Udostępnij za pośrednictwem

Omówienie zabezpieczeń mostka zasobów usługi Azure Arc

  • Artykuł

W tym artykule opisano konfigurację zabezpieczeń i zagadnienia, które należy ocenić przed wdrożeniem mostka zasobów usługi Azure Arc w przedsiębiorstwie.

Korzystanie z tożsamości zarządzanej

Domyślnie tożsamość zarządzana przypisana przez system firmy Microsoft jest tworzona i przypisywana do mostka zasobów usługi Azure Arc. Mostek zasobów usługi Azure Arc obecnie obsługuje tylko tożsamość przypisaną przez system. Tożsamość clusteridentityoperator inicjuje pierwszą komunikację wychodzącą i pobiera certyfikat tożsamości usługi zarządzanej (MSI) używany przez innych agentów do komunikacji z platformą Azure.

Tożsamość i kontrola dostępu

Mostek zasobów usługi Azure Arc jest reprezentowany jako zasób w grupie zasobów w ramach subskrypcji platformy Azure. Dostęp do tego zasobu jest kontrolowany przez standardową kontrolę dostępu opartą na rolach platformy Azure. Na stronie Kontrola dostępu (IAM) w witrynie Azure Portal możesz sprawdzić, kto ma dostęp do mostka zasobów usługi Azure Arc.

Użytkownicy i aplikacje, którym przyznano rolę Współautor lub Administracja istrator do grupy zasobów, mogą wprowadzać zmiany w mostek zasobów, w tym wdrażanie lub usuwanie rozszerzeń klastra.

Przechowywanie danych

Mostek zasobów usługi Azure Arc jest zgodny z przepisami dotyczącymi rezydencji danych specyficznymi dla każdego regionu. Jeśli ma to zastosowanie, kopie zapasowe danych są tworzone w regionie pary pomocniczej zgodnie z przepisami dotyczącymi przechowywania danych. W przeciwnym razie dane znajdują się tylko w tym konkretnym regionie. Dane nie są przechowywane ani przetwarzane w różnych lokalizacjach geograficznych.

Szyfrowanie danych w spoczynku

Mostek zasobów usługi Azure Arc przechowuje informacje o zasobach w usłudze Azure Cosmos DB. Zgodnie z opisem w artykule Szyfrowanie magazynowane w usłudze Azure Cosmos DB wszystkie dane są szyfrowane w spoczynku.

Dzienniki inspekcji zabezpieczeń

Dziennik aktywności to dziennik platformy Azure, który zapewnia wgląd w zdarzenia na poziomie subskrypcji. Obejmuje to śledzenie, gdy mostek zasobów usługi Azure Arc jest modyfikowany, usuwany lub dodawany. Dziennik aktywności można wyświetlić w witrynie Azure Portal lub pobrać wpisy za pomocą programu PowerShell i interfejsu wiersza polecenia platformy Azure. Domyślnie zdarzenia dziennika aktywności są zachowywane przez 90 dni , a następnie usuwane.

Następne kroki

  • Omówienie wymagań systemowych i wymagań sieciowych dotyczących mostka zasobów usługi Azure Arc.
  • Zapoznaj się z omówieniem mostka zasobów usługi Azure Arc, aby dowiedzieć się więcej o funkcjach i korzyściach.
  • Dowiedz się więcej o usłudze Azure Arc.