Nasazení privátní šablony ARM s tokenem SAS

Pokud se šablona Azure Resource Manageru (šablona ARM) nachází v účtu úložiště, můžete omezit přístup k šabloně, abyste se vyhnuli jejímu zveřejnění veřejně. K zabezpečené šabloně přistupujete vytvořením tokenu sdíleného přístupového podpisu (SAS) pro šablonu a poskytnutím tohoto tokenu během nasazení. Tento článek vysvětluje, jak pomocí Azure PowerShellu nebo Azure CLI bezpečně nasadit šablonu ARM s tokenem SAS.

Najdete zde informace o tom, jak chránit a spravovat přístup k privátním šablonám ARM s pokyny, jak postupovat následovně:

  • Vytvoření účtu úložiště se zabezpečeným kontejnerem
  • Nahrání šablony do účtu úložiště
  • Poskytnutí tokenu SAS během nasazení

Důležité

Místo zabezpečení privátní šablony pomocí tokenu SAS zvažte použití specifikací šablon. Pomocí specifikací šablon můžete své šablony sdílet s ostatními uživateli ve vaší organizaci a spravovat přístup k šablonám prostřednictvím Azure RBAC.

Vytvoření účtu úložiště se zabezpečeným kontejnerem

Následující skript vytvoří účet úložiště a kontejner s vypnutým veřejným přístupem pro zabezpečení šablony.

New-AzResourceGroup `
  -Name ExampleGroup `
  -Location "Central US"
New-AzStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name} `
  -Type Standard_LRS `
  -Location "Central US"
Set-AzCurrentStorageAccount `
  -ResourceGroupName ExampleGroup `
  -Name {your-unique-name}
New-AzStorageContainer `
  -Name templates `
  -Permission Off

Nahrání privátní šablony do účtu úložiště

Teď jste připraveni nahrát šablonu do účtu úložiště. Zadejte cestu k šabloně, kterou chcete použít.

Set-AzStorageBlobContent `
  -Container templates `
  -File c:\Templates\azuredeploy.json

Poskytnutí tokenu SAS během nasazení

Pokud chcete nasadit privátní šablonu v účtu úložiště, vygenerujte token SAS a zahrňte ji do identifikátoru URI šablony. Nastavte dobu vypršení platnosti, aby bylo možné dokončit nasazení dostatek času.

Důležité

Objekt blob obsahující soukromou šablonu je přístupný jenom vlastníkovi účtu. Při vytváření tokenu SAS pro objekt blob je však objekt blob přístupný každému, kdo má tento identifikátor URI. Pokud jiný uživatel zachytí identifikátor URI, bude mít tento uživatel přístup k šabloně. Token SAS je dobrý způsob, jak omezit přístup k šabloně, ale neměli byste do šablony zahrnout citlivá data, jako jsou hesla přímo v šabloně.

# get the URI with the SAS token
$templateuri = New-AzStorageBlobSASToken `
  -Container templates `
  -Blob azuredeploy.json `
  -Permission r `
  -ExpiryTime (Get-Date).AddHours(2.0) -FullUri

# provide URI with SAS token during deployment
New-AzResourceGroupDeployment `
  -ResourceGroupName ExampleGroup `
  -TemplateUri $templateuri

Příklad použití tokenu SAS s propojenými šablonami najdete v tématu Použití propojených šablon s Azure Resource Managerem.

Další kroky