Media Services 用の Azure Policy
警告
Azure Media Services は、2024 年 6 月 30 日に廃止されます。 詳細については、「 AMS 廃止ガイド」を参照してください。
Azure Media Services には、組織の標準とコンプライアンスを大規模に適用するのに役立つ組み込みの Azure Policy 定義が用意されています。 Azure Policy の一般的なユースケースには、リソースの整合性、規制コンプライアンス、セキュリティ、コスト、管理のガバナンスの実装が含まれています。
Media Services には、作業の開始に役立つように組み込まれている Azure Policy の一般的なユースケースの定義がいくつか用意されています。
Media Services 用の組み込みの Azure Policy 定義
Media Services で使用して作業を開始するのに役立つ組み込みのポリシー定義がいくつか提供されています。これにより、独自のカスタム ポリシーを定義することができます。
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Media Services アカウントで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに Media Services リソースが露出されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成することで、Media Services リソースの露出を制限できます。 詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Media Services アカウントでは、Private Link をサポートする API を使用する必要がある | Media Services アカウントは、プライベート リンクをサポートする API を使用して作成する必要があります。 | Audit、Deny、Disabled | 1.0.0 |
| レガシ v2 API へのアクセスを許可する Azure Media Services アカウントをブロックする必要がある | Media Services レガシ v2 API は、Azure Policy を使用して管理できない要求を許可します。 2020-05-01 API 以降を使用して作成された Media Services リソースは、レガシ v2 API へのアクセスをブロックします。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Media Services コンテンツ キー ポリシーではトークン認証を使用する必要がある | コンテンツ キー ポリシーは、コンテンツ キーにアクセスするために満たす必要がある条件を定義します。 トークン制限により、認証サービス (Azure Active Directory など) からの有効なトークンを持つユーザーしかコンテンツ キーにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.0 |
| HTTPS 入力のある Azure Media Services ジョブでは入力 URI を許可された URI パターンに制限する必要がある | Media Services ジョブによって使用される HTTPS 入力を既知のエンドポイントに制限します。 HTTPS エンドポイントからの入力は、許可されるジョブ入力パターンとして空のリストを設定することで完全に無効にすることができます。 ジョブの入力で "baseUri" が指定されている場合、その値とパターンが照合されます。"baseUri" が設定されていない場合、パターンは "files" プロパティと照合されます。 | Deny、Disabled | 1.0.1 |
| Azure Media Services では保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Media Services アカウントの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/mediaservicescmkdocs をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Media Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Media Services にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように Azure Media Services を構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Media Services アカウントに解決されます。 詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Media Services を構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Media Services にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/mediaservicesprivatelinkdocs を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
Media Services の組み込みポリシー定義のリストには、最新の定義が記載されています。また、コードの定義と、ポータルでそれらにアクセスする方法とがリンクされています。
Azure Policy を必要とする一般的なシナリオ
- すべての Media Services アカウントを確実に Private Link で作成することがエンタープライズ セキュリティで求められている場合は、ポリシー定義を使用することで、(レガシ REST v2 API へのアクセスを無効にし、Private Link 機能にアクセスするために) 2020-05-01 API (またはそれ以降) のみを使用してアカウントを確実に作成することができます。
- コンテンツ キー ポリシーに使用されるトークンに特定のオプションを適用する場合は、特定の要件をサポートするように Azure Policy 定義を構築できます。
- セキュリティの目標により、ジョブ入力ソースは信頼できるストレージ アカウントからのみ取得するように制限し、外部 HTTP 入力へのアクセスは JobInputHttp を使用するように制限することが求められている場合は、Azure ポリシーを構築して入力 URI パターンを制限することができます。
ポリシー定義の例
Azure Media Services では、Azure Policy 定義のサンプル セットを GitHub にて管理および発行します。 Media Services 用の組み込みポリシー定義のサンプルは、azure-policy GitHub リポジトリにあります。
Azure ポリシー、プライベート エンドポイント、および Media Services
Media Services には、組織の標準の適用とコンプライアンス評価を大規模に行うために役立つ組み込みの Azure Policy 定義のセットが定義されています。
ポータルでのプライベート エンドポイントの Azure Policy
「プライベート エンドポイントを使用して Azure Media Services を構成する」ポリシーを使用すると、Media Services リソース用のプライベート エンドポイントを自動的に作成できます。 ポリシーのパラメーターは、プライベート リンクを作成するサブネットと、プライベート エンドポイントの作成時に使用するグループ ID を設定します。 キー配信、ライブ イベント、ストリーミング エンドポイントのプライベート エンドポイントを自動的に作成するには、グループ ID ごとにポリシーを個別に割り当てる必要があります (つまり、グループ ID を keydelivery に設定してポリシー割り当てを作成し、グループ ID を liveevent に設定した 2 つ目のポリシー割り当てを作成し、3 つ目の割り当てではグループ ID を streamingendpoint に設定します)。 このポリシーによってリソースがデプロイされるため、マネージド ID を使用してポリシーを作成する必要があります。
「プライベート DNS ゾーンを使用するよう Azure Media Services を構成する」ポリシーを使用して、Media Services プライベート エンドポイント用のプライベート DNS ゾーンを作成できます。 このポリシーは、各グループ ID にも個別に適用されます。
「Azure Media Services ではプライベート リンク を使用する必要がある」ポリシーにより、プライベート リンクが有効になっていない Media Services リソースの監査イベントが生成されます。
ネットワーク セキュリティのための Azure Policy
プライベート リンクを使用して Media Services リソースにアクセスする場合の一般的な要件は、これらのリソースへのインターネットからのアクセスを制限することです。 「Azure Media Services のアカウントは、パブリック ネットワークへのアクセスを無効にする必要があります」ポリシーを使用して、パブリック ネットワーク アクセスを許可する Media Services アカウントを監査できます。
アウトバウンド ネットワークのセキュリティ
Azure Policy を使用して、Media Services が外部サービスにアクセスする方法を制限できます。 「HTTPS 入力のある Azure Media Services ジョブでは入力 URI を許可された URI パターンに制限する必要がある」ポリシーを使用して、HTTP および HTTPS から読み取る Media Services ジョブを完全にブロックしたり、Media Services のジョブを、特定のパターンに一致する URL からの読み取りに制限したりすることができます。
ヘルプとサポート
Media Services に質問がある場合は、次のいずれかの方法で更新プログラムに従ってください。
- Q & A
-
Stack Overflow。 質問に タグを付け、 を使用します
azure-media-services。 - @MSFTAzureMedia するか 、@AzureSupport を使用してサポートを要求します。
- Azure portalからサポート チケットを開きます。