Обзор безопасности моста ресурсов Azure Arc
В этой статье описывается конфигурация безопасности и рекомендации, которые необходимо оценить перед развертыванием моста ресурсов Azure Arc в вашей организации.
Использование управляемого удостоверения
По умолчанию управляемое удостоверение, назначаемое системой Microsoft Entra, создается и назначается мосту ресурсов Azure Arc. Мост ресурсов Azure Arc в настоящее время поддерживает только назначаемое системой удостоверение. Удостоверение clusteridentityoperator инициирует первое исходящее взаимодействие и получает сертификат управляемого удостоверения службы (MSI), используемый другими агентами для взаимодействия с Azure.
Управление доступом и удостоверениями
Мост ресурсов Azure Arc представлен как ресурс в группе ресурсов в подписке Azure. Доступом к этому ресурсу управляет стандартная система управления доступом на основе ролей Azure. На странице контроль доступа (IAM) в портал Azure вы можете проверить, кто имеет доступ к мосту ресурсов Azure Arc.
Пользователи и приложения, которым предоставлена роль участника или Администратор istrator группе ресурсов, могут вносить изменения в мост ресурсов, включая развертывание или удаление расширений кластера.
Место расположения данных
Мост ресурсов Azure Arc следует правилам расположения данных, определенным для каждого региона. Если применимо, данные резервируются в дополнительном регионе пары в соответствии с правилами расположения данных. В противном случае данные находятся только в этом конкретном регионе. Данные не хранятся или обрабатываются в разных географических регионах.
Шифрование неактивных данных
Мост ресурсов Azure Arc хранит сведения о ресурсах в Azure Cosmos DB. Как описано в разделе "Шифрование неактивных данных в Azure Cosmos DB", все данные шифруются неактивных данных.
Журналы аудита безопасности
Журнал действий — это журнал платформы Azure, который предоставляет аналитические сведения о событиях уровня подписки. Это включает отслеживание при изменении, удалении или добавлении моста ресурсов Azure Arc. Журнал действий можно просмотреть в портал Azure или получить записи с помощью PowerShell и Azure CLI. По умолчанию события журнала действий сохраняются в течение 90 дней, а затем удаляются.
Следующие шаги
- Общие сведения о требованиях к системе и требованиях к сети для моста ресурсов Azure Arc.
- Ознакомьтесь с обзором моста ресурсов Azure Arc, чтобы узнать больше о функциях и преимуществах.
- См. дополнительные сведения об Azure Arc.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по