Azure VM 생성 시 관리 디스크만 강제 설정
개요
나는 과거에 Azure 스토리지 계정 키 누락 방지라는 기사를 썼다.이와 관련하여 이번에는 Azure 가상 머신을 만들 때 Managed Disks 만 사용할 수 있고 Azure 저장소를 사용할 수 없는 제한 실시 방법을 소개할 것입니다.
디스크 관리 및 비관리 디스크
디스크 관리는 디스크 관리되지 않음과 달리 사용자는 가상 시스템의 VHD 하위 인벤토리로 Azure 스토리지 계정을 만들 필요가 없습니다.따라서 계정 키 유출 걱정 없이 가상 시스템을 VHD 관리할 수 있습니다.
참고 자료: 디스크 요약 관리
리소스 정책 및 역할 기반 액세스 제어(RBAC)
리소스 정책 및 역할 기반 액세스 제어(RBAC) 두 가지 방법으로 Microsoft Azure의 리소스 액세스를 제한합니다.전자는 자원이고, 후자는 사용자의 초점 제어이다.
• 자원 정책
자원에 초점을 맞추는 제약 조건.구독이나 자원 그룹에 정책을 설정하면 사용자와 무관한 모든 구독 또는 이원 그룹이 속한 자원에 정책을 적용할 수 있습니다.
· 역할 기반 액세스 제어(RBAC)
사용자의 제한에 초점을 맞추다.특정 사용자나 그룹에 대해 조작 권한을 설정하면 사용자에 따라 직무에 필요한 조작 권한만 분배할 수 있다.
이번에는 역할 기반 액세스 제어(RBAC)를 사용하여 특정 사용자가 Azure Storage에 대한 작업 권한을 제한합니다. 결과적으로 가상 시스템을 만들 때 관리 디스크에만 사용할 수 있는 권한을 설정합니다.
1. RBAC - 사용자 지정 역할 만들기
역할 기반 액세스 제어(RBAC)에는 미리 정의된 내장 역할과 모든 액세스 설정을 정의할 수 있는 사용자 정의 역할이 포함됩니다.이번에는 저장소에 대한 읽기와 쓰기 접근을 제한하기 위해 사용자 정의 역할을 만듭니다.
작업 흐름
1. 사용자 정의 역할을 정의합니다.파일을 json 형식의 로컬 PC로 저장합니다.<~>의 부분은 사용 환경에 따라 적절하게 변경됩니다.NotActions에서 금지된 작업을 지정합니다.이번에는 클래식 스토리지와 현재 스토리지 모두에 대한 읽기와 쓰기 액세스를 금지합니다.
DenyStorageAccess.json{
"Name": "<カスタムロール名(英文字)>",
"IsCustom": true,
"Description": "<ロールの説明>",
"Actions": [
"*"
],
"NotActions": [
"Microsoft.Storage/storageAccounts/read"
,"Microsoft.Storage/storageAccounts/write"
,"Microsoft.ClassicStorage/storageAccounts/read"
,"Microsoft.ClassicStorage/storageAccounts/write"
],
"AssignableScopes": [
"/subscriptions/<サブスクリプション ID>"
]
}
2. PowerShell에서 만든 사용자 정의 역할 프로필을 가입에 등록합니다.# Login
Login-AzureRmAccount
# Select Subscription
Select-AzureRmSubscription -SubscriptionId <サブスクリプション ID>
# Create Custom Role
New-AzureRmRoleDefinition -InputFile <jsonファイルへのファイルパス>
3. Azure 포털에서 권한을 부여할 리소스를 선택합니다.이번에는 가입을 위한 설정입니다.
포털에서 가입 - 대상 가입 - 액세스 제어 - 추가 를 선택합니다.
4. 등록된 사용자 정의 역할을 계속 선택한 다음 권한을 부여할 사용자를 선택합니다.
5. 저장 버튼을 누르면 다음과 같이 선택한 사용자에게 역할이 할당됩니다.
2. 사용자 정의 캐릭터로 Azure 포털 로그인
먼저 서명하고 상기 작업에 적용된 사용자 정의 역할을 사용하는 사용자는 Azure 포털에 로그인합니다.agaed Disks를 사용할 수 있는 전제 조건은 ARM 버전의 가상 머신만 있고 클래식 버전의 가상 머신만 있습니다. Azure 스토리지를 사용하는 것입니다.따라서 이 사용자 정의 캐릭터를 응용한 사용자는 고전 가상 머신을 만들 수 없습니다.다음은 관리 디스크를 사용하여 ARM 버전 가상 머신을 배포하는 절차입니다.
배포 프로세스 (성공 사례)
1. 가상 머신 배포 환경으로 사용자 지정 역할을 적용할 가입을 선택합니다.
2. 가상 머신의 크기를 선택합니다.
3. 옵션 기능 구성에서 부트 진단을 해제하려면 관리 디스크 사용을 선택합니다.
기본적으로 디스크 관리는 아니오, 모니터링 부트 진단 활성화는 활성화입니다.모두 Azure 저장소를 저장소로 사용하기 때문에 사용자 정의 역할을 적용한 사용자는 사용할 수 없습니다.모니터링 기능을 활용하려면 VM 배포 후 스토리지 운영 권한이 있는 사용자가 추가로 설정할 수 있습니다.
4. 성공 확인.
배포 프로세스 (실패 예)
위의 단계에서 Azure 저장소를 사용하는 옵션을 선택하면 (구체적으로 말하면 기존 디스크나 진단 로그를 감시하는 하위 인벤토리로 저장됨) 단계 4의 인증이 실패하고 가상 시스템을 만들 수 없습니다.
총결산
마지막으로 요약하면 가상 시스템을 만들 때 디스크를 강제로 관리하는 직접적인 정책이 없기 때문에 Azure 저장소의 사용을 제한함으로써 최종적으로 관리 디스크만 사용할 수 있다.실제 사용에 관해서는 이 점을 인식하는 기초 위에서 사용하십시오.
Reference
이 문제에 관하여(Azure VM 생성 시 관리 디스크만 강제 설정), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/Aida1971/items/7306155f6180051b18c6
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
디스크 관리는 디스크 관리되지 않음과 달리 사용자는 가상 시스템의 VHD 하위 인벤토리로 Azure 스토리지 계정을 만들 필요가 없습니다.따라서 계정 키 유출 걱정 없이 가상 시스템을 VHD 관리할 수 있습니다.
참고 자료: 디스크 요약 관리
리소스 정책 및 역할 기반 액세스 제어(RBAC)
리소스 정책 및 역할 기반 액세스 제어(RBAC) 두 가지 방법으로 Microsoft Azure의 리소스 액세스를 제한합니다.전자는 자원이고, 후자는 사용자의 초점 제어이다.
• 자원 정책
자원에 초점을 맞추는 제약 조건.구독이나 자원 그룹에 정책을 설정하면 사용자와 무관한 모든 구독 또는 이원 그룹이 속한 자원에 정책을 적용할 수 있습니다.
· 역할 기반 액세스 제어(RBAC)
사용자의 제한에 초점을 맞추다.특정 사용자나 그룹에 대해 조작 권한을 설정하면 사용자에 따라 직무에 필요한 조작 권한만 분배할 수 있다.
이번에는 역할 기반 액세스 제어(RBAC)를 사용하여 특정 사용자가 Azure Storage에 대한 작업 권한을 제한합니다. 결과적으로 가상 시스템을 만들 때 관리 디스크에만 사용할 수 있는 권한을 설정합니다.
1. RBAC - 사용자 지정 역할 만들기
역할 기반 액세스 제어(RBAC)에는 미리 정의된 내장 역할과 모든 액세스 설정을 정의할 수 있는 사용자 정의 역할이 포함됩니다.이번에는 저장소에 대한 읽기와 쓰기 접근을 제한하기 위해 사용자 정의 역할을 만듭니다.
작업 흐름
1. 사용자 정의 역할을 정의합니다.파일을 json 형식의 로컬 PC로 저장합니다.<~>의 부분은 사용 환경에 따라 적절하게 변경됩니다.NotActions에서 금지된 작업을 지정합니다.이번에는 클래식 스토리지와 현재 스토리지 모두에 대한 읽기와 쓰기 액세스를 금지합니다.
