Če želite funkcijo Azure omogočiti interakcijo z virtualnimi stroji (VM), morate dodeliti ustrezna dovoljenja z uporabo Azure vlog, ki temelji na vlogi, (RBAC). Tu so potrebni koraki in dovoljenja:
1. dodelitev vlog: dodelite vlogo prispevka navideznega stroja za upravljano identiteto funkcije Azure. Ta vloga omogoča, da se funkcija zažene, ustavi in upravlja VM, vendar ne daje popolnega nadzora nad drugimi viri [1] [3].
2. Obseg dovoljenj: Prepričajte se, da je vloga dodeljena v ustreznem obsegu, kot je skupina virov, kjer prebivajo VM. To zagotavlja, da lahko funkcija upravlja le VM v tej skupini [1] [5].
3. Načelo najmanj privilegij: vedno se držite načela najmanjših privilegijev, tako da odobrite le potrebna dovoljenja. V tem primeru vloga navideznega stroja zadostuje za večino nalog upravljanja VM [2] [6].
4. Upravljana identiteta: Uporabite upravljano identiteto za funkcijo Azure, da preverite in odobrimo dostop do virov Azure, ne da bi bilo treba upravljati poverilnice [6].
Če sledite tem smernicam, lahko varnostno funkcijo Azure varno omogočite interakcijo z VM -ji, hkrati pa ohranjate močne varnostne prakse.
Navedbe:
[1] https://dev.to/pwd9000/power-virtual-machines-on-or-off-using-azure-functions-4k8o
[2] https://docs.azure.cn/en-us/azure-functions/functions-reference
[3] https://newhelptech.wordpress.com/2022/04/01/step-by-step-how-to-configuring-virtual-machine-role-access-control-rbac-in-microsoft-azure/
[4] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identes/
[5] https://www.reddit.com/r/azure/comments/vglnfo/how_to_grant_access_to_an_app_to_automate_virtual/
[6] https://learn.microsoft.com/en-us/azure/azure-functions/security-concepts
[7] https://learn.microsoft.com/en-us/azure/role-based-access-control/Built-in-roles
[8] https://learn.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations