Restricción del acceso a la entrega de licencias de DRM y claves AES mediante listas de direcciones IP permitidas

Logotipo de Media Services v3


Advertencia

Azure Media Services se retirará el 30 de junio de 2024. Para obtener más información, consulte la Guía de retirada de AMS.

Al proteger los medios con las características de DRM y protección de contenido de Media Services, podría encontrar escenarios en los que necesita limitar la entrega de licencias o solicitudes de clave a un intervalo IP concreto de dispositivos cliente de la red. Para restringir la reproducción de contenido y la entrega de claves, puede usar la lista de direcciones IP permitidas para la entrega de claves.

Además, también puede usar esta lista para bloquear completamente todo el acceso público a Internet al tráfico de entrega de claves y solo permitir el que proceda de los puntos de conexión de red privados.

La lista de direcciones IP permitidas para la entrega de claves restringe la entrega de licencias DRM y claves AES-128 a los clientes dentro del intervalo de IP permitidas proporcionado.

Media Services admite IPv6 para streaming. Los clientes pueden usar los servicios de entrega de claves, puntos de conexión de streaming y eventos en directo de Media Services a través de IPv4 e IPv6.

Establecimiento de la lista de permitidos para la entrega de claves

La configuración de la lista de direcciones IP permitidas para la entrega de claves se encuentra en el recurso de cuenta de Media Services. Al crear una cuenta de Media Services, puede restringir los intervalos IP permitidos por medio de la propiedad KeyDelivery del recurso de cuenta de Media Services.

La propiedad defaultAction se puede establecer en "Permitir" o "Denegar" para controlar la entrega de licencias y claves a los clientes en el intervalo de lista de permitidos.

La propiedad ipAllowList es una matriz de direcciones IPv4 o IPv6 únicas o intervalos mediante notación CIDR.

Establecimiento de la lista de permitidos en el portal

En Azure Portal se proporciona un método para configurar y actualizar la lista de direcciones IP permitidas para la entrega de claves. Vaya a la cuenta de Media Services y acceda al menú Entrega de claves en Configuración.

Compatibilidad con IPv6 de puntos de conexión de streaming

Cuando se configura un punto de conexión de streaming para usar una red CDN, la compatibilidad con direcciones IP se configura en la configuración del proveedor de CDN.

En el caso de los puntos de conexión de streaming que no usan una red CDN, de forma predeterminada, los puntos de conexión de streaming aceptan solicitudes de cualquier dirección IPv4. Para habilitar todas las direcciones IPv4 e IPv6, cree permitir IPv4 e IPv6 en la lista de direcciones IP permitidas:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8

{
  "properties": {
    "accessControl": {
      "ip": {
        "allow": [
          {
            "name": "Allow all IPv6 addresses",
            "address": "::",
            "subnetPrefixLength": 0
          },
          {
            "name": "Allow all IPv4 addresses",
            "address": "0.0.0.0",
            "subnetPrefixLength": 0
          }
        ]
      }
    },
    "cdnEnabled": false
  },
 "location": "{resourceLocation}"
}

La lista de direcciones IP permitidas para un punto de conexión de streaming también puede incluir direcciones o intervalos IPv6 específicos.

Compatibilidad con IPv6 de eventos en directo

De forma predeterminada, Los eventos en directo aceptan contenido de cualquier dirección IPv4. Para permitir cualquier dirección IPv4 o IPv6, permita direcciones IPv4 e IPv6 en la lista de direcciones IP permitidas:

La lista de direcciones IP permitidas para un evento en directo también puede incluir direcciones o intervalos IPv6 específicos. Compatibilidad con IPv6 de entrega de claves De forma predeterminada, las solicitudes de clave de contenido se aceptan desde cualquier dirección IPv4 o IPv6. La lista de direcciones IP de entrega de claves se puede usar para restringir las direcciones IP que pueden conectarse a los puntos de conexión de entrega de claves.

La lista de direcciones IP permitidas puede contener:

  • Direcciones IPv4
  • Intervalos CIDR de IPv4
  • Direcciones IPv6
  • Intervalos CIDR de IPv6

En el ejemplo siguiente se establece la lista de direcciones IP permitidas para la entrega de claves:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01

{
  "properties": {
    "storageAccounts": [
      {
        "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
      }
    ],
    "keyDelivery": {
      "accessControl": {
        "defaultAction": "Deny",
        "ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
      }
    },
  },
  "location": "westus"
}

En este ejemplo, se aceptará la solicitud de las siguientes direcciones:

  • Direcciones IPv6 entre 2001:1234:1234:0000:0000:0000:0000:4567 y 2001:1234:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF,
  • Dirección IPv6 2001:1235:0000:0000:0000:0000:0000:0000
  • Direcciones IPv4 entre 10.0.0.0 y 10.0.255.255

Otros ejemplos:

  • Para permitir solicitudes desde cualquier dirección IP, establezca "defaultAction" del bloque "accessControl" en "Allow" (y no especifique "ipAllowList)
  • Para permitir todas las direcciones IPv4 y bloquear todas las direcciones IPv6, establezca la lista de direcciones IP permitidas en [ "0.0.0.0/0" ]
  • Para permitir todas las direcciones IPv6 y bloquear todas las direcciones IPv6, establezca la lista de direcciones IP permitidas en [ "::/0" ]

Obtener ayuda y soporte técnico

Puede ponerse en contacto con Media Services con preguntas o seguir nuestras actualizaciones mediante uno de los métodos siguientes: