Поделиться через

Создание собственных ключей (ключей, управляемых клиентом) для Служб мультимедиа

  • Статья

Логотип Служб мультимедиа версии 3

Предупреждение

Поддержка Служб мультимедиа Azure будет прекращена 30 июня 2024 г. Дополнительные сведения см. в руководстве по прекращению поддержки AMS.

Создание собственных ключей (BYOK) — это инициатива Azure, которая помогает клиентам переместить свои рабочие нагрузки в облако. Ключи, управляемые клиентом, позволяют клиентам соблюсти нормативные требования отраслевых стандартов и повысить изоляцию службы. Предоставление клиентам управления ключами шифрования позволяет свести к минимуму ненужные права доступа и контроля, а также повысить доверие к службам Майкрософт.

Ключи и управление ключами

Вы можете использовать собственный ключ со Службами мультимедиа при использовании API Служб мультимедиа версии 2020-05-01 или более поздней. Для каждой учетной записи создается ключ учетной записи по умолчанию, который шифруется системным ключом Служб мультимедиа. Если вы используете собственный ключ, то ключ учетной записи шифруется с помощью вашего ключа. Ключи содержимого шифруются ключом учетной записи. URL-адреса JobInputHttp и симметричные ключи проверки маркеров также шифруются.

Ключ, управляемый клиентом, заменяет ключ, управляемый системой

Службы мультимедиа используют управляемое удостоверение учетной записи Служб мультимедиа для чтения ключа из вашего хранилища Key Vault. Для Служб мультимедиа необходимо, чтобы это хранилище Key Vault находилось в том же регионе, что и учетная запись. Кроме того, в нем должна быть включена защита от обратимого удаления и очистки.

Можно использовать 2048-, 3072- или 4096-разрядный ключ RSA. Кроме того, поддерживаются ключи HSM и программные ключи.

Примечание

Ключи EC не поддерживаются.

Можно указать имя и версию ключа или только имя ключа. Если указать только имя ключа, Службы мультимедиа будут использовать последнюю версию ключа. Новые версии ключей клиента обнаруживаются автоматически, после чего ключ учетной записи шифруется повторно.

Предупреждение

Службы мультимедиа отслеживают доступ к ключу клиента. Если ключ клиента становится недоступным (например, он был удален, хранилище Key Vault было удалено или доступ был отменен), Службы мультимедиа переводят учетную запись состояние недоступности ключа клиента (фактически отключая эту учетную запись). Тем не менее учетную запись в этом состоянии можно удалить. Для такой учетной записи поддерживаются только операции GET, LIST и DELETE. Все остальные запросы (кодирование, потоковая передача и т. д.) будут завершаться ошибкой, пока не будет восстановлен доступ к ключу учетной записи.

Двойное шифрование

Службы мультимедиа автоматически поддерживают двойное шифрование. Первый уровень шифрования неактивных данных использует ключ, управляемый клиентом, или ключ, управляемый корпорацией Майкрософт, в зависимости от параметра AccountEncryption учетной записи. Второй уровень шифрования неактивных данных предоставляется автоматически с помощью отдельного ключа, управляемого корпорацией Майкрософт. Дополнительные сведения о двойном шифровании см. в статье Двойное шифрование.

Примечание

Двойное шифрование включается автоматически для учетной записи Служб мультимедиа. Однако необходимо отдельно настроить ключ, управляемый клиентом, и двойное шифрование для своей учетной записи хранения. Дополнительные сведения см. в статье Шифрование хранилища.

Учебники

Справка и поддержка

Вы можете обратиться к Службам мультимедиа с вопросами или следить за нашими обновлениями одним из следующих способов: