Điểm:1

Cô lập các mặt phẳng quản lý và dữ liệu trên Tài khoản lưu trữ Azure

lá cờ br

Tài khoản lưu trữ Azure có thể bị hạn chế quyền truy cập theo địa chỉ IP hoặc mạng ảo Azure (có Microsoft.Storage điểm cuối của dịch vụ). Khi điều này được thực hiện, tài nguyên lưu trữ sẽ chỉ chấp nhận các kết nối từ các nguồn được chỉ định đó. Điều này bao gồm các hoạt động dữ liệu (đọc, ghi, v.v.) và các hoạt động điều khiển (tạo bộ chứa mới, v.v.); Tôi gọi đây là các mặt phẳng "dữ liệu" và "quản lý".

Có thể cách ly những thứ này ở cấp độ mạng (ví dụ: với tường lửa) hay chỉ có thể thực hiện ở cấp độ vai trò? Ví dụ: tôi có thể có một máy ảo trên cùng một mạng chỉ có thể thực hiện các hoạt động điều khiển, bất kể vai trò của hiệu trưởng không?

Điểm:1
lá cờ ng

Các hoạt động cho bộ lưu trữ Azure được phân chia như bạn nói, dữ liệu và quản lý. Phần dữ liệu thông qua API lưu trữ khi quản lý đi qua API Trình quản lý tài nguyên Azure, đây là API quản lý được sử dụng cho tất cả các dịch vụ.

Tài khoản lưu trữ có khái niệm về tường lửa, nơi bạn có thể hạn chế IP nào có thể truy cập vào tài khoản lưu trữ, điều này bao gồm khía cạnh dữ liệu của mọi thứ. Nếu bạn đã chặn ai đó bằng tường lửa này thì họ vẫn có thể gửi yêu cầu quản lý tới ARM (giả sử họ có quyền).

Chặn quyền truy cập vào ARM cho phía quản lý khó hơn nhiều và bạn nên xem xét sử dụng quyền cho việc này tốt hơn.

Xophmeister avatar
lá cờ br
Cảm ơn :) Khi chạy Terraform từ máy cục bộ của mình, tôi thấy rằng cả quyền truy cập quản lý * và * dữ liệu đều bị chặn khi bộ nhớ của tôi được cung cấp các quy tắc mạng (xem [tại đây](https://stackoverflow.com/questions/71022815/ tạo-azure-storage-containers-in-a-storage-account-with-network-rules-with)). Tôi đã giải quyết vấn đề này bằng cách xây dựng cơ sở hạ tầng quản lý, được phép kết nối với bộ lưu trữ. Tuy nhiên, điều tôi muốn tránh là có thể thực hiện các yêu cầu dữ liệu từ cơ sở hạ tầng quản lý đó. (Xin thứ lỗi cho bất kỳ sự thiếu hiểu biết nào về phía tôi! Azure nó khá mới đối với tôi.)
lá cờ ng
Ok đây là một chút khó khăn. Khả năng tạo vùng chứa trong tài khoản lưu trữ thực sự là một thao tác trên mặt phẳng dữ liệu (có lẽ không nên, nhưng đúng là như vậy), vì vậy nếu bạn cần Terraform để tạo vùng chứa, thì nó sẽ cần quyền truy cập thông qua tường lửa.Nếu bạn chỉ tạo tài khoản lưu trữ một mình, bạn sẽ không cần cấp quyền truy cập này. Điều đó có nghĩa là cơ sở hạ tầng quản lý sẽ có quyền truy cập vào mặt phẳng dữ liệu.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.