリシーまたは Azure ロールベースのアクセス制御を選択して、ユーザーに適切なアクセス許可を付与します。
  11. 省略可能: [ リソース アクセス ] チェック ボックスを 1 つ以上選択します。
  12. 省略可能: アクセスをきめ細かく制御する場合は、[ ユーザー ] ボックスの一覧でユーザーを選択します。
  13. [次へ] を選択します。 [ネットワーク] 画面が表示されます。
  14. [ パブリック アクセスを有効にする] チェック ボックスをオンまたはオフにします。 パブリック アクセスを無効にする場合:
    1. [すべてのネットワーク] ラジオ ボタンを選択してすべてのパブリック アクセスを許可するか、[選択したネットワーク] ラジオ ボタンを選択して、選択した IP にネットワーク トラフィックを制限します。
    2. [ + 仮想ネットワークの追加] の下矢印を選択し、[ 既存の仮想ネットワークの追加] または [ 新しい仮想ネットワークの追加] を選択します。 最初のケースでは、既に作成されている仮想ネットワークを選択します。 2 番目のケースでは、[仮想ネットワークの作成] 画面が表示され、それを使用して仮想ネットワークを作成します。
  15. 他の サービスへのアクセスを許可する場合は、[信頼された Microsoft サービスにこのファイアウォールのバイパスを許可 する] チェック ボックスをオンにします。
  16. 省略可能: キー コンテナー のプライベート エンドポイントを 作成する場合は、[プライベート エンドポイントの作成] を選択します。 [プライベート エンドポイントの作成] 画面が表示されます。
    1. リソース グループと共にまだ選択されていない場合は、[ サブスクリプション ] ドロップダウン メニューから操作するサブスクリプションを選択します。
    2. [場所] ドロップダウン リストから 場所 (リージョン) を選択します。
    3. [名前] フィールドにプライベート エンドポイントの 名前 を入力します。
    4. [仮想ネットワーク] ドロップダウン リストから、既に作成されている 仮想ネットワーク を選択します。
    5. [サブネット] ドロップダウン リストから サブネット を選択します。
    6. [ プライベート DNS ゾーンとの統合 ] トグルを選択して、[はい] または [いいえ] を切り替えます。
    7. [プライベート DNS ゾーン] ドロップダウン リストからゾーンを選択します。
  17. [Review + create](レビュー + 作成) を選択します。 ポータルでは、セットアップに関する問題がチェックされます。
  18. [ 作成] を 選択してキー コンテナーをデプロイします。

Azure portalの Media Services アカウントでカスタマー マネージド キーを有効にする

  1. Media Services アカウントを作成したら、Azure portalでそのアカウントに移動します。
  2. [暗号化] を選択します。
  3. [暗号化の種類][Customer-managed keys](カスタマーマネージド キー) を選択します。
  4. [マネージド ID] ドロップダウン リストから ID を 選択します。
  5. リンク [ キー コンテナーから選択 ] ラジオ ボタンを選択します。
  6. [ キー コンテナーの選択 ] ボタンを選択します。 [キーの選択] 画面が表示されます。
  7. [キー コンテナー] ドロップダウン リストから キー コンテナーを 選択します。
  8. [キー] ボックスの一覧からキーを選択するか、新しい キー を作成します。
  9. [保存] を選択します。

重要

以降のストレージ暗号化手順では、カスタマー マネージド キーを選択します。

ストレージ アカウントの暗号化を設定する

  1. Azure portalで、操作するサブスクリプションに移動します。
  2. [リソース] を選択します。 [リソース] 画面に、そのサブスクリプションのすべてのリソースの一覧が表示されます。
  3. 暗号化するストレージ アカウントの名前 (または名前の一部) を画面上部の [検索 ] フィールドに入力します。 検索フィールドの下に検索結果が表示されます。
  4. 目的のストレージ アカウントを選択します 対応するストレージ アカウント画面が表示されます。
  5. [暗号化] を選択します。
  6. [Microsoft マネージド キー] または [カスタマー マネージド キー] ラジオ ボタンを選択します。

Microsoft マネージド キーを使用する

既定では、ストレージ アカウント内のデータが Microsoft マネージド キーを使用して暗号化されます。

カスタマー マネージド キーを使用する

  1. [カスタマー マネージド キー] を選択します。
  2. [キー URI を入力] または [キー コンテナーから選ぶ] を選択します。
    1. [キー URI を入力] を選択した場合は、[キー URI] フィールドにキー URI を入力し、サブスクリプションを選択します (既に選択されていることもあります)。
    2. [ キー コンテナーから選択] を選択した場合は、[ キー コンテナーとキーの選択] を選択します。 [Azure Key Vault からのキーの選択] 画面が表示されます。
  3. 使用するキー コンテナーを選択して、ご利用のキー コンテナーから既存のキーを選択するか、新しいキーを作成します。
    1. 新しいキーを作成する場合は、 [オプション] ボックスの一覧から [生成] または [インポート] を選択します。 インポートできるのは RSA キーのみです。
    2. 新しいキーを生成するには、 [名前] フィールドでキーに名前を付け、キーの種類を選択します。
      1. RSA - キーのサイズ: 2048、3072、または 4096。 ほとんどのユーザーは、これを選択します。
      2. EC - 楕円曲線名: P-256、P-384、P-521、P-256K のいずれか
      3. 必要に応じて、キーのアクティブ化と有効期限の日付を設定できます。
      4. 自動キー ローテーションを有効にするには、 [はい] を選択します。
      5. [作成] を選択します
    3. キーをインポートするには、 [ファイルの選択] フィールド内のいずれかの場所をクリックして、アップロードするファイルを選択します。
      1. [名前] フィールドでキーに名前を付けます。
      2. 必要に応じて、キーのアクティブ化と有効期限の日付を設定できます。
      3. 自動キー ローテーションを有効にするには、 [はい] を選択します。
      4. [作成] を選択します
    4. [選択] をクリックして、ストレージ アカウントを暗号化するためのキーとして選択します。 [暗号化] 画面に戻ります。
  4. 重要: [保存] を選択して暗号化の設定を保存してください。保存しないと、ここで行った設定がすべて失われます。

キーを変更する

キーが変更されると、Media Services によって自動的に検出されます。 省略可能:このプロセスをテストするには、同じキーの別のキー バージョンを作成します。 キーの変更が Media Services によって検出されるはずです。

リソースをクリーンアップする

作成したリソースを今後使用せず、課金が継続されないようにする場合は、削除してください。

ヘルプとサポート

Media Services に質問がある場合は、次のいずれかの方法で更新プログラムに従ってください。

  • Q & A
  • Stack Overflow。 質問に タグを付け、 を使用します azure-media-services
  • @MSFTAzureMedia するか 、@AzureSupport を使用してサポートを要求します。
  • Azure portalからサポート チケットを開きます。