Panoramica della sicurezza del bridge di risorse di Azure Arc
Questo articolo descrive la configurazione e le considerazioni sulla sicurezza da valutare prima di distribuire il bridge di risorse di Azure Arc nell'organizzazione.
Uso di un'identità gestita
Per impostazione predefinita, viene creata un'identità gestita assegnata dal sistema Microsoft Entra e assegnata al bridge di risorse di Azure Arc. Azure Arc Resource Bridge supporta attualmente solo un'identità assegnata dal sistema. L'identità clusteridentityoperator avvia la prima comunicazione in uscita e recupera il certificato dell'identità del servizio gestito (MSI) usato da altri agenti per la comunicazione con Azure.
Identità e controllo di accesso
Il bridge di risorse di Azure Arc è rappresentato come risorsa in un gruppo di risorse all'interno di una sottoscrizione di Azure. L'accesso a questa risorsa è controllato dal controllo degli accessi in base al ruolo standard di Azure. Dalla pagina Controllo di accesso (IAM) nella portale di Azure è possibile verificare chi può accedere al bridge di risorse di Azure Arc.
Gli utenti e le applicazioni a cui viene concesso il ruolo Collaboratore o Amministrazione istrator al gruppo di risorse possono apportare modifiche al bridge di risorse, inclusa la distribuzione o l'eliminazione delle estensioni del cluster.
Residenza dei dati
Il bridge di risorse di Azure Arc segue le normative di residenza dei dati specifiche per ogni area. Se applicabile, i dati vengono sottoposti a backup in un'area di coppia secondaria in conformità alle normative di residenza dei dati. In caso contrario, i dati si trovano solo in tale area specifica. I dati non vengono archiviati o elaborati in aree geografiche diverse.
Crittografia dei dati inattivi
Il bridge di risorse di Azure Arc archivia le informazioni sulle risorse in Azure Cosmos DB. Come descritto in Crittografia dei dati inattivi in Azure Cosmos DB, tutti i dati vengono crittografati inattivi.
Log di controllo di sicurezza
Il log attività è un log della piattaforma Azure che fornisce informazioni dettagliate sugli eventi a livello di sottoscrizione. Ciò include il rilevamento quando il bridge di risorse di Azure Arc viene modificato, eliminato o aggiunto. È possibile visualizzare il log attività nel portale di Azure o recuperare voci con PowerShell e l'interfaccia della riga di comando di Azure. Per impostazione predefinita, gli eventi del log attività vengono conservati per 90 giorni e quindi eliminati.
Passaggi successivi
- Informazioni sui requisiti di sistema e sui requisiti di rete per il bridge di risorse di Azure Arc.
- Esaminare la panoramica del bridge di risorse di Azure Arc per altre informazioni sulle funzionalità e sui vantaggi.
- Altre informazioni su Azure Arc.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per