搭配媒體服務的自備金鑰 (客戶自控金鑰)
警告
Azure 媒體服務將於 2024 年 6 月 30 日淘汰。 如需詳細資訊,請參閱 AMS淘汰指南。
自備金鑰 (BYOK) 是 Azure 範圍計畫,可協助客戶將其工作負載移至雲端。 客戶自控金鑰可讓客戶遵守產業合規性法規,並改善服務的租用戶隔離。 讓客戶控制加密金鑰是將不必要的存取和控制降到最低及建立 Microsoft 服務信賴度的方法。
金鑰和金鑰管理
當您使用媒體服務 2020-05-01 或更新版本的 API 時,可以搭配媒體服務使用您自己的金鑰。 針對媒體服務所擁有的系統金鑰加密所有帳戶建立預設帳戶金鑰。 當您使用自己的金鑰時,帳戶金鑰會使用您的金鑰加密。 內容金鑰由帳戶金鑰加密。 也會加密 JobInputHttp URL 和對稱權杖驗證金鑰。
媒體服務會使用媒體服務帳戶的受控識別,從您擁有的 Key Vault 讀取您的金鑰。 媒體服務要求 Key Vault 位在與帳戶相同的區域中,且已啟用虛刪除和清除保護。
您的金鑰可以是 2048、3072 或 4096 RSA 金鑰,而且支援 HSM 和軟體金鑰。
注意
不支援 EC 金鑰。
您可以指定金鑰名稱和金鑰版本,或只指定金鑰名稱。 當您僅使用金鑰名稱時,媒體服務會使用最新的金鑰版本。 自動偵測新版本的客戶金鑰,並重新加密帳戶金鑰。
警告
媒體服務會監視客戶金鑰的存取權。 如果客戶金鑰變成無法存取 (例如:已刪除金鑰,或已刪除 Key Vault,或已移除存取授與),媒體服務會將帳戶轉換為客戶金鑰無法存取的狀態 (有效地停用帳戶)。 然而,帳戶可以在此狀態中刪除。 僅支援的作業為帳戶 GET、LIST 和 DELETE;在還原帳戶金鑰的存取權為止之前,所有其他要求 (編碼、串流等) 都將失敗。
雙重加密
媒體服務會自動支援雙重加密。 針對待用數據,第一層加密會根據 AccountEncryption 帳戶上的設定,使用客戶管理的密鑰或 Microsoft 管理的密鑰。 待用資料的第二層加密會自動使用個別的 Microsoft 受控金鑰來提供。 若要深入了解雙重加密,請參閱 Azure 雙重加密。
注意
會在媒體服務帳戶上自動啟用雙重加密。 不過,您必須個別在記憶體帳戶上設定客戶管理的金鑰和雙重加密。 若要深入了解,請參閱儲存體加密。
教學課程
取得說明及支援
您可以連絡媒體服務並提出問題,或遵循下列其中一種方法來追蹤我們的更新:
- 問與答
- Stack Overflow。 使用
azure-media-services標記問題。 - @MSFTAzureMedia 或使用 @AzureSupport 來要求支援。
- 透過 Azure 入口網站 開啟支援票證。