Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️ Conjuntos de escalado flexibles ✔️ Conjuntos de escalado uniformes
En este artículo se describen los procedimientos recomendados que se deben seguir mientras usa Azure VM Image Builder.
Uso de bloqueos de recursos para plantillas de imagen
Para evitar que las plantillas de imagen se eliminen accidentalmente, use bloqueos de recursos en ellas. Para más información, consulte Bloqueo de los recursos de Azure para proteger la infraestructura.
Configuración de plantillas de imagen para la recuperación ante desastres
Asegúrese de que las plantillas de imagen están configuradas para la recuperación ante desastres siguiendo las recomendaciones de confiabilidad de VM Image Builder.
Configuración de desencadenadores
Configure desencadenadores de VM Image Builder para volver a generar automáticamente las imágenes y mantenerlos actualizados.
Habilitación de la optimización del arranque de la máquina virtual
Habilite la optimización de arranque de máquina virtual (VM) en VM Image Builder para mejorar el tiempo de creación de las máquinas virtuales.
Traiga sus propias subredes
Especifique sus propias subredes de máquina virtual de compilación (subnetId) y subredes de Azure Container Instances (containerInstanceSubnetId) para un mayor control sobre la implementación de recursos relacionados con la red por vm Image Builder en su suscripción. La especificación de estas subredes también conduce a compilaciones de imágenes más rápidas y confiables.
Puede obtener más información sobre esta topología de red en la sección Compilaciones de imágenes aisladas.
Siga el principio de privilegios mínimos.
Siga el principio de privilegios mínimos para los recursos de Vm Image Builder.
Plantilla de imagen
Una entidad que tenga acceso a tu plantilla de imagen puede ejecutarla, eliminarla o alterarla. A continuación, este acceso permite que el responsable cambie las imágenes creadas por la plantilla de imagen.
Asegúrese de que solo los principales necesarios puedan acceder a las plantillas de imagen.
Grupo de recursos de almacenamiento provisional
VM Image Builder usa un grupo de recursos de almacenamiento provisional en la suscripción para personalizar la imagen de máquina virtual. Tienes que considerar este grupo de recursos como sensible y restringir el acceso solo a los principios necesarios. Tenga en cuenta estos riesgos:
Dado que el proceso de personalización de la imagen se lleva a cabo en este grupo de recursos, una entidad principal que tiene acceso al grupo de recursos puede comprometer el proceso de creación de imágenes. Por ejemplo, tal entidad puede inyectar malware en la imagen.
VM Image Builder delega los privilegios asociados a la identidad de plantilla y a la identidad de máquina virtual de compilación en los recursos de este grupo de recursos. Una entidad principal que tenga acceso al grupo de recursos puede obtener acceso a estas identidades.
El generador de imágenes de VM mantiene una copia de sus artefactