Nasazení privátní šablony ARM s tokenem SAS
Pokud se šablona Azure Resource Manageru (šablona ARM) nachází v účtu úložiště, můžete omezit přístup k šabloně, abyste se vyhnuli jejímu zveřejnění veřejně. K zabezpečené šabloně přistupujete vytvořením tokenu sdíleného přístupového podpisu (SAS) pro šablonu a poskytnutím tohoto tokenu během nasazení. Tento článek vysvětluje, jak pomocí Azure PowerShellu nebo Azure CLI bezpečně nasadit šablonu ARM s tokenem SAS.
Najdete zde informace o tom, jak chránit a spravovat přístup k privátním šablonám ARM s pokyny, jak postupovat následovně:
- Vytvoření účtu úložiště se zabezpečeným kontejnerem
- Nahrání šablony do účtu úložiště
- Poskytnutí tokenu SAS během nasazení
Důležité
Místo zabezpečení privátní šablony pomocí tokenu SAS zvažte použití specifikací šablon. Pomocí specifikací šablon můžete své šablony sdílet s ostatními uživateli ve vaší organizaci a spravovat přístup k šablonám prostřednictvím Azure RBAC.
Vytvoření účtu úložiště se zabezpečeným kontejnerem
Následující skript vytvoří účet úložiště a kontejner s vypnutým veřejným přístupem pro zabezpečení šablony.
New-AzResourceGroup `
-Name ExampleGroup `
-Location "Central US"
New-AzStorageAccount `
-ResourceGroupName ExampleGroup `
-Name {your-unique-name} `
-Type Standard_LRS `
-Location "Central US"
Set-AzCurrentStorageAccount `
-ResourceGroupName ExampleGroup `
-Name {your-unique-name}
New-AzStorageContainer `
-Name templates `
-Permission Off
Nahrání privátní šablony do účtu úložiště
Teď jste připraveni nahrát šablonu do účtu úložiště. Zadejte cestu k šabloně, kterou chcete použít.
Set-AzStorageBlobContent `
-Container templates `
-File c:\Templates\azuredeploy.json
Poskytnutí tokenu SAS během nasazení
Pokud chcete nasadit privátní šablonu v účtu úložiště, vygenerujte token SAS a zahrňte ji do identifikátoru URI šablony. Nastavte dobu vypršení platnosti, aby bylo možné dokončit nasazení dostatek času.
Důležité
Objekt blob obsahující soukromou šablonu je přístupný jenom vlastníkovi účtu. Při vytváření tokenu SAS pro objekt blob je však objekt blob přístupný každému, kdo má tento identifikátor URI. Pokud jiný uživatel zachytí identifikátor URI, bude mít tento uživatel přístup k šabloně. Token SAS je dobrý způsob, jak omezit přístup k šabloně, ale neměli byste do šablony zahrnout citlivá data, jako jsou hesla přímo v šabloně.
# get the URI with the SAS token
$templateuri = New-AzStorageBlobSASToken `
-Container templates `
-Blob azuredeploy.json `
-Permission r `
-ExpiryTime (Get-Date).AddHours(2.0) -FullUri
# provide URI with SAS token during deployment
New-AzResourceGroupDeployment `
-ResourceGroupName ExampleGroup `
-TemplateUri $templateuri
Příklad použití tokenu SAS s propojenými šablonami najdete v tématu Použití propojených šablon s Azure Resource Managerem.
Další kroky
- Úvod k nasazování šablon najdete v tématu Nasazení prostředků pomocí šablon ARM a Azure PowerShellu.
- Pokud chcete definovat parametry v šabloně, přečtěte si téma Vytváření šablon.