Vue d’ensemble de la sécurité du pont de ressources Azure Arc
Cet article décrit la configuration et les considérations relatives à la sécurité que vous devez évaluer avant de déployer le pont de ressources Azure Arc dans votre entreprise.
Identité managée
Par défaut, une identité managée affectée par le système Microsoft Entra est créée et attribuée au pont de ressource Azure Arc. Le pont de ressources Azure Arc prend actuellement en charge l’identité affectée par le système. L’identité clusteridentityoperator
établit la première communication sortante nécessaire pour récupérer le certificat MSI (Managed Service Identity) utilisé par d’autres agents pour communiquer avec Azure.
Contrôle des accès et des identités
Le pont de ressources Azure Arc est représenté sous la forme d’une ressource dans un groupe de ressources au sein d’un abonnement Azure. L’accès à cette ressource est contrôlé par le contrôle d’accès en fonction du rôle Azure standard. À partir de la page Access Control (IAM) du Portail Azure, vous pouvez vérifier qui a accès à votre pont de ressources Azure Arc.
Les utilisateurs et les applications bénéficiant de l’accès au groupe de ressources par le biais du rôle d’administrateur ou de contributeur peuvent apporter des modifications au pont de ressources, y compris le déploiement ou la suppression d’extensions de cluster sur la machine.
Résidence des données
Le pont de ressources Azure Arc suit les réglementations de résidence des données propres à chaque région. Le cas échéant, les données sont sauvegardées dans une région de paire secondaire conformément aux réglementations de résidence des données. Autrement, les données résident uniquement dans cette région spécifique. Les données ne sont pas stockées ou traitées dans différentes zones géographiques.
Chiffrement des données au repos
Le pont de ressources Azure Arc stocke les informations de ressources dans Azure Cosmos DB. Comme décrit dans Chiffrement des données dans Azure Cosmos DB, toutes les données sont chiffrées au repos.
Journaux d’audit de la sécurité
Le journal d’activité est un journal de plateforme Azure qui fournit des insights sur tous les événements de niveau abonnement. Cela inclut des informations de suivi comme la modification, la suppression ou l’ajout du pont de ressources Azure Arc.
Vous pouvez afficher le journal d’activité dans le portail Azure, ou récupérer des entrées avec PowerShell et Azure CLI. Par défaut, les événements du journal d’activité sont conservés pendant 90 jours, puis supprimés.
Étapes suivantes
- Comprendre la configuration système requise et la configuration réseau requise pour le pont de ressources Azure Arc.
- Consultez la vue d’ensemble du pont de ressources Azure Arc pour en savoir plus sur ses fonctionnalités et ses avantages.
- Apprenez-en davantage sur Azure Arc.