已啟用 Azure Arc 的伺服器的身分識別與存取管理

  • 發行項

您的組織需要設計正確的存取控制,以使用內部部署和雲端式身分識別管理系統來保護混合式環境。

這些身分識別管理系統扮演著重要的角色。 它們可協助設計和實作可靠的存取控制,以保護已啟用 Azure Arc 的伺服器基礎結構。

受控識別

在建立時,Microsoft Entra ID 系統指派的身分識別只能用來更新已啟用 Azure Arc 的伺服器狀態(例如,「上次看到」活動訊號)。 藉由授與此身分識別對 Azure 資源的存取權,您可以在伺服器上啟用應用程式,以存取 Azure 資源(例如,向金鑰保存庫要求秘密)。 您應該:

  • 請考慮伺服器應用程式 要取得存取權杖 和存取 Azure 資源的合法使用案例,同時規劃這些資源的存取控制。
  • 在已啟用 Azure Arc 的伺服器上控制特殊許可權使用者角色(Windows 上的本機系統管理員或 混合式代理程式擴充功能應用程式群組的成員,以及 Linux 上的 himds 群組 成員), 以避免系統管理的身分識別被誤用,以取得未經授權的 Azure 資源存取權。
  • 使用 Azure RBAC 來控制和管理已啟用 Azure Arc 的伺服器受控識別的許可權,並針對這些身分識別執行定期存取權檢閱。

角色型存取控制 (RBAC)

遵循最低許可權原則 ,以「參與者」或「擁有者」或「Azure 連線電腦資源管理員istrator」等角色指派的使用者、群組或應用程式,能夠執行部署擴充功能、有效地委派已啟用 Azure Arc 之伺服器上的根或系統管理員存取等作業。 這些角色應謹慎使用,以限制可能的爆炸半徑,或最終由自訂角色取代。

若要限制使用者的許可權,並只允許他們將伺服器上線至 Azure,Azure 連線的機器上線角色很適合。 此角色只能用來將伺服器上線,且無法重新上線或刪除伺服器資源。 請務必檢閱 已啟用 Azure Arc 的伺服器安全性概觀 ,以取得存取控制的詳細資訊。

此外,也請考慮可能會傳送至 Azure 監視器 Log Analytics 工作區的敏感性資料,應該將相同的 RBAC 原則套用至資料本身。 啟用 Azure Arc 之伺服器的讀取存取權可以提供 Log Analytics 代理程式所收集記錄資料的存取權,儲存在相關聯的 Log Analytics 工作區中。 在設計 Azure 監視器記錄部署檔中 ,檢閱如何實作細微的 Log Analytics 工作區存取 權。

架構

下圖顯示參考架構,示範已啟用 Azure Arc 的伺服器的角色、許可權和動作流程:

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

設計考量

  • 決定貴組織的誰應該能夠存取上線伺服器,以在伺服器和 Azure 中設定必要的許可權。
  • 決定誰應該管理已啟用 Azure Arc 的伺服器。 然後,決定誰可以從 Azure 服務和其他雲端環境檢視其資料。
  • 決定您需要多少 Arc 上線服務主體。 其中多個身分識別可用來將不同商務功能或企業單位所擁有的伺服器上線,這些伺服器是以作業責任和擁有權為基礎。
  • 檢閱 Azure 登陸區域企業級的身分識別和存取管理設計區域 。 檢閱區域,以評估已啟用 Azure Arc 的伺服器對整體身分識別和存取模型的影響。

設計建議

  • 伺服器上線和管理
    • 使用安全性群組將本機系統管理員許可權指派給伺服器上已識別的使用者或服務帳戶,以大規模上線至 Azure Arc。
    • 使用 Microsoft Entra 服務主體 將伺服器上線至 Azure Arc。請考慮在分散式作業模型中使用多個 Microsoft Entra 服務主體,其中伺服器是由不同的 IT 小組管理。
    • 使用短期的 Microsoft Entra 服務主體 用戶端秘密
    • 在資源群組層級指派 Azure 連線 Machine Onboarding 角色。
    • 使用 Microsoft Entra 安全性群組,並授 與混合式伺服器資源管理員istrator 角色。 將角色授與小組和個人,以管理 Azure 中已啟用 Azure Arc 的伺服器資源。
  • Microsoft Entra ID 受保護的資源存取

下一步

如需混合式雲端採用旅程的更多指引,請檢閱下列資源: