Come fornire l'accesso sicuro ai pacchetti di configurazione del computer personalizzati
Questa pagina fornisce una guida su come fornire l'accesso ai pacchetti di configurazione del computer archiviati nell'archiviazione di Azure usando l'ID risorsa di un'identità gestita assegnata dall'utente o un token di firma di accesso condiviso.
Prerequisiti
- Sottoscrizione di Azure
- Archiviazione di Azure account con il pacchetto di configurazione del computer
Passaggi per fornire l'accesso al pacchetto
La procedura seguente prepara le risorse per operazioni più sicure. I frammenti di codice per i passaggi includono valori tra parentesi angolari, ad esempio <storage-account-container-name>, che è necessario sostituire con un valore valido quando si seguono i passaggi. Se è sufficiente copiare e incollare il codice, i comandi potrebbero generare errori a causa di valori non validi.
Uso di un'identità assegnata dall'utente
Importante
Si noti che, a differenza delle macchine virtuali di Azure, i computer connessi ad Arc attualmente non supportano le identità gestite assegnate dall'utente.
È possibile concedere l'accesso privato a un pacchetto di configurazione del computer in un BLOB Archiviazione di Azure assegnando un'identità assegnata dall'utente a un ambito di macchine virtuali di Azure. Per il funzionamento, è necessario concedere all'identità gestita l'accesso in lettura al BLOB di archiviazione di Azure. Ciò comporta l'assegnazione del ruolo "Lettore dati BLOB di archiviazione" all'identità nell'ambito del contenitore BLOB. Questa configurazione garantisce che le macchine virtuali di Azure possano leggere in modo sicuro dal contenitore BLOB specificato usando l'identità gestita assegnata dall'utente. Per informazioni su come assegnare un'identità assegnata dall'utente su larga scala, vedere Usare Criteri di Azure per assegnare identità gestite.
Uso di un token di firma di accesso condiviso
Facoltativamente, è possibile aggiungere un token di firma di accesso condiviso nell'URL per garantire l'accesso sicuro al pacchetto. L'esempio seguente genera un token di firma di accesso condiviso BLOB con accesso in lettura e restituisce l'URI BLOB completo con il token di firma di accesso condiviso. In questo esempio il token ha un limite di tempo di tre anni.
$startTime = Get-Date
$endTime = $startTime.AddYears(3)
$tokenParams = @{
StartTime = $startTime
ExpiryTime = $endTime
Container = '<storage-account-container-name>'
Blob = '<configuration-blob-name>'
Permission = 'r'
Context = '<storage-account-context>'
FullUri = $true
}
$contentUri = New-AzStorageBlobSASToken @tokenParams
Riepilogo
Usando l'ID risorsa di un'identità gestita assegnata dall'utente o un token di firma di accesso condiviso, è possibile fornire in modo sicuro l'accesso ai pacchetti di Configurazione computer archiviati nell'archiviazione di Azure. I parametri aggiuntivi assicurano che il pacchetto venga recuperato usando l'identità gestita e che i computer Azure Arc non siano inclusi nell'ambito dei criteri.
Passaggi successivi
- Dopo aver creato la definizione dei criteri, è possibile assegnarla all'ambito appropriato, ad esempio gruppo di gestione, sottoscrizione o gruppo di risorse, all'interno dell'ambiente Azure.
- Ricordarsi di monitorare lo stato di conformità dei criteri e apportare le modifiche necessarie al pacchetto di configurazione del computer o all'assegnazione dei criteri per soddisfare i requisiti dell'organizzazione.