Visão geral da segurança da ponte de recursos do Azure Arc
Este artigo descreve a configuração de segurança e as considerações que você deve avaliar antes de implantar a ponte de recursos do Azure Arc na sua empresa.
Identidade gerenciada
Por padrão, uma identidade gerenciada atribuída pelo sistema do Microsoft Entra é criada e atribuída à ponte de recursos do Azure Arc. Atualmente, a ponte de recursos do Azure Arc dá suporte somente a uma identidade atribuída pelo sistema. A identidade clusteridentityoperator
inicia a primeira comunicação de saída e busca o certificado de identidade de serviço gerenciada (MSI) usado por outros agentes para comunicação com o Azure.
Identidade e controle de acesso
A ponte de recursos do Azure Arc é representada como um recurso em um grupo de recursos em uma assinatura do Azure. O acesso a esse recurso é controlado pelo controle de acesso baseado em função do Azurepadrão. Na página Controle de Acesso (IAM) no portal do Azure, você pode verificar quem tem acesso à ponte de recursos do Azure Arc.
Os usuários e aplicativos que recebem a função de Colaborador ou Administrador do grupo de recursos podem fazer alterações na ponte de recursos, incluindo a implantação ou exclusão de extensões de cluster.
Residência de dadosResidência de dados
A ponte de recursos do Azure Arc segue regulamentos de residência de dados específicos para cada região. Se aplicável, os dados serão armazenados em backup em uma região de par secundário de acordo com as regulamentações de residência de dados. Caso contrário, os dados residem apenas nessa região específica. Os dados não são armazenados nem processados em diferentes regiões geográficas.
Criptografia de dados em repouso
A ponte de recursos do Azure Arc armazena informações de recursos no Azure Cosmos DB. Conforme descrito na Criptografia de dados no Azure Cosmos DB, todos os dados são criptografados em repouso.
Logs de auditoria de segurança
O log de atividades é um log da plataforma Azure que fornece insights sobre eventos no nível da assinatura. Isso inclui o rastreamento quando a ponte de recursos do Azure Arc é modificada, excluída ou adicionada.
Você pode exibir o log de atividades no portal do Azure ou recuperar entradas com o PowerShell e a CLI do Azure. Por padrão, os eventos do log de atividades são mantidos por 90 dias e depois excluídos.
Próximas etapas
- Entenda os requisitos do sistema e requisitos de rede da ponte de recursos do Azure Arc.
- Revise a Visão geral da ponte de recursos do Azure Arc para entender mais sobre recursos e benefícios.
- Saiba mais sobre o Azure Arc.