Руководство по использованию портала Azure для использования ключей, управляемых клиентом, или BYOK для Служб мультимедиа

---

Предупреждение

Поддержка Служб мультимедиа Azure будет прекращена 30 июня 2024 г. Дополнительные сведения см. в руководстве по прекращению поддержки AMS.

API версии от 1 мая 2020 года или более поздней позволяет использовать управляемый клиентом ключ RSA для учетной записи Служб мультимедиа Azure, у которой есть управляемое системой удостоверение. В этом руководстве рассматриваются действия, которые нужно выполнить на портале Azure.

Используемые службы:

• Хранилище Azure
• Azure Key Vault
• Службы мультимедиа Azure

Из этого руководства вы узнаете, как с помощью портала Azure выполнять следующие операции.

• Создайте группу ресурсов.
• Создание учетной записи с управляемым системой удостоверением:
• создание учетной записи Служб мультимедиа с удостоверением, управляемым системой;
• создание Key Vault для хранения управляемого пользователем ключа RSA;

Предварительные требования

Подписка Azure.

Если у вас еще нет подписки Azure, создайте бесплатную пробную учетную запись.

Ключи, управляемые системой

Создание группы ресурсов с помощью портала

1. На начальном экране портала Azure выберите Создать ресурс. Появится окно Marketplace.
2. Выберите элемент Группы ресурсов. Отобразится список групп ресурсов.
3. Выберите Добавить. Появится область для создания группы ресурсов.
4. Выберите подписку, которая будет использоваться для этой группы ресурсов.
5. В поле Группа ресурсов введите имя группы ресурсов.
6. Выберите регион для группы ресурсов.
7. Выберите Review + create (Просмотреть и создать).

Важно!

Для следующих шагов создания учетной записи хранения необходимо выбрать управляемый системой ключ, в разделе "Дополнительные параметры".

Создание учетной записи Служб мультимедиа с помощью портала

1. Войдите на портал Azure.

2. Выберите +Создать ресурс.

3. В поле поиска введите "Службы мультимедиа" и нажмите клавишу ВВОД. Появятся результаты поиска, включая карта для Служб мультимедиа.

4. Выберите карта Службы мультимедиа. Появится экран Сведений о Службах мультимедиа.

5. Нажмите кнопку создания. Откроется экран Создание учетной записи служб мультимедиа.

6. В окне Создание учетной записи служб мультимедиа введите необходимые значения.

   Имя	Описание
   Имя учетной записи	Введите имя новой учетной записи Служб мультимедиа. Имя учетной записи служб мультимедиа может состоять из цифр или букв в нижнем регистре без пробелов и должно иметь длину от 3 до 24 символов.
   Подписка	Если у вас есть несколько подписок, выберите одну из них в списке подписок Azure, к которым у вас есть доступ.
   Группа ресурсов	Выберите новый или существующий ресурс. Группа ресурсов — это коллекция ресурсов с одинаковым жизненным циклом, разрешениями и политиками. Дополнительные сведения см. здесь.
   Расположение	Выберите географический регион, который будет использоваться для хранения записей мультимедиа и метаданных вашей учетной записи служб мультимедиа. Этот регион будет использоваться для обработки и потоковой передачи мультимедиа. В раскрывающемся списке отображаются только доступные регионы служб мультимедиа.
   Учетная запись хранения	Выберите учетную запись хранения, чтобы определить хранилище BLOB-объектов для мультимедийного содержимого из учетной записи служб мультимедиа. Можно выбрать существующую учетную запись хранения в географическом регионе, где находится учетная запись служб носителей, или создать новую учетную запись хранения. Новая учетная запись хранения будет создана в том же регионе. В отношении учетных записей хранения действуют те же правила, что и для учетных записей служб носителей. Необходимо иметь основную учетную запись хранения. У вас может быть любое количество вторичных учетных записей хранения, связанных с учетной записью Служб мультимедиа. Чтобы добавить дополнительные учетные записи хранения можно использовать портал Azure. Дополнительные сведения см. в статье Учетные записи хранения Azure с учетными записями Служб мультимедиа Azure. Учетная запись Служб мультимедиа и все связанные учетные записи хранения должны размещаться в одной подписке Azure. Настоятельно рекомендуется использовать учетные записи хранения в том же расположении, в котором находится учетная запись Служб мультимедиа, чтобы уменьшить задержку передачи данных и избежать дополнительных затрат на исходящий трафик.
   Дополнительные настройки	Выберите ранее созданное пользовательское удостоверение в раскрывающемся списке или создайте управляемое пользователем удостоверение, выбрав ссылку.

   Важно!

   Для всех новых учетных записей Служб мультимедиа требуется управляемое пользователем удостоверение. Ранее созданные учетные записи с удостоверением, управляемым системой, не изменились.

7. Установите флажок "У меня есть все права на использование содержимого/файла, и я соглашаюсь, что они будут обрабатываться согласно условиям использования веб-служб и заявлению о конфиденциальности Майкрософт", чтобы принять и продолжить.

8. Щелкните Проверить и создать или добавьте теги с помощью кнопки Далее: Теги.

9. На следующем экране нажмите кнопку Создать. Начнется развертывание.

Создание хранилища ключей с помощью портала

1. Введите Key Vault в поле поиска main и выберите Key Vault, когда он появится в результатах поиска.
2. Выберите Создать хранилище ключей. Откроется экран "Создать хранилище ключей".
3. Выберите нужную группу ресурсов или создайте новую.
4. Введите имя в поле имени Key Vault.
5. Выберите регион в раскрывающемся списке Регион .
6. Выберите ценовую категорию из раскрывающегося списка Ценовая категория .
7. Введите количество дней в поле Дни для хранения удаленных хранилищ .
8. Включение или отключение защиты от очистки с помощью переключателей Защита от очистки .
9. Выберите Далее. Появится экран "Политика доступа".
10. Выберите политику доступа к хранилищу или управление доступом на основе ролей Azure , чтобы предоставить пользователю соответствующие разрешения.
11. Необязательно. Установите один или несколько флажков Доступ к ресурсам .
12. Необязательно. Выберите пользователя в списке Пользователей , если требуется более детальное управление доступом.
13. Выберите Далее. Откроется экран "Сеть".
14. Установите или снимите флажок Включить общий доступ . Если вы решили отключить общий доступ, выполните следующие действия.
    1. Выберите переключатель Все сети , чтобы разрешить общий доступ, или переключатель Выбранные сети , чтобы ограничить сетевой трафик выбранными IP-адресами.
    2. Щелкните стрелку + Добавить виртуальную сеть вниз и выберите Добавить существующие виртуальные сети или Добавить новую виртуальную сеть. В первом случае выберите уже созданную виртуальную сеть. Во втором случае появится экран Создание виртуальной сети, и вы будете использовать его для создания виртуальной сети.
15. Установите флажок Разрешить доверенным службам Майкрософт обходить этот брандмауэр , если вы хотите предоставить доступ к другим службам.
16. Необязательно. Выберите Создать частную конечную точку , если вы хотите создать частную конечную точку для хранилища ключей. Откроется экран Создание частной конечной точки.
    1. Выберите подписку, с которой вы хотите работать, в раскрывающемся меню Подписка , если она еще не выбрана вместе с группой ресурсов.
    2. Выберите расположение (регион) из раскрывающегося списка Расположение .
    3. Введите имя частной конечной точки в поле Имя .
    4. Выберите уже созданную виртуальную сеть в раскрывающемся списке Виртуальная сеть .
    5. Выберите подсеть из раскрывающегося списка Подсеть .
    6. Установите переключатель Интеграция с частной зоной DNS , чтобы переключиться между "Да" или "Нет".
    7. Выберите зону из раскрывающегося списка Частная зона DNS зоны.
17. Выберите Review + create (Просмотреть и создать). Портал будет проверка для любых проблем с настройкой.
18. Выберите Создать , чтобы развернуть хранилище ключей.

Включение управляемых клиентом ключей в учетной записи Служб мультимедиа в портал Azure

1. После создания учетной записи Служб мультимедиа перейдите к ней в портал Azure.
2. Выберите Шифрование.
3. В разделе Тип шифрования выберите Управляемые клиентом ключи.
4. Выберите удостоверение в раскрывающемся списке Управляемое удостоверение .
5. Выберите ссылку Выбрать из хранилища ключей переключатель.
6. Нажмите кнопку Выбрать хранилище ключей . Откроется экран Выбор клавиши.
7. Выберите хранилище ключей из раскрывающегося списка Key Vault .
8. Выберите ключ из списка Ключ или создайте новый.
9. Щелкните Сохранить.

Важно!

Для следующих действий по шифрованию хранилища, необходимо выбрать ключ, управляемый клиентом.

Настройка шифрования в учетной записи хранения

1. В портал Azure перейдите к подписке, с которой хотите работать.
2. Выберите Resources (Ресурсы). Откроется экран Ресурсы со списком всех ресурсов для этой подписки.
3. Введите имя (или часть имени) учетной записи хранения, которую вы хотите зашифровать, в поле Поиск в верхней части экрана. Совпадения будут отображаться под полем поиска.
4. Выберите необходимую учетную запись хранения. Появится экран учетной записи хранения.
5. Выберите Шифрование.
6. Выберите переключатель Ключи, управляемые Корпорацией Майкрософт , или Ключи, управляемые клиентом .

Использование ключей, управляемых корпорацией Майкрософт

По умолчанию данные в учетной записи хранения шифруются с помощью ключей, управляемых корпорацией Майкрософт.

Использование ключей управляемых клиентом

1. Выберите Управляемые клиентом ключи.
2. Выберите Введите URI ключа или Выбор из Key Vault.
   1. Если выбран вариант Введите URI ключа, введите URI ключа в соответствующем поле и выберите подписку. (Этот параметр может быть уже выбран.)
   2. Если выбрать Выбрать из хранилища ключей, выберите Выбрать хранилище ключей и ключ. Откроется окно выбора ключа из Azure Key Vault.
3. Выберите Key Vault, которое вы хотите использовать. Затем создайте ключ или выберите ключ, который уже присутствует в хранилище ключей.
   1. Если вы решили создать ключ, выберите Создать или Импортировать из раскрывающегося списка Параметры. Вы можете импортировать только ключи RSA.
   2. Чтобы создать ключ, присвойте ему имя в поле Имя, а затем выберите его тип:
      1. RSA — размеры ключа: 2048, 3072 или 4096. Это самые популярные варианты среди клиентов.
      2. EC — имена эллиптических кривых: P-256, P-384, P-521 или P-256K
      3. При необходимости можно задать даты активации и окончания срока действия ключа.
      4. Выберите Да, чтобы включить автоматическую смену ключа.
      5. Нажмите кнопку создания.
   3. Чтобы импортировать ключ, выберите файл для отправки, щелкнув в любом месте поля Выберите файл.
      1. Присвойте ключу имя в поле Имя.
      2. При необходимости можно задать даты активации и окончания срока действия ключа.
      3. Выберите Да, чтобы включить автоматическую смену ключа.
      4. Нажмите кнопку создания.
   4. Щелкните Выбрать, чтобы выбрать этот ключ для шифрования учетной записи хранения. Вы будете возвращены на экран шифрования.
4. ВАЖНО! Выберите Сохранить, чтобы сохранить параметры шифрования. Все несохраненные данные будут потеряны.

Изменение ключа

Службы мультимедиа автоматически обнаруживают, что ключ изменен. НЕОБЯЗАТЕЛЬНО. Чтобы проверить это, создайте версию того же ключа. Службы мультимедиа должны обнаружить, что ключ изменен.

Очистка ресурсов

Если вы не собираетесь использовать (и оплачивать) созданные ресурсы, удалите их.

Справка и поддержка

Вы можете обратиться к Службам мультимедиа с вопросами или следить за нашими обновлениями одним из следующих способов:

• ВОПРОСЫ И ОТВЕТЫ
• Stack Overflow. Пометьте вопросы с помощью azure-media-services.
• @MSFTAzureMedia или используйте @AzureSupport для запроса на поддержку.
• Отправьте запрос в службу поддержки через портал Azure.