Рейтинг:1

Изоляция плоскостей данных и управления в учетных записях хранения Azure.

флаг br

Доступ к учетным записям хранения Azure может быть ограничен IP-адресом или виртуальной сетью Azure (с Microsoft.Хранилище конечная точка службы). Когда это будет сделано, ресурс хранилища будет принимать подключения только от указанных источников. Сюда относятся операции с данными (чтение, запись и т. д.) и операции управления (создание нового контейнера и т. д.); Я называю их плоскостями «данные» и «управление» соответственно.

Можно ли изолировать их на сетевом уровне (например, с помощью брандмауэра) или это можно сделать только на уровне роли? Например, могу ли я иметь в той же сети виртуальную машину, которая может выполнять только операции управления, независимо от ролей принципала?

Рейтинг:1
флаг ng

Операции для хранилища Azure разделены, как вы говорите, на данные и управление. Часть данных передается через API хранилища, тогда как управление проходит через API Azure Resource Manager, которые являются API управления, используемыми для всех служб.

Учетные записи хранения имеют концепцию брандмауэра, где вы можете ограничить, какие IP-адреса могут получить доступ к учетной записи хранения, это относится к стороне данных. Если вы заблокировали кого-то с помощью этого брандмауэра, он все равно сможет отправлять запросы на управление ARM (при условии, что у него есть права).

Заблокировать доступ к ARM со стороны управления намного сложнее, и вам лучше использовать для этого разрешения.

Xophmeister avatar
флаг br
Спасибо :) При запуске Terraform с моей локальной машины я скорее видел, что доступ к данным * и * управлению был заблокирован, когда моему хранилищу заданы сетевые правила (см. [здесь] (https://stackoverflow.com/questions/71022815/). создание контейнеров-хранилища Azure-в-учетной-записи-хранилища-с-сетевыми-правилами-с)). Я обошел это, создав инфраструктуру управления, которой разрешено подключаться к хранилищу. Однако я хочу избежать возможности запрашивать данные из этой инфраструктуры управления. (Простите за непонимание с моей стороны! Azure для меня совершенно новый.)
флаг ng
Хорошо, это немного сложно. Возможность создания контейнера в учетной записи хранения на самом деле является операцией уровня данных (вероятно, не должна быть, но это так), поэтому, если вам нужен Terraform для создания контейнера, то ему потребуется доступ через брандмауэр.Если бы вы только создавали учетную запись хранения, вам не нужно было бы предоставлять этот уровень доступа. Это означает, что инфраструктура управления будет иметь доступ к плоскости данных.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.