适用于媒体服务的 Azure Policy
警告
Azure 媒体服务将于 2024 年 6 月 30 日停用。 有关详细信息,请参阅 AMS 停用指南。
Azure 媒体服务提供内置 Azure Policy 定义,用于大规模强制实施组织标准和符合性。 Azure Policy 的常见用例包括实施监管来满足资源一致性、法规遵从性、安全性、成本管理方面的要求。
媒体服务为 Azure Policy 提供一些常见的内置用例定义,以帮助用户入门。
适用于媒体服务的内置 Azure Policy 定义
你可以借助多个内置策略定义开始使用媒体服务,而且还能定义你自己的自定义策略。
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 媒体服务帐户应禁用公用网络访问 | 禁用公用网络访问可确保媒体服务资源不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制媒体服务资源的公开。 有关详细信息,请访问:https://aka.ms/mediaservicesprivatelinkdocs。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 媒体服务帐户应使用支持专用链接的 API | 媒体服务帐户应使用支持专用链接的 API 来创建。 | Audit、Deny、Disabled | 1.0.0 |
| 允许访问旧版 v2 API 的 Azure 媒体服务帐户应被阻止 | 媒体服务旧版 v2 API 允许无法使用 Azure Policy 进行管理的请求。 使用 2020-05-01 API 或更高版本创建的媒体服务资源会阻止访问旧版 v2 API。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 媒体服务内容密钥策略应使用令牌身份验证 | 内容密钥策略定义访问内容密钥必须满足的条件。 令牌限制确保内容密钥只能由具有来自身份验证服务(例如 Azure Active Directory)的有效令牌的用户访问。 | Audit、Deny、Disabled | 1.0.0 |
| 使用 HTTPS 输入的 Azure 媒体服务作业应该将输入 URI 限制在允许的 URI 模式内 | 将媒体服务作业使用的 HTTPS 输入限制为已知的终结点。 可以通过设置允许的作业输入模式的空列表,完全禁用 HTTPS 终结点的输入。 如果作业输入指定“baseUri”,则模式将与此值匹配;如果未设置“baseUri”,则模式与“files”属性匹配。 | 拒绝、已禁用 | 1.0.1 |
| Azure 媒体服务应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥管理媒体服务帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/mediaservicescmkdocs。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 媒体服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到媒体服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/mediaservicesprivatelinkdocs。 | AuditIfNotExists、Disabled | 1.0.0 |
| 配置 Azure 媒体服务以使用专用 DNS 区域 | 使用专用 DNS 区域来替代专用终结点的 DNS 解析。 专用 DNS 区域会链接到虚拟网络,以解析到媒体服务帐户。 有关详细信息,请访问:https://aka.ms/mediaservicesprivatelinkdocs。 | DeployIfNotExists、Disabled | 1.0.0 |
| 使用专用终结点配置 Azure 媒体服务 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到媒体服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/mediaservicesprivatelinkdocs。 | DeployIfNotExists、Disabled | 1.0.0 |
媒体服务的内置策略定义列表提供最新定义,并链接代码定义以及在门户中访问代码的方法。
需要 Azure Policy 的常见方案
- 如果企业安全性要求你必须使用专用链接创建所有媒体服务帐户,你可以使用策略定义来确保仅使用 2020-05-01 API(或更高版本)来创建帐户,以禁止访问旧版 REST v2 API 以及使用专用链接功能。
- 如果要对内容密钥策略使用的令牌强制实施特定选项,则可以通过设计 Azure Policy 定义来支持特定要求。
- 如果安全目标要求将作业输入源限制为仅来自受信任的存储帐户,并通过使用 JobInputHttp 限制对外部 HTTP(S) 输入的访问,则可以构建 Azure 策略来限制输入 URI 模式。
示例策略定义
Azure 媒体服务可以在 Git 中心维护并发布一组 Azure Policy 定义示例。 请在 azure-policy Git 中心存储库中,参阅适用于媒体服务的内置策略定义示例。
Azure 策略、专用终结点和媒体服务
媒体服务定义了一组内置 Azure Policy 定义,以帮助大规模强制实施组织标准和评估合规性。
门户中适用于专用终结点的 Azure Policy
使用专用终结点配置 Azure 媒体服务策略可用于自动为媒体服务资源创建专用终结点。 该策略的参数设置应在其中创建专用链接的子网,以及创建专用终结点时使用的组 ID。 若要为密钥传送、实时事件和流式处理终结点自动创建专用终结点,必须单独为每个组 ID 分配策略(即,在将组 ID 设置为 keydelivery 的情况下创建一个策略分配,在将组 ID 设置为 liveevent 的情况下创建第二个策略分配,在将组 ID 设置为 streamingendpoint 的情况下创建第三个策略分配)。 由于此策略部署资源,因此必须使用托管标识创建该策略。
将 Azure 媒体服务配置为使用专用 DNS 区域策略可用于为媒体服务专用终结点创建专用 DNS 区域。 此策略也单独应用于每个组 ID。
Azure 媒体服务应使用专用链接策略将为未启用专用链接的媒体服务资源生成审核事件。
适用于网络安全的 Azure Policy
使用专用链接访问媒体服务资源时,一个常见的要求是限制从 Internet 对这些资源的访问。 Azure 媒体服务帐户应禁用公用网络访问策略可用于审核允许公用网络访问的媒体服务帐户。
出站网络安全
Azure Policy 可用于限制媒体服务访问外部服务的方式。 使用 HTTPS 输入的 Azure 媒体服务作业应将输入 URI 限制为允许的 URI 模式策略可用于完全阻止从 HTTP 和 HTTPS URL 读取的媒体服务作业,或将媒体服务作业限制为从匹配特定模式的 URL 进行读取。