Begränsa åtkomsten till DRM-licens och AES-nyckelleverans med hjälp av IP-tillåtna listor

Artikel
07/12/2023

Varning

Azure Media Services dras tillbaka den 30 juni 2024. Mer information finns i AMS Pensionsguide.

När du skyddar media med innehållsskydd och DRM-funktioner i Media Services kan du stöta på scenarier där du behöver begränsa leveransen av licenser eller viktiga begäranden till ett specifikt IP-intervall med klientenheter i nätverket. Om du vill begränsa uppspelning och leverans av nycklar kan du använda IP-listan över tillåtna nycklar för nyckelleverans.

Dessutom kan du använda listan över tillåtna för att helt blockera all offentlig Internetåtkomst till Key Delivery-trafik och endast tillåta trafik från dina privata nätverksslutpunkter.

IP-listan över tillåtna nycklar för nyckelleverans begränsar leveransen av både DRM-licenser och AES-128-nycklar till klienter inom det angivna IP-tillåtlistintervallet.

Media Services stöder IPv6 för strömning. Media Services Live Event, Streaming Endpoint och nyckelleveranstjänster kan användas av klienter över både IPv4 och IPv6.

Ange tillåtna listor för nyckelleverans

Inställningarna för listan över tillåtna IP-adresser för nyckelleverans finns på Media Services-kontoresursen. När du skapar ett nytt Media Services-konto kan du begränsa tillåtna IP-intervall via egenskapen KeyDelivery på Media Services-kontoresursen.

Egenskapen defaultAction kan anges till "Tillåt" eller "Neka" för att styra leveransen av licenser och nycklar till klienter i listan över tillåtna.

Egenskapen ipAllowList är en matris med en enda IPv4- eller IPv6-adress och/eller intervall med CIDR-notation.

Ange listan över tillåtna i portalen

Azure Portal tillhandahåller en metod för att konfigurera och uppdatera IP-listan för nyckelleverans. Gå till ditt Media Services-konto och öppna menyn Nyckelleverans under Inställningar.

Stöd för IPv6 för direktuppspelningsslutpunkter

När en slutpunkt för direktuppspelning har konfigurerats för att använda ett CDN konfigureras IP-adressstöd i CDN-providerinställningarna.

För slutpunkter för direktuppspelning som inte använder ett CDN accepterar slutpunkter för direktuppspelning som standard begäranden från valfri IPv4-adress. Om du vill aktivera alla IPv4- och IPv6-adresser skapar du tillåt både IPv4 och IPv6 i listan över tillåtna IP-adresser:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{accountName}/streamingEndpoints/se1?api-version=2020-05-01
Authorization: Bearer {{getArmToken.response.body.access_token}}
Content-Type: application/json; charset=utf-8

{
  "properties": {
    "accessControl": {
      "ip": {
        "allow": [
          {
            "name": "Allow all IPv6 addresses",
            "address": "::",
            "subnetPrefixLength": 0
          },
          {
            "name": "Allow all IPv4 addresses",
            "address": "0.0.0.0",
            "subnetPrefixLength": 0
          }
        ]
      }
    },
    "cdnEnabled": false
  },
 "location": "{resourceLocation}"
}

Listan över tillåtna IP-adresser för en slutpunkt för direktuppspelning kan också innehålla specifika IPv6-adresser eller intervall.

IPv6-stöd för livehändelser

Som standard accepterar livehändelser innehåll från valfri IPv4-adress. Tillåt alla IPv4- eller IPv6-adresser genom att tillåta både IPv4- och IPv6-adresser i listan över tillåtna IP-adresser:

Listan över TILLÅTNA IP-adresser för en livehändelse kan också innehålla specifika IPv6-adresser eller intervall. IPv6-stöd för nyckelleverans Som standard accepteras innehållsnyckelbegäranden från alla IPv4- eller IPv6-adresser. Listan över tillåtna IP-adresser för nyckelleverans kan användas för att begränsa de IP-adresser som kan ansluta till nyckelleveransslutpunkter.

Listan över tillåtna IP-adresser kan innehålla:

IPv4-adresser
IPv4 CIDR-intervall
IPv6-adresser
IPv6 CIDR-intervall

I följande exempel anges listan över tillåtna IP-adresser för nyckelleverans:

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Media/mediaservices/{mediaAccountName}?api-version=2021-11-01

{
  "properties": {
    "storageAccounts": [
      {
        "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}"
      }
    ],
    "keyDelivery": {
      "accessControl": {
        "defaultAction": "Deny",
        "ipAllowList": [ "10.0.0.0/16", "2001:1234:1234::4567/32", "2001:1235::"]
      }
    },
  },
  "location": "westus"
}

I det här exemplet godkänns begäran från följande adresser:

IPv6-adresser mellan 2001:1234:1234:0000:0000:0000:0000:4567 och 2001:1234:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF,
IPv6-adress 2001:1235:0000:0000:0000:0000:0000:0000
IPv4-adresser mellan 10.0.0.0 och 10.0.255.255

Ytterligare exempel:

Om du vill tillåta begäranden från valfri IP-adress anger du "defaultAction" för blocket "accessControl" till "Tillåt" (och anger inte en "ipAllowList)
Om du vill tillåta alla IPv4-adresser och blockera alla IPv6-adresser anger du listan över tillåtna IP-adresser till [ "0.0.0.0/0" ]
Om du vill tillåta alla IPv6-adresser och blockera alla IPv6-adresser anger du listan över tillåtna IP-adresser till [ "::/0" ]

Få hjälp och support

Du kan kontakta Media Services med frågor eller följa våra uppdateringar med någon av följande metoder:

Q & A
Stack Overflow. Tagga frågor med azure-media-services.
@MSFTAzureMedia eller använd @AzureSupport för att begära support.
Öppna en supportbegäran via Azure Portal.

Dela via