كيفية توزيع قالب Azure Resource Manager خاص مع رمز SAS المميز

عندما يتواجد قالب إدارة موارد Azure (قالب Azure Resource Manager) في حساب التخزين، يمكنك تقييد الوصول إلى القالب لتجنب عرضه علناً. يمكنك الوصول إلى قالب آمن عن طريق إنشاء رمز مميز لتوقيع وصول مشترك (SAS) للقالب وتوفير ذلك الرمز أثناء التوزيع. توضح هذه المقالة كيفية استخدام Azure PowerShell أو Azure CLI لتوزيع قالب ARM مع رمز SAS بشكل آمن.

ستجد معلومات حول كيفية حماية الوصول إلى قوالب ARM الخاصة بك وإدارتها مع توجيهات حول كيفية القيام بما يلي:

• إنشاء حساب تخزين مع حاوية آمنة
• تحميل القالب إلى حساب تخزين
• توفير رمز SAS المميز أثناء التوزيع

هام

بدلاً من تأمين القالب الخاص بك باستخدام رمز SAS، ضع في اعتبارك استخدام مواصفات القالب. يمكنك باستخدام مواصفات القالب مشاركة القوالب مع مستخدمين آخرين في مؤسستك وإدارة الوصول إلى القوالب من خلال التحكم في الوصول استناداً إلى الدور الخاص بـ Azure.

إنشاء حساب تخزين مع حاوية آمنة

يقوم البرنامج النصي التالي بإنشاء حساب تخزين وحاوية مع إيقاف الوصول العام لأمان القالب.

PowerShell

New-AzResourceGroup `
  -Name ExampleGroup `
  -Location "Central US"
New-AzStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name} `
  -Type Standard_LRS `
  -Location "Central US"
Set-AzCurrentStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name}
New-AzStorageContainer `
  -Name templates `
  -Permission Off

Azure CLI

az group create \
  --name "ExampleGroup" \
  --location "Central US"
az storage account create \
    --resource-group ExampleGroup \
    --location "Central US" \
    --sku Standard_LRS \
    --kind Storage \
    --name {your-unique-name}
connection=$(az storage account show-connection-string \
    --resource-group ExampleGroup \
    --name {your-unique-name} \
    --query connectionString)
az storage container create \
    --name templates \
    --public-access Off \
    --connection-string $connection

تحميل قالب خاص إلى حساب التخزين

الآن، أنت مستعد لتحميل القالب إلى حساب التخزين. قم بتوفير المسار إلى القالب الذي تريد استخدامه.

PowerShell

Set-AzStorageBlobContent `
  -Container templates `
  -File c:\Templates\azuredeploy.json

Azure CLI

az storage blob upload \
    --container-name templates \
    --file azuredeploy.json \
    --name azuredeploy.json \
    --connection-string $connection

توفير رمز SAS المميز أثناء التوزيع

لتوزيع قالب خاص في حساب تخزين، قم بإنشاء رمز SAS ثم قم بتضمينه في URI للقالب. تعيين وقت انتهاء الصلاحية لإتاحة الوقت الكافي لإكمال التوزيع.

هام

لا يمكن لأي شخص الوصول إلى الكائن الثنائي كبير الحجم الذي يحتوي على قالب خاص إلا صاحب الحساب. ومع ذلك، عند إنشاء رمز SAS للكائن الثنائي كبير الحجم، فإنه يمكن لأي شخص لديه عنوان URI. إذا اعترض مستخدم آخر عنوان URI، فيمكن لهذا المستخدم الوصول إلى القالب. رمز SAS هو طريقة جيدة للحد من الوصول إلى القوالب الخاصة بك، ولكن يجب ألا تتضمن البيانات الحساسة، مثل كلمات المرور مباشرة في القالب.

PowerShell

# get the URI with the SAS token
$templateuri = New-AzStorageBlobSASToken `
  -Container templates `
  -Blob azuredeploy.json `
  -Permission r `
  -ExpiryTime (Get-Date).AddHours(2.0) -FullUri

# provide URI with SAS token during deployment
New-AzResourceGroupDeployment `
  -ResourceGroupName ExampleGroup `
  -TemplateUri $templateuri

Azure CLI

يعمل المثال التالي مع بيئة Bash في Cloud Shell. قد تتطلب بيئات أخرى بناء جملة مختلفاً لإنشاء وقت انتهاء صلاحية رمز SAS المميز.

expiretime=$(date -u -d '30 minutes' +%Y-%m-%dT%H:%MZ)
connection=$(az storage account show-connection-string \
    --resource-group ExampleGroup \
    --name {your-unique-name} \
    --query connectionString)
token=$(az storage blob generate-sas \
    --container-name templates \
    --name azuredeploy.json \
    --expiry $expiretime \
    --permissions r \
    --output tsv \
    --connection-string $connection)
url=$(az storage blob url \
    --container-name templates \
    --name azuredeploy.json \
    --output tsv \
    --connection-string $connection)
az deployment group create \
  --resource-group ExampleGroup \
  --template-uri $url?$token

للاطلاع على مثال لاستخدام رمز SAS المميز مع القوالب المرتبطة، راجع استخدام قوالب مرتبطة مع إدارة موارد Azure.

الخطوات التالية

• لمقدمة لتوزيع القوالب، راجع توزيع الموارد باستخدام قوالب ARM وAzure PowerShell.
• لتعريف المعلمات في القالب، راجع قوالب التأليف.