教程:使用 Azure 门户将客户管理的密钥或 BYOK 与媒体服务配合使用

Media Services logo v3


警告

Azure 媒体服务将于 2024 年 6 月 30 日停用。 有关详细信息,请参阅 AMS 停用指南

借助 2020-05-01 或更高版本的 API,可将客户管理的 RSA 密钥与具有系统托管标识的 Azure 媒体服务帐户配合使用。本教程包含 Azure 门户中的步骤。

使用的服务是:

  • Azure 存储
  • Azure Key Vault
  • Azure 媒体服务

本教程介绍如何使用 Azure 门户来完成以下操作:

  • 创建资源组。
  • 创建包含系统托管标识的存储帐户。
  • 创建包含系统托管标识的媒体服务帐户。
  • 创建用于存储客户管理的 RSA 密钥的密钥保管库。

先决条件

Azure 订阅。

如果没有 Azure 订阅,请创建一个试用帐户

系统管理的密钥

使用门户创建资源组

  1. 在 Azure 门户的主屏幕上,选择“创建资源”。 将显示“市场”屏幕。
  2. 选择“资源组”。 将显示资源组列表。
  3. 选择 添加 。 将显示“创建资源组”屏幕。
  4. 选择要用于此资源组的订阅。
  5. 在“资源组”字段中输入资源组名称。
  6. 选择资源组所在的“区域”。
  7. 选择“查看 + 创建”。

重要

对于以下存储帐户创建步骤,需要在“高级设置”中选择“系统管理的密钥”选项。

使用门户创建媒体服务帐户

  1. 登录到 Azure 门户

  2. 选择“+创建资源”。

  3. 在搜索字段中输入“媒体服务”,然后选择 Enter。 随后将显示搜索结果,其中包括媒体服务的卡片。

  4. 选择“媒体服务”卡片。 随后将显示媒体服务详细信息屏幕。

  5. 选择“创建”。 随后将显示“创建媒体服务帐户”屏幕。

  6. 在“创建媒体服务帐户”部分中输入所需的值。

    名称 说明
    帐户名 输入新的媒体服务帐户的名称。 媒体服务帐户名称由小写字母或数字构成(不含空格),长度为 3 到 24 个字符。
    订阅 如果有多个订阅,请从有权访问的 Azure 订阅的列表中选择一个订阅。
    资源组 选择新的或现有的资源。 资源组是共享生命周期、权限和策略的资源的集合。 在此处了解更多信息。
    位置 选择用于存储媒体服务帐户的媒体和元数据记录的地理区域。 此区域用于处理和流式传输媒体。 下拉列表中仅显示可用的媒体服务区域。
    存储帐户 选择一个存储帐户,以便为媒体服务帐户中的媒体内容提供 Blob 存储。 可以选择位于媒体服务帐户所在的地理区域内的现有存储帐户,也可以创建一个新的存储帐户。 在同一区域内会创建一个新的存储帐户。 适用于存储帐户名的规则对媒体服务帐户同样适用。

    必须具有一个主存储帐户,并且可以拥有任意数量的与媒体服务帐户关联的辅助存储帐户 。 可以使用 Azure 门户来添加辅助存储帐户。 有关详细信息,请参阅 Azure 存储帐户与 Azure 媒体服务帐户

    媒体服务帐户和所有关联的存储帐户必须位于同一 Azure 订阅中。 强烈建议在媒体服务帐户所在的位置使用存储帐户,避免额外的延迟和数据出口成本。
    高级设置 从下拉列表中选择以前创建的用户托管标识,或者通过选择链接创建新的用户托管标识。

    重要

    所有新媒体服务帐户都需要使用用户托管标识。 以前创建的具有系统托管标识的帐户未更改。

  7. 选中“我拥有使用内容/文件所需的全部权限,并同意按照在线服务条款和 Microsoft 隐私声明处理它们。”旁边的复选框以确认并继续。

  8. 单击“查看 + 创建”,或使用“下一步: 标记”按钮来添加标记。

  9. 在以下屏幕上单击“创建”。 将开始部署。

使用门户创建密钥保管库

  1. 在主要搜索字段中输入“密钥保管库”,在“密钥保管库”出现在搜索结果中后选择它。
  2. 选择“创建密钥保管库”。 此时将显示“创建密钥保管库”屏幕。
  3. 选择要使用的资源组,或创建新的资源组。
  4. 在“密钥保管库名称”字段中输入名称。
  5. 从“区域”下拉列表中选择区域。
  6. 从“定价层”下拉列表中选择一个定价层。
  7. 在“已删除的保管库的保留天数”字段中输入天数。
  8. 使用“清除保护”单选按钮启用或禁用清除保护。
  9. 选择“下一页”。 将显示“访问策略”屏幕。
  10. 选择“保管库访问策略”或“Azure 基于角色的访问控制”,为用户提供相应的权限。
  11. 可选:选中一个或多个“资源访问权限”复选框。
  12. 可选:如果你想要更精细地控制访问权限,请在“用户”列表中选择用户。
  13. 选择“下一页”。 将显示“网络”屏幕。
  14. 选中或取消选中“启用公共访问”复选框。 如果选择禁用公共访问:
    1. 选中“所有网络”单选按钮以允许所有公共访问,或选中“选定网络”单选按钮以将网络流量限制为选定的 IP。
    2. 选择“+ 添加虚拟网络”向下箭头,然后选择“添加现有的虚拟网络”或“添加新的虚拟网络”。 对于第一种情况,请选择已创建的虚拟网络。 对于第二种情况,将显示“创建虚拟网络”屏幕,你将在其中创建虚拟网络。
  15. 如果你要向其他服务授予访问权限,请选中“允许受信任的 Microsoft 服务绕过此防火墙”复选框。
  16. 可选:如果你要为密钥保管库创建专用终结点,请选择“创建专用终结点”。 此时将显示“创建专用终结点”屏幕。
    1. 如果你尚未连同资源组一起选择要使用的订阅,请从“订阅”下拉菜单中选择所需的订阅。
    2. 从“位置”下拉列表中选择一个位置(区域)。
    3. 在“名称”字段中输入专用终结点的名称。
    4. 从“虚拟网络”下拉列表中选择已创建的虚拟网络。
    5. 从“子网”下拉列表中选择子网。
    6. 选择“与专用 DNS 区域集成”切换开关,在“是”与“否”之间切换。
    7. 从“专用 DNS 区域”下拉列表中选择区域。
  17. 选择“查看 + 创建”。 门户将检查任何设置问题。
  18. 选择“创建”以部署密钥保管库。

在 Azure 门户中对媒体服务帐户启用客户管理的密钥

  1. 创建媒体服务帐户后,在 Azure 门户中导航到该帐户。
  2. 选择“加密”。
  3. 在“加密类型”下选择“客户管理的密钥”。
  4. 从“托管标识”下拉列表中选择标识。
  5. 选中带链接的“从密钥保管库中选择”单选按钮。
  6. 选择“选择密钥保管库”按钮。 此时将显示“选择密钥”屏幕。
  7. 从“密钥保管库”下拉列表中选择密钥保管库。
  8. 从“密钥”列表中选择密钥,或创建新的密钥。
  9. 选择“保存”。

重要

对于以下存储加密步骤,需要选择“客户管理的密钥”选项。

在存储帐户上设置加密

  1. 在 Azure 门户中,导航到要使用的订阅。
  2. 选择“资源”。 此时将显示“资源”屏幕,其中列出了该订阅的所有资源。
  3. 在屏幕顶部的“搜索”字段中,输入要加密的存储帐户的名称(或部分名称)。 匹配项将显示在搜索字段下方。
  4. 选择所需的存储帐户。 将显示存储帐户屏幕。
  5. 选择“加密”。
  6. 选中“Microsoft 管理的密钥”或“客户管理的密钥”单选按钮。

使用 Microsoft 托管密钥

默认情况下,使用 Microsoft 托管密钥加密存储帐户中的数据。

使用客户管理的密钥

  1. 选择“客户管理的密钥”。
  2. 选择“输入密钥 URI”或“从密钥保管库中选择” 。
    1. 如果选择“输入密钥 URI”,请在“密钥 URI”字段中输入密钥 URI,然后选择订阅。 (该选项可能已选中。)
    2. 如果选择了“从密钥保管库中选择”,请选择“选择密钥保管库和密钥”。 “从 Azure Key Vault 选择密钥”屏幕将会显示。
  3. 选择要使用的“密钥保管库”,然后选择密钥保管库中已有的密钥或者创建新密钥 。
    1. 如果选择创建新密钥,请从“选项”下拉列表中选择“生成”或“导入” 。 只能导入 RSA 密钥。
    2. 若要生成新密钥,请在“名称”字段中为密钥命名,然后选择密钥类型
      1. RSA - 密钥大小:2048、3072 或 4096。 这是大多数客户的选择。
      2. EC - 椭圆曲线名称:P-256、P-384、P-521 或 P-256K
      3. (可选)可以设置密钥的激活日期和到期日期。
      4. 选择“是”,启用自动轮换密钥。
      5. 选择“创建” 。
    3. 若要导入密钥,请单击“选择文件”字段中的任意位置,选择要上传的文件。
      1. 在“名称”字段中为密钥命名。
      2. (可选)可以设置密钥的激活日期和到期日期。
      3. 选择“是”,启用自动轮换密钥。
      4. 选择“创建” 。
    4. 选择“选择”,选择此密钥以加密存储帐户。 将返回到“加密”屏幕。
  4. 重要说明! 选择“保存”,以保存加密设置,否则刚刚执行的所有操作均无效。

更改密钥

媒体服务自动检测密钥何时发生了更改。 可选:若要对此进程进行测试,请为同一密钥创建另一个密钥版本。 媒体服务应该会检测到此密钥已发生更改。

清理资源

如果不打算继续使用所创建的资源,并且不想继续付费,请删除这些资源。