Come distribuire un modello di Resource Manager privato con token di firma di accesso condiviso

Quando il modello di Azure Resource Manager si trova in un account di archiviazione, è possibile limitare l'accesso al modello per evitare di esporlo pubblicamente. È possibile accedere a un modello protetto creando un token di firma di accesso condiviso per il modello e fornendo tale token durante la distribuzione. Questo articolo illustra come usare Azure PowerShell o l'interfaccia della riga di comando di Azure per distribuire in modo sicuro un modello di Resource Manager con un token di firma di accesso condiviso.

Sono disponibili informazioni su come proteggere e gestire l'accesso ai modelli di Resource Manager privati con istruzioni su come eseguire le operazioni seguenti:

• Creare un account di archiviazione con un contenitore protetto
• Caricare il modello nell'account di archiviazione
• Fornire il token SAS in fase di distribuzione

Importante

Invece di proteggere il modello privato con un token di firma di accesso condiviso, è consigliabile usare le specifiche del modello. Con le specifiche di modello, è possibile condividere i modelli con altri utenti dell'organizzazione e gestire l'accesso ai modelli tramite il controllo degli accessi in base al ruolo di Azure.

Creare un account di archiviazione con un contenitore protetto

Lo script seguente crea un account di archiviazione e un contenitore con accesso pubblico disattivato per la sicurezza dei modelli.

PowerShell

Azure PowerShell

New-AzResourceGroup `
  -Name ExampleGroup `
  -Location "Central US"
New-AzStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name} `
  -Type Standard_LRS `
  -Location "Central US"
Set-AzCurrentStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name}
New-AzStorageContainer `
  -Name templates `
  -Permission Off

Interfaccia della riga di comando di Azure

Interfaccia della riga di comando di Azure

az group create \
  --name "ExampleGroup" \
  --location "Central US"
az storage account create \
    --resource-group ExampleGroup \
    --location "Central US" \
    --sku Standard_LRS \
    --kind Storage \
    --name {your-unique-name}
connection=$(az storage account show-connection-string \
    --resource-group ExampleGroup \
    --name {your-unique-name} \
    --query connectionString)
az storage container create \
    --name templates \
    --public-access Off \
    --connection-string $connection

Caricare un modello privato nell'account di archiviazione

A questo momento, si è pronti per caricare il modello nell'account di archiviazione. Specificare il percorso del modello da usare.

PowerShell

Azure PowerShell

Set-AzStorageBlobContent `
  -Container templates `
  -File c:\Templates\azuredeploy.json

Interfaccia della riga di comando di Azure

Interfaccia della riga di comando di Azure

az storage blob upload \
    --container-name templates \
    --file azuredeploy.json \
    --name azuredeploy.json \
    --connection-string $connection

Fornire il token SAS in fase di distribuzione

Per distribuire un modello privato in un account di archiviazione, generare un token di firma di accesso condiviso e includerlo nell'URI del modello. Impostare l'ora di scadenza in modo da garantire un tempo sufficiente per completare la distribuzione.

Importante

Il BLOB contenente il modello privato è accessibile solo al proprietario dell'account. Tuttavia, quando si crea un token di firma di accesso condiviso per il BLOB, quest'ultimo sarà accessibile a tutti gli utenti con quell'URI. Se l'URI viene intercettato da un altro utente, quest'ultimo sarà in grado di accedere al modello. Usare un token di firma di accesso condiviso è un buon metodo per limitare l'accesso ai modelli, ma è necessario non includere direttamente nel modello dati sensibili come le password.

PowerShell

Azure PowerShell

# get the URI with the SAS token
$templateuri = New-AzStorageBlobSASToken `
  -Container templates `
  -Blob azuredeploy.json `
  -Permission r `
  -ExpiryTime (Get-Date).AddHours(2.0) -FullUri

# provide URI with SAS token during deployment
New-AzResourceGroupDeployment `
  -ResourceGroupName ExampleGroup `
  -TemplateUri $templateuri

Interfaccia della riga di comando di Azure

L'esempio seguente funziona con l'ambiente Bash in Cloud Shell. Altri ambienti potrebbero richiedere una sintassi diversa per creare la scadenza per il token di firma di accesso condiviso.

Interfaccia della riga di comando di Azure

expiretime=$(date -u -d '30 minutes' +%Y-%m-%dT%H:%MZ)
connection=$(az storage account show-connection-string \
    --resource-group ExampleGroup \
    --name {your-unique-name} \
    --query connectionString)
token=$(az storage blob generate-sas \
    --container-name templates \
    --name azuredeploy.json \
    --expiry $expiretime \
    --permissions r \
    --output tsv \
    --connection-string $connection)
url=$(az storage blob url \
    --container-name templates \
    --name azuredeploy.json \
    --output tsv \
    --connection-string $connection)
az deployment group create \
  --resource-group ExampleGroup \
  --template-uri $url?$token

Per un esempio sull'uso di un token di firma di accesso condiviso con modelli collegati, vedere Uso di modelli collegati con Azure Resource Manager.

Passaggi successivi

• Per un'introduzione alla distribuzione dei modelli, vedere Distribuire risorse con i modelli di Resource Manager e Azure PowerShell.
• Per definire i parametri nel modello, vedere Creazione di modelli.