分享方式:


教學課程:使用 Azure 入口網站來搭配媒體服務使用客戶自控金鑰或 BYOK

媒體服務標誌 v3


警告

Azure 媒體服務將於 2024 年 6 月 30 日淘汰。 如需詳細資訊,請參閱 AMS淘汰指南

透過 2020-05-01 或更新版本的 API,您可以搭配使用客戶自控的 RSA 金鑰與具有系統管理身分識別的 Azure 媒體服務帳戶。此教學課程涵蓋 Azure 入口網站中的步驟。

使用的服務包括:

  • Azure 儲存體
  • Azure 金鑰保存庫
  • Azure 媒體服務

在本教學課程裡,您將學習如何使用 Azure 入口網站來:

  • 建立資源群組。
  • 建立具有系統管理身分識別的儲存體帳戶。
  • 建立具有系統管理身分識別的媒體服務帳戶。
  • 建立金鑰保存庫以儲存客戶自控的 RSA 金鑰。

必要條件

Azure 訂用帳戶。

如果您沒有 Azure 訂用帳戶,請建立免費試用帳戶

系統管理的金鑰

使用入口網站建立資源群組

  1. 在 Azure 入口網站的主畫面中,選取 [建立資源]。 Marketplace 畫面隨即出現。
  2. 選取 [資源群組]。 將會顯示資源群組清單。
  3. 選取 [新增]。 建立資源群組畫面隨即出現。
  4. 選取您希望此資源群組使用的訂用帳戶。
  5. 在 [資源群組] 欄位中輸入資源群組名稱。
  6. 選取資源群組的區域
  7. 選取 [檢閱 + 建立]。

重要事項

針對下列儲存體帳戶的建立步驟,您將在 [進階設定] 中選取 [系統管理的金鑰] 選項。

使用入口網站建立媒體服務帳戶

  1. 登入 Azure 入口網站

  2. 選取 [+建立資源]。

  3. 在搜尋欄位中,輸入 「媒體服務」,然後選取 Enter。 搜尋結果會顯示,包括媒體服務的卡片。

  4. 選取 媒體服務 卡片。 [媒體服務詳細數據] 畫面隨即出現。

  5. 選取 [建立]。 [建立媒體服務帳戶] 畫面隨即出現。

  6. 在 [建立媒體服務帳戶] 區段中,輸入必要的值。

    名稱 描述
    帳戶名稱 輸入新媒體服務帳戶的名稱。 媒體服務帳戶名稱為全部小寫且不含空格的字母或數字,且長度是 3 到 24 個字元。
    訂用帳戶 如果您有多個訂用帳戶,請從 Azure 訂用帳戶清單中選取您有權存取的訂用帳戶。
    資源群組 選取新的或現有的資源。 資源群組是共用生命週期、權限及原則的資源集合。 在此深入了解。
    位置 選取您將用來為媒體服務帳戶儲存媒體和中繼資料記錄的地理區域。 此區域將用於處理和串流媒體。 只有可用的媒體服務區域才會出現在下拉式清單方塊中。
    儲存體帳戶 選取儲存體帳戶,為媒體服務帳戶中的媒體內容提供 Blob 儲存體。 您可以選取與媒體服務帳戶相同地理區域中的現有儲存體帳戶,也可以建立新的儲存體帳戶。 新的儲存體帳戶會建立於相同的區域中。 儲存體帳戶名稱的規則會與媒體服務帳戶相同。

    您只能有一個主要儲存體帳戶,而與您的媒體服務帳戶相關聯的次要儲存體帳戶可以有任意數量。 您可以使用 Azure 入口網站新增次要儲存體帳戶。 如需詳細資訊,請參閱 Azure 儲存體帳戶與 Azure 媒體服務帳戶

    媒體服務帳戶和所有相關聯的儲存體帳戶必須位於相同的 Azure 訂用帳戶中。 強烈建議使用與媒體服務帳戶位於相同位置的儲存體帳戶,以避免產生額外的延遲和資料輸出費用。
    進階設定 從下拉式清單中選取先前建立的使用者受控識別,或選取連結以建立新的使用者受控識別。

    重要事項

    所有新的媒體服務帳戶都需要使用者受控識別。 先前建立、具有系統受控識別的帳戶並未變更。

  7. 選取「我擁有使用內容/檔案的所有權限,並同意其將依據線上服務條款和 Microsoft 隱私權聲明來進行處理」旁邊的核取方塊,以進行確認並繼續。

  8. 按一下 [檢閱 + 建立],或使用 [下一步:標籤] 按鈕新增標籤。

  9. 在下列畫面上按一下 [建立]。 部署即將開始。

使用入口網站建立金鑰保存庫

  1. 在主要搜尋欄位中輸入金鑰保存庫,然後在搜尋結果中出現時選取 [金鑰保存庫]。
  2. 選取 [建立金鑰保存庫]。 建立金鑰保存庫畫面隨即出現。
  3. 選取要使用的資源群組,或建立一個新資源群組。
  4. [金鑰保存庫 名稱] 欄位中輸入名稱。
  5. 從 [ 區域 ] 下拉式清單中選取區域。
  6. 從 [定價層] 下拉式清單中選取 定價層
  7. 在 [ 保留已刪除的保存庫天數 ] 字段中輸入天數。
  8. 使用 [清除保護 ] 單選按鈕啟用或停用清除保護。
  9. 選取 [下一步] 。 存取原則畫面隨即出現。
  10. 選取 保存庫存取原則Azure 角色型存取控制 ,以授與使用者適當的許可權。
  11. 選擇性:選取一或多個 [資源存取 ] 複選框。
  12. 選擇性:如果您想要更精細地控制存取權,請在 [ 使用者 ] 列表中選取使用者。
  13. 選取 [下一步] 。 網路功能畫面隨即出現。
  14. 選取或取消選取 [ 啟用公用存取 ] 複選框。 如果您選擇停用公用存取:
    1. 選取 [ 所有網络 ] 單選按鈕以允許所有公用存取,或選取 [ 選取的網络 ] 單選按鈕,將網络流量限制為選取的IP。
    2. 選取 [+ 新增虛擬網络 向下箭號],然後選取 [ 新增現有的虛擬網络 ] 或 [ 新增虛擬網络]。 在第一個案例中,選取已建立的虛擬網路。 第二個案例中會出現 [建立虛擬網络] 畫面,您將使用它來建立虛擬網路。
  15. 如果您想要授與其他服務的存取權,請選取 [允許受信任的 Microsoft 服務略過此防火牆 ] 複選框。
  16. 選擇性:如果您想要建立密鑰保存庫 的私人 端點,請選取 [建立私人端點]。 [建立私人端點] 畫面隨即出現。
    1. 如果尚未與資源群組一起選取,請從 [ 用帳戶] 下拉功能表中選取您想要處理的訂用帳戶。
    2. 從 [ 位置 ] 下拉式清單中選取位置 (區域) 。
    3. 在 [ 名稱 ] 欄位中輸入私人端點的名稱。
    4. 從[虛擬網络] 下拉式清單中選取已建立的 虛擬網路
    5. 從 [子網] 下拉式清單中選取 子網
    6. 選取 [與私人 DNS 區域整合 ] 切換,在 [是] 或 [否] 之間切換。
    7. [私用 DNS 區域] 下拉式清單中選取區域。
  17. 選取 [檢閱 + 建立]。 入口網站會檢查安裝程式是否有任何問題。
  18. 選取 [建立 ] 以部署金鑰保存庫。

在 Azure 入口網站 的媒體服務帳戶上啟用客戶管理的金鑰

  1. 建立媒體服務帳戶之後,請在 Azure 入口網站 中流覽至該帳戶。
  2. 選取 [加密]。
  3. 選取 [加密類型] 下的 [客戶自控金鑰]。
  4. 從 [受控識別] 下拉式清單中選取身 分識別
  5. 選取 [ 從金鑰保存庫選取] 單選按鈕連結。
  6. 選取 [ 選取金鑰保存庫 ] 按鈕。 [選取金鑰] 畫面隨即出現。
  7. 從 [金鑰保存庫] 下拉式清單中選取 金鑰保存庫
  8. 從 [金鑰] 清單中選取 金鑰 ,或建立新的金鑰。
  9. 選取 [儲存]。

重要事項

針對下列儲存體加密的步驟,您將選取 [客戶自控金鑰] 選像。

在儲存體帳戶上設定加密

  1. 在 Azure 入口網站 中,流覽至您想要處理的訂用帳戶。
  2. 選取 [資源]。 [資源] 畫面會顯示該訂用帳戶的所有資源清單。
  3. 在畫面頂端的 [ 搜尋 ] 字段中,輸入您想要加密之記憶體帳戶名稱 (或名稱) 的一部分。 相符項目會出現在搜尋欄位下方。
  4. 選取您尋找的儲存體帳戶。 儲存體帳戶畫面隨即出現。
  5. 選取 [加密]。
  6. 選取 [Microsoft 受管理金鑰 ] 或 [ 客戶管理的密鑰 ] 單選按鈕。

使用 Microsoft 自控金鑰

根據預設,儲存體帳戶中的資料會使用 Microsoft 自控金鑰加密。

使用客戶自控金鑰

  1. 選取 [客戶自控金鑰]。
  2. 選取 [輸入金鑰 URI] 或 [從金鑰保存庫選取]。
    1. 如果您選取 [輸入金鑰 URI],請在金鑰 URI 欄位中輸入金鑰 URI,然後選取訂用帳戶。 (系統可能已預設選取。)
    2. 如果您選取 [ 從金鑰保存庫選取],請選取 [選取金鑰保存庫和金鑰]。 Azure Key Vault 畫面中的選取金鑰隨即出現。
  3. 選取您想要使用的 Key Vault ,然後選取您在金鑰保存庫中已有的金鑰,或建立新的金鑰
    1. 如果您選擇建立新的金鑰,請從選項中選取 [產生] 或 [匯入]。 您只能匯入 RSA 金鑰。
    2. 若要產生新的金鑰,請在名稱欄位中提供金鑰名稱,然後選取金鑰類型:
      1. RSA - 金鑰大小:2048、3072 或 4096。 這是客戶最常選擇的項目。
      2. EC - 橢圓曲線名稱:P-256、P-384、P-521 或 P-256K
      3. 您可以選擇性地設定金鑰的啟用和到期日期。
      4. 選取 [是] 以啟用金鑰自動輪替。
      5. 選取 [建立]。
    3. 若要匯入金鑰,請按一下 [選取檔案] 欄位中的任何位置,以選取要上傳的檔案。
      1. 名稱欄位中提供金鑰名稱。
      2. 您可以選擇性地設定金鑰的啟用和到期日期。
      3. 選取 [是] 以啟用金鑰自動輪替。
      4. 選取 [建立]。
    4. 選取 [選取] 以選取此金鑰來加密您的儲存體帳戶。 系統會將您帶回加密畫面。
  4. 重要! 選取 [儲存] 以儲存加密設定,否則您剛執行的所有工作都會遺失。

變更金鑰

金鑰發生變更時,媒體服務會自動偵測到。 選擇性:若要測試此流程,請為相同的金鑰建立另一個金鑰版本。 媒體服務應該會偵測到金鑰已經變更。

清除資源

如果您不打算繼續使用您所建立的資源,且不想繼續產生費用,請將資源刪除。

取得說明及支援

您可以連絡媒體服務並提出問題,或遵循下列其中一種方法來追蹤我們的更新: