NEXTSCAPE blog

株式会社ネクストスケープの社員による会社公式ブログです。ネスケラボでは、社員が日頃どのようなことに興味をもっているのか、仕事を通してどのような面白いことに取り組んでいるのかなど、会社や技術に関する情報をマイペースに紹介しています。

MENU

Azure Media ServicesのStorageEncryption

こんにちは、上坂(@takashiuesaka)です。

今日は珍しくAzure メディアサービスのネタでも。
メディアサービスでEncodeやTranscode、配信などコンテンツを扱う時には必ずBlobStorageを使用してコンテンツを投入する必要があります。そしてコンテンツを配信用に加工した後であれば、AESで暗号化したりDRMかけたりすることでセキュリティを高めたり著作権保護したりできますが、加工前のコンテンツはBlobにそのまま置かれています。

もちろん、Publicコンテナに配置することはあり得ませんのでコンテンツが外に漏れることはありませんが、それでもコンテンツが素のまま置いてあるのは精神的によろしくない、なんとかならないの?という要望をいただくことがあります。

これに応える形でリリースされた機能として、Asset encryption optionsというものがあります。これを使えば、コンテンツを投入する時に(つまりBlobに配置された時に)暗号化され、Encode等の加工時には自動的に復号されて処理されます。

 

精神的な安心を簡単に得られるのでとてもお勧めです。やり方はとても簡単で、Assetを作るときに、オプションでStorageEncryptedと指定するだけです。

 

var _mediaServicesAccountName = "<アカウント名>"; 
var _mediaServicesAccountKey = "<アカウントキー>";

var _cachedCredentials = new MediaServicesCredentials(

mediaServicesAccountName, mediaServicesAccountKey);

var _context = new CloudMediaContext(_cachedCredentials); var file = "BigBuckBunny.mp4";

var assetName = Path.GetFileNameWithoutExtension(file);

// ポイントはここ。アセット作るときにオプションでStorageEncryptedを指定するだけ! IAsset inputAsset = _context.Assets.Create(assetName, AssetCreationOptions.StorageEncrypted);

var assetFile = inputAsset.AssetFiles.Create(Path.GetFileName(file)); var policy = _context.AccessPolicies.Create(

assetName, TimeSpan.FromDays(30), AccessPermissions.Write | AccessPermissions.List);
 
var locator = _context.Locators.CreateLocator(LocatorType.Sas, inputAsset, policy);
assetFile.Upload(file);
 
locator.Delete();
policy.Delete();
 

注意点は、暗号化されたファイルをなんら加工せずに復号化して取り出したい場合です。当たり前ですが、Blobを直接ダウンロードしてきても再生できません。暗号化済みなので。メディアサービスに復号してもらう必要があります。

メディアサービスに復号化してもらうためには、AssetFile.Downloadメソッドを使います。メディアサービスは暗号化されたファイルをAssetFileとして認識しているわけですが、このAssetFileクラスのDownloadメソッドを使えば復号化した結果を取得できます。

公開ポリシーとロケーター(エンドポインとのこと)作ってダウンロードすればよいのかと思いきや、そうじゃありませんのでお気を付けください。(というか自分がこれにハマったんですけどね)