Omówienie zabezpieczeń mostka zasobów usługi Azure Arc
W tym artykule opisano konfigurację zabezpieczeń i zagadnienia, które należy ocenić przed wdrożeniem mostka zasobów usługi Azure Arc w przedsiębiorstwie.
Tożsamość zarządzana
Domyślnie tożsamość zarządzana przypisana przez system firmy Microsoft jest tworzona i przypisywana do mostka zasobów usługi Azure Arc. Mostek zasobów usługi Azure Arc obecnie obsługuje tylko tożsamość przypisaną przez system. Tożsamość clusteridentityoperator
inicjuje pierwszą komunikację wychodzącą i pobiera certyfikat tożsamości usługi zarządzanej (MSI) używany przez innych agentów do komunikacji z platformą Azure.
Tożsamość i kontrola dostępu
Mostek zasobów usługi Azure Arc jest reprezentowany jako zasób w grupie zasobów w ramach subskrypcji platformy Azure. Dostęp do tego zasobu jest kontrolowany przez standardową kontrolę dostępu opartą na rolach platformy Azure. Na stronie Kontrola dostępu (IAM) w witrynie Azure Portal możesz sprawdzić, kto ma dostęp do mostka zasobów usługi Azure Arc.
Użytkownicy i aplikacje, którym przyznano rolę Współautor lub Administrator grupie zasobów, mogą wprowadzać zmiany w mostek zasobów, w tym wdrażanie lub usuwanie rozszerzeń klastra.
Przechowywanie danych
Mostek zasobów usługi Azure Arc jest zgodny z przepisami dotyczącymi rezydencji danych specyficznymi dla każdego regionu. Jeśli ma to zastosowanie, kopie zapasowe danych są tworzone w regionie pary pomocniczej zgodnie z przepisami dotyczącymi przechowywania danych. W przeciwnym razie dane znajdują się tylko w tym konkretnym regionie. Dane nie są przechowywane ani przetwarzane w różnych lokalizacjach geograficznych.
Szyfrowanie danych w spoczynku
Mostek zasobów usługi Azure Arc przechowuje informacje o zasobach w usłudze Azure Cosmos DB. Zgodnie z opisem w artykule Szyfrowanie danych w usłudze Azure Cosmos DB wszystkie dane są szyfrowane w spoczynku.
Dzienniki inspekcji zabezpieczeń
Dziennik aktywności to dziennik platformy Azure, który zapewnia wgląd w zdarzenia na poziomie subskrypcji. Obejmuje to śledzenie, gdy mostek zasobów usługi Azure Arc jest modyfikowany, usuwany lub dodawany.
Dziennik aktywności można wyświetlić w witrynie Azure Portal lub pobrać wpisy za pomocą programu PowerShell i interfejsu wiersza polecenia platformy Azure. Domyślnie zdarzenia dziennika aktywności są zachowywane przez 90 dni , a następnie usuwane.
Następne kroki
- Omówienie wymagań systemowych i wymagań sieciowych dotyczących mostka zasobów usługi Azure Arc.
- Zapoznaj się z omówieniem mostka zasobów usługi Azure Arc, aby dowiedzieć się więcej o funkcjach i korzyściach.
- Dowiedz się więcej o usłudze Azure Arc.