DenyStorageAccess.json{
"Name": "<カスタムロール名(英文字)>",
"IsCustom": true,
"Description": "<ロールの説明>",
"Actions": [
"*"
],
"NotActions": [
"Microsoft.Storage/storageAccounts/read"
,"Microsoft.Storage/storageAccounts/write"
,"Microsoft.ClassicStorage/storageAccounts/read"
,"Microsoft.ClassicStorage/storageAccounts/write"
],
"AssignableScopes": [
"/subscriptions/<サブスクリプション ID>"
]
}
2. PowerShell에서 만든 사용자 정의 역할 프로필을 가입에 등록합니다.# Login
Login-AzureRmAccount
# Select Subscription
Select-AzureRmSubscription -SubscriptionId <サブスクリプション ID>
# Create Custom Role
New-AzureRmRoleDefinition -InputFile <jsonファイルへのファイルパス>
3. Azure 포털에서 권한을 부여할 리소스를 선택합니다.이번에는 가입을 위한 설정입니다.
포털에서 가입 - 대상 가입 - 액세스 제어 - 추가 를 선택합니다.
4. 등록된 사용자 정의 역할을 계속 선택한 다음 권한을 부여할 사용자를 선택합니다.
5. 저장 버튼을 누르면 다음과 같이 선택한 사용자에게 역할이 할당됩니다.
2. 사용자 정의 캐릭터로 Azure 포털 로그인
먼저 서명하고 상기 작업에 적용된 사용자 정의 역할을 사용하는 사용자는 Azure 포털에 로그인합니다.agaed Disks를 사용할 수 있는 전제 조건은 ARM 버전의 가상 머신만 있고 클래식 버전의 가상 머신만 있습니다. Azure 스토리지를 사용하는 것입니다.따라서 이 사용자 정의 캐릭터를 응용한 사용자는 고전 가상 머신을 만들 수 없습니다.다음은 관리 디스크를 사용하여 ARM 버전 가상 머신을 배포하는 절차입니다.
배포 프로세스 (성공 사례)
1. 가상 머신 배포 환경으로 사용자 지정 역할을 적용할 가입을 선택합니다.
2. 가상 머신의 크기를 선택합니다.
3. 옵션 기능 구성에서 부트 진단을 해제하려면 관리 디스크 사용을 선택합니다.
기본적으로 디스크 관리는 아니오, 모니터링 부트 진단 활성화는 활성화입니다.모두 Azure 저장소를 저장소로 사용하기 때문에 사용자 정의 역할을 적용한 사용자는 사용할 수 없습니다.모니터링 기능을 활용하려면 VM 배포 후 스토리지 운영 권한이 있는 사용자가 추가로 설정할 수 있습니다.
4. 성공 확인.
배포 프로세스 (실패 예)
위의 단계에서 Azure 저장소를 사용하는 옵션을 선택하면 (구체적으로 말하면 기존 디스크나 진단 로그를 감시하는 하위 인벤토리로 저장됨) 단계 4의 인증이 실패하고 가상 시스템을 만들 수 없습니다.
총결산
마지막으로 요약하면 가상 시스템을 만들 때 디스크를 강제로 관리하는 직접적인 정책이 없기 때문에 Azure 저장소의 사용을 제한함으로써 최종적으로 관리 디스크만 사용할 수 있다.실제 사용에 관해서는 이 점을 인식하는 기초 위에서 사용하십시오.
Reference
이 문제에 관하여(Azure VM 생성 시 관리 디스크만 강제 설정), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/Aida1971/items/7306155f6180051b18c6
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
역할 기반 액세스 제어(RBAC)에는 미리 정의된 내장 역할과 모든 액세스 설정을 정의할 수 있는 사용자 정의 역할이 포함됩니다.이번에는 저장소에 대한 읽기와 쓰기 접근을 제한하기 위해 사용자 정의 역할을 만듭니다.
작업 흐름
1. 사용자 정의 역할을 정의합니다.파일을 json 형식의 로컬 PC로 저장합니다.<~>의 부분은 사용 환경에 따라 적절하게 변경됩니다.NotActions에서 금지된 작업을 지정합니다.이번에는 클래식 스토리지와 현재 스토리지 모두에 대한 읽기와 쓰기 액세스를 금지합니다.
DenyStorageAccess.json
{
"Name": "<カスタムロール名(英文字)>",
"IsCustom": true,
"Description": "<ロールの説明>",
"Actions": [
"*"
],
"NotActions": [
"Microsoft.Storage/storageAccounts/read"
,"Microsoft.Storage/storageAccounts/write"
,"Microsoft.ClassicStorage/storageAccounts/read"
,"Microsoft.ClassicStorage/storageAccounts/write"
],
"AssignableScopes": [
"/subscriptions/<サブスクリプション ID>"
]
}
# Login
Login-AzureRmAccount
# Select Subscription
Select-AzureRmSubscription -SubscriptionId <サブスクリプション ID>
# Create Custom Role
New-AzureRmRoleDefinition -InputFile <jsonファイルへのファイルパス>
포털에서 가입 - 대상 가입 - 액세스 제어 - 추가 를 선택합니다.
4. 등록된 사용자 정의 역할을 계속 선택한 다음 권한을 부여할 사용자를 선택합니다.
5. 저장 버튼을 누르면 다음과 같이 선택한 사용자에게 역할이 할당됩니다.
2. 사용자 정의 캐릭터로 Azure 포털 로그인
먼저 서명하고 상기 작업에 적용된 사용자 정의 역할을 사용하는 사용자는 Azure 포털에 로그인합니다.agaed Disks를 사용할 수 있는 전제 조건은 ARM 버전의 가상 머신만 있고 클래식 버전의 가상 머신만 있습니다. Azure 스토리지를 사용하는 것입니다.따라서 이 사용자 정의 캐릭터를 응용한 사용자는 고전 가상 머신을 만들 수 없습니다.다음은 관리 디스크를 사용하여 ARM 버전 가상 머신을 배포하는 절차입니다.
배포 프로세스 (성공 사례)
1. 가상 머신 배포 환경으로 사용자 지정 역할을 적용할 가입을 선택합니다.
2. 가상 머신의 크기를 선택합니다.
3. 옵션 기능 구성에서 부트 진단을 해제하려면 관리 디스크 사용을 선택합니다.
기본적으로 디스크 관리는 아니오, 모니터링 부트 진단 활성화는 활성화입니다.모두 Azure 저장소를 저장소로 사용하기 때문에 사용자 정의 역할을 적용한 사용자는 사용할 수 없습니다.모니터링 기능을 활용하려면 VM 배포 후 스토리지 운영 권한이 있는 사용자가 추가로 설정할 수 있습니다.
4. 성공 확인.
배포 프로세스 (실패 예)
위의 단계에서 Azure 저장소를 사용하는 옵션을 선택하면 (구체적으로 말하면 기존 디스크나 진단 로그를 감시하는 하위 인벤토리로 저장됨) 단계 4의 인증이 실패하고 가상 시스템을 만들 수 없습니다.
총결산
마지막으로 요약하면 가상 시스템을 만들 때 디스크를 강제로 관리하는 직접적인 정책이 없기 때문에 Azure 저장소의 사용을 제한함으로써 최종적으로 관리 디스크만 사용할 수 있다.실제 사용에 관해서는 이 점을 인식하는 기초 위에서 사용하십시오.
Reference
이 문제에 관하여(Azure VM 생성 시 관리 디스크만 강제 설정), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/Aida1971/items/7306155f6180051b18c6
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
마지막으로 요약하면 가상 시스템을 만들 때 디스크를 강제로 관리하는 직접적인 정책이 없기 때문에 Azure 저장소의 사용을 제한함으로써 최종적으로 관리 디스크만 사용할 수 있다.실제 사용에 관해서는 이 점을 인식하는 기초 위에서 사용하십시오.
Reference
이 문제에 관하여(Azure VM 생성 시 관리 디스크만 강제 설정), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/Aida1971/items/7306155f6180051b18c6텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
좋은 웹페이지 즐겨찾기
