通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

已启用 Azure Arc 的服务器标识和访问管理

组织需要设计正确的访问控制,以使用本地和基于云的标识管理系统保护混合环境。

这些标识管理系统发挥着重要作用。 它们有助于设计和实现可靠的访问控制,以保护已启用 Azure Arc 的服务器基础结构。

托管标识

创建时,Microsoft Entra ID 系统分配的标识只能用于更新已启用 Azure Arc 的服务器的状态,例如“上次看到”的心跳信号。 授予对 Azure 资源的标识访问权限,使服务器上的应用程序能够访问 Azure 资源,例如,从 Key Vault 请求机密。 您应该:

  • 考虑服务器应用程序存在哪些合法的用例来 获取访问令牌 和访问 Azure 资源,同时规划对这些资源的访问控制。
  • 控制已启用 Azure Arc 的服务器(Windows 上的本地管理员或 混合代理扩展应用程序组 的成员和 Linux 上的 himds 组的成员)上的特权用户角色,以避免系统托管标识被滥用,从而获得对 Azure 资源的未经授权的访问。
  • 使用 Azure RBAC 控制和管理已启用 Azure Arc 的服务器托管标识的权限,并对这些标识执行定期访问评审。

基于角色的访问控制 (RBAC)

遵循 最低特权原则,分配有“参与者”或“所有者”或“Azure 连接计算机资源管理员”等角色的用户、组或应用程序能够执行部署扩展、有效地委派已启用 Azure Arc 的服务器上的根或管理员访问权限等作。 这些角色应谨慎使用,以限制可能的爆炸半径,或最终被自定义角色替换。

若要限制用户的权限,并且只允许他们将服务器加入 Azure,Azure Connected Machine Onboarding 角色是合适的。 此角色只能用于载入服务器,不能重新载入或删除服务器资源。 请务必查看 已启用 Azure Arc 的服务器安全概述 ,了解有关访问控制的详细信息。

另请考虑可能发送到 Azure Monitor Log Analytics 工作区的敏感数据,应将相同的 RBAC 原则应用于数据本身。 对已启用 Azure Arc 的服务器进行读取访问可以提供对 Log Analytics 代理收集的日志数据的访问权限,这些数据存储在关联的 Log Analytics 工作区中。 请查看在 设计 Azure Monitor 日志部署文档中如何实现细化的 Log Analytics 工作区访问。

建筑

下图显示了一个参考体系结构,演示已启用 Azure Arc 的服务器的角色、权限和作流:

展示用于 Azure Arc 启用服务器的参考架构关系图,演示标识、角色、权限和操作流程。

设计注意事项

  • 确定您组织中的哪些人员应有权访问用于新员工培训的服务器,以便在服务器和 Azure 中设置所需的权限。
  • 确定谁应管理已启用 Azure Arc 的服务器。 然后,确定谁可以从 Azure 服务和其他云环境查看其数据。
  • 确定需要多少 Arc 载入服务主体。 其中多个标识可用于载入企业中基于运营责任和所有权的不同业务功能或单位拥有的服务器。
  • 查看 Azure 登陆区企业级的 标识和访问管理设计区域。 查看区域以评估已启用 Azure Arc 的服务器对整体标识和访问模型的影响。

设计建议

  • 服务器载入和管理
    • 使用安全组将本地管理员权限分配给服务器上已识别的用户或服务帐户,以大规模加入 Azure Arc。
    • 使用 Microsoft Entra 服务主体 将服务器载入 Azure Arc。请考虑在分散式作模型中使用多个Microsoft Entra 服务主体,其中服务器由不同的 IT 团队管理。
    • 使用生存期较短的 Microsoft Entra 服务主体 客户端密钥
    • 在资源组级别分配 Azure Connected Machine Onboarding 角色。
    • 使用Microsoft Entra 安全组并授予 混合服务器资源管理员 角色。 向将在 Azure 中管理已启用 Azure Arc 的服务器资源的团队和个人授予角色。
  • Microsoft Entra ID 保护的资源访问
    • 对在本地服务器(和其他云环境)上运行的应用程序使用 托管标识 ,以提供对受 Microsoft Entra ID 保护的云资源的访问权限。
    • 限制对托管标识的访问,以便只有使用 Microsoft Entra 应用程序权限授权的应用程序才被允许访问。
    • 使用 Windows 上的 Hybrid agent extension applications 本地安全组或 Linux 上的 himds 组来授予用户权限,以便从启用 Azure Arc 的服务器请求 Azure 资源访问令牌。

后续步骤

有关混合云采用旅程的更多指导,请查看以下资源: