Privát ARM-sablon üzembe helyezése SAS-jogkivonattal
Ha az Azure Resource Manager-sablon (ARM-sablon) egy tárfiókban található, korlátozhatja a sablonhoz való hozzáférést, hogy elkerülje a nyilvános közzétételt. A biztonságos sablonhoz úgy férhet hozzá, hogy létrehoz egy közös hozzáférésű jogosultságkód (SAS) jogkivonatot a sablonhoz, és megadja a jogkivonatot az üzembe helyezés során. Ez a cikk azt ismerteti, hogyan használhatja az Azure PowerShellt vagy az Azure CLI-t egy ARM-sablon sas-jogkivonattal történő biztonságos üzembe helyezéséhez.
A privát ARM-sablonokhoz való hozzáférés védelméről és kezeléséről az alábbi útmutatásokkal tájékozódhat:
- Tárfiók létrehozása biztonságos tárolóval
- Sablon feltöltése tárfiókba
- SAS-jogkivonat megadása az üzembe helyezés során
Fontos
Ahelyett, hogy sas-jogkivonattal biztosítanák a privát sablont, fontolja meg a sablon specifikációinak használatát. A sablon specifikációival megoszthatja sablonjait a szervezet más felhasználóival, és kezelheti a sablonokhoz való hozzáférést az Azure RBAC-ben.
Tárfiók létrehozása biztonságos tárolóval
Az alábbi szkript létrehoz egy tárfiókot és egy tárolót, amelynek nyilvános hozzáférése ki van kapcsolva a sablonbiztonság érdekében.
New-AzResourceGroup `
-Name ExampleGroup `
-Location "Central US"
New-AzStorageAccount `
-ResourceGroupName ExampleGroup `
-Name {your-unique-name} `
-Type Standard_LRS `
-Location "Central US"
Set-AzCurrentStorageAccount `
-ResourceGroupName ExampleGroup `
-Name {your-unique-name}
New-AzStorageContainer `
-Name templates `
-Permission Off
Privát sablon feltöltése tárfiókba
Most már készen áll arra, hogy feltöltse a sablont a tárfiókba. Adja meg a használni kívánt sablon elérési útját.
Set-AzStorageBlobContent `
-Container templates `
-File c:\Templates\azuredeploy.json
SAS-jogkivonat megadása az üzembe helyezés során
Ha privát sablont szeretne üzembe helyezni egy tárfiókban, hozzon létre egy SAS-jogkivonatot, és vegye fel a sablon URI-jába. Állítsa be a lejárati időt, hogy elegendő idő legyen az üzembe helyezés befejezéséhez.
Fontos
A privát sablont tartalmazó blob csak a fióktulajdonos számára érhető el. Amikor azonban létrehoz egy SAS-jogkivonatot a blobhoz, a blob bárki számára elérhető, aki rendelkezik ezzel az URI-val. Ha egy másik felhasználó elfogja az URI-t, az a felhasználó hozzáférhet a sablonhoz. Az SAS-jogkivonat jó módszer a sablonokhoz való hozzáférés korlátozására, de nem szabad bizalmas adatokat, például jelszavakat közvetlenül a sablonba foglalni.
# get the URI with the SAS token
$templateuri = New-AzStorageBlobSASToken `
-Container templates `
-Blob azuredeploy.json `
-Permission r `
-ExpiryTime (Get-Date).AddHours(2.0) -FullUri
# provide URI with SAS token during deployment
New-AzResourceGroupDeployment `
-ResourceGroupName ExampleGroup `
-TemplateUri $templateuri
Ha egy SAS-jogkivonatot csatolt sablonokkal használ, olvassa el a Csatolt sablonok használata az Azure Resource Managerrel című témakört.
Következő lépések
- A sablonok üzembe helyezésének bemutatása: Erőforrások üzembe helyezése ARM-sablonokkal és Azure PowerShell-lel.
- A sablonok paramétereinek meghatározásához tekintse meg a Sablonok létrehozása című témakört.