Поделиться через

Обзор безопасности моста ресурсов Azure Arc

  • Статья

В этой статье описывается конфигурация безопасности и рекомендации, которые необходимо оценить перед развертыванием моста ресурсов Azure Arc в вашей организации.

Управляемое удостоверение

По умолчанию управляемое удостоверение, назначаемое системой Microsoft Entra, создается и назначается мосту ресурсов Azure Arc. Мост ресурсов Azure Arc в настоящее время поддерживает только назначаемое системой удостоверение. Удостоверение clusteridentityoperator инициирует первое исходящее взаимодействие и получает сертификат управляемого удостоверения службы (MSI), используемый другими агентами для взаимодействия с Azure.

Управление доступом и удостоверениями

Мост ресурсов Azure Arc представлен как ресурс в группе ресурсов в подписке Azure. Доступом к этому ресурсу управляет стандартная система управления доступом на основе ролей Azure. На странице контроль доступа (IAM) в портал Azure вы можете проверить, кто имеет доступ к мосту ресурсов Azure Arc.

Пользователи и приложения, которым предоставлена роль участника или администратора группе ресурсов, могут вносить изменения в мост ресурсов, включая развертывание или удаление расширений кластера.

Место расположения данных

Мост ресурсов Azure Arc следует правилам расположения данных, определенным для каждого региона. Если применимо, данные резервируются в дополнительном регионе пары в соответствии с правилами расположения данных. В противном случае данные находятся только в этом конкретном регионе. Данные не хранятся или обрабатываются в разных географических регионах.

Шифрование неактивных данных

Мост ресурсов Azure Arc хранит сведения о ресурсах в Azure Cosmos DB. Как описано в шифровании данных в Azure Cosmos DB, все данные шифруются неактивных данных.

Журналы аудита безопасности

Журнал действий — это журнал платформы Azure, который предоставляет аналитические сведения о событиях уровня подписки. Это включает отслеживание при изменении, удалении или добавлении моста ресурсов Azure Arc.

Журнал действий можно просмотреть в портал Azure или получить записи с помощью PowerShell и Azure CLI. По умолчанию события журнала действий сохраняются в течение 90 дней, а затем удаляются.

Следующие шаги

  • Общие сведения о требованиях к системе и требованиях к сети для моста ресурсов Azure Arc.
  • Ознакомьтесь с обзором моста ресурсов Azure Arc, чтобы узнать больше о функциях и преимуществах.
  • См. дополнительные сведения об Azure Arc.