Privát ARM-sablon üzembe helyezése SAS-jogkivonattal
Ha az Azure Resource Manager-sablon (ARM-sablon) egy tárfiókban található, korlátozhatja a sablonhoz való hozzáférést, hogy elkerülje a nyilvános közzétételt. Egy biztonságos sablonhoz úgy férhet hozzá, hogy létrehoz egy közös hozzáférésű jogosultságkód (SAS) jogkivonatot a sablonhoz, és megadja a jogkivonatot az üzembe helyezés során. Ez a cikk azt ismerteti, hogyan használható az Azure PowerShell vagy az Azure CLI egy ARM-sablon biztonságos üzembe helyezésére SAS-jogkivonattal.
A privát ARM-sablonokhoz való hozzáférés védelméről és kezeléséről az alábbi útmutatásokkal talál információt:
- Tárfiók létrehozása biztonságos tárolóval
- Sablon feltöltése tárfiókba
- SAS-jogkivonat megadása az üzembe helyezés során
Fontos
Ahelyett, hogy sas-jogkivonattal biztosítanák a privát sablont, érdemes sablonspecifikációkat használni. Sablonspecifikációkkal megoszthatja sablonjait a szervezet más felhasználóival, és az Azure RBAC-vel kezelheti a sablonokhoz való hozzáférést.
Tárfiók létrehozása biztonságos tárolóval
A következő szkript létrehoz egy tárfiókot és tárolót, amelynek nyilvános hozzáférése ki van kapcsolva a sablonbiztonság érdekében.
New-AzResourceGroup `
-Name ExampleGroup `
-Location "Central US"
New-AzStorageAccount `
-ResourceGroupName ExampleGroup `
-Name {your-unique-name} `
-Type Standard_LRS `
-Location "Central US"
Set-AzCurrentStorageAccount `
-ResourceGroupName ExampleGroup `
-Name {your-unique-name}
New-AzStorageContainer `
-Name templates `
-Permission Off
Privát sablon feltöltése tárfiókba
Most már készen áll arra, hogy feltöltse a sablont a tárfiókba. Adja meg a használni kívánt sablon elérési útját.
Set-AzStorageBlobContent `
-Container templates `
-File c:\Templates\azuredeploy.json
SAS-jogkivonat megadása az üzembe helyezés során
Ha privát sablont szeretne üzembe helyezni egy tárfiókban, hozzon létre egy SAS-jogkivonatot, és foglalja bele a sablon URI-jába. Állítsa be a lejárati időt, hogy elegendő idő hasson az üzembe helyezés befejezésére.
Fontos
A privát sablont tartalmazó blob csak a fióktulajdonos számára érhető el. Ha azonban létrehoz egy SAS-jogkivonatot a blobhoz, a blob bárki számára elérhető, aki rendelkezik ezzel az URI-val. Ha egy másik felhasználó elfogja az URI-t, az a felhasználó hozzáférhet a sablonhoz. Az SAS-jogkivonat jó módszer a sablonokhoz való hozzáférés korlátozására, de nem szabad közvetlenül a sablonba belefoglalni a bizalmas adatokat, például a jelszavakat.
# get the URI with the SAS token
$templateuri = New-AzStorageBlobSASToken `
-Container templates `
-Blob azuredeploy.json `
-Permission r `
-ExpiryTime (Get-Date).AddHours(2.0) -FullUri
# provide URI with SAS token during deployment
New-AzResourceGroupDeployment `
-ResourceGroupName ExampleGroup `
-TemplateUri $templateuri
Ha egy SAS-jogkivonatot társított sablonokkal használ, tekintse meg a Csatolt sablonok használata az Azure Resource Manager használatával című témakört.
Következő lépések
- A sablonok üzembe helyezésének bemutatása: Erőforrások üzembe helyezése ARM-sablonokkal és Azure PowerShell.
- A sablonok paramétereinek definiálásához lásd: Sablonok létrehozása.