사용자 지정 머신 구성 패키지에 대한 보안 액세스를 제공하는 방법
이 페이지에서는 사용자 할당 관리 ID 또는 SAS(공유 액세스 서명) 토큰의 리소스 ID를 사용하여 Azure Storage에 저장된 Machine Configuration 패키지에 대한 액세스를 제공하는 방법에 대한 가이드를 제공합니다.
필수 조건
- Azure 구독
- Machine Configuration 패키지를 사용하여 Azure Storage 계정
패키지에 대한 액세스를 제공하는 단계
다음 단계에서는 보다 안전한 작업을 위해 리소스를 준비합니다. 단계에 대한 코드 조각에는 꺾쇠 괄호 안의 값(예: <storage-account-container-name>단계 수행 시 유효한 값으로 바꿔야 합니다)이 포함됩니다. 코드를 복사하여 붙여넣기만 하면 잘못된 값으로 인해 명령이 오류를 발생시킬 수 있습니다.
사용자 할당 ID 사용
Important
Azure VM과 달리 Arc 연결 컴퓨터는 현재 사용자 할당 관리 ID를 지원하지 않습니다.
Azure VM 범위에 사용자 할당 ID를 할당하여 Azure Storage Blob의 컴퓨터 구성 패키지에 대한 프라이빗 액세스 권한을 부여할 수 있습니다. 이렇게 하려면 관리 ID에 Azure Storage Blob에 대한 읽기 권한을 부여해야 합니다. 여기에는 Blob 컨테이너 범위의 ID에 "Storage Blob 데이터 판독기" 역할을 할당하는 작업이 포함됩니다. 이 설정을 통해 Azure VM은 사용자 할당 관리 ID를 사용하여 지정된 Blob 컨테이너에서 안전하게 읽을 수 있습니다. 대규모로 사용자 할당 ID를 할당하는 방법을 알아보려면 Azure Policy를 사용하여 관리 ID 할당을 참조 하세요.
SAS 토큰 사용
필요에 따라 URL에 SAS(공유 액세스 서명) 토큰을 추가하여 패키지에 대한 보안 액세스를 보장할 수 있습니다. 아래 예에서는 읽기 권한이 있는 Blob SAS 토큰을 생성하고 공유 액세스 서명 토큰이 있는 전체 Blob URI를 반환합니다. 이 예제에서 토큰의 시간 제한은 3년입니다.
$startTime = Get-Date
$endTime = $startTime.AddYears(3)
$tokenParams = @{
StartTime = $startTime
ExpiryTime = $endTime
Container = '<storage-account-container-name>'
Blob = '<configuration-blob-name>'
Permission = 'r'
Context = '<storage-account-context>'
FullUri = $true
}
$contentUri = New-AzStorageBlobSASToken @tokenParams
요약
사용자가 할당한 관리 ID 또는 SAS 토큰의 리소스 ID를 사용하여 Azure Storage에 저장된 Machine Configuration 패키지에 대한 액세스를 안전하게 제공할 수 있습니다. 추가 매개 변수는 관리 ID를 사용하여 패키지를 검색하고 Azure Arc 머신이 정책 범위에 포함되지 않도록 합니다.
다음 단계
- 정책 정의를 만든 후 Azure 환경 내에서 관리 그룹, 구독 또는 리소스 그룹과 같은 적절한 범위에 할당할 수 있습니다.
- 정책 준수 상태를 모니터링하고 조직의 요구 사항을 충족하기 위해 Machine Configuration 패키지 또는 정책 할당에 필요한 조정을 수행해야 합니다.