Puncte:1

Izolarea datelor și a planurilor de management pe conturile de stocare Azure

drapel br

Conturile de stocare Azure pot avea accesul restricționat prin adresa IP sau o rețea virtuală Azure (cu un Microsoft.Storage punctul final al serviciului). Când se face acest lucru, resursa de stocare va accepta numai conexiuni de la acele origini desemnate. Aceasta acoperă operațiunile de date (citire, scriere etc.) și operațiuni de control (crearea unui container nou etc.); Eu le numesc planurile „date” și, respectiv, „management”.

Este posibil să le izolați la nivel de rețea (de exemplu, cu un firewall) sau se poate face doar la nivel de rol? De exemplu, aș putea avea un VM pe aceeași rețea care poate face doar operațiuni de control, indiferent de rolurile principalului?

Puncte:1
drapel ng

Operațiunile pentru stocarea Azure sunt împărțite după cum spuneți, date și management. Piesa de date este prin API-urile de stocare, în timp ce gestionarea trece prin API-urile Azure Resource Manager, care sunt API-urile de gestionare utilizate pentru toate serviciile.

Conturile de stocare au conceptul unui firewall, unde puteți restricționa ce IP-uri pot accesa contul de stocare, aceasta acoperă partea de date a lucrurilor. Dacă ați blocat pe cineva folosind acest firewall, atunci acesta va putea în continuare să facă cereri de gestionare către ARM (presupunând că are drepturi).

Blocarea accesului la ARM pentru partea de management este mult mai dificilă și vă uitați mai bine să utilizați permisiunile pentru aceasta.

Xophmeister avatar
drapel br
Mulțumesc :) Când rulez Terraform de pe mașina mea locală, am văzut mai degrabă că atât accesul la date * cât și * la gestionare au fost blocate atunci când stocarea mea primește reguli de rețea (vezi [aici](https://stackoverflow.com/questions/71022815/) crearea-containere-de-stocare-azure-în-un-cont-de-stocare-cu-reguli-de-rețea-cu)). Am rezolvat acest lucru prin construirea infrastructurii de management, care are voie să se conecteze la stocare. Ceea ce vreau să evit, totuși, este să pot face cereri de date din infrastructura respectivă de management. (Iertați orice lipsă de înțelegere din partea mea! Azure este destul de nou pentru mine.)
drapel ng
Ok, asta e cam complicat. Capacitatea de a crea un container într-un cont de stocare este de fapt o operație de plan de date (probabil nu ar trebui să fie, dar este), așa că dacă aveți nevoie de Terraform pentru a crea containerul, atunci va avea nevoie de acces prin firewall.Dacă ați crea doar contul de stocare, nu ar trebui să acordați acest nivel de acces. Aceasta înseamnă că infrastructura de management va avea acces la planul de date.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.