轮转存储访问密钥后更新“媒体服务 v3”

Media Services logo v3


警告

Azure 媒体服务将于 2024 年 6 月 30 日停用。 有关详细信息,请参阅 AMS 停用指南

在创建新的 Azure 媒体服务 (AMS) 帐户时,系统将要求你选择一个 Azure 存储帐户。 可将多个存储帐户添加到媒体服务帐户。 本文介绍如何轮换存储密钥。 此外,介绍如何将存储帐户添加到媒体帐户。

若要完成本文所述的操作,应使用 Azure 资源管理器 APIPowershell。 有关详细信息,请参阅如何使用 PowerShell 和 Resource Manager 管理 Azure 资源

注意

本文使用 Azure Az PowerShell 模块,这是与 Azure 交互时推荐使用的 PowerShell 模块。 若要开始使用 Az PowerShell 模块,请参阅安装 Azure PowerShell。 若要了解如何迁移到 Az PowerShell 模块,请参阅 将 Azure PowerShell 从 AzureRM 迁移到 Az。

生成存储访问密钥

在创建新的存储帐户时,Azure 将生成两个 512 位的存储访问密钥,用于对存储帐户的访问进行身份验证。 为提高存储连接的安全性,请定期重新生成并轮换你的存储访问密钥。 Azure 将提供两个访问密钥(主密钥和辅助密钥),以便在重写其中一个访问密钥时,你能够使用另一个访问密钥维持存储帐户的连接。 此过程也称为“轮转访问密钥”。

媒体服务依赖于为它提供的存储密钥。 具体而言,用于流式传输或下载资产的定位符依赖于指定的存储访问密钥。 创建 AMS 帐户时,默认依赖主存储访问密钥。 但是,作为用户,你可以更新 AMS 拥有的存储密钥。 你需要执行以下步骤,让媒体服务知道要使用哪一个密钥:

注意

如果有多个存储帐户,请对每个存储帐户执行此过程。 存储密钥的轮换顺序不是固定的。 可以先轮换辅助密钥,再轮换主密钥,反之亦然。

在对生产帐户执行这些步骤之前,请确保对预生产帐户测试这些步骤。

轮换存储密钥的步骤

  1. 通过 PowerShell cmdlet 或 Azure 门户更改存储帐户主密钥。

  2. 使用适当的参数调用 Sync-AzMediaServiceStorageKeys cmdlet,强制媒体帐户选取存储帐户密钥

    以下示例演示如何将密钥同步到存储帐户。

    Sync-AzMediaServiceStorageKeys -ResourceGroupName $resourceGroupName -AccountName $mediaAccountName -StorageAccountId $storageAccountId

  3. 等待大约一小时。 验证流式处理方案是否正常工作。

  4. 通过 PowerShell cmdlet 或 Azure 门户更改存储帐户辅助密钥。

  5. 使用适当的参数调用 Sync-AzMediaServiceStorageKeys PowerShell,强制媒体帐户选取新存储帐户密钥。

  6. 等待大约一小时。 验证流式处理方案是否正常工作。

PowerShell cmdlet 示例

以下示例演示如何获取存储帐户并将它与 AMS 帐户同步。

$regionName = "China East 2"
$resourceGroupName = "SkyMedia-ChinaEast2-App"
$mediaAccountName = "sky"
$storageAccountName = "skystorage"
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Sync-AzMediaServiceStorageKeys -ResourceGroupName $resourceGroupName -AccountName $mediaAccountName -StorageAccountId $storageAccountId