Tutoriel : Utiliser le portail Azure pour utiliser des clés gérées par le client ou BYOK avec la plateforme Media Services

Logo de Media Services v3


Avertissement

Azure Media Services sera mis hors service le 30 juin 2024. Pour plus d’informations, consultez le Guide de mise hors service AMS.

Avec la version 2020-05-01 ou ultérieure de l’API, vous pouvez utiliser une clé RSA gérée par le client avec un compte Azure Media Services disposant d’une identité gérée par le système. Ce tutoriel décrit les étapes effectuées dans le portail Azure.

Les services utilisés sont les suivants :

  • Stockage Azure
  • Azure Key Vault
  • Azure Media Services

Ce tutoriel vous apprend à utiliser le portail Azure pour :

  • Créez un groupe de ressources.
  • Créer un compte de stockage avec une identité managée par le système
  • Créer un compte Media Services avec une identité managée affectée par le système
  • Créer un coffre de clés pour stocker une clé RSA gérée par le client

Prérequis

Un abonnement Azure.

Si vous n’avez pas d’abonnement Azure, créez un compte d’essai gratuit.

Clés managées par le système

Créer un groupe de ressources avec le portail

  1. Dans l’écran Accueil du portail Azure, sélectionnez Créer une ressource. L’écran Place de marché s’affiche.
  2. Sélectionnez Groupes de ressources. La liste des groupes de ressources s’affiche.
  3. Sélectionnez Ajouter. L’écran Créer un groupe de ressources s’affiche.
  4. Sélectionnez l’abonnement à utiliser pour ce groupe de ressources.
  5. Entrez le nom du groupe de ressources dans le champ Groupe de ressources.
  6. Sélectionnez la région pour le groupe de ressources.
  7. Sélectionnez Revoir + créer.

Important

Pour les étapes de création de compte de stockage suivantes, vous devez sélectionner le choix de clé managée par le système dans les paramètres avancés.

Créer un compte Media Services à l’aide du portail

  1. Connectez-vous au portail Azure.

  2. Sélectionnez +Créer une ressource.

  3. Dans le champ de recherche, entrez « Media Services », puis sélectionnez Entrée. Les résultats de la recherche s’affichent, y compris un carte pour Media Services.

  4. Sélectionnez le carte Media Services. L’écran de détails de Media Services s’affiche.

  5. Sélectionnez Create (Créer). L’écran Créer un compte Media Services s’affiche.

  6. Dans la section Créer un compte Media Services, entrez les valeurs requises.

    Nom Description
    Nom du compte Entrez le nom du nouveau compte Media Services. Un nom de compte Media Services se compose de lettres en minuscules ou de chiffres, sans espaces. Sa longueur est comprise entre 3 et 24 caractères.
    Abonnement Si vous disposez de plusieurs abonnements, sélectionnez-en un dans la liste des abonnements Azure auxquels vous avez accès.
    Groupe de ressources Sélectionnez la ressource (nouvelle ou existante). Un groupe de ressources désigne une collection de ressources qui partagent un cycle de vie, des autorisations et des stratégies. En savoir plus ici.
    Lieu Sélectionnez la zone géographique à utiliser pour stocker les enregistrements multimédias et les métadonnées de votre compte Media Services. Cette région servira à traiter et diffuser vos médias. Seules les régions Media Services disponibles s’affichent dans la liste déroulante.
    Compte de stockage Sélectionnez le compte de stockage qui fournira le stockage d'objets blob du contenu multimédia provenant de votre compte Media Services. Vous pouvez sélectionner un compte de stockage existant dans la même région géographique que votre compte Media Services ou en créer un. Ce dernier sera créé dans la même région. Les règles des noms de compte de stockage sont identiques à celles des comptes Media Services.

    Vous devez disposer d’un compte de stockage principal et vous pouvez avoir n’importe quel nombre de comptes de stockage secondaires associés à votre compte Media Services. Vous pouvez utiliser le portail Azure pour ajouter des comptes de stockage secondaires. Pour plus d'informations, consultez Comptes de stockage Azure avec comptes Azure Media Services.

    Le compte Media Services et tous les comptes de stockage associés doivent être faire partie du même abonnement Azure. Il est fortement recommandé d’utiliser des comptes de stockage situés au même emplacement que le compte Media Services afin d’éviter des frais supplémentaires de sortie des données et une importante latence.
    Paramètres avancés Sélectionnez une identité managée par l’utilisateur précédemment créée dans la liste déroulante, ou créez une nouvelle identité managée par l’utilisateur en sélectionnant le lien.

    Important

    Tous les nouveaux comptes Media Services requièrent une identité managée par l’utilisateur. Les comptes créés précédemment avec une identité managée par le système n’ont pas changé.

  7. Cochez la case en regard de « J’ai tous les droits nécessaires pour utiliser le contenu ou le fichier, et je reconnais qu’il est géré conformément aux Conditions des Services en Ligne et à la Déclaration de confidentialité de Microsoft » pour confirmer et continuer.

  8. Cliquez sur Vérifier + créer ou ajoutez des étiquettes avec le bouton Suivant : Étiquettes.

  9. Cliquez sur Créer sur l’écran suivant. Le déploiement commence.

Créer un coffre de clés avec le portail

  1. Entrez Coffre de clés dans le champ de recherche main et sélectionnez Key Vault lorsqu’il apparaît dans les résultats de la recherche.
  2. Sélectionnez Créer un coffre de clés. L’écran Créer un coffre de clés s’affiche.
  3. Sélectionnez le groupe de ressources existant à utiliser ou créez-en un.
  4. Entrez un nom dans le champ nom de Key Vault.
  5. Sélectionnez la région dans la liste déroulante Région .
  6. Sélectionnez un niveau tarifaire dans la liste déroulante Niveau tarifaire.
  7. Entrez le nombre de jours dans le champ Jours pour conserver les coffres supprimés .
  8. Activez ou désactivez la protection contre la purge à l’aide des cases d’option De protection contre la purge .
  9. Sélectionnez Suivant. L’écran Stratégie d’accès s’affiche.
  10. Sélectionnez la stratégie d’accès au coffre ou le contrôle d’accès en fonction du rôle Azure pour accorder à l’utilisateur les autorisations appropriées.
  11. Facultatif : cochez une ou plusieurs des cases Accès aux ressources.
  12. Facultatif : sélectionnez l’utilisateur dans la liste Utilisateur si vous souhaitez un contrôle d’accès plus précis.
  13. Sélectionnez Suivant. L’écran Réseau s’affiche.
  14. Cochez ou désélectionnez la case Activer l’accès public . Si vous choisissez de désactiver l’accès public :
    1. Sélectionnez la case d’option Tous les réseaux pour autoriser tout l’accès public, ou sélectionnez la case d’option Réseaux sélectionnés pour limiter le trafic réseau aux adresses IP sélectionnées.
    2. Sélectionnez la flèche + Ajouter un réseau virtuel vers le bas et sélectionnez Ajouter des réseaux virtuels existants ou Ajouter un nouveau réseau virtuel. Dans le premier cas, sélectionnez le réseau virtuel déjà créé. Dans le deuxième cas, l’écran Créer un réseau virtuel s’affiche et vous l’utiliserez pour créer un réseau virtuel.
  15. Cochez la case Autoriser les services Microsoft approuvés à contourner ce pare-feu si vous souhaitez accorder l’accès à d’autres services.
  16. Facultatif : sélectionnez Créer un point de terminaison privé si vous souhaitez créer un point de terminaison privé pour le coffre de clés. L’écran Créer un point de terminaison privé s’affiche.
    1. Sélectionnez l’abonnement que vous souhaitez utiliser dans le menu déroulant Abonnement s’il n’est pas déjà sélectionné avec le groupe de ressources.
    2. Sélectionnez un emplacement (région) dans la liste déroulante Emplacement .
    3. Entrez un nom pour le point de terminaison privé dans le champ Nom .
    4. Sélectionnez le réseau virtuel déjà créé dans la liste déroulante Réseau virtuel .
    5. Sélectionnez le sous-réseau dans la liste déroulante Sous-réseau .
    6. Sélectionnez Intégrer à une zone DNS privée pour basculer entre Oui ou Non.
    7. Sélectionnez la zone dans la liste déroulante DNS privé zone.
  17. Sélectionnez Revoir + créer. Le portail case activée pour tout problème lié à l’installation.
  18. Sélectionnez Créer pour déployer le coffre de clés.

Activer les clés gérées par le client sur un compte Media Services dans le Portail Azure

  1. Après avoir créé le compte Media Services, accédez-y dans le Portail Azure.
  2. Sélectionnez Chiffrement.
  3. Sélectionnez Clés gérées par le client sous Type de chiffrement.
  4. Sélectionnez l’identité dans la liste déroulante Identité managée .
  5. Sélectionnez le lien Case d’option Sélectionner dans le coffre de clés .
  6. Sélectionnez le bouton Sélectionner un coffre de clés . L’écran Sélectionner une touche s’affiche.
  7. Sélectionnez le coffre de clés dans la liste déroulante Coffre de clés .
  8. Sélectionnez la clé dans la liste Clé ou créez-en une nouvelle.
  9. Sélectionnez Enregistrer.

Important

Pour les étapes de chiffrement de stockage suivantes, vous devez sélectionner le choix de clé gérée par le client.

Définir le chiffrement sur un compte de stockage

  1. Dans la Portail Azure, accédez à l’abonnement que vous souhaitez utiliser.
  2. Sélectionnez Resources (Ressources). L’écran Ressources s’affiche avec une liste de toutes les ressources de cet abonnement.
  3. Entrez le nom (ou une partie du nom) du compte de stockage que vous souhaitez chiffrer dans le champ Rechercher en haut de l’écran. Les correspondances apparaissent sous le champ de recherche.
  4. Sélectionnez le compte de stockage que vous recherchez. L’écran du compte de stockage s’affiche.
  5. Sélectionnez Chiffrement.
  6. Sélectionnez la case d’option Clés gérées par Microsoft ou Clés gérées par le client .

Utiliser des clés gérées par Microsoft

Par défaut, les données incluses dans le compte de stockage sont chiffrées à l’aide de clés gérées par Microsoft.

Utiliser des clés gérées par le client

  1. Sélectionnez Clés gérées par le client.
  2. Sélectionnez Entrer l’URI de la clé ou Sélectionner dans le coffre de clés.
    1. Si vous sélectionnez Entrer l’URI de la clé, entrez-le dans le champ idoine et sélectionnez l’abonnement. (Il est peut-être déjà sélectionné automatiquement.)
    2. Si vous sélectionnez Sélectionner à partir d’un coffre de clés, sélectionnez Sélectionner un coffre de clés et une clé. L’écran Sélectionner une clé dans Azure Key Vault apparaît.
  3. Sélectionnez le coffre de clés à utiliser, puis sélectionnez une clé que vous avez déjà dans votre coffre de clés ou créer-en une.
    1. Si vous choisissez de créer une clé, sélectionnez Générer ou Importer dans la liste déroulante Options. Vous pouvez importer uniquement des clés RSA.
    2. Pour générer une nouvelle clé, donnez un nom à la clé dans le champ Nom, puis sélectionnez le type de clé :
      1. RSA - Tailles de clé : 2048, 3072 ou 4096. Il s’agit du choix de la plupart des clients.
      2. EC - Noms de courbe elliptique : P-256, P-384, P-521 ou P-256K.
      3. Vous pouvez éventuellement définir les dates d’activation et d’expiration de la clé.
      4. Sélectionnez Oui pour activer la rotation automatique des clés.
      5. Sélectionnez Créer.
    3. Pour importer une clé, sélectionnez le fichier à charger en cliquant n’importe où dans le champ Sélectionner un fichier.
      1. Donnez un nom à la clé dans le champ Nom.
      2. Vous pouvez éventuellement définir les dates d’activation et d’expiration de la clé.
      3. Sélectionnez Oui pour activer la rotation automatique des clés.
      4. Sélectionnez Créer.
    4. Choisissez Sélectionner pour sélectionner cette clé afin de chiffrer votre compte de stockage. Vous êtes redirigé vers l’écran Chiffrement.
  4. IMPORTANT ! Sélectionnez Enregistrer pour enregistrer vos paramètres de chiffrement, sans quoi tout ce que vous venez de faire sera perdu.

Modifier la clé

Media Services détecte automatiquement quand la clé est changée. FACULTATIF : Pour tester ce processus, créez une autre version de la même clé. Media Services doit détecter que la clé a été changée.

Nettoyer les ressources

Si vous ne comptez pas utiliser les ressources que vous avez créées et ne souhaitez plus qu’elles vous soient facturées, vous pouvez les supprimer.

Obtenir de l’aide et du support

Vous pouvez contacter Media Services pour toute question ou suivre nos mises à jour selon l’une des méthodes suivantes :