Partager via

Comment fournir un accès sécurisé à un package de configuration d’ordinateur personnalisé

  • Article

Cette offre un guide sur la façon d’accéder à des packages de configuration d’ordinateur stockés dans un stockage Azure en utilisant l’ID de la ressource d’une identité managée affectée par l’utilisateur ou d’un jeton de signature d’accès partagé (SAP).

Prérequis

  • Abonnement Azure
  • Compte Stockage Azure avec le package de configuration d’ordinateur

Procédure pour fournir l’accès au package

Les étapes suivantes préparent vos ressources pour bénéficier d’opérations de sécurité plus sécurisées. Les extraits de code des étapes incluent des valeurs entre crochets angulaires, comme <storage-account-container-name>, que vous devez remplacer par une valeur valide lorsque vous suivez les étapes. Si vous copiez et collez simplement le code, les commandes peuvent déclencher des erreurs en raison de valeurs non valides.

Utilisation d’une identité affectée par l’utilisateur

Important

Veuillez noter que, contrairement aux machines virtuelles Azure, les ordinateurs connectés à Arc ne prennent actuellement pas les charge les identités managées affectées par l’utilisateur.

Vous pouvez octroyer un accès privé à un package de configuration d’ordinateur dans un blob Stockage Azure en attribuant une identité managée affectée par l’utilisateur à une étendue de machines virtuelles Azure. Pour que ceci fonctionne, vous devez octroyer l’accès en lecture à l’identité managée au blob de stockage Azure. Cela implique l’attribution du rôle « Lecteur de données blob du stockage » à l’identité dans l’étendue du conteneur de blobs. Cette configuration veille à ce vos machines virtuelles Azure puisse lire en toute sécurité à partir du conteneur de blobs spécifiés en utilisant l’identité managée affectée par l’utilisateur. Pour découvrir comment vous pouvez attribuer une identité affectée par l’utilisateur à grande échelle, consultez Utiliser Azure Policy pour affecter des identités managées.

Utilisation d’un jeton SAS

Vous pouvez éventuellement ajouter un jeton de signature d’accès partagé (SAP) dans l’URL pour veiller à un accès sécurisé au package. L’exemple ci-dessous génère un jeton SAS d’objet blob avec une autorisation de lecture et retourne l’URI d’objet blob complet avec le jeton de signature d’accès partagé. Dans cet exemple, le jeton a une durée de trois ans.

$startTime = Get-Date
$endTime   = $startTime.AddYears(3)

$tokenParams = @{
    StartTime  = $startTime
    ExpiryTime = $endTime
    Container  = '<storage-account-container-name>'
    Blob       = '<configuration-blob-name>'
    Permission = 'r'
    Context    = '<storage-account-context>'
    FullUri    = $true
}

$contentUri = New-AzStorageBlobSASToken @tokenParams

Résumé

L’utilisation de l’ID de la ressource d’une identité managée affectée par l’utilisateur ou d’un jeton SAS vous permet de fournir en toute sécurité l’accès aux packages de configuration d’ordinateur stockés dans un stockage Azure. Les paramètres supplémentaires veillent à ce que le package soit récupéré en tirant parti de l’identité managée et à ce que les machines Azure Arc ne soient pas incluses dans l’étendue de la stratégie.

Étapes suivantes

  • Après la création de la définition de stratégie, vous pouvez l’attribuer à l’étendue appropriée, telles qu’un groupe d’administration, un abonnement ou un groupe de ressources, dans votre environnement Azure.
  • N’oubliez pas de monitorer l’état de conformité de la stratégie et d’apporter les ajustements nécessaires à votre package de configuration d’ordinateur ou d’attribution de stratégie pour répondre aux exigences de votre organisation.

Signer un package de configuration machine personnalisé