Azure Arc 資源橋接器安全性概觀

本文說明您在企業中部署 Azure Arc 資源橋接器之前，應該評估的安全性設定和考量。

受控識別

根據預設，會建立 Microsoft Entra 系統指派的受控識別並將其指派給 Azure Arc 資源橋接器。 Azure Arc 資源橋接器目前只支援系統指派的身分識別。 clusteridentityoperator 身分識別會起始第一個輸出通訊，並擷取其他代理程式用來與 Azure 通訊的受控服務識別 (MSI) 憑證。

身分識別與存取控制

Azure Arc 資源橋接器在 Azure 訂用帳戶中以資源群組中的資源表示。 此資源的存取權是由標準 Azure 角色型存取控制所控制。 在 Azure 入口網站的 [存取控制 (IAM)] 頁面中，您可以確認誰可以存取 Azure Arc 資源橋接器。

獲得資源群組參與者或管理員角色的使用者和應用程式，可以對資源橋接器進行變更，包括部署或刪除叢集延伸模組。

資料落地

Azure Arc 資源橋接器遵循每個區域專屬的資料落地法規。 如果適用，會根據資料落地法規，在次要配對區域中備份資料。 若不適用，資料就只會位於該特定區域中。 資料不會跨不同地理位置儲存或處理。

待用資料加密

Azure Arc 資源橋接器會將資源資訊儲存在 Azure Cosmos DB 中。 如 Azure Cosmos DB 中的資料加密中所述，所有待用資料都會加密。

安全性稽核記錄

活動記錄是 Azure 平台記錄，提供訂用帳戶層級事件的深入解析。 這包括在 Azure Arc 資源橋接器修改、刪除或新增時進行追蹤。

您可以在 Azure 入口網站中檢視活動記錄，或使用 PowerShell 和 Azure CLI 來擷取項目。 根據預設，活動記錄事件會在 Azure 中保留 90 天，然後予以刪除。

下一步

• 瞭解 Azure Arc 資源橋接器的系統需求和網路需求。
• 檢閱 Azure Arc 資源橋接器概觀，以深入瞭解功能和優點。
• 深入了解 Azure Arc。