Panoramica della sicurezza del bridge di risorse di Azure Arc
Questo articolo descrive la configurazione e le considerazioni sulla sicurezza da valutare prima di distribuire il bridge di risorse di Azure Arc nell'organizzazione.
Identità gestita
Per impostazione predefinita, viene creata un'identità gestita assegnata dal sistema di Microsoft Entra e assegnata al bridge di risorse di Azure Arc. Il bridge di risorse di Azure Arc supporta attualmente solo un'identità assegnata dal sistema. L'identità clusteridentityoperator avvia la prima comunicazione in uscita e recupera il certificato identità del servizio gestito (MSI) usato da altri agenti per la comunicazione con Azure.
Identità e controllo di accesso
Il bridge di risorse di Azure Arc è rappresentato come risorsa in un gruppo di risorse all'interno di una sottoscrizione di Azure. L'accesso a questa risorsa è controllato dal controllo degli accessi in base al ruolo di Azure standard. Dalla pagina Controllo di accesso (IAM) nel portale di Azure è possibile verificare chi può accedere al bridge di risorse di Azure Arc.
Gli utenti e le applicazioni a cui viene concesso il ruolo Collaboratore o Amministratore per il gruppo di risorse possono apportare modifiche al bridge di risorse, inclusa la distribuzione o l'eliminazione delle estensioni del cluster.
Residenza dei dati
Il bridge di risorse di Azure Arc segue le normative di residenza dei dati specifiche per ogni area. Se applicabile, i dati vengono sottoposti a backup in un'area di coppia secondaria in conformità alle normative di residenza dei dati. In caso contrario, i dati si trovano solo in tale area specifica. I dati non vengono archiviati o elaborati in aree geografiche diverse.
Crittografia dei dati inattivi
Il bridge di risorse di Azure Arc archivia le informazioni sulle risorse in Azure Cosmos DB. Come descritto in Crittografia dei dati in Azure Cosmos DB, tutti i dati vengono crittografati quando inattivi.
Log di controllo di sicurezza
Il log attività è un log della piattaforma Azure che fornisce informazioni dettagliate sugli eventi a livello di sottoscrizione. Ciò include il rilevamento quando il bridge di risorse di Azure Arc viene modificato, eliminato o aggiunto.
È possibile visualizzare il log attività nel portale di Azure o recuperarne le voci con PowerShell e l'interfaccia della riga di comando di Azure. Per impostazione predefinita, gli eventi del log attività vengono conservati per 90 giorni e quindi eliminati.
Passaggi successivi
- Informazioni sui requisiti di sistema e requisiti di rete per il bridge di risorse di Azure Arc.
- Per altre informazioni sulle funzionalità e sui vantaggi, vedere Panoramica del bridge di risorse di Azure Arc.
- Altre informazioni su Azure Arc.