Como fornecer acesso seguro a pacotes personalizados de configuração de máquina
Esta página apresenta um guia sobre como fornecer acesso aos pacotes de configuração de máquina armazenados no Armazenamento do Azure usando a ID de recurso de uma identidade gerenciada atribuída pelo usuário ou um token SAS (Assinatura de Acesso Compartilhado).
Pré-requisitos
- Assinatura do Azure
- Conta de Armazenamento do Microsoft Azure com o pacote de configuração de máquina
Etapas para fornecer acesso ao pacote
As etapas a seguir preparam seus recursos para operações mais seguras. Os snippets de código das etapas incluem valores em colchetes angulares, como <storage-account-container-name>, que você deve substituir por um valor válido ao seguir as instruções. Se você apenas copiar e colar o código, os comandos poderão gerar erros devido a valores inválidos.
Como usar uma identidade atribuída pelo usuário
Importante
Observe que, ao contrário das VMs do Azure, as máquinas conectadas ao Arc não aceitam identidades gerenciadas atribuídas pelo usuário no momento.
Você pode conceder acesso privado a um pacote de configuração de máquina em um blob do Armazenamento do Microsoft Azure atribuindo uma identidade atribuída pelo usuário a um escopo de VMs do Azure. Para isso, você precisa conceder à identidade gerenciada acesso de leitura ao blob do Armazenamento do Azure. Isso envolve atribuir a função "Leitor de dados de blobs do Armazenamento" à identidade no escopo do contêiner de blobs. Essa configuração garante que as VMs do Azure possam fazer leituras com segurança no contêiner de blobs especificado usando a identidade gerenciada atribuída pelo usuário. Para saber como atribuir uma identidade atribuída pelo usuário em escala, consulte Usar o Azure Policy para atribuir identidades gerenciadas.
Como usar um token SAS
Também é possível adicionar um token SAS (Assinatura de Acesso Compartilhado) à URL para garantir acesso seguro ao pacote. O exemplo abaixo gera um token SAS de blob com acesso de leitura e retorna o URI de blob completo com o token de assinatura de acesso compartilhado. Neste exemplo, o token tem um limite de tempo de três anos.
$startTime = Get-Date
$endTime = $startTime.AddYears(3)
$tokenParams = @{
StartTime = $startTime
ExpiryTime = $endTime
Container = '<storage-account-container-name>'
Blob = '<configuration-blob-name>'
Permission = 'r'
Context = '<storage-account-context>'
FullUri = $true
}
$contentUri = New-AzStorageBlobSASToken @tokenParams
Resumo
Ao usar a ID de recurso de uma identidade gerenciada atribuída pelo usuário ou um token SAS, é possível fornecer acesso seguro aos pacotes de configuração de máquina armazenados no Armazenamento do Azure. Os parâmetros adicionais garantem que o pacote seja recuperado usando a identidade gerenciada e que as máquinas do Azure Arc não sejam incluídas no escopo da política.
Próximas etapas
- Depois de criar a definição de política, você pode atribuí-la ao escopo apropriado, como o grupo de gerenciamento, a assinatura ou o grupo de recursos, no ambiente do Azure.
- Lembre-se de monitorar o status de conformidade com a política e fazer os ajustes necessários no pacote de configuração de máquina ou na atribuição da política para atender aos requisitos organizacionais.