Lai Azure funkcija varētu mijiedarboties ar virtuālajām mašīnām (VM), jums jāpiešķir atbilstošas atļaujas, izmantojot Azure lomu balstītu piekļuves kontroli (RBAC). Šeit ir nepieciešamās darbības un atļaujas:
1. Lomu piešķiršana: Azure funkcijas pārvaldītajai identitātei piešķiriet virtuālās mašīnas līdzdalībnieka lomu. Šī loma ļauj funkcijai sākt, apturēt un pārvaldīt VM, bet nepiešķir pilnīgu kontroli pār citiem resursiem [1] [3].
2. Atļauju darbības joma: pārliecinieties, ka loma tiek piešķirta atbilstošā darbības jomā, piemēram, resursu grupā, kurā atrodas VM. Tas nodrošina, ka funkcija var pārvaldīt tikai VM šajā grupā [1] [5].
3. Vismazāko privilēģiju princips: vienmēr ievērojiet vismazāko privilēģiju principu, piešķirot tikai nepieciešamās atļaujas. Šajā gadījumā lielākajai daļai VM pārvaldības uzdevumu ar virtuālās mašīnas līdzdalībnieka lomu pietiek [2] [6].
4. Pārvaldītā identitāte: izmantojiet pārvaldītu identitāti Azure funkcijai, lai autentificētu un atļauju piekļūt Azure resursiem, nevajagot pārvaldīt akreditācijas datus [6].
Izpildot šīs vadlīnijas, jūs varat droši ļaut jūsu Azure funkcijai mijiedarboties ar VM, saglabājot stabilu drošības praksi.
Atsauces:
[1] https://dev.to/pwd9000/power-virtual-machines-on-or-off-using-zure-functions-4k8o
[2] https://docs.azure.cn/en-us/azure-functions/functions-reference
.
.
[5] https://www.reddit.com/r/azure/comments/vglnfo/how_to_grant_access_to_an_app_to_automate_virtual/
[6] https://learn.microsoft.com/en-us/azure/azure-functions/security-concepts
[7] https://learn.microsoft.com/en-us/azure/role basing-access-control/built-in-roles
[8] https://learn.microsoft.com/en-us/azure/role basion-access-control/resource-provider-operācijas