Restringir o acesso à licença DRM e à entrega de chaves do AES com listas de permissões de IP

  • Artigo

Logótipo dos Serviços de Multimédia v3

Aviso

Os Serviços de Multimédia do Azure serão descontinuados a 30 de junho de 2024. Para obter mais informações, consulte o Guia de Descontinuação do AMS.

Ao proteger os suportes de dados com a proteção de conteúdos e as funcionalidades DRM dos Serviços de Multimédia, pode encontrar cenários em que precisa de limitar a entrega de licenças ou pedidos-chave a um intervalo ip específico de dispositivos cliente na sua rede. Para restringir a reprodução de conteúdos e a entrega de chaves, pode utilizar a lista de permissões de IP para Entrega de Chaves.

Além disso, também pode utilizar a lista de permissões para bloquear completamente todo o acesso público à Internet ao tráfego de Entrega de Chaves e permitir apenas o tráfego dos seus pontos finais de rede privada.

A lista de permissões de IP para Entrega de Chaves restringe a entrega de licenças DRM e chaves AES-128 para clientes dentro do intervalo de lista de permissões de IP fornecido.

Os Serviços de Multimédia suportam IPv6 para transmissão em fluxo. O Evento em Direto dos Serviços de Multimédia, o Ponto Final de Transmissão em Fluxo e os principais serviços de entrega podem ser utilizados pelos clientes em IPv4 e IPv6.

Definir a lista de permissões para entrega de chaves

As definições da lista de permissões de IP de Entrega de Chaves estão no recurso da conta dos Serviços de Multimédia. Ao criar uma nova conta dos Serviços de Multimédia, pode restringir os intervalos de IP permitidos através da propriedade KeyDelivery no recurso da conta dos Serviços de Multimédia.

A propriedade defaultAction pode ser definida como "Permitir" ou "Negar" para controlar a entrega de licenças e chaves para clientes no intervalo de lista de permissões.

A propriedade ipAllowList é uma matriz de endereços IPv4 ou IPv6 únicos e/ou intervalos com notação CIDR.

Definir a lista de permissões no portal

O portal do Azure fornece um método para configurar e atualizar a lista de permissões de IP para entrega de chaves. Navegue para a sua conta dos Serviços de Multimédia e aceda ao menu Entrega de chaves em Definições.

Suporte para pontos finais de transmissão em fluxo IPv6

Quando um Ponto Final de Transmissão em Fluxo é configurado para utilizar uma CDN, o suporte de endereços IP é configurado nas definições do fornecedor de CDN.

Para Pontos Finais de Transmissão em Fluxo que não utilizam uma CDN, por predefinição, os Pontos Finais de Transmissão em Fluxo aceitam pedidos de qualquer endereço IPv4. Para ativar todos os endereços IPv4 e IPv6, crie permitir IPv4 e IPv6 na lista de permissões de IP:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8

{
  "properties": {
    "accessControl": {
      "ip": {
        "allow": [
          {
            "name": "Allow all IPv6 addresses",
            "address": "::",
            "subnetPrefixLength": 0
          },
          {
            "name": "Allow all IPv4 addresses",
            "address": "0.0.0.0",
            "subnetPrefixLength": 0
          }
        ]
      }
    },
    "cdnEnabled": false
  },
 "location": "{resourceLocation}"
}

A lista de permissões de IP para um Ponto Final de Transmissão em Fluxo também pode incluir endereços ou intervalos IPv6 específicos.

Suporte IPv6 de Eventos em Direto

Por predefinição, os Eventos em Direto aceitam conteúdo de qualquer endereço IPv4. Para permitir qualquer endereço IPv4 ou IPv6, permita endereços IPv4 e IPv6 na lista de permissões de IP:

A lista de permissões de IP para um Evento em Direto também pode incluir endereços ou intervalos IPv6 específicos. Suporte IPv6 de Entrega de Chaves Por predefinição, os pedidos de chave de conteúdo são aceites a partir de qualquer endereço IPv4 ou IPv6. A lista de permissões de IP de Entrega de Chaves pode ser utilizada para restringir os endereços IP que podem ligar-se a pontos finais de entrega de chaves.

A lista de permissões de IP pode conter:

  • Endereços IPv4
  • Intervalos CIDR IPv4
  • Endereços IPv6
  • Intervalos cidr de IPv6

O exemplo seguinte define a lista de permissões de IP para entrega de chaves:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01

{
  "properties": {
    "storageAccounts": [
      {
        "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
      }
    ],
    "keyDelivery": {
      "accessControl": {
        "defaultAction": "Deny",
        "ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
      }
    },
  },
  "location": "westus"
}

Para este exemplo, o pedido dos seguintes endereços será aceite:

  • Endereços IPv6 entre 2001:1234:1234:0000:0000:0000:4567 e 2001:1234:FFFF:FFFF:FFFF:FFFF:FFFF:
  • Endereço IPv6 2001:1235:0000:0000:0000:0000:0000:0000:0000
  • Endereços IPv4 entre 10.0.0.0 e 10.0.255.255

Exemplos adicionais:

  • Para permitir pedidos de qualquer endereço IP, defina a "defaultAction" do bloco "accessControl" como "Permitir" (e não especifique um "ipAllowList)
  • Para permitir todos os endereços IPv4 e bloquear todos os endereços IPv6, defina a lista de permissões de IP como [ "0.0.0.0/0" ]
  • Para permitir todos os endereços IPv6 e bloquear todos os endereços IPv6, defina a lista de permissões de IP como [ "::/0" ]

Obter ajuda e suporte

Pode contactar os Serviços de Multimédia com perguntas ou seguir as nossas atualizações através de um dos seguintes métodos: