Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Bien que l'accès à distance permis par la commande Exécuter réduise la charge pour effectuer certaines tâches sur une machine virtuelle (VM), il existe plusieurs moyens de s'assurer que l'accès à distance au serveur activé par Arc est limité.
- Limiter l’accès à la commande Exécuter dans un abonnement
- Autoriser ou bloquer des commandes d’exécution sur des serveurs spécifiques localement
Limiter l’accès à la commande Run à l’aide du contrôle d'accès basé sur les rôles (RBAC)
Vous pouvez utiliser RBAC pour contrôler quels rôles dans un abonnement sont en mesure d’exécuter des commandes et des scripts avec la commande Exécuter. Le tableau suivant décrit l’action que vous pouvez effectuer avec la commande Exécuter, l’autorisation nécessaire pour effectuer l’action et le rôle RBAC qui accorde l’autorisation.
| Action | Autorisation | RBAC avec autorisation |
|---|---|---|
| Répertorier les commandes d'exécution ou afficher les détails de la commande | Microsoft.HybridCompute/machines/runCommands/read |
Rôle Lecteur intégré et versions ultérieures |
| Exécuter une commande | Microsoft.HybridCompute/machines/runCommands/write |
Rôle Administrateur de ressources de machine connectée Azure et supérieur |
Pour contrôler l’accès à la fonctionnalité de commande Exécuter, utilisez l’un des rôles intégrés ou créez un rôle personnalisé qui accorde une autorisation de commande Exécuter.
Bloquer les commandes d’exécution localement
Vous pouvez contrôler si l’agent Connected Machine autorise l’accès à la machine virtuelle via des commandes d’exécution en ajoutant l’extension de commande d'exécution à une liste d'autorisation (inclusive) ou à une liste de blocage (exclusive).
Conseil / Astuce
Si vous souhaitez désactiver la commande Exécuter dans le futur, vous ajouteriez l’extension de la commande Exécuter à une liste de blocage.
Pour plus d’informations, consultez Listes d’autorisation et listes de refus des extensions.
Exemple Windows
L’exemple suivant ajoute l’extension de la commande Exécuter à une liste de blocage sur une machine virtuelle Windows.
azcmagent config set extensions.blocklist "microsoft.cplat.core/runcommandhandlerwindows"
Exemple Linux
L’exemple suivant ajoute les extensions de commande "Run" à une liste d'autorisation sur une machine virtuelle Linux.
azcmagent config set extensions.allowlist "microsoft.cplat.core/runcommandhandlerlinux"`