Zajištění zabezpečeného přístupu k vlastním konfiguračním balíčkům počítačů
Tato stránka obsahuje průvodce, jak poskytnout přístup k balíčkům konfigurace počítačů uloženým v úložišti Azure pomocí ID prostředku spravované identity přiřazené uživatelem nebo tokenu sdíleného přístupového podpisu (SAS).
Požadavky
- Předplatné Azure
- Účet služby Azure Storage s balíčkem konfigurace počítače
Postup poskytnutí přístupu k balíčku
Následující kroky připraví vaše prostředky na bezpečnější operace. Fragmenty kódu pro kroky zahrnují hodnoty v úhlových závorkách, jako je <storage-account-container-name>například , které je nutné nahradit platnou hodnotou při provedení kroků. Pokud kód zkopírujete a vložíte, příkazy můžou vyvolat chyby kvůli neplatným hodnotám.
Použití identity přiřazené uživatelem
Důležité
Upozorňujeme, že na rozdíl od virtuálních počítačů Azure aktuálně počítače připojené k Arc nepodporují spravované identity přiřazené uživatelem.
Privátní přístup k balíčku konfigurace počítače v objektu blob služby Azure Storage můžete udělit přiřazením identity přiřazené uživatelem k oboru virtuálních počítačů Azure. Aby to fungovalo, musíte spravované identitě udělit přístup pro čtení k objektu blob úložiště Azure. To zahrnuje přiřazení role Čtenář dat objektů blob úložiště k identitě v oboru kontejneru objektů blob. Toto nastavení zajišťuje, aby vaše virtuální počítače Azure mohly bezpečně číst ze zadaného kontejneru objektů blob pomocí spravované identity přiřazené uživatelem. Informace o tom, jak přiřadit identitu přiřazenou uživatelem ve velkém měřítku, najdete v tématu Použití Služby Azure Policy k přiřazování spravovaných identit.
Použití tokenu SAS
Volitelně můžete do adresy URL přidat token sdíleného přístupového podpisu (SAS), abyste zajistili zabezpečený přístup k balíčku. Následující příklad vygeneruje token SAS objektu blob s přístupem pro čtení a vrátí úplný identifikátor URI objektu blob s tokenem sdíleného přístupového podpisu. V tomto příkladu má token časový limit 3 roky.
$startTime = Get-Date
$endTime = $startTime.AddYears(3)
$tokenParams = @{
StartTime = $startTime
ExpiryTime = $endTime
Container = '<storage-account-container-name>'
Blob = '<configuration-blob-name>'
Permission = 'r'
Context = '<storage-account-context>'
FullUri = $true
}
$contentUri = New-AzStorageBlobSASToken @tokenParams
Shrnutí
Pomocí ID prostředku spravované identity přiřazené uživatelem nebo tokenu SAS můžete bezpečně poskytnout přístup k balíčkům konfigurace počítačů uloženým v úložišti Azure. Další parametry zajišťují, že se balíček načte pomocí spravované identity a že počítače Azure Arc nejsou zahrnuté v oboru zásad.
Další kroky
- Po vytvoření definice zásady ji můžete přiřadit k příslušnému oboru, jako je skupina pro správu, předplatné nebo skupina prostředků v rámci vašeho prostředí Azure.
- Nezapomeňte monitorovat stav dodržování zásad a provádět potřebné úpravy balíčku konfigurace počítače nebo přiřazení zásad, aby splňovaly požadavky vaší organizace.