SAS belirteci ile özel ARM şablonu dağıtma

Azure Resource Manager şablonunuz (ARM şablonu) bir depolama hesabında yer alıyorsa, şablonun genel kullanıma açık şekilde kullanıma açıklanmasından kaçınmak için şablona erişimi kısıtabilirsiniz. Şablon için paylaşılan erişim imzası (SAS) belirteci oluşturarak ve dağıtım sırasında bu belirteci sağlayarak güvenli bir şablona erişebilirsiniz. Bu makalede SAS belirteci ile Azure PowerShell arm şablonunu güvenli bir şekilde dağıtmak için Azure CLI veya Azure CLI'nın nasıl kullanımı açıklanmıştır.

Özel ARM şablonlarınıza erişimi koruma ve yönetme hakkında bilgi edinecek ve aşağıdaki adımların nasıl gerçekleştireceklerini açık bir şekilde bulabilirsiniz:

  • Güvenli kapsayıcı ile depolama hesabı oluşturma
  • Upload depolama hesabına şablon ekleme
  • Dağıtım sırasında SAS belirteci sağlama

Önemli

Özel şablonlarınızı SAS belirteci ile güvenli hale getirmeniz yerine şablon özellikleri kullanmayı göz önünde bulundurabilirsiniz. Şablon özellikleri ile şablonlarınızı kuruluşta diğer kullanıcılarla paylaşabilir ve Azure RBAC aracılığıyla şablonlara erişimi yönetebilirsiniz.

Güvenli kapsayıcı ile depolama hesabı oluşturma

Aşağıdaki betik, şablon güvenliği için genel erişim kapalı bir depolama hesabı ve kapsayıcı oluşturur.

New-AzResourceGroup `
  -Name ExampleGroup `
  -Location "Central US"
New-AzStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name} `
  -Type Standard_LRS `
  -Location "Central US"
Set-AzCurrentStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name}
New-AzStorageContainer `
  -Name templates `
  -Permission Off

Upload hesabına özel şablon ekleme

Artık şablonlarınızı depolama hesabına yüklemek için hazırsınız. Kullanmak istediğiniz şablonun yolunu girin.

Set-AzStorageBlobContent `
  -Container templates `
  -File c:\Templates\azuredeploy.json

Dağıtım sırasında SAS belirteci sağlama

Bir depolama hesabına özel şablon dağıtmak için bir SAS belirteci oluşturun ve şablonun URI'sini buna dahil alın. Dağıtımı tamamlamak için yeterli süreye izin vermek için süre sonu süresini ayarlayın.

Önemli

Özel şablonu içeren bloba yalnızca hesap sahibi tarafından erişilebilir. Ancak, blob için bir SAS belirteci oluşturduktan sonra bloba bu URI'ye sahip herkes tarafından erişilebilir. Başka bir kullanıcı URI'yi kesmişse, bu kullanıcı şablona erişebilirsiniz. SAS belirteci, şablonlarınıza erişimi sınırlamak için iyi bir yoldur ancak parolalar gibi hassas verileri doğrudan şablona dahil etmek zorunda değildir.

# get the URI with the SAS token
$templateuri = New-AzStorageBlobSASToken `
  -Container templates `
  -Blob azuredeploy.json `
  -Permission r `
  -ExpiryTime (Get-Date).AddHours(2.0) -FullUri

# provide URI with SAS token during deployment
New-AzResourceGroupDeployment `
  -ResourceGroupName ExampleGroup `
  -TemplateUri $templateuri

Bağlı şablonlarla SAS belirteci kullanma örneği için bkz.Azure Resource Manager.

Sonraki adımlar