Azure Policy para Serviços de Mídia
Aviso
Os Serviços de Mídia do Azure serão desativados em 30 de junho de 2024. Para obter mais informações, consulte o Guia de Desativação do AMS.
Os Serviços de Mídia do Azure fornecem definições internas do Azure Policy para ajudar a aplicar padrões organizacionais e a conformidade em escala. Casos de uso comuns do Azure Policy incluem implementar a governança para consistência de recursos, conformidade regulatória, segurança, custo e gerenciamento.
Os Serviços de Mídia fornecem várias definições de caso de uso comuns para Azure Policy para ajudar você a começar.
Definições integradas do Azure Policy para Serviços de Mídia
Várias definições de política internas estão disponíveis para uso com os Serviços de Mídia para ajudar você a começar e permitem que você defina suas políticas personalizadas.
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As contas dos Serviços de Mídia do Azure devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que os recursos dos Serviços de Mídia não sejam expostos na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos recursos dos Serviços de Mídia. Saiba mais em: https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Deny, desabilitado | 1.0.0 |
| As contas dos Serviços de Mídia do Azure devem usar uma API com suporte para Link Privado | As contas dos Serviços de Mídia devem usar uma API com suporte para link privado. | Audit, Deny, desabilitado | 1.0.0 |
| As contas dos Serviços de Mídia do Azure que permitem o acesso à API legacy v2 devem ser bloqueadas | A API V2 herdada dos Serviços de Mídia permite solicitações que não podem ser gerenciadas usando o Azure Policy. Os recursos dos Serviços de Mídia criados usando a API 2020-05-01 ou posterior bloqueiam o acesso à API v2 herdada. | Audit, Deny, desabilitado | 1.0.0 |
| As políticas de chave de conteúdo dos Serviços de Mídia do Azure devem usar autenticação de token | As políticas de chave de conteúdo definem as condições que precisam ser atendidas para o acesso às chaves de conteúdo. Uma restrição de token garante que as chaves de conteúdo só possam ser acessadas por usuários que tenham tokens válidos de um serviço de autenticação, por exemplo, o Azure Active Directory. | Audit, Deny, desabilitado | 1.0.0 |
| Os trabalhos dos Serviços de Mídia do Azure com entradas HTTPS devem limitar os URIs de entrada aos padrões de URI permitidos | Restrinja as entradas HTTPS usadas pelos trabalhos dos Serviços de Mídia aos pontos de extremidade conhecidos. As entradas de pontos de extremidade HTTPS podem ser totalmente desabilitadas definindo uma lista vazia de padrões de entrada de trabalho permitidos. Quando as entradas de trabalho especificarem um 'baseUri', será feita a correspondência dos padrões com esse valor. Quando 'baseUri' não for definido, será feita a correspondência do padrão com a propriedade 'files'. | Deny, Desabilitado | 1.0.1 |
| Os Serviços de Mídia do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar no restante de suas contas de Serviços de Mídia. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/mediaservicescmkdocs. | Audit, Deny, desabilitado | 1.0.0 |
| Os Serviços de Mídia do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Se você mapear os pontos de extremidade privados para os Serviços de Mídia, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, desabilitado | 1.0.0 |
| Configurar Serviços de Mídia do Azure para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para que seja resolvida para as contas dos Serviços de Mídia. Saiba mais em: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar Serviços de Mídia do Azure com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Se você mapear os pontos de extremidade privados para os Serviços de Mídia, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, desabilitado | 1.0.0 |
A lista de definições de política internas para Serviços de Mídia fornece as definições mais recentes e vincula as definições de código e como acessá-las no Portal.
Cenários comuns que exigem o Azure Policy
- Se a segurança corporativa exigir que você garanta que todas as contas dos Serviços de Mídia sejam criadas com Links Privados, você poderá usar uma definição de política para garantir que as contas sejam criadas apenas com a API 2020-05-01 (ou posterior), a fim de desabilitar o acesso à API REST v2 herdada e acessar o recurso de Link Privado.
- Se você quiser impor opções específicas nos tokens usados para Políticas de Chave de Conteúdo, uma definição do Azure Policy poderá ser construída para dar suporte aos requisitos específicos.
- Se suas metas de segurança exigirem que você restrinja uma fonte de entrada do Trabalho apenas a suas contas de armazenamento confiáveis, e que restrinja o acesso a entradas HTTP(S) externas por meio do uso de JobInputHttp, será possível construir uma política do Azure para limitar o padrão de URI de entrada.
Exemplo de definições de políticas
Os Serviços de Mídia do Azure mantêm e publica um conjunto de exemplos de definições do Azure Policy no Git Hub. Confira os exemplos de definições de política integradas para Serviços de Mídia no repositório azure-policy do Git Hub.
Políticas do Azure, pontos de extremidade privados e Serviços de Mídia
Os Serviços de Mídia definem um conjunto de definições internas do Azure Policy para ajudar a impor padrões organizacionais e avaliar a conformidade em escala.
Azure Policy para pontos de extremidade privados no portal
A política Configurar os Serviços de Mídia do Azure com pontos de extremidade privados pode ser usada para criar automaticamente pontos de extremidade privados para recursos dos Serviços de Mídia. Os parâmetros da política definem a sub-rede em que o link privado deve ser criado e a ID do grupo a ser usada ao criar o ponto de extremidade privado. Para criar automaticamente pontos de extremidade privados para entrega de chaves, eventos ao vivo e pontos de extremidade de streaming, a política deve ser atribuída separadamente para cada ID de grupo (ou seja, uma atribuição de política seria criada com a ID do grupo definida como keydelivery, uma segunda atribuição de política seria criada com a ID do grupo definida como liveevent e uma terceira atribuição definiria a ID do grupo como streamingendpoint). À medida que essa política implanta recursos, a política deve ser criada com uma Identidade Gerenciada.
A política Configurar os Serviços de Mídia do Azure para usar zonas DNS privadas pode ser usada para criar zonas DNS privadas para pontos de extremidade privados dos Serviços de Mídia. Essa política também é aplicada separadamente para cada ID de grupo.
A política Os Serviços de Mídia do Azure devem usar o link privado gera eventos de auditoria para recursos dos Serviços de Mídia que não têm o link privado habilitado.
Azure Policy para segurança de rede
Quando o link privado é usado para acessar recursos dos Serviços de Mídia, um requisito comum é limitar o acesso a esses recursos da Internet. A política As contas dos Serviços de Mídia do Azure devem desabilitar o acesso à rede pública pode ser usada para auditar contas dos Serviços de Mídia que permitem acesso à rede pública.
Segurança de rede de saída
O Azure Policy pode ser usado para restringir como os Serviços de Mídia acessam serviços externos. A política Os trabalhos dos Serviços de Mídia do Azure com entradas HTTPS devem limitar as URIs de entrada aos padrões de URI permitidos deve ser usada para bloquear totalmente trabalhos dos Serviços de Mídia lidos de URLS HTTP e HTTPS ou para limitar os trabalhos dos Serviços de Mídia à leitura de URLs que correspondem a padrões específicos.
Obter ajuda e suporte
Você pode entrar em contato com os Serviços de Mídia com perguntas ou seguir nossas atualizações por um dos seguintes métodos:
- P & R
-
Stack Overflow. Marque perguntas com
azure-media-services. - @MSFTAzureMedia ou use @AzureSupport para solicitar suporte.
- Abra um tíquete de suporte por meio do portal do Azure.