IP izin listeleri kullanarak DRM lisansına ve AES anahtar teslimine erişimi kısıtlama

  • Makale

Media Services logosu v3

Uyarı

Azure Media Services 30 Haziran 2024'de kullanımdan kaldırılacaktır. Daha fazla bilgi için bkz. AMS Kullanımdan Kaldırma Kılavuzu.

Media Services'ın içerik koruması ve DRM özellikleriyle medyanın güvenliğini sağlarken, ağınızdaki belirli bir IP cihazı IP aralığına lisansların veya anahtar isteklerinin teslimini sınırlamanız gereken senaryolarla karşılaşabilirsiniz. anahtarların içerik kayıttan yürütülmesini ve teslimini kısıtlamak için Anahtar Teslimi için IP izin verilenler listesini kullanabilirsiniz.

Ayrıca, Key Delivery trafiğine tüm genel İnternet erişimini tamamen engellemek ve yalnızca özel ağ uç noktalarınızdan gelen trafiğe izin vermek için izin verilenler listesini de kullanabilirsiniz.

Anahtar Teslimi için IP izin listesi, hem DRM lisanslarının hem de AES-128 anahtarlarının sağlanan IP izin verilenler listesi aralığındaki istemcilere teslimini kısıtlar.

Media Services akış için IPv6'yi destekler. Media Services Canlı Etkinliği, Akış Uç Noktası ve anahtar teslim hizmetleri, istemciler tarafından hem IPv4 hem de IPv6 üzerinden kullanılabilir.

Anahtar teslimi için izin verilenler listesini ayarlama

Anahtar Teslim IP'sine izin verilenler listesi ayarları Media Services hesap kaynağındadır. Yeni bir Media Services hesabı oluştururken, Media Services hesap kaynağındakiKeyDelivery özelliği aracılığıyla izin verilen IP aralıklarını kısıtlayabilirsiniz.

İzin verilenler listesindeki istemcilere lisans ve anahtar teslimini denetlemek için defaultAction özelliği "İzin Ver" veya "Reddet" olarak ayarlanabilir.

ipAllowList özelliği, CIDR gösterimi kullanan tek bir IPv4 veya IPv6 adresi ve/veya aralık dizisidir.

Portalda izin verilenler listesini ayarlama

Azure portal, anahtar teslimi için IP izin verilenler listesini yapılandırmaya ve güncelleştirmeye yönelik bir yöntem sağlar. Media Services hesabınıza gidin ve Ayarlar'ın altındaki Anahtar teslim menüsüne erişin.

Akış uç noktaları IPv6 desteği

Akış Uç Noktası CDN kullanacak şekilde yapılandırıldığında, CDN sağlayıcısı ayarlarında IP adresi desteği yapılandırılır.

CDN kullanmayan Akış Uç Noktaları için, Akış Uç Noktaları varsayılan olarak herhangi bir IPv4 adresinden gelen istekleri kabul eder. Tüm IPv4 ve IPv6 adreslerini etkinleştirmek için IP izin verme listesinde hem IPv4 hem de IPv6'ya izin ver oluşturun:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8

{
  "properties": {
    "accessControl": {
      "ip": {
        "allow": [
          {
            "name": "Allow all IPv6 addresses",
            "address": "::",
            "subnetPrefixLength": 0
          },
          {
            "name": "Allow all IPv4 addresses",
            "address": "0.0.0.0",
            "subnetPrefixLength": 0
          }
        ]
      }
    },
    "cdnEnabled": false
  },
 "location": "{resourceLocation}"
}

Akış Uç Noktası için IP izin listesi belirli IPv6 adreslerini veya aralıklarını da içerebilir.

Canlı Etkinlikler IPv6 desteği

Varsayılan olarak, Canlı Etkinlikler herhangi bir IPv4 adresinden içerik kabul ediyor. Herhangi bir IPv4 veya IPv6 adresine izin vermek için IP izin verme listesinde hem IPv4 hem de IPv6 adreslerine izin verin:

Canlı Etkinlik için IP izin listesi belirli IPv6 adreslerini veya aralıklarını da içerebilir. Anahtar Teslimi IPv6 desteği Varsayılan olarak, içerik anahtarı istekleri herhangi bir IPv4 veya IPv6 adresinden kabul edilir. Anahtar Teslim IP'sine izin verme listesi, anahtar teslim uç noktalarına bağlanabilecek IP adreslerini kısıtlamak için kullanılabilir.

IP izin verme listesi şunları içerebilir:

  • IPv4 adresleri
  • IPv4 CIDR aralıkları
  • IPv6 adresleri
  • IPv6 CIDR aralıkları

Aşağıdaki örnek, anahtar teslimi için IP izin listesini ayarlar:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01

{
  "properties": {
    "storageAccounts": [
      {
        "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
      }
    ],
    "keyDelivery": {
      "accessControl": {
        "defaultAction": "Deny",
        "ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
      }
    },
  },
  "location": "westus"
}

Bu örnekte, aşağıdaki adreslerden gelen istek kabul edilir:

  • 2001:1234:1234:0000:0000:0000:0000:4567 ve 2001:1234:FFFF:FFFF:FFFF:FFFF:FFFF,
  • IPv6 adresi 2001:1235:0000:0000:0000:0000:0000:0000
  • 10.0.0.0 ile 10.0.255.255 arasındaki IPv4 adresleri

Ek örnekler:

  • Herhangi bir IP adresinden gelen isteklere izin vermek için "accessControl" bloğunun "defaultAction" değerini "İzin Ver" olarak ayarlayın (ve "ipAllowList" belirtmeyin)
  • Tüm IPv4 adreslerine izin vermek ve tüm IPv6 adreslerini engellemek için IP izin listesini [ "0.0.0.0/0" ] olarak ayarlayın
  • Tüm IPv6 adreslerine izin vermek ve tüm IPv6 adreslerini engellemek için IP izin verme listesini [ "::/0" ] olarak ayarlayın

Yardım ve destek alma

Aşağıdaki yöntemlerden birini kullanarak Media Services ile iletişime geçebilir veya güncelleştirmelerimizi izleyebilirsiniz: