Media Services에 대한 Azure Policy
경고
Azure Media Services는 2024년 6월 30일에 사용 중지됩니다. 자세한 내용은 AMS 사용 중지 가이드를 참조하세요.
Azure Media Services는 조직의 표준 및 규정 준수를 대규모로 적용하는 데 도움이 되는 기본 제공 Azure Policy 정의를 제공합니다. Azure Policy에 대한 일반적인 사용 사례에는 리소스 일관성, 규정 준수, 보안, 비용 및 관리에 대한 거버넌스 구현이 포함됩니다.
Media Services는 시작하는 데 도움이 되는 기본 제공 Azure Policy에 대한 몇 가지 일반적인 사용 사례 정의를 제공합니다.
Media Services에 대한 기본 제공 Azure Policy 정의
몇 가지 기본 제공 정책 정의는 Media Services와 사용하여 시작하는 데 도움이 되며 사용자 고유의 사용자 지정 정책을 정의할 수 있습니다.
| 이름 (Azure Portal) |
Description | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Media Services 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Media Services 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Media Services 리소스의 노출을 제한할 수 있습니다. https://aka.ms/mediaservicesprivatelinkdocs에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Media Services 계정은 Private Link를 지원하는 API를 사용해야 함 | Azure Media Services 계정은 프라이빗 링크를 지원하는 API를 통해 만들어야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 레거시 v2 API에 대한 액세스를 허용하는 Azure Media Services 계정은 차단되어야 함 | Media Services 레거시 v2 API는 Azure Policy를 사용하여 관리할 수 없는 요청을 허용합니다. 2020-05-01 API 이상을 사용하여 만든 Media Services 리소스는 레거시 v2 API에 대한 액세스를 차단합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Media Services 콘텐츠 키 정책은 토큰 인증을 사용해야 함 | 콘텐츠 키 정책은 콘텐츠 키에 액세스하기 위해 충족해야 하는 조건을 정의합니다. 토큰 제한을 사용하면 인증 서비스에서 유효한 토큰(예: Azure Active Directory)을 가진 사용자만 콘텐츠 키에 액세스할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| HTTPS 입력이 있는 Azure Media Services 작업은 입력 URI를 허용된 URI 패턴으로 제한해야 함 | Media Services 작업에서 사용하는 HTTPS 입력을 알려진 엔드포인트로 제한합니다. 허용되는 작업 입력 패턴의 빈 목록을 설정하여 HTTPS 엔드포인트의 입력을 완전히 비활성화할 수 있습니다. 작업 입력에서 'baseUri'를 지정하는 경우 패턴은 이 값과 일치합니다. 'baseUri'가 설정되지 않은 경우 패턴은 'files' 속성과 일치합니다. | 거부, 사용 안 함 | 1.0.1 |
| Azure Media Services는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Media Services 계정의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/mediaservicescmkdocs에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Media Services는 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Media Services에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/mediaservicesprivatelinkdocs에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Media Services 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Media Services 계정으로 확인됩니다. https://aka.ms/mediaservicesprivatelinkdocs에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Media Services 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Media Services에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/mediaservicesprivatelinkdocs에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
Media Services에 대한 기본 제공 정책 정의 목록은 최신 정의를 제공하고 코드 정의와 포털에서 액세스하는 방법을 연결합니다.
Azure Policy가 필요한 일반적인 시나리오
- 엔터프라이즈 보안에서 모든 Media Services 계정이 Private Link를 사용하여 생성되도록 해야 하는 경우 정책 정의를 사용하여 계정이 2020-05-01 API(이상)로만 만들어지도록 하여 레거시 REST v2 API에 대한 액세스를 사용하지 않고 Private Link 기능에 액세스할 수 있습니다.
- 콘텐츠 키 정책에 사용되는 토큰에 특정 옵션을 적용하려는 경우 특정 요구 사항을 지원하기 위해 Azure Policy 정의를 생성할 수 있습니다.
- 보안 목표를 위해 작업 입력 원본을 신뢰할 수 있는 스토리지 계정에서만 가져오도록 제한하고 JobInputHttp를 사용하여 외부 HTTP(S) 입력에 대한 액세스를 제한해야 하는 경우 Azure Policy를 생성하여 입력 URI 패턴을 제한할 수 있습니다.
예제 정책 정의
Azure Media Services는 Git 허브에서 샘플 Azure Policy 정의 집합을 유지 관리하고 게시합니다. azure-policy Git 허브 리포지토리에서 Media Services에 대한 기본 제공 정책 정의 샘플을 참조하세요.
Azure 정책, 프라이빗 엔드포인트 및 Media Services
Media Services는 대규모로 조직 표준을 적용하고 규정 준수를 평가하는 데 도움이 되는 기본 제공 Azure Policy 정의 세트를 정의합니다.
포털의 프라이빗 엔드포인트에 대한 Azure Policy
프라이빗 엔드포인트 정책을 사용하여 Azure Media Services 구성 정책을 사용하여 Media Services 리소스용 프라이빗 엔드포인트를 자동으로 만들 수 있습니다. 정책에 대한 매개 변수는 프라이빗 링크를 만들어야 하는 서브넷과 프라이빗 엔드포인트를 만들 때 사용할 그룹 ID를 설정합니다. 키 배달, 라이브 이벤트 및 스트리밍 엔드포인트에 대한 프라이빗 엔드포인트를 자동으로 만들려면 그룹 ID마다 정책을 별도로 할당해야 합니다(즉, 그룹 ID가 keydelivery로 설정된 정책 할당을 만들고, 그룹 ID가 liveevent로 설정된 두 번째 정책 할당을 만들고, 세 번째 할당은 그룹 ID를 streamingendpoint로 설정). 이 정책이 리소스를 배포할 때 관리 ID를 사용하여 정책을 만들어야 합니다.
프라이빗 DNS 영역을 사용하도록 Azure Media Services 구성 정책을 사용하여 Media Services 프라이빗 엔드포인트에 대한 프라이빗 DNS 영역을 만들 수 있습니다. 이 정책은 각 그룹 ID에도 별도로 적용됩니다.
Azure Media Services는 프라이빗 링크를 사용해야 함 정책은 프라이빗 링크가 활성화되지 않은 Media Services 리소스에 대한 감사 이벤트를 생성합니다.
네트워크 보안을 위한 Azure Policy
프라이빗 링크를 사용하여 Media Services 리소스에 액세스하는 경우 일반적인 요구 사항은 인터넷에서 이러한 리소스에 대한 액세스를 제한하는 것입니다. Azure Media Services 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 정책은 공용 네트워크 액세스를 허용하는 Media Services 계정을 감사하는 데 사용할 수 있습니다.
아웃바운드 네트워크 보안
Azure Policy를 사용하여 Media Services가 외부 서비스에 액세스하는 방법을 제한할 수 있습니다. HTTPS 입력이 있는 Azure Media Services 작업은 입력 URI를 허용된 URI 패턴으로 제한해야 함 정책은 HTTP 및 HTTPS URL에서 데이터를 읽는 Media Services 작업을 완전히 차단하거나, 특정 패턴과 일치하는 URL에서 데이터를 읽도록 Media Services 작업을 제한하는 데 사용할 수 있습니다
도움말 및 지원 보기
다음 방법 중 하나로 Media Services에 질문하거나 업데이트를 따를 수 있습니다.
- 질문과 대답
-
Stack Overflow. 를 사용하여 질문에 태그를 지정
azure-media-services합니다. - @MSFTAzureMedia 또는 @AzureSupport 사용하여 지원을 요청합니다.
- Azure Portal 통해 지원 티켓을 엽니다.