Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aviso
Os Serviços de Mídia do Azure serão desativados em 30 de junho de 2024. Para obter mais informações, consulte o Guia de Desativação do AMS.
O Bring Your Own Key (BYOK) é uma ampla iniciativa do Azure para ajudar os clientes a mover suas cargas de trabalho para a nuvem. As chaves gerenciadas pelo cliente permitem que os clientes sigam as regulamentações de conformidade do setor e melhoram o isolamento de locatários de um serviço. Dar aos clientes o controle das chaves de criptografia é uma maneira de minimizar o acesso e o controle desnecessários e criar confiança nos serviços da Microsoft.
Chaves e gerenciamento de chaves
Você pode usar uma chave própria com os Serviços de Mídia ao usar a API 2020-05-01 ou posterior dos Serviços de Mídia. Uma chave de conta padrão é criada para todas as contas que são criptografadas por uma chave do sistema de propriedade dos Serviços de Mídia. Quando você usa sua própria chave, a chave de conta é criptografada com sua chave. As chaves de conteúdo são criptografadas pela chave de conta. As URLs de JobInputHttp e as chaves de validação de token simétrico também são criptografadas.
Os Serviços de Mídia usam a identidade gerenciada da conta dos Serviços de Mídia para ler a sua chave de um Key Vault pertencente a você. Os Serviços de Mídia exigem que a Key Vault esteja na mesma região que a conta e que ela tenha a proteção de exclusão e limpeza reversível habilitada.
A sua chave pode ser uma chave RSA 2048, 3072 ou 4096, e ambas as chaves de software e HSM são suportadas.
Observação
As chaves do EC não são suportadas.
Você pode especificar um nome de chave e uma versão de chave, ou apenas um nome de chave. Se você usar apenas um nome de chave, os Serviços de Mídia usarão a versão de chave mais recente. Novas versões de chaves do cliente são detectadas automaticamente e a chave da conta é criptografada novamente.
Aviso
Os Serviços de Mídia monitoram o acesso à chave do cliente. Se a chave do cliente se tornar inacessível (por exemplo, a chave tiver sido excluída ou o Key Vault tiver sido excluído ou a concessão de acesso tiver sido removida), os Serviços de Mídia passarão a conta para o estado inacessível da chave do cliente (desabilitando efetivamente a conta). No entanto, a conta pode ser excluída nesse estado. As únicas operações com suporte são conta GET, LIST e DELETE; todas as outras solicitações (codificação, streaming e assim por diante) falharão até que o acesso à chave de conta seja restaurado.
Criptografia dupla
Os Serviços de Mídia dão suporte automaticamente à criptografia dupla. Para dados inativos, a primeira camada de criptografia usa uma chave gerenciada pelo cliente ou uma chave gerenciada da Microsoft, dependendo da configuração AccountEncryption da conta. A segunda camada de criptografia para dados inativos é fornecida automaticamente usando uma chave gerenciada da Microsoft separada. Para saber mais sobre a criptografia dupla, confira criptografia dupla do Azure.
Observação
A criptografia dupla é habilitada automaticamente na conta dos Serviços de Mídia. No entanto, você precisa configurar a chave gerenciada pelo cliente e a criptografia dupla em sua conta de armazenamento separadamente. Para saber mais, consulte Criptografia de armazenamento.
Tutoriais
Obter ajuda e suporte
Você pode entrar em contato com os Serviços de Mídia com perguntas ou seguir nossas atualizações por um dos seguintes métodos:
- P & R
-
Stack Overflow. Marque perguntas com
azure-media-services. - @MSFTAzureMedia ou use @AzureSupport para solicitar suporte.
- Abra um tíquete de suporte por meio do portal do Azure.