Megosztás a következőn keresztül:


Privát ARM-sablon üzembe helyezése SAS-jogkivonattal

Ha az Azure Resource Manager-sablon (ARM-sablon) egy tárfiókban található, korlátozhatja a sablonhoz való hozzáférést, hogy elkerülje a nyilvános közzétételt. A biztonságos sablonhoz úgy férhet hozzá, hogy létrehoz egy közös hozzáférésű jogosultságkód (SAS) jogkivonatot a sablonhoz, és megadja a jogkivonatot az üzembe helyezés során. Ez a cikk azt ismerteti, hogyan használhatja az Azure PowerShellt vagy az Azure CLI-t egy ARM-sablon sas-jogkivonattal történő biztonságos üzembe helyezéséhez.

A privát ARM-sablonokhoz való hozzáférés védelméről és kezeléséről az alábbi útmutatásokkal tájékozódhat:

  • Tárfiók létrehozása biztonságos tárolóval
  • Sablon feltöltése tárfiókba
  • SAS-jogkivonat megadása az üzembe helyezés során

Fontos

Ahelyett, hogy sas-jogkivonattal biztosítanák a privát sablont, fontolja meg a sablon specifikációinak használatát. A sablon specifikációival megoszthatja sablonjait a szervezet más felhasználóival, és kezelheti a sablonokhoz való hozzáférést az Azure RBAC-ben.

Tárfiók létrehozása biztonságos tárolóval

Az alábbi szkript létrehoz egy tárfiókot és egy tárolót, amelynek nyilvános hozzáférése ki van kapcsolva a sablonbiztonság érdekében.

New-AzResourceGroup `
  -Name ExampleGroup `
  -Location "Central US"
New-AzStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name} `
  -Type Standard_LRS `
  -Location "Central US"
Set-AzCurrentStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name}
New-AzStorageContainer `
  -Name templates `
  -Permission Off

Privát sablon feltöltése tárfiókba

Most már készen áll arra, hogy feltöltse a sablont a tárfiókba. Adja meg a használni kívánt sablon elérési útját.

Set-AzStorageBlobContent `
  -Container templates `
  -File c:\Templates\azuredeploy.json

SAS-jogkivonat megadása az üzembe helyezés során

Ha privát sablont szeretne üzembe helyezni egy tárfiókban, hozzon létre egy SAS-jogkivonatot, és vegye fel a sablon URI-jába. Állítsa be a lejárati időt, hogy elegendő idő legyen az üzembe helyezés befejezéséhez.

Fontos

A privát sablont tartalmazó blob csak a fióktulajdonos számára érhető el. Amikor azonban létrehoz egy SAS-jogkivonatot a blobhoz, a blob bárki számára elérhető, aki rendelkezik ezzel az URI-val. Ha egy másik felhasználó elfogja az URI-t, az a felhasználó hozzáférhet a sablonhoz. Az SAS-jogkivonat jó módszer a sablonokhoz való hozzáférés korlátozására, de nem szabad bizalmas adatokat, például jelszavakat közvetlenül a sablonba foglalni.

# get the URI with the SAS token
$templateuri = New-AzStorageBlobSASToken `
  -Container templates `
  -Blob azuredeploy.json `
  -Permission r `
  -ExpiryTime (Get-Date).AddHours(2.0) -FullUri

# provide URI with SAS token during deployment
New-AzResourceGroupDeployment `
  -ResourceGroupName ExampleGroup `
  -TemplateUri $templateuri

Ha egy SAS-jogkivonatot csatolt sablonokkal használ, olvassa el a Csatolt sablonok használata az Azure Resource Managerrel című témakört.

Következő lépések