Tutorial: Usar o portal do Azure para usar as chaves gerenciadas pelo cliente ou o BYOK com os Serviços de Mídia
Aviso
Os Serviços de Mídia do Azure serão desativados em 30 de junho de 2024. Para obter mais informações, consulte o Guia de desativação do AMS.
Com a API versão 01-05-2020 (ou mais recente), você pode usar uma chave RSA gerenciada pelo cliente com uma conta dos Serviços de Mídia do Azure que tenha uma identidade gerenciada pelo sistema. Este tutorial aborda as etapas usadas no portal do Azure.
Os serviços usados são:
- Armazenamento do Azure
- Cofre de Chave do Azure
- Serviços de Mídia do Azure
Neste tutorial, você aprenderá a usar o portal do Azure para:
- Crie um grupos de recursos.
- Criar uma conta de armazenamento com uma identidade gerenciada pelo sistema.
- Criar uma conta dos Serviços de Mídia com uma identidade gerenciada pelo sistema.
- Crie um cofre de chaves para armazenar uma chave RSA gerenciada pelo cliente.
Pré-requisitos
Uma assinatura do Azure.
Se você não tiver uma assinatura do Azure, crie uma conta de avaliação gratuita.
Chaves gerenciadas pelo sistema
Criar um grupo de recursos com o portal
- Na tela Página Inicial do portal do Azure, selecione Criar um recurso. A tela do Marketplace será exibida.
- Selecione Grupos de recursos. Uma lista de grupos de recursos será exibida.
- Selecione Adicionar. A tela Criar um grupo de recursos será exibida.
- Selecione a assinatura que deseja usar para este grupo de recursos.
- Insira o nome do grupo de recursos no campo Grupo de recursos.
- Escolha uma Região para o grupo de recursos.
- Selecione Examinar + criar.
Importante
Para as etapas de criação da conta de armazenamento a seguir, você selecionará a opção de chave gerenciada pelo sistema em Configurações avançadas.
Criar uma conta dos Serviços de Mídia usando o portal
Entre no Portal do Azure.
Selecione +Criar um Recurso.
No campo de pesquisa, insira "Serviços de Mídia" e selecione Enter. Os resultados da pesquisa serão exibidos, incluindo uma cartão para os Serviços de Mídia.
Selecione os Serviços de Mídia cartão. A tela de detalhes dos Serviços de Mídia será exibida.
Selecione Criar. A tela Criar uma conta dos Serviços de Mídia será exibida.
Na seção Criar uma conta dos Serviços de Mídia, insira os valores necessários.
Name Descrição Nome da Conta Insira o nome da nova conta dos Serviços de Mídia. Um nome de conta de Serviços de Mídia deve ser composto de letras minúsculas ou números, sem espaços, e deve ter de 3 a 24 caracteres de comprimento. Assinatura Caso tenha mais de uma assinatura, selecione uma na lista de assinaturas do Azure às quais você tem acesso. Grupo de recursos Selecione o recurso novo ou existente. Um grupo de recursos é uma coleção de recursos que compartilham o ciclo de vida, as permissões e as políticas. Saiba mais aqui. Localidade Selecione a região geográfica que será usada para armazenar os registros de mídia e metadados da sua conta dos Serviços de Mídia. Essa região será usada para processar e transmitir a mídia. Somente as regiões de Serviços de Mídia disponíveis são exibidas na caixa da lista suspensa. Conta de armazenamento Selecione uma conta de armazenamento para fornecer o armazenamento de blobs do conteúdo de mídia da sua conta dos Serviços de Mídia. Você pode selecionar uma conta de armazenamento existente na mesma região geográfica que sua conta de Serviços de Mídia ou criar uma nova conta de armazenamento. É criada uma nova conta de armazenamento na mesma região. As regras para nomes de contas de armazenamento são as mesmas que para contas de Serviços de Mídia.
Você deve ter uma conta de armazenamento Primária, e pode ter quantas contas de armazenamento Secundárias você quiser associadas à sua conta dos Serviços de Mídia. Use o portal do Azure para adicionar contas de armazenamento secundárias. Para obter mais informações, confira Contas do Armazenamento do Azure com as contas dos Serviços de Mídia do Azure.
A conta dos Serviços de Mídia e todas as contas de armazenamento associadas precisam estar na mesma assinatura do Azure. É altamente recomendável usar contas de armazenamento na mesma localização da conta de Serviços de Mídia para evitar custos de saída de dados e latência adicionais.Configurações avançadas Selecione uma identidade gerenciada pelo usuário criada anteriormente na lista suspenso ou crie uma nova identidade gerenciada pelo usuário selecionando o link. Importante
Todas as novas Serviços de Mídia novas exigem uma identidade gerenciada pelo usuário. As contas criadas anteriormente que têm uma identidade gerenciada pelo sistema não foram alteradas.
Marque a caixa de seleção ao lado de "Tenho todos os direitos para usar o conteúdo/arquivo e concordo que ele será tratado de acordo com o Termos dos Serviços Online e a Política de Privacidade da Microsoft", para confirmar e continuar.
Clique em Revisar + criar ou adicionar marcas com o botão Próximo:Marcas.
Clique em Criar na tela a seguir. A implantação será iniciada.
Criar um cofre de chaves com o portal
- Insira Cofre de chaves no campo de pesquisa main e selecione Key Vault quando ele aparecer nos resultados da pesquisa.
- Selecione Criar cofre de chaves. A tela Criar cofre de chaves será exibida.
- Selecione o Grupo de recursos que deseja usar ou crie um.
- Inserindo um nome no campo Key Vault nome.
- Selecione a região na lista suspensa Região .
- Selecione um tipo de preço na lista suspensa Tipo de preço.
- Insira o número de dias no campo Dias para reter cofres excluídos .
- Habilite ou desabilite a proteção contra limpeza usando os botões de opção Limpar proteção .
- Selecione Avançar. A tela Política de acesso será exibida.
- Selecione a política de acesso do Cofre ou o controle de acesso baseado em função do Azure para conceder ao usuário as permissões apropriadas.
- Opcional: marque uma ou mais das caixas de seleção Acesso ao recurso .
- Opcional: selecione o usuário na lista Usuário se você quiser um controle mais refinado de acesso.
- Selecione Avançar. A tela Rede será exibida.
- Marque ou desmarque a caixa de seleção Habilitar acesso público . Se você optar por desabilitar o acesso público:
- Selecione o botão de opção Todas as redes para permitir todo o acesso público ou selecione o botão de opção Redes selecionadas para restringir o tráfego de rede a IPs selecionados.
- Selecione a seta para baixo + Adicionar uma rede virtual e selecione Adicionar redes virtuais existentes ou Adicionar nova rede virtual. No primeiro caso, selecione a rede virtual já criada. No segundo caso, a tela Criar rede virtual é exibida e você a usará para criar uma rede virtual.
- Marque a caixa de seleção Permitir que serviços confiáveis da Microsoft ignorem esse firewall se você quiser conceder acesso a outros serviços.
- Opcional: selecione Criar um ponto de extremidade privado se quiser criar um ponto de extremidade privado para o cofre de chaves. A tela Criar ponto de extremidade privado será exibida.
- Selecione a assinatura com a qual você deseja trabalhar no menu suspenso Assinatura se ela ainda não estiver selecionada junto com o grupo de recursos.
- Selecione um local (região) na lista suspensa Localização .
- Insira um nome para o ponto de extremidade privado no campo Nome .
- Selecione a rede virtual já criada na lista suspensa Rede virtual .
- Selecione a sub-rede na lista suspensa Sub-rede .
- Selecione Integrar com a alternância de zona DNS privada para alterná-la entre Sim ou Não.
- Selecione a zona na lista suspensa zona DNS privado.
- Selecione Examinar + criar. O portal marcar para quaisquer problemas com a configuração.
- Selecione Criar para implantar o cofre de chaves.
Habilitar chaves gerenciadas pelo cliente em uma conta dos Serviços de Mídia no portal do Azure
- Depois de criar a conta dos Serviços de Mídia, navegue até ela no portal do Azure.
- Selecione Criptografia.
- Escolha Chaves gerenciadas pelo cliente em Tipo de Criptografia.
- Selecione a identidade na lista suspensa Identidade gerenciada .
- Selecione o botão de opção Selecionar no cofre de chaves.
- Selecione o botão Selecionar cofre de chaves . A tela Selecionar uma tecla será exibida.
- Selecione o cofre de chaves na lista suspensa Cofre de chaves.
- Selecione a chave na lista Chave ou crie uma nova.
- Clique em Salvar.
Importante
Para as etapas de criptografia de armazenamento a seguir, você selecionará a opção de chave gerenciada pelo cliente.
Definir a criptografia em uma conta de armazenamento
- No portal do Azure, navegue até a assinatura com a qual você deseja trabalhar.
- Selecione Recursos. A tela Recursos será exibida com uma listagem de todos os recursos dessa assinatura.
- Insira o nome (ou parte do nome) da conta de armazenamento que você deseja criptografar no campo Pesquisar na parte superior da tela. As correspondências serão exibidas abaixo do campo de pesquisa.
- Selecione a conta de armazenamento que você está procurando. A tela da conta de armazenamento será exibida.
- Selecione Criptografia.
- Selecione o botão de opção Chaves gerenciadas pela Microsoft ou Chaves gerenciadas pelo cliente .
Usar as chaves gerenciadas pela Microsoft
Por padrão, os dados na conta de armazenamento são criptografados por meio das chaves gerenciadas pela Microsoft.
Usar chaves gerenciadas pelo cliente
- Selecione Chaves gerenciadas pelo cliente.
- Selecione Inserir o URI de chave ou Selecionar no cofre de chaves.
- Se você selecionar Inserir URI de chave, insira o URI de chave no campo URI de chave e selecione a assinatura. (Ele já pode estar selecionado para você.)
- Se você selecionar Selecionar no cofre de chaves, selecione Selecionar um cofre de chaves e uma chave. A tela Selecionar chave do Azure Key Vault será exibida.
- Escolha o Key Vault que deseja usar e selecione uma chave que você já tem no seu cofre de chaves ou crie uma chave.
- Se você optar por criar uma chave, selecione Gerar ou Importar na lista suspensa Opções. Você só pode importar chaves RSA.
- Para gerar uma nova chave, dê um nome à chave no campo Nome e selecione o Tipo de chave:
- Tamanho de Chaves – RSA: 2048, 3072 ou 4096. Isso é o que a maioria dos clientes escolhe.
- Nomes de Curva Elíptica – EC: P-256, P-384, P-521 ou P-256K
- Opcionalmente, você pode definir as datas de ativação e validade da chave.
- Escolha Sim para habilitar a rotação automática de chaves.
- Selecione Criar.
- Para importar uma chave, selecione o arquivo a ser carregado clicando em qualquer lugar no campo Selecionar um arquivo.
- Dê um nome à chave no campo Nome.
- Opcionalmente, você pode definir as datas de ativação e validade da chave.
- Escolha Sim para habilitar a rotação automática de chaves.
- Selecione Criar.
- Escolha Selecionar para selecionar essa chave para criptografar sua conta de armazenamento. Você será levado de volta à tela Criptografia.
- IMPORTANTE: Selecione Salvar para salvar as configurações de criptografia ou tudo o que você acabou de fazer será perdido.
Alterar a chave
Os Serviços de Mídia detectam automaticamente quando a chave é alterada. OPCIONAL: Para testar esse processo, crie outra versão de chave para a mesma chave. Os Serviços de Mídia devem detectar que a chave foi alterada.
Limpar os recursos
Se não pretender continuar usando os recursos que criou e não quiser continuar sendo cobrado, exclua-os.
Obter ajuda e suporte
Você pode entrar em contato com os Serviços de Mídia com dúvidas ou seguir nossas atualizações por um dos seguintes métodos:
- P & R
-
Stack Overflow. Marque perguntas com
azure-media-services
. - @MSFTAzureMedia ou use @AzureSupport para solicitar suporte.
- Abra um tíquete de suporte por meio do portal do Azure.