Udostępnij za pośrednictwem

Ograniczanie dostępu do licencji DRM i dostarczania kluczy AES przy użyciu list dozwolonych adresów IP

  • Artykuł

Logo usługi Media Services w wersji 3

Ostrzeżenie

Usługa Azure Media Services zostanie wycofana 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz Przewodnik po wycofaniu usługi AMS.

Podczas zabezpieczania nośnika za pomocą funkcji ochrony zawartości i funkcji DRM usługi Media Services można napotkać scenariusze, w których konieczne jest ograniczenie dostarczania licencji lub kluczowych żądań do określonego zakresu adresów IP urządzeń klienckich w sieci. Aby ograniczyć odtwarzanie zawartości i dostarczanie kluczy, możesz użyć listy dozwolonych adresów IP dla dostarczania kluczy.

Ponadto można również użyć listy dozwolonych, aby całkowicie zablokować cały publiczny dostęp do Internetu do ruchu dostarczania kluczy i zezwalać tylko na ruch z prywatnych punktów końcowych sieci.

Lista dozwolonych adresów IP dla usługi Key Delivery ogranicza dostarczanie zarówno licencji DRM, jak i kluczy AES-128 klientom w podanym zakresie dozwolonych adresów IP.

Usługa Media Services obsługuje protokół IPv6 do przesyłania strumieniowego. Usługi Media Services Live Event, Punkt końcowy przesyłania strumieniowego i kluczowe usługi dostarczania mogą być używane przez klientów za pośrednictwem protokołu IPv4 i IPv6.

Ustawianie listy dozwolonych dla dostarczania kluczy

Ustawienia listy dozwolonych adresów IP dostarczania kluczy znajdują się w zasobie konta usługi Media Services. Podczas tworzenia nowego konta usługi Media Services można ograniczyć dozwolone zakresy adresów IP za pośrednictwem właściwości KeyDelivery w zasobie konta usługi Media Services.

Właściwość defaultAction można ustawić na wartość "Zezwalaj" lub "Odmów", aby kontrolować dostarczanie licencji i kluczy klientom w zakresie dozwolonych list.

Właściwość ipAllowList jest tablicą pojedynczych adresów IPv4 lub IPv6 i/lub zakresów przy użyciu notacji CIDR.

Ustawianie listy dozwolonych w portalu

Azure Portal udostępnia metodę konfigurowania i aktualizowania listy dozwolonych adresów IP na potrzeby dostarczania kluczy. Przejdź do konta usługi Media Services i uzyskaj dostęp do menu Dostarczanie klucza w obszarze Ustawienia.

Obsługa punktów końcowych przesyłania strumieniowego IPv6

Po skonfigurowaniu punktu końcowego przesyłania strumieniowego do korzystania z sieci CDN obsługa adresów IP jest konfigurowana w ustawieniach dostawcy usługi CDN.

W przypadku punktów końcowych przesyłania strumieniowego, które domyślnie nie używają sieci CDN, punkty końcowe przesyłania strumieniowego akceptują żądania z dowolnego adresu IPv4. Aby włączyć wszystkie adresy IPv4 i IPv6, utwórz opcję Zezwalaj zarówno na adresY IPv4, jak i IPv6 na liście dozwolonych adresów IP:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8

{
  "properties": {
    "accessControl": {
      "ip": {
        "allow": [
          {
            "name": "Allow all IPv6 addresses",
            "address": "::",
            "subnetPrefixLength": 0
          },
          {
            "name": "Allow all IPv4 addresses",
            "address": "0.0.0.0",
            "subnetPrefixLength": 0
          }
        ]
      }
    },
    "cdnEnabled": false
  },
 "location": "{resourceLocation}"
}

Lista dozwolonych adresów IP dla punktu końcowego przesyłania strumieniowego może również zawierać określone adresy IPv6 lub zakresy.

Obsługa protokołu IPv6 wydarzeń na żywo

Domyślnie wydarzenia na żywo akceptują zawartość z dowolnego adresu IPv4. Aby zezwolić na dowolny adres IPv4 lub IPv6, zezwalaj na adresy IPv4 i IPv6 na liście dozwolonych adresów IP:

Lista dozwolonych adresów IP dla wydarzenia na żywo może również zawierać określone adresy IPv6 lub zakresy. Domyślnie obsługa protokołu IPv6 dostarczania kluczy zawartości jest akceptowana z dowolnego adresu IPv4 lub IPv6. Lista dozwolonych adresów IP dostarczania kluczy może służyć do ograniczania adresów IP, które mogą łączyć się z punktami końcowymi dostarczania kluczy.

Lista dozwolonych adresów IP może zawierać następujące elementy:

  • Adresy IPv4
  • Zakresy CIDR IPv4
  • Adresy IPv6
  • Zakresy CIDR IPv6

W poniższym przykładzie ustawiono listę dozwolonych adresów IP dla dostarczania kluczy:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01

{
  "properties": {
    "storageAccounts": [
      {
        "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
      }
    ],
    "keyDelivery": {
      "accessControl": {
        "defaultAction": "Deny",
        "ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
      }
    },
  },
  "location": "westus"
}

W tym przykładzie żądanie z następujących adresów zostanie zaakceptowane:

  • Adresy IPv6 między 2001:1234:1234:0000:0000:0000:0000:4567 i 2001:1234:FFFF,
  • Adres IPv6 2001:1235:0000:0000:0000:0000:0000:0000
  • Adresy IPv4 z zakresu od 10.0.0.0 do 10.0.255.255

Dodatkowe przykłady:

  • Aby zezwolić na żądania z dowolnego adresu IP, ustaw wartość "defaultAction" bloku "accessControl" na wartość "Zezwalaj" (i nie określaj "ipAllowList)
  • Aby zezwolić na wszystkie adresy IPv4 i zablokować wszystkie adresy IPv6, ustaw listę dozwolonych adresów IP na wartość [0.0.0.0/0" ]
  • Aby zezwolić na wszystkie adresy IPv6 i zablokować wszystkie adresy IPv6, ustaw listę dozwolonych adresów IP na [ ":/0" ]

Uzyskiwanie pomocy i obsługi technicznej

Możesz skontaktować się z usługą Media Services z pytaniami lub postępować zgodnie z naszymi aktualizacjami przy użyciu jednej z następujących metod: