Bereitstellen des sicheren Zugriffs auf benutzerdefinierte Computerkonfigurationspakete
Diese Seite enthält eine Anleitung zum Bereitstellen des Zugriffs auf Computerkonfigurationspakete, die in Azure Storage gespeichert sind, mithilfe der Ressourcen-ID einer benutzerseitig zugewiesenen verwalteten Identität oder eines SAS-Tokens (Shared Access Signature).
Voraussetzungen
- Azure-Abonnement
- Azure Storage-Konto mit dem Computerkonfigurationspaket
Schritte zum Bereitstellen des Zugriffs auf das Paket
Die folgenden Schritte bereiten Ihre Ressourcen auf sicherere Vorgänge vor. Die Codeschnipsel für diese Schritte umfassen Werte in spitzen Klammern, z. B. <storage-account-container-name>, die Sie durch einen gültigen Wert ersetzen müssen, wenn Sie diese Schritte befolgen. Wenn Sie den Code einfach kopieren und einfügen, können die Befehle Fehler aufgrund ungültiger Werte auslösen.
Verwenden einer benutzerseitig zugewiesenen Identität
Wichtig
Beachten Sie, dass im Gegensatz zu virtuellen Azure-Computern mit Arc verbundene Computer derzeit keine benutzerseitig zugewiesenen verwalteten Identitäten unterstützen.
Sie können privaten Zugriff auf ein Computerkonfigurationspaket in einem Azure Storage Blob gewähren, indem Sie einem Bereich von virtuellen Azure-Computern eine benutzerseitig zugewiesene Identität zuweisen. Damit dies funktioniert, müssen Sie der verwalteten Identität Lesezugriff auf das Azure Storage Blob gewähren. Dies umfasst das Zuweisen der Rolle „Storage Blob-Datenleser“ zur Identität im Bereich des Blob-Containers. Mit diesem Setup wird sichergestellt, dass Ihre virtuellen Azure-Computer mithilfe der benutzerseitig zugewiesenen verwalteten Identität sicher aus dem angegebenen Blob-Container lesen können. Informationen dazu, wie Sie eine benutzerseitig zugewiesene verwaltete Identität im großen Stil zuweisen können, finden Sie unter Verwenden von Azure Policy zum Zuweisen verwalteter Identitäten.
Verwenden eines SAS-Tokens
Optional können Sie ein SAS-Token (Shared Access Signature) in der URL hinzufügen, um sicheren Zugriff auf das Paket sicherzustellen. Im folgenden Beispiel wird ein Blob-SAS-Token mit Leseberechtigung generiert und der vollständige Blob-URI mit dem Signaturtoken für freigegebenen Zugriff zurückgegeben. In diesem Beispiel hat der Token eine Gültigkeit von drei Jahren.
$startTime = Get-Date
$endTime = $startTime.AddYears(3)
$tokenParams = @{
StartTime = $startTime
ExpiryTime = $endTime
Container = '<storage-account-container-name>'
Blob = '<configuration-blob-name>'
Permission = 'r'
Context = '<storage-account-context>'
FullUri = $true
}
$contentUri = New-AzStorageBlobSASToken @tokenParams
Zusammenfassung
Mithilfe der Ressourcen-ID einer benutzerseitig zugewiesenen verwalteten Identität oder eines SAS-Tokens können Sie sicher Zugriff auf Computerkonfigurationspakete bereitstellen, die in Azure Storage gespeichert sind. Die zusätzlichen Parameter stellen sicher, dass das Paket mithilfe der verwalteten Identität abgerufen wird und dass Azure Arc-Computer nicht im Richtlinienbereich enthalten sind.
Nächste Schritte
- Nachdem Sie die Richtliniendefinition erstellt haben, können Sie sie innerhalb Ihrer Azure-Umgebung dem entsprechenden Bereich zuweisen, z. B. Verwaltungsgruppe, Abonnement oder Ressourcengruppe.
- Denken Sie daran, den Richtliniencompliancestatus zu überwachen, und nehmen Sie alle erforderlichen Anpassungen an Ihrem Computerkonfigurationspaket oder Ihrer Richtlinienzuweisung vor, um Ihre Organisationsanforderungen zu erfüllen.