Score:1

การแยกข้อมูลและระนาบการจัดการบนบัญชี Azure Storage

ธง br

บัญชี Azure Storage สามารถถูกจำกัดการเข้าถึงโดยที่อยู่ IP หรือเครือข่ายเสมือน Azure (ด้วย a Microsoft.Storage จุดสิ้นสุดของบริการ) เมื่อเสร็จสิ้น ทรัพยากรหน่วยเก็บข้อมูลจะยอมรับการเชื่อมต่อจากต้นทางที่กำหนดเท่านั้น ซึ่งครอบคลุมการดำเนินการกับข้อมูล (อ่าน เขียน ฯลฯ) และควบคุมการดำเนินการ (สร้างคอนเทนเนอร์ใหม่ ฯลฯ) ฉันเรียกสิ่งเหล่านี้ว่าระนาบ "ข้อมูล" และ "การจัดการ" ตามลำดับ

เป็นไปได้หรือไม่ที่จะแยกสิ่งเหล่านี้ในระดับเครือข่าย (เช่น ด้วยไฟร์วอลล์) หรือทำได้ในระดับบทบาทเท่านั้น ตัวอย่างเช่น ฉันสามารถมี VM บนเครือข่ายเดียวกันที่ควบคุมได้เฉพาะการดำเนินการ โดยไม่คำนึงถึงบทบาทของตัวหลักหรือไม่

Score:1
ธง ng

การดำเนินการสำหรับที่เก็บข้อมูล Azure จะแยกตามที่คุณพูด ข้อมูลและการจัดการ ชิ้นส่วนข้อมูลจะผ่าน API ของที่เก็บข้อมูล โดยที่การจัดการจะต้องผ่าน Azure Resource Manager API ซึ่งเป็น API การจัดการที่ใช้สำหรับบริการทั้งหมด

บัญชีที่เก็บข้อมูลมีแนวคิดของไฟร์วอลล์ ซึ่งคุณสามารถจำกัดว่า IP ใดบ้างที่สามารถเข้าถึงบัญชีที่เก็บข้อมูลได้ ซึ่งครอบคลุมด้านข้อมูลของสิ่งต่างๆ หากคุณบล็อกคนที่ใช้ไฟร์วอลล์นี้ พวกเขาจะยังสามารถส่งคำขอการจัดการไปยัง ARM ได้ (โดยถือว่าพวกเขามีสิทธิ์)

การบล็อกการเข้าถึง ARM สำหรับฝั่งการจัดการนั้นยากกว่ามาก และคุณควรมองหาการใช้สิทธิ์สำหรับสิ่งนี้จะดีกว่า

Xophmeister avatar
br flag
ขอบคุณ :) เมื่อเรียกใช้ Terraform จากเครื่องของฉัน ฉันเห็นว่าการเข้าถึงการจัดการข้อมูล *และ* ถูกบล็อกเมื่อพื้นที่เก็บข้อมูลของฉันได้รับกฎเครือข่าย (ดู[ที่นี่](https://stackoverflow.com/questions/71022815/ สร้าง-azure-storage-containers-in-a-storage-account-with-network-rules-with)) ฉันแก้ปัญหานี้ได้ด้วยการสร้างโครงสร้างพื้นฐานด้านการจัดการ ซึ่งอนุญาตให้เชื่อมต่อกับที่เก็บข้อมูลได้ อย่างไรก็ตาม สิ่งที่ฉันต้องการหลีกเลี่ยงคือสามารถส่งคำขอข้อมูลจากโครงสร้างพื้นฐานการจัดการนั้นได้ (ขออภัยในความไม่เข้าใจในส่วนของฉัน Azure มันค่อนข้างใหม่สำหรับฉัน)
ng flag
ตกลงนี่ค่อนข้างยุ่งยาก ความสามารถในการสร้างคอนเทนเนอร์ในบัญชีสตอเรจเป็นการดำเนินการดาต้าเพลน (อาจไม่ใช่ แต่ก็เป็นอย่างนั้น) ดังนั้นหากคุณต้องการ Terraform เพื่อสร้างคอนเทนเนอร์ คุณจะต้องเข้าถึงผ่านไฟร์วอลล์หากคุณเพิ่งสร้างบัญชีพื้นที่เก็บข้อมูลเพียงอย่างเดียว คุณไม่จำเป็นต้องให้สิทธิ์การเข้าถึงระดับนี้ นั่นหมายความว่าโครงสร้างพื้นฐานการจัดการจะสามารถเข้าถึงระนาบข้อมูลได้

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา