SAS belirteci ile özel ARM şablonu dağıtma
Azure Resource Manager şablonunuz (ARM şablonu) bir depolama hesabında bulunduğunda, genel kullanıma açmaktan kaçınmak için şablona erişimi kısıtlayabilirsiniz. Şablon için paylaşılan erişim imzası (SAS) belirteci oluşturarak ve dağıtım sırasında bu belirteci sağlayarak güvenli bir şablona erişebilirsiniz. Bu makalede, SAS belirteciyle bir ARM şablonunu güvenli bir şekilde dağıtmak için Azure PowerShell veya Azure CLI'nin nasıl kullanılacağı açıklanmaktadır.
Aşağıdakileri nasıl yapacağınıza ilişkin yönergelerle özel ARM şablonlarınıza erişimi koruma ve yönetme hakkında bilgi bulabilirsiniz:
- Güvenli kapsayıcı ile depolama hesabı oluşturma
- Şablonu depolama hesabına yükleme
- Dağıtım sırasında SAS belirteci sağlama
Önemli
Özel şablonunuzun güvenliğini SAS belirteci ile sağlamak yerine şablon belirtimlerini kullanmayı göz önünde bulundurun. Şablon belirtimleriyle şablonlarınızı kuruluşunuzdaki diğer kullanıcılarla paylaşabilir ve Azure RBAC aracılığıyla şablonlara erişimi yönetebilirsiniz.
Güvenli kapsayıcı ile depolama hesabı oluşturma
Aşağıdaki betik, şablon güvenliği için genel erişimin kapalı olduğu bir depolama hesabı ve kapsayıcı oluşturur.
New-AzResourceGroup `
-Name ExampleGroup `
-Location "Central US"
New-AzStorageAccount `
-ResourceGroupName ExampleGroup `
-Name {your-unique-name} `
-Type Standard_LRS `
-Location "Central US"
Set-AzCurrentStorageAccount `
-ResourceGroupName ExampleGroup `
-Name {your-unique-name}
New-AzStorageContainer `
-Name templates `
-Permission Off
Depolama hesabına özel şablon yükleme
Artık şablonunuzu depolama hesabına yüklemeye hazırsınız. Kullanmak istediğiniz şablonun yolunu belirtin.
Set-AzStorageBlobContent `
-Container templates `
-File c:\Templates\azuredeploy.json
Dağıtım sırasında SAS belirteci sağlama
Depolama hesabında özel şablon dağıtmak için bir SAS belirteci oluşturun ve şablonun URI'sine ekleyin. Dağıtımı tamamlamak için yeterli süre tanıyacak şekilde süre sonunu ayarlayın.
Önemli
Özel şablonu içeren bloba yalnızca hesap sahibi erişebilir. Ancak blob için bir SAS belirteci oluşturduğunuzda bloba bu URI'ye sahip olan herkes erişebilir. Başka bir kullanıcı URI'yi durdurursa, bu kullanıcı şablona erişebilir. SAS belirteci, şablonlarınıza erişimi sınırlamanın iyi bir yoludur, ancak parolalar gibi hassas verileri doğrudan şablona eklememelisiniz.
# get the URI with the SAS token
$templateuri = New-AzStorageBlobSASToken `
-Container templates `
-Blob azuredeploy.json `
-Permission r `
-ExpiryTime (Get-Date).AddHours(2.0) -FullUri
# provide URI with SAS token during deployment
New-AzResourceGroupDeployment `
-ResourceGroupName ExampleGroup `
-TemplateUri $templateuri
Bağlı şablonlarla SAS belirteci kullanma örneği için bkz. Azure Resource Manager ile bağlantılı şablonları kullanma.
Sonraki adımlar
- Şablonları dağıtmaya giriş için bkz. ARM şablonları ve Azure PowerShell ile kaynakları dağıtma.
- Şablonda parametreleri tanımlamak için bkz. Yazma şablonları.