Toegang tot DRM-licentie en levering van AES-sleutels beperken met behulp van IP-acceptatielijsten

  • Artikel

Media Services-logo v3

Waarschuwing

Azure Media Services wordt op 30 juni 2024 buiten gebruik gesteld. Zie de handleiding voor buitengebruikstelling van AMS voor meer informatie.

Wanneer u media beveiligt met de inhoudsbeveiliging en DRM-functies van Media Services, kunt u scenario's tegenkomen waarin u de levering van licenties of sleutelaanvragen moet beperken tot een specifiek IP-bereik van clientapparaten in uw netwerk. Als u het afspelen van inhoud en de levering van sleutels wilt beperken, kunt u de IP-acceptatielijst voor Sleutellevering gebruiken.

Daarnaast kunt u de acceptatielijst ook gebruiken om alle openbare internettoegang tot Key Delivery-verkeer volledig te blokkeren en alleen verkeer van uw privénetwerkeindpunten toe te staan.

De IP-acceptatielijst voor Sleutellevering beperkt de levering van zowel DRM-licenties als AES-128-sleutels aan clients binnen het opgegeven bereik van de IP-acceptatielijst.

Media Services ondersteunt IPv6 voor streaming. De Media Services-livegebeurtenis, het streaming-eindpunt en de belangrijkste leveringsservices kunnen door clients worden gebruikt via zowel IPv4 als IPv6.

De acceptatielijst voor sleutellevering instellen

De instellingen voor de acceptatielijst voor ip-adressen voor sleutellevering bevinden zich in de resource van het Media Services-account. Wanneer u een nieuw Media Services-account maakt, kunt u de toegestane IP-bereiken beperken via de eigenschap KeyDelivery in de Media Services-accountresource.

De eigenschap defaultAction kan worden ingesteld op Toestaan of Weigeren om de levering van licenties en sleutels aan clients in het bereik van de acceptatielijst te beheren.

De eigenschap ipAllowList is een matrix van één IPv4- of IPv6-adres en/of -bereiken met behulp van CIDR-notatie.

De acceptatielijst instellen in de portal

De Azure Portal biedt een methode voor het configureren en bijwerken van de IP-acceptatielijst voor sleutellevering. Navigeer naar uw Media Services-account en open het menu Sleutellevering onder Instellingen.

IPv6-ondersteuning voor streaming-eindpunten

Wanneer een streaming-eindpunt is geconfigureerd voor het gebruik van een CDN, wordt ondersteuning voor IP-adressen geconfigureerd in de instellingen van de CDN-provider.

Voor streaming-eindpunten die geen CDN gebruiken, accepteren streaming-eindpunten standaard aanvragen van elk IPv4-adres. Als u alle IPv4- en IPv6-adressen wilt inschakelen, maakt u zowel IPv4 als IPv6 toestaan in de lijst met toegestane IP-adressen:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8

{
  "properties": {
    "accessControl": {
      "ip": {
        "allow": [
          {
            "name": "Allow all IPv6 addresses",
            "address": "::",
            "subnetPrefixLength": 0
          },
          {
            "name": "Allow all IPv4 addresses",
            "address": "0.0.0.0",
            "subnetPrefixLength": 0
          }
        ]
      }
    },
    "cdnEnabled": false
  },
 "location": "{resourceLocation}"
}

De lijst met toegestane IP-adressen voor een streaming-eindpunt kan ook specifieke IPv6-adressen of -bereiken bevatten.

IPv6-ondersteuning voor livegebeurtenissen

Livegebeurtenissen accepteren standaard inhoud van elk IPv4-adres. Als u een IPv4- of IPv6-adres wilt toestaan, staat u zowel IPv4- als IPv6-adressen toe in de lijst met toegestane IP-adressen:

De ip-acceptatielijst voor een livegebeurtenis kan ook specifieke IPv6-adressen of -bereiken bevatten. IPv6-ondersteuning voor Key Delivery Aanvragen voor inhoudssleutels worden standaard geaccepteerd vanaf elk IPv4- of IPv6-adres. De lijst Met toegestane ip-adressen voor sleutellevering kan worden gebruikt om de IP-adressen te beperken die verbinding kunnen maken met eindpunten voor sleutellevering.

De lijst met toegestane IP-adressen kan het volgende bevatten:

  • IPv4-adressen
  • IPv4 CIDR-bereiken
  • IPv6-adressen
  • IPv6 CIDR-bereiken

In het volgende voorbeeld wordt de lijst met toegestane IP-adressen voor sleutellevering ingesteld:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01

{
  "properties": {
    "storageAccounts": [
      {
        "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
      }
    ],
    "keyDelivery": {
      "accessControl": {
        "defaultAction": "Deny",
        "ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
      }
    },
  },
  "location": "westus"
}

In dit voorbeeld wordt de aanvraag van de volgende adressen geaccepteerd:

  • IPv6-adressen tussen 2001:1234:1234:0000:0000:0000:0000:4567 en 2001:1234:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF,
  • IPv6-adres 2001:1235:0000:0000:0000:0000:0000:0000
  • IPv4-adressen tussen 10.0.0.0 en 10.0.255.255

Aanvullende voorbeelden:

  • Als u aanvragen van een IP-adres wilt toestaan, stelt u 'defaultAction' van het blok 'accessControl' in op 'Toestaan' (en geeft u geen ipAllowList op)
  • Als u alle IPv4-adressen wilt toestaan en alle IPv6-adressen wilt blokkeren, stelt u de ip-lijst met toegestane adressen in op [ "0.0.0.0/0" ]
  • Als u alle IPv6-adressen wilt toestaan en alle IPv6-adressen wilt blokkeren, stelt u de lijst met toegestane IP-adressen in op [ "::/0" ]

Help en ondersteuning

U kunt contact opnemen met Media Services als u vragen hebt of onze updates op een van de volgende manieren volgen: