Compartir a través de

Procedimientos recomendados de Azure VM Image Builder

  • Artículo

Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️ Conjuntos de escalado flexibles ✔️ Conjuntos de escalado uniformes

En este artículo se describen los procedimientos recomendados que se deben seguir al usar Azure VM Image Builder (AIB).

  • Para evitar que las plantillas de imagen se eliminen accidentalmente, use bloqueos de recursos en el nivel de recurso de plantillas de imagen. Para obtener más información, consulte Protección de los recursos de Azure con un bloqueo.
  • Asegúrese de que las plantillas de imagen estén configuradas para la recuperación ante desastres siguiendo la recomendación de confiabilidad para AIB.
  • Configure los desencadenadores de AIB para recompilar automáticamente las imágenes y mantenerlas actualizadas.
  • Habilite la Optimización de arranque de máquinas virtuales en AIB para mejorar el tiempo de creación de las máquinas virtuales.
  • Especifique su propia máquina virtual de compilación y subredes de ACI para un control más estricto sobre la implementación de recursos relacionados con redes por parte de AIB en la suscripción. La especificación de estas subredes también conduce a tiempos de compilación de imágenes más rápidos. Consulte la referencia de plantilla para obtener más información sobre cómo especificar estas opciones.
  • Siga el principio de privilegios mínimos para los recursos de AIB.
    • Plantilla de imagen: una entidad de seguridad que tenga acceso a la plantilla de imagen podrá ejecutarla, eliminarla o alterarla. Tener este acceso, a su vez, permite a la entidad de seguridad cambiar las imágenes creadas por esa plantilla de imagen.
    • Grupo de recursos de almacenamiento provisional: AIB usa un grupo de recursos de almacenamiento provisional en la suscripción para personalizar la imagen de máquina virtual. Considere este grupo de recursos como confidencial y restrinja el acceso a este grupo de recursos solo a las entidades de seguridad necesarias. Dado que el proceso de personalización de la imagen tiene lugar en este grupo de recursos, una entidad de seguridad con acceso al grupo de recursos podría poner en peligro el proceso de creación de imágenes. Por ejemplo: insertando malware en la imagen. AIB también delega los privilegios asociados con la identidad de plantilla y la identidad de máquina virtual de compilación en los recursos de este grupo de recursos. Por lo tanto, una entidad de seguridad con acceso al grupo de recursos podría obtener acceso a estas identidades. Además, AIB mantiene una copia de los artefactos del personalizador en este grupo de recursos. Por lo tanto, una entidad de seguridad con acceso al grupo de recursos podría inspeccionar estas copias.
    • Identidad de plantilla: una entidad de seguridad con acceso a la identidad de plantilla puede acceder a todos los recursos a los que la identidad tenga permisos. Esto incluye los artefactos del personalizador (por ejemplo: scripts de shell y PowerShell), los destinos de distribución (por ejemplo: una versión de imagen de Azure Compute Gallery) y la red virtual. Por lo tanto, solo se deben proporcionar los privilegios mínimos necesarios para esta identidad.
    • Identidad de máquina virtual de compilación: una entidad de seguridad con acceso a la identidad de máquina virtual de compilación puede acceder a todos los recursos a los que la identidad tenga permisos. Esto incluye los artefactos y la red virtual que podría estar usando desde la máquina virtual de compilación mediante esta identidad. Por lo tanto, solo se deben proporcionar los privilegios mínimos necesarios para esta identidad.
  • Si distribuye a Azure Compute Gallery (ACG), siga también los procedimientos recomendados para los recursos de ACG.