Cómo proporcionar acceso seguro a paquetes de configuración de máquinas personalizadas
En esta página se proporciona una guía sobre cómo proporcionar acceso a los paquetes de configuración de máquina almacenados en Azure Storage mediante el identificador de recurso de una identidad administrada asignada por el usuario o un token de firma de acceso compartido (SAS).
Requisitos previos
- Suscripción de Azure
- Cuenta de Azure Storage con el paquete de configuración de la máquina
Pasos para proporcionar acceso al paquete
Los pasos siguientes preparan los recursos para operaciones más seguras. Los fragmentos de código de los pasos incluyen valores entre corchetes angulares, como <storage-account-container-name>, que debe reemplazar por un valor válido al seguir los pasos. Si solo copia y pega el código, los comandos pueden generar errores debido a valores no válidos.
Uso de una identidad asignada por el usuario
Importante
Tenga en cuenta que a diferencia de las máquinas virtuales de Azure, las máquinas conectadas a Arc actualmente no admiten identidades administradas asignadas por el usuario.
Puede conceder acceso privado a un paquete de configuración de máquina en un blob de Azure Storage mediante la asignación de una Identidad asignada por el usuario a un ámbito de máquinas virtuales de Azure. Para que esto funcione, debe conceder a la identidad administrada acceso de lectura al blob de Azure Storage. Esto implica asignar el rol "Lector de datos de blobs de almacenamiento" a la identidad en el ámbito del contenedor de blobs. Esta configuración garantiza que las máquinas virtuales de Azure puedan leer de forma segura el contenedor de blobs especificado mediante la identidad administrada asignada por el usuario. Para obtener información sobre cómo puede asignar una identidad asignada por el usuario a escala, consulte Uso de Azure Policy para asignar identidades administradas.
Uso de un Token de SAS
Opcionalmente, puede agregar un token de firma de acceso compartido (SAS) en la dirección URL para garantizar el acceso seguro al paquete. El siguiente ejemplo genera un token de SAS de blob con acceso de lectura y se devuelve el URI de blob completo con el token de firma de acceso compartido. En este ejemplo, el token tiene un límite de tiempo de tres años.
$startTime = Get-Date
$endTime = $startTime.AddYears(3)
$tokenParams = @{
StartTime = $startTime
ExpiryTime = $endTime
Container = '<storage-account-container-name>'
Blob = '<configuration-blob-name>'
Permission = 'r'
Context = '<storage-account-context>'
FullUri = $true
}
$contentUri = New-AzStorageBlobSASToken @tokenParams
Resumen
Mediante el identificador de recurso de una identidad administrada asignada por el usuario o un token de SAS, puede proporcionar acceso de forma segura a los paquetes de Machine Configuration almacenados en Azure Storage. Los parámetros adicionales garantizan que el paquete se recupera mediante la identidad administrada y que las máquinas de Azure Arc no se incluyen en el ámbito de la directiva.
Pasos siguientes
- Después de crear la definición de directiva, puede asignarla al ámbito adecuado, como el grupo de administración, la suscripción o el grupo de recursos, dentro del entorno de Azure.
- Recuerde supervisar el estado de cumplimiento de la directiva y realizar los ajustes necesarios en el paquete de configuración de máquina o la asignación de directivas para cumplir los requisitos de la organización.