Restringir o acesso à licença do DRM e à entrega de chave AES usando listas de IPs permitidos

  • Artigo

Logotipo dos Serviços de Mídia v3

Aviso

Os Serviços de Mídia do Azure serão desativados em 30 de junho de 2024. Para obter mais informações, consulte o Guia de desativação do AMS.

Ao proteger uma mídia com os recursos de proteção de conteúdo e do DRM dos Serviços de Mídia, você pode encontrar cenários em que é necessário limitar a entrega de licenças ou solicitações de chave a um intervalo de IP específico de dispositivos cliente na sua rede. Para restringir a reprodução de conteúdo e a entrega de chaves, você pode usar a lista de IPs permitidos para a Entrega de Chaves.

Além disso, você pode usar a lista de permitidos para bloquear completamente todo o acesso à Internet pública ao tráfego da Entrega de Chaves e só permitir o tráfego dos seus pontos de extremidade de rede privada.

A lista de IPs permitidos para a Entrega de Chaves restringe a entrega de licenças do DRM e de chaves AES-128 aos clientes no intervalo da lista de IPs permitidos fornecido.

Os Serviços de Mídia dão suporte a IPv6 para streaming. Os serviços de entrega de chaves, ponto de extremidade de streaming e evento ao vivo dos Serviços de Mídia podem ser usados por clientes no IPv4 e no IPv6.

Como definir a lista de permitidos para a entrega de chaves

As configurações da lista de IPs permitidos para a Entrega de Chaves estão no recurso da conta dos Serviços de Mídia. Ao criar uma conta dos Serviços de Mídia, você pode restringir os intervalos de IP permitidos por meio da propriedade KeyDelivery no recurso da conta dos Serviços de Mídia.

A propriedade defaultAction pode ser definida como "Permitir" ou "Negar" para controlar a entrega de licenças e chaves aos clientes no intervalo da lista de permitidos.

A propriedade ipAllowList é uma matriz de endereços IPv4 ou IPv6 únicos e/ou intervalos usando notação CIDR.

Como definir a lista de permitidos no portal

O portal do Azure fornece um método para configurar e atualizar a lista de IPs permitidos para a entrega de chaves. Procure sua conta dos Serviços de Mídia e acesse o menu Entrega de chaves em Configurações.

Suporte a IPv6 de pontos de extremidade de streaming

Quando um ponto de extremidade de streaming é configurado para usar uma CDN, o suporte a endereço IP é definido nas configurações do provedor de CDN.

Para pontos de extremidade de streaming que não usam uma CDN, por padrão, os pontos de extremidade de streaming aceitam solicitações de qualquer endereço IPv4. Para habilitar todos os endereços IPv4 e IPv6, crie permitir IPv4 e IPv6 na lista de permissões de IP:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8

{
  "properties": {
    "accessControl": {
      "ip": {
        "allow": [
          {
            "name": "Allow all IPv6 addresses",
            "address": "::",
            "subnetPrefixLength": 0
          },
          {
            "name": "Allow all IPv4 addresses",
            "address": "0.0.0.0",
            "subnetPrefixLength": 0
          }
        ]
      }
    },
    "cdnEnabled": false
  },
 "location": "{resourceLocation}"
}

A lista de permissões de IP para um ponto de extremidade de streaming também pode incluir endereços ou intervalos IPv6 específicos.

Suporte a eventos ao vivo IPv6

Por padrão, os Eventos Ao Vivo aceitam conteúdo de qualquer endereço IPv4. Para permitir qualquer endereço IPv4 ou IPv6, permita endereços IPv4 e IPv6 na lista de permissões de IP:

A lista de permissões de IP para um evento ao vivo também pode incluir endereços ou intervalos IPv6 específicos. Suporte a IPv6 de Entrega de Chave Por padrão, as solicitações de chave de conteúdo são aceitas de qualquer endereço IPv4 ou IPv6. A lista de permissões de IP de entrega de chaves pode ser usada para restringir os endereços IP que podem se conectar aos pontos de extremidade de entrega de chave.

A lista de permissões de IP pode conter:

  • Endereços IPv4
  • Intervalos CIDR IPv4
  • Endereços IPv6
  • Intervalos CIDR IPv6

O exemplo a seguir define a lista de permissões de IP para entrega de chaves:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01

{
  "properties": {
    "storageAccounts": [
      {
        "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
      }
    ],
    "keyDelivery": {
      "accessControl": {
        "defaultAction": "Deny",
        "ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
      }
    },
  },
  "location": "westus"
}

Para este exemplo, a solicitação dos seguintes endereços será aceita:

  • Endereços IPv6 entre 2001:1234:1234:0000:0000:0000:0000:4567 e 2001:1234:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF,
  • Endereço IPv6 2001:1235:0000:0000:0000:0000:0000:0000
  • Endereços IPv4 entre 10.0.0.0 e 10.0.255.255

Exemplos adicionais:

  • Para permitir solicitações de qualquer endereço IP, defina "defaultAction" do bloco "accessControl" como "Allow" (e não especifique um "ipAllowList)
  • Para permitir todos os endereços IPv4 e bloquear todos os endereços IPv6, defina a lista de permissões de IP como [ "0.0.0.0/0" ]
  • Para permitir todos os endereços IPv6 e bloquear todos os endereços IPv6, defina a lista de permissões de IP como [ "::/0" ]

Obter ajuda e suporte

Você pode entrar em contato com os Serviços de Mídia com dúvidas ou seguir nossas atualizações por um dos seguintes métodos: