Como fornecer acesso seguro a pacotes de configuração de máquina personalizados
Esta página fornece um guia sobre como fornecer acesso a pacotes de Configuração de Máquina armazenados no armazenamento do Azure usando a ID de recurso de uma identidade gerenciada atribuída pelo usuário ou um token SAS (Assinatura de Acesso Compartilhado).
Pré-requisitos
- Subscrição do Azure
- Conta de Armazenamento do Azure com o pacote de Configuração da Máquina
Etapas para fornecer acesso ao pacote
As etapas a seguir preparam seus recursos para operações mais seguras. Os trechos de código para as etapas incluem valores entre colchetes angulares, como <storage-account-container-name>, que você deve substituir por um valor válido ao seguir as etapas. Se você apenas copiar e colar o código, os comandos podem gerar erros devido a valores inválidos.
Usando uma identidade atribuída ao usuário
Importante
Observe que, ao contrário das VMs do Azure, as máquinas conectadas ao Arc atualmente não oferecem suporte a Identidades Gerenciadas Atribuídas pelo Usuário.
Você pode conceder acesso privado a um pacote de configuração de máquina em um blob de Armazenamento do Azure atribuindo uma Identidade Atribuída pelo Usuário a um escopo de VMs do Azure. Para que isso funcione, você precisa conceder à identidade gerenciada acesso de leitura ao blob de armazenamento do Azure. Isso envolve a atribuição da função "Storage Blob Data Reader" à identidade no escopo do contêiner de blob. Essa configuração garante que suas VMs do Azure possam ler com segurança a partir do contêiner de blob especificado usando a identidade gerenciada atribuída pelo usuário. Para saber como atribuir uma Identidade Atribuída ao Utilizador em escala, consulte Utilizar a Política do Azure para atribuir identidades geridas.
Usando um token SAS
Opcionalmente, você pode adicionar um token de assinatura de acesso compartilhado (SAS) na URL para garantir acesso seguro ao pacote. O exemplo abaixo gera um token SAS de blob com acesso de leitura e retorna o URI de blob completo com o token de assinatura de acesso compartilhado. Neste exemplo, o token tem um limite de tempo de três anos.
$startTime = Get-Date
$endTime = $startTime.AddYears(3)
$tokenParams = @{
StartTime = $startTime
ExpiryTime = $endTime
Container = '<storage-account-container-name>'
Blob = '<configuration-blob-name>'
Permission = 'r'
Context = '<storage-account-context>'
FullUri = $true
}
$contentUri = New-AzStorageBlobSASToken @tokenParams
Resumo
Usando a ID de recurso de uma identidade gerenciada atribuída pelo usuário ou token SAS, você pode fornecer acesso com segurança aos pacotes de Configuração da Máquina armazenados no armazenamento do Azure. Os parâmetros adicionais garantem que o pacote seja recuperado usando a identidade gerenciada e que as máquinas do Azure Arc não sejam incluídas no escopo da política.
Passos Seguintes
- Depois de criar a definição de política, você pode atribuí-la ao escopo apropriado, como grupo de gerenciamento, assinatura ou grupo de recursos, em seu ambiente do Azure.
- Lembre-se de monitorar o status de conformidade da política e fazer os ajustes necessários no pacote de configuração da máquina ou na atribuição de política para atender aos requisitos organizacionais.