如何提供自定義計算機元件的安全存取
此頁面提供如何使用使用者指派受控識別或共用存取簽章 (SAS) 令牌的資源識別碼,提供如何存取儲存在 Azure 記憶體中的機器組態套件的指南。
必要條件
- Azure 訂用帳戶
- 使用電腦設定套件 Azure 儲存體 帳戶
提供套件存取權的步驟
下列步驟會準備您的資源,以進行更安全的作業。 步驟的代碼段包含角括弧中的值,例如 <storage-account-container-name>,在遵循步驟時,您必須以有效值取代此值。 如果您只要複製並貼上程式代碼,命令可能會因為值無效而引發錯誤。
使用使用者指派的身分識別
重要
請注意,不同於 Azure VM,Arc 連線的電腦目前不支援使用者指派的受控識別。
您可以將使用者指派的身分識別指派給 Azure VM 範圍,以授與 Azure 儲存體 Blob 中計算機組態套件的私人存取權。 若要讓此作業能夠運作,您必須將受控識別讀取許可權授與 Azure 記憶體 Blob。 這牽涉到將「記憶體 Blob 數據讀取者」角色指派給 Blob 容器範圍內的身分識別。 此設定可確保您的 Azure VM 可以使用使用者指派的受控識別,安全地從指定的 Blob 容器讀取。 若要瞭解如何大規模指派使用者指派的身分識別,請參閱使用 Azure 原則 指派受控識別。
使用SAS令牌
您可以選擇性地在 URL 中新增共用存取簽章 (SAS) 令牌,以確保對套件的安全存取。 下列範例會產生具有讀取權限的 Blob SAS 權杖,並傳回具有共用存取簽章權杖的完整 Blob URI。 在此範例中,權杖的時間限制為三年。
$startTime = Get-Date
$endTime = $startTime.AddYears(3)
$tokenParams = @{
StartTime = $startTime
ExpiryTime = $endTime
Container = '<storage-account-container-name>'
Blob = '<configuration-blob-name>'
Permission = 'r'
Context = '<storage-account-context>'
FullUri = $true
}
$contentUri = New-AzStorageBlobSASToken @tokenParams
摘要
藉由使用使用者指派的受控識別或 SAS 令牌的資源識別碼,您可以安全地存取儲存在 Azure 記憶體中的機器元件。 其他參數可確保使用受控識別擷取套件,且 Azure Arc 機器未包含在原則範圍中。
後續步驟
- 建立原則定義之後,您可以將它指派給 Azure 環境中適當的範圍,例如管理群組、訂用帳戶或資源群組。
- 請記得監視原則合規性狀態,並對您的計算機設定套件或原則指派進行任何必要的調整,以符合組織需求。