Как обеспечить безопасный доступ к пользовательским пакетам конфигурации компьютера
Эта страница содержит руководство по предоставлению доступа к пакетам конфигурации компьютера, хранящимся в хранилище Azure, с помощью идентификатора ресурса управляемого удостоверения, назначаемого пользователем, или маркера SAS.
Предварительные требования
- Подписка Azure.
- служба хранилища Azure учетную запись с пакетом конфигурации компьютера
Действия по предоставлению доступа к пакету
Следующие шаги по подготовке ресурсов к более безопасным операциям. Фрагменты кода для шагов включают значения в угловые скобки, например <storage-account-container-name>, которые необходимо заменить допустимым значением при выполнении шагов. Если вы просто копируете и вставляете код, команды могут вызывать ошибки из-за недопустимых значений.
Использование назначаемого пользователем удостоверения
Внимание
Обратите внимание, что, в отличие от виртуальных машин Azure, подключенных к Arc, в настоящее время не поддерживают управляемые удостоверения, назначенные пользователем.
Вы можете предоставить частный доступ к пакету конфигурации компьютера в большом двоичном объекте служба хранилища Azure, назначив удостоверение, назначаемое пользователем, области виртуальных машин Azure. Для этого необходимо предоставить управляемому удостоверению доступ на чтение большого двоичного объекта хранилища Azure. Это предполагает назначение роли "Средство чтения данных BLOB-объектов хранилища" идентификатору в области контейнера BLOB-объектов. Эта настройка гарантирует безопасное чтение виртуальных машин Azure из указанного контейнера BLOB-объектов с помощью управляемого удостоверения, назначаемого пользователем. Сведения о том, как можно назначить назначенное пользователем удостоверение в масштабе, см. в статье "Использование Политика Azure для назначения управляемых удостоверений".
Использование маркера SAS
При необходимости в URL-адрес можно добавить маркер подписанного URL-адреса с подписанным URL-адресом, чтобы обеспечить безопасный доступ к пакету. В приведенном ниже примере создается токен SAS большого двоичного объекта с доступом на чтение и возвращается полный универсальный код ресурса (URI) большого двоичного объекта с токеном подписанного URL-адреса. В этом примере маркер имеет ограничение на срок 3 года.
$startTime = Get-Date
$endTime = $startTime.AddYears(3)
$tokenParams = @{
StartTime = $startTime
ExpiryTime = $endTime
Container = '<storage-account-container-name>'
Blob = '<configuration-blob-name>'
Permission = 'r'
Context = '<storage-account-context>'
FullUri = $true
}
$contentUri = New-AzStorageBlobSASToken @tokenParams
Итоги
С помощью идентификатора ресурса управляемого удостоверения или маркера SAS, назначаемого пользователем, можно безопасно предоставить доступ к пакетам конфигурации компьютера, хранящимся в хранилище Azure. Дополнительные параметры гарантируют, что пакет извлекается с помощью управляемого удостоверения и что компьютеры Azure Arc не включены в область политики.
Next Steps
- После создания определения политики его можно назначить соответствующей области, например группе управления, подписке или группе ресурсов в среде Azure.
- Не забудьте отслеживать состояние соответствия политик и вносить необходимые корректировки в пакет конфигурации компьютера или назначение политики в соответствии с требованиями организации.