Jak zapewnić bezpieczny dostęp do niestandardowych pakietów konfiguracji maszyny
Ta strona zawiera przewodnik dotyczący zapewniania dostępu do pakietów konfiguracji maszyny przechowywanych w usłudze Azure Storage przy użyciu identyfikatora zasobu tożsamości zarządzanej przypisanej przez użytkownika lub tokenu sygnatury dostępu współdzielonego (SAS).
Wymagania wstępne
- Subskrypcja platformy Azure
- Konto usługi Azure Storage z pakietem konfiguracji komputera
Procedura zapewniania dostępu do pakietu
Poniższe kroki przygotowują zasoby do bardziej bezpiecznych operacji. Fragmenty kodu dla kroków zawierają wartości w nawiasach kątowych, takich jak <storage-account-container-name>
, które należy zastąpić prawidłową wartością podczas wykonywania kroków. Jeśli po prostu skopiujesz i wklejesz kod, polecenia mogą zgłaszać błędy z powodu nieprawidłowych wartości.
Korzystanie z tożsamości przypisanej przez użytkownika
Ważne
Należy pamiętać, że w przeciwieństwie do maszyn wirtualnych platformy Azure maszyny połączone z usługą Arc obecnie nie obsługują tożsamości zarządzanych przypisanych przez użytkownika.
Dostęp prywatny do pakietu konfiguracji maszyny w obiekcie blob usługi Azure Storage można udzielić, przypisując tożsamość przypisaną przez użytkownika do zakresu maszyn wirtualnych platformy Azure. Aby to zadziałało, należy udzielić tożsamości zarządzanej dostępu do odczytu do obiektu blob usługi Azure Storage. Obejmuje to przypisanie roli "Czytelnik danych obiektu blob usługi Storage" do tożsamości w zakresie kontenera obiektów blob. Ta konfiguracja gwarantuje, że maszyny wirtualne platformy Azure mogą bezpiecznie odczytywać z określonego kontenera obiektów blob przy użyciu tożsamości zarządzanej przypisanej przez użytkownika. Aby dowiedzieć się, jak przypisać tożsamość przypisaną przez użytkownika na dużą skalę, zobacz Przypisywanie tożsamości zarządzanych przy użyciu usługi Azure Policy.
Korzystanie z tokenu SAS
Opcjonalnie możesz dodać token sygnatury dostępu współdzielonego (SAS) w adresie URL, aby zapewnić bezpieczny dostęp do pakietu. Poniższy przykład generuje token SAS obiektu blob z dostępem do odczytu i zwraca pełny identyfikator URI obiektu blob z tokenem sygnatury dostępu współdzielonego. W tym przykładzie token ma limit czasu 3 lat.
$startTime = Get-Date
$endTime = $startTime.AddYears(3)
$tokenParams = @{
StartTime = $startTime
ExpiryTime = $endTime
Container = '<storage-account-container-name>'
Blob = '<configuration-blob-name>'
Permission = 'r'
Context = '<storage-account-context>'
FullUri = $true
}
$contentUri = New-AzStorageBlobSASToken @tokenParams
Podsumowanie
Przy użyciu identyfikatora zasobu tożsamości zarządzanej przypisanej przez użytkownika lub tokenu SAS można bezpiecznie zapewnić dostęp do pakietów konfiguracji maszyny przechowywanych w usłudze Azure Storage. Dodatkowe parametry zapewniają, że pakiet jest pobierany przy użyciu tożsamości zarządzanej i że maszyny usługi Azure Arc nie są uwzględnione w zakresie zasad.
Następne kroki
- Po utworzeniu definicji zasad można przypisać ją do odpowiedniego zakresu, takiego jak grupa zarządzania, subskrypcja lub grupa zasobów, w środowisku platformy Azure.
- Pamiętaj, aby monitorować stan zgodności zasad i wprowadzać wszelkie niezbędne zmiany w pakiecie konfiguracji komputera lub przypisaniu zasad, aby spełnić wymagania organizacji.