Partager via

Meilleures pratiques d’Azure VM Image Builder

  • Article

S’applique aux : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows ✔️ Groupes identiques flexibles ✔️ Groupes identiques uniformes

Cet article décrit les meilleures pratiques à suivre lors de l’utilisation d’Azure VM Image Builder (AIB).

  • Pour éviter que les modèles d’images ne soient accidentellement supprimés, utilisez des verrous de ressources au niveau des ressources des modèles d’images. Pour plus d’informations, consultez Protéger vos ressources Azure avec un verrou.
  • Assurez-vous que vos modèles d’image sont configurés pour la récupération d’urgence en suivant recommandation de fiabilité pour les AIB.
  • Configurez les déclencheurs AIB pour reconstruire automatiquement vos images et les mettre à jour.
  • Activez optimisation du démarrage des machines virtuelles dans AIB pour améliorer le temps de création de vos machines virtuelles.
  • Spécifiez vos propres sous-réseaux Build VM et ACI pour un contrôle plus étroit du déploiement des ressources réseau par l’AIB dans votre abonnement. La spécification de ces sous-réseaux entraîne également des temps de génération d’images plus rapides. Consultez la référence de modèle pour en savoir plus sur la spécification de ces options.
  • Respectez le principe du moindre privilège pour vos ressources AIB.
    • Modèle d’image : un principal qui a accès à votre modèle d’image est en mesure d’exécuter, de supprimer ou de falsifier celui-ci. Le fait d’avoir cet accès permet au principal de modifier les images créées par ce modèle d’image.
    • Groupe de ressources intermédiaires : AIB utilise un groupe de ressources intermédiaire dans votre abonnement pour personnaliser votre image de machine virtuelle. Vous devez considérer ce groupe de ressources comme sensible et restreindre l’accès à ce groupe de ressources aux seuls mandants requis. Étant donné que le processus de personnalisation de votre image se déroule dans ce groupe de ressources, un donneur d’ordre ayant accès au groupe de ressources est en mesure de compromettre le processus de création de l’image – par exemple, en injectant un logiciel malveillant dans l’image. L’AIB délègue également les privilèges associés à l’identité Template et à l’identité Build VM aux ressources de ce groupe de ressources. Ainsi, un donneur d’ordre ayant accès au groupe de ressources peut accéder à ces identités. De plus, l’AIB conserve une copie de vos artefacts de personnalisation dans ce groupe de ressources. Ainsi, un mandant ayant accès au groupe de ressources est en mesure d’inspecter ces copies.
    • Identité de modèle : un principal disposant d’un accès à votre identité de modèle est en mesure d’accéder à toutes les ressources pour lesquelles l’identité a des autorisations. Cela inclut les artefacts de votre personnalisation (par exemple, les scripts shell et PowerShell), vos cibles de distribution (par exemple, une version de l’image Azure Compute Gallery) et votre réseau virtuel. Par conséquent, vous devez fournir uniquement les privilèges minimum requis à cette identité.
    • Identité Build VM : Un principal ayant accès à votre identité Build VM est en mesure d’accéder à toutes les ressources pour lesquelles l’identité dispose d’autorisations. Cela inclut tous les artefacts et les réseaux virtuels que vous utilisez peut-être à partir de la machine virtuelle de build à l’aide de cette identité. Par conséquent, vous devez fournir uniquement les privilèges minimum requis à cette identité.
  • Si vous distribuez à Azure Compute Gallery (ACG), suivez également les meilleures pratiques pour les ressources ACG.