Azure VM Image Builder 最佳做法

適用於： ✔️ Linux VM ✔️ Windows VM ✔️ 彈性擴展集 ✔️ 統一擴展集

本文說明在使用 Azure VM 映射產生器 （AIB） 時要遵循的最佳做法。

• 若要防止意外刪除映像範本，請使用映像範本資源層級的資源鎖定。 如需詳細資訊，請參閱使用鎖定保護您的 Azure 資源。
• 請遵循 AIB 的可靠性建議，確定您的映像範本已針對災害復原進行設定。
• 設定 AIB 觸發程式 以自動重建映像，並加以更新。
• 啟用 AIB 中的 VM 開機優化 ，以改善 VM 的建立時間。
• 指定您自己的組建 VM 和 ACI 子網，以更嚴格地控制訂用帳戶中的 AIB 部署網路相關資源。 指定這些子網也會導致映像建置時間更快。 請參閱 範本參考 以深入瞭解如何指定這些選項。
• 請遵循 AIB 資源的最低許可權原則。
  • 映像範本：可存取映像範本的主體能夠執行、刪除或竄改映像範本。 接著，擁有此存取權可讓主體變更該映像範本所建立的映像。
  • 預備資源群組：AIB 會使用訂用帳戶中的預備資源群組來自定義 VM 映像。 您必須將此資源群組視為敏感性，並將此資源群組的存取限制為必要的主體。 由於自定義映像的程式會在此資源群組中發生，因此具有資源群組存取權的主體能夠入侵映射建置程式，例如，將惡意代碼插入映像中。 AIB 也會委派與範本身分識別相關聯的許可權，並將 VM 身分識別建置至此資源群組中的資源。 因此，具有資源群組存取權的主體能夠存取這些身分識別。 此外，AIB 會在此資源群組中維護自定義工具成品的複本。 因此，具有資源群組存取權的主體能夠檢查這些複本。
  • 範本身分識別：具有範本身分識別存取權的主體能夠存取身分識別具有許可權的所有資源。 這包括您的自定義工具成品（例如殼層和 PowerShell 腳本）、您的散發目標（例如 Azure 計算資源庫映像版本），以及您的 虛擬網絡。 因此，您必須只提供此身分識別的最低必要許可權。
  • 建置 VM 身分識別：具有組建 VM 身分識別存取權的主體能夠存取身分識別具有許可權的所有資源。 這包括您可以使用此身分識別從建置 VM 內使用的任何成品和 虛擬網絡。 因此，您必須只提供此身分識別的最低必要許可權。
• 如果您要散發至 Azure 計算資源庫 （ACG），則也會遵循 ACG 資源的最佳做法。