Azure Policy para Media Services
Advertencia
Azure Media Services se retirará el 30 de junio de 2024. Para obtener más información, consulte la Guía de retirada de AMS.
Azure Media Services proporciona definiciones de Azure Policy integradas que ayudan al uso obligado de los estándares y cumplimiento de la organización a escala. Entre los casos de uso comunes de Azure Policy se incluye la implementación de la gobernanza para la coherencia de los recursos, el cumplimiento normativo, la seguridad, los costes y la administración.
Media Services proporciona varias definiciones de casos de uso comunes relativas a Azure Policy que están integradas para que pueda empezar a trabajar.
Definiciones de Azure Policy integradas para Media Services
Hay varias definiciones integradas de directivas disponibles para su uso con Media Services que pueden servirle para empezar a trabajar y definir sus propias directivas personalizadas.
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las cuentas de Azure Media Services deben desactivar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que los recursos de Media Services no se exponen en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de los recursos de Media Services. Más información en: https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de Azure Media Services deben usar una API que admita Private Link | Las cuentas de Media Services se deben crear con una API que admita vínculo privado. | Audit, Deny, Disabled | 1.0.0 |
| Se deben bloquear las cuentas de Azure Media Services que permitan el acceso a la v2 API heredada | La API v2 (heredada) de Media Services permite solicitudes que no se pueden administrar mediante Azure Policy. Los recursos de Media Services creados mediante la API 2020-05-01 o posterior bloquean el acceso a la API v2 heredada. | Audit, Deny, Disabled | 1.0.0 |
| Las directivas de clave de contenido de Azure Media Services deben usar la autenticación por tokens | Las directivas de clave de contenido definen las condiciones que se deben cumplir para acceder a las claves de contenido. Una restricción de token garantiza que solo los usuarios que tengan tokens válidos de un servicio de autenticación puedan acceder a las claves de contenido, por ejemplo, Azure Active Directory. | Audit, Deny, Disabled | 1.0.0 |
| Los trabajos de Azure Media Services con entradas HTTPS deben limitar los URI de entrada a patrones de URI permitidos | Restrinja las entradas HTTPS que usan los trabajos de Media Services a puntos de conexión conocidos. Las entradas de los puntos de conexión HTTPS se pueden deshabilitar completamente estableciendo una lista vacía de patrones de entrada de trabajos permitidos. Cuando las entradas del trabajo especifican un elemento "baseUri", los patrones se comparan con este valor; cuando no se establece "baseUri", el patrón se compara con la propiedad "files". | Deny, Disabled | 1.0.1 |
| Azure Media Services debe usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para administrar el cifrado en reposo de las cuentas de Media Services. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/mediaservicescmkdocs. | Audit, Deny, Disabled | 1.0.0 |
| Azure Media Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Media Services, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Media Services para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en las cuentas de Media Services. Más información en: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Media Services con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Media Services, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
En la lista de definiciones de directivas integradas para Media Services encontrará las definiciones más recientes, vínculos a las definiciones de código y cómo acceder a ellas en Azure Portal.
Escenarios comunes que requieren Azure Policy
- Si la seguridad de su empresa exige que todas las cuentas de Media Services se creen con vínculos privados, puede usar una definición de directiva para hacer que las cuentas se creen solamente con la API 2020-05-01 (o posterior), lo que deshabilita el acceso a la API de REST v2 heredada y el acceso a la característica Private Link.
- Si quiere obligar al uso de determinadas opciones en los tokens utilizados en las directivas de clave de contenido, se puede crear una definición de Azure Policy para dar cabida a esos requisitos específicos.
- Si los objetivos de seguridad requieren restringir un origen de entrada de trabajo para que la única procedencia sean sus cuentas de almacenamiento de confianza, así como restringir el acceso a entradas HTTP(S) externas mediante el uso de JobInputHttp, se puede crear una directiva de Azure para limitar el patrón de URI de entrada.
Definiciones de directiva de ejemplo
Azure Media Services mantiene y publica un conjunto de definiciones de Azure Policy de ejemplo en GitHub. Eche un vistazo a los ejemplos de definiciones de directivas integradas para Media Services del repositorio de GitHub de Azure Policy.
Directivas de Azure, puntos de conexión privados y Media Services
Media Services define un conjunto de definiciones de Azure Policy integradas que ayudan a cumplir los estándares de la organización y a evaluar el cumplimiento a escala.
Azure Policy para puntos de conexión privados en el portal
La directiva Configurar Azure Media Services con puntos de conexión privados se puede usar para crear automáticamente puntos de conexión privados para recursos de Media Services. Los parámetros de la directiva establecen la subred en la que se debe crear el vínculo privado y el identificador de grupo que se va a usar al crear el punto de conexión privado. Para crear automáticamente puntos de conexión privados para la entrega de claves, eventos en directo y puntos de conexión de streaming, la directiva debe asignarse por separado a cada identificador de grupo (es decir, se crearía una asignación de directiva con el identificador de grupo establecido en keydelivery, se crearía una segunda asignación de directiva con el identificador de grupo establecido en liveevent y una tercera asignación establecería el identificador de grupo en streamingendpoint). Dado que esta directiva implementa recursos, la directiva debe crearse con una identidad administrada.
La directiva Configurar Azure Media Services para usar zonas DNS privadas se puede usar para crear zonas DNS privadas para puntos de conexión privados de Media Services. Esta directiva también se aplica por separado a cada identificador de grupo.
La directiva Azure Media Services debe usar un vínculo privado generará eventos de auditoría para los recursos de Media Services que no tengan habilitado el vínculo privado.
Azure Policy para la seguridad de red
Cuando se usa un vínculo privado para acceder a recursos de Media Services, un requisito común es limitar el acceso a estos recursos desde Internet. La directiva Las cuentas de Azure Media Services deben deshabilitar el acceso a la red pública se puede usar para auditar las cuentas de Media Services que permitan el acceso a la red pública.
Seguridad de red saliente
Azure Policy se puede usar para restringir la forma en que Media Services accede a los servicios externos. La directiva Los trabajos de Azure Media Services con entradas HTTPS deben limitar los identificadores URI de entrada a los patrones de URI permitidos que se va a usar para bloquear completamente los trabajos de Media Services trabajos que leen de direcciones URL HTTP y HTTPS, o bien limitar los trabajos de Media Services a leer de aquellas direcciones URL que coincidan con patrones específicos.
Obtener ayuda y soporte técnico
Puede ponerse en contacto con Media Services con preguntas o seguir nuestras actualizaciones mediante uno de los métodos siguientes:
- PREGUNTAS Y RESPUESTAS
-
Stack Overflow. Etiquete preguntas con
azure-media-services. - @MSFTAzureMedia o use @AzureSupport para solicitar soporte técnico.
- Abra una incidencia de soporte técnico a través del Azure Portal.