Bring Your Own Key (door de klant beheerde sleutels) met Media Services
Waarschuwing
Azure Media Services wordt op 30 juni 2024 buiten gebruik gesteld. Zie de Handleiding voor buitengebruikstelling van AMS voor meer informatie.
Bring Your Own Key (BYOK) is een azure-breed initiatief om klanten te helpen hun workloads naar de cloud te verplaatsen. Door de klant beheerde sleutels stellen klanten in staat om te voldoen aan de nalevingsvoorschriften van de branche en verbeteren de tenantisolatie van een service. Klanten controle geven over versleutelingssleutels is een manier om onnodige toegang en controle te minimaliseren en vertrouwen in Microsoft-services te vergroten.
Sleutels en sleutelbeheer
U kunt uw eigen sleutel gebruiken met Media Services wanneer u de MEDIA Services-API 2020-05-01 of hoger gebruikt. Er wordt een standaardaccountsleutel gemaakt voor alle accounts die is versleuteld met een systeemsleutel die eigendom is van Media Services. Wanneer u uw eigen sleutel gebruikt, wordt de accountsleutel versleuteld met uw sleutel. Inhoudssleutels worden versleuteld door de accountsleutel. JobInputHttp-URL's en symmetrische tokenvalidatiesleutels worden ook versleuteld.
Media Services gebruikt de beheerde identiteit van het Media Services-account om uw sleutel te lezen van een Key Vault waarvan u eigenaar bent. Media Services vereist dat de Key Vault zich in dezelfde regio bevindt als het account en dat de beveiliging voor voorlopig verwijderen en opschonen is ingeschakeld.
Uw sleutel kan een 2048-, 3072- of 4096 RSA-sleutel zijn, en zowel HSM- als softwaresleutels worden ondersteund.
Notitie
EC-sleutels worden niet ondersteund.
U kunt een sleutelnaam en sleutelversie opgeven, of alleen een sleutelnaam. Wanneer u alleen een sleutelnaam gebruikt, gebruikt Media Services de nieuwste sleutelversie. Nieuwe versies van klantsleutels worden automatisch gedetecteerd en de accountsleutel wordt opnieuw versleuteld.
Waarschuwing
Media Services bewaakt de toegang tot de klantsleutel. Als de klantsleutel ontoegankelijk wordt (de sleutel is bijvoorbeeld verwijderd of de Key Vault is verwijderd of de toegangstoekenning is verwijderd), zet Media Services het account over naar de status Klantsleutel Niet toegankelijk (waardoor het account in feite wordt uitgeschakeld). Het account kan echter in deze status worden verwijderd. De enige ondersteunde bewerkingen zijn account GET, LIST en DELETE; alle andere aanvragen (codering, streaming, enzovoort) mislukken totdat de toegang tot de accountsleutel is hersteld.
Dubbele versleuteling
Media Services biedt automatisch ondersteuning voor dubbele versleuteling. Voor data-at-rest maakt de eerste versleutelingslaag gebruik van een door de klant beheerde sleutel of een door Microsoft beheerde sleutel, afhankelijk van de AccountEncryption instelling van het account. De tweede versleutelingslaag voor data-at-rest wordt automatisch geleverd met behulp van een afzonderlijke door Microsoft beheerde sleutel. Zie Dubbele versleuteling van Azure voor meer informatie over dubbele versleuteling.
Notitie
Dubbele versleuteling wordt automatisch ingeschakeld voor het Media Services-account. U moet echter de door de klant beheerde sleutel en dubbele versleuteling voor uw opslagaccount afzonderlijk configureren. Zie Opslagversleuteling voor meer informatie.
Zelfstudies
Help en ondersteuning
U kunt contact opnemen met Media Services met vragen of onze updates op een van de volgende manieren volgen:
- Q & A
- Stack Overflow. Tag vragen met
azure-media-services. - @MSFTAzureMedia of gebruik @AzureSupport om ondersteuning aan te vragen.
- Open een ondersteuningsticket via de Azure Portal.