Veilige toegang bieden tot aangepaste machineconfiguratiepakketten
Deze pagina bevat een handleiding voor het bieden van toegang tot machineconfiguratiepakketten die zijn opgeslagen in Azure Storage met behulp van de resource-id van een door de gebruiker toegewezen beheerde identiteit of een SAS-token (Shared Access Signature).
Vereisten
- Azure-abonnement
- Azure Storage-account met het machineconfiguratiepakket
Stappen voor het bieden van toegang tot het pakket
Met de volgende stappen worden uw resources voorbereid op veiligere bewerkingen. De codefragmenten voor de stappen bevatten waarden in punthaken, zoals <storage-account-container-name>, die u moet vervangen door een geldige waarde wanneer u de stappen volgt. Als u alleen de code kopieert en plakt, kunnen de opdrachten fouten veroorzaken vanwege ongeldige waarden.
Een door de gebruiker toegewezen identiteit gebruiken
Belangrijk
Houd er rekening mee dat, in tegenstelling tot azure-VM's, door Arc verbonden machines momenteel geen ondersteuning bieden voor door de gebruiker toegewezen beheerde identiteiten.
U kunt privétoegang verlenen tot een machineconfiguratiepakket in een Azure Storage-blob door een door de gebruiker toegewezen identiteit toe te wijzen aan een bereik van Virtuele Azure-machines. Dit werkt alleen als u de beheerde identiteit leestoegang verleent tot de Azure Storage-blob. Dit omvat het toewijzen van de rol Opslagblobgegevenslezer aan de identiteit binnen het bereik van de blobcontainer. Deze installatie zorgt ervoor dat uw Azure-VM's veilig kunnen worden gelezen uit de opgegeven blobcontainer met behulp van de door de gebruiker toegewezen beheerde identiteit. Zie Azure Policy gebruiken om beheerde identiteiten toe te wijzen voor meer informatie over hoe u een door de gebruiker toegewezen identiteit op schaal kunt toewijzen.
Een SAS-token gebruiken
U kunt eventueel een SAS-token (Shared Access Signature) toevoegen in de URL om beveiligde toegang tot het pakket te garanderen. In het onderstaande voorbeeld wordt een BLOB SAS-token met leestoegang gegenereerd en wordt de volledige blob-URI geretourneerd met het shared access Signature-token. In dit voorbeeld heeft het token een tijdslimiet van drie jaar.
$startTime = Get-Date
$endTime = $startTime.AddYears(3)
$tokenParams = @{
StartTime = $startTime
ExpiryTime = $endTime
Container = '<storage-account-container-name>'
Blob = '<configuration-blob-name>'
Permission = 'r'
Context = '<storage-account-context>'
FullUri = $true
}
$contentUri = New-AzStorageBlobSASToken @tokenParams
Samenvatting
Met behulp van de resource-id van een door de gebruiker toegewezen beheerde identiteit of SAS-token kunt u veilig toegang bieden tot machineconfiguratiepakketten die zijn opgeslagen in Azure Storage. De extra parameters zorgen ervoor dat het pakket wordt opgehaald met behulp van de beheerde identiteit en dat Azure Arc-machines niet zijn opgenomen in het beleidsbereik.
Volgende stappen
- Nadat u de beleidsdefinitie hebt gemaakt, kunt u deze toewijzen aan het juiste bereik, zoals beheergroep, abonnement of resourcegroep, binnen uw Azure-omgeving.
- Houd er rekening mee dat u de nalevingsstatus van het beleid controleert en de benodigde aanpassingen moet aanbrengen in uw Machine Configuration-pakket of beleidstoewijzing om te voldoen aan de vereisten van uw organisatie.