你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
客户面临的挑战之一是,作为 Azure Monitor for SAP 解决方案托管资源组的一部分创建的密钥保管库和存储帐户已启用其公共访问权限。 客户希望禁用此公共访问符合安全要求,但阻止对这些资源的公共访问可能会导致 AMS 中的功能问题。 借助此功能,可以使用 Azure Monitor for SAP 解决方案资源的系统分配标识,我们的服务将使用受信任的访问模式与密钥保管库和存储帐户进行交互。 然后,可以使用此功能阻止公共访问,并仅允许来自密钥保管库和 AMS 托管资源组中的存储帐户上的 AMS 子网的流量。 此功能提供对 AMS 资源的更多安全性和控制,因为可以限制对密钥保管库和存储帐户的访问,仅对 AMS 服务和子网的访问,并防止来自外部的任何未经授权的或恶意访问。
使用系统分配的托管标识启用受信任访问的先决条件和步骤
若要使用 MSI 功能实现受信任的访问,需要满足以下先决条件,并遵循以下步骤:
- 迁移到专用应用服务计划:请按照以下步骤操作
注释
迁移到专用应用服务计划是一个强制步骤,以避免在禁用存储帐户的公共访问后出现函数应用缩放问题。
重要
仅当在创建监视器期间启用“ROUTE ALL”时,才支持受信任的访问功能。
创建新 AMS 时要遵循的步骤
- 登录到 Azure 门户并创建新的适用于 SAP 解决方案资源的 Azure Monitor。
- 填写必填字段,例如名称、说明等。
- 在“网络”部分下,启用“全部路由”选项。
- 在“标识”部分下,选择“启用系统分配的托管标识”。
- 单击“保存”以创建监视器实例。
- 创建所需的所有提供程序。
现有 AMS 要遵循的步骤
- 登录到 Azure 门户并导航到适用于 SAP 解决方案的 Azure Monitor 资源。
- 迁移到专用应用服务计划: 请按照此处的步骤进行操作
- 转到“标识”选项卡,启用系统分配的标识,等待操作完成,然后确保在操作后监视器处于成功状态。
在现有 AMS 上禁用标识
- 转到 AMS 的“标识”选项卡,禁用标识并保存。