Så här ger du säker åtkomst till anpassade datorkonfigurationspaket
Den här sidan innehåller en guide om hur du ger åtkomst till Machine Configuration-paket som lagras i Azure Storage med hjälp av resurs-ID:t för en användartilldelad hanterad identitet eller en SAS-token (Signatur för delad åtkomst).
Förutsättningar
- Azure-prenumeration
- Azure Storage-konto med machine configuration-paketet
Steg för att ge åtkomst till paketet
Följande steg förbereder dina resurser för säkrare åtgärder. Kodfragmenten för stegen innehåller värden inom vinkelparenteser som <storage-account-container-name>, som du måste ersätta med ett giltigt värde när du följer stegen. Om du bara kopierar och klistrar in koden kan kommandona generera fel på grund av ogiltiga värden.
Använda en användartilldelad identitet
Viktigt!
Observera att Arc-anslutna datorer för närvarande inte stöder användartilldelade hanterade identiteter, till skillnad från virtuella Azure-datorer.
Du kan bevilja privat åtkomst till ett datorkonfigurationspaket i en Azure Storage-blob genom att tilldela en användartilldelad identitet till ett omfång för virtuella Azure-datorer. För att det ska fungera måste du ge den hanterade identiteten läsbehörighet till Azure Storage-bloben. Detta innebär att tilldela rollen "Storage Blob Data Reader" till identiteten i blobcontainerns omfång. Den här konfigurationen säkerställer att dina virtuella Azure-datorer på ett säkert sätt kan läsa från den angivna blobcontainern med hjälp av den användartilldelade hanterade identiteten. Information om hur du kan tilldela en användartilldelad identitet i stor skala finns i Använda Azure Policy för att tilldela hanterade identiteter.
Använda en SAS-token
Du kan också lägga till en SAS-token (signatur för delad åtkomst) i URL:en för att säkerställa säker åtkomst till paketet. Exemplet nedan genererar en BLOB SAS-token med läsåtkomst och returnerar den fullständiga blob-URI:n med signaturtoken för delad åtkomst. I det här exemplet har token en tidsgräns på tre år.
$startTime = Get-Date
$endTime = $startTime.AddYears(3)
$tokenParams = @{
StartTime = $startTime
ExpiryTime = $endTime
Container = '<storage-account-container-name>'
Blob = '<configuration-blob-name>'
Permission = 'r'
Context = '<storage-account-context>'
FullUri = $true
}
$contentUri = New-AzStorageBlobSASToken @tokenParams
Sammanfattning
Genom att använda resurs-ID för en användartilldelad hanterad identitet eller SAS-token kan du på ett säkert sätt ge åtkomst till Machine Configuration-paket som lagras i Azure Storage. De ytterligare parametrarna säkerställer att paketet hämtas med hjälp av den hanterade identiteten och att Azure Arc-datorer inte ingår i principomfånget.
Nästa steg
- När du har skapat principdefinitionen kan du tilldela den till rätt omfång, till exempel hanteringsgrupp, prenumeration eller resursgrupp, i din Azure-miljö.
- Kom ihåg att övervaka policyefterlevnadsstatusen och göra nödvändiga justeringar i ditt machine configuration-paket eller principtilldelning för att uppfylla organisationens krav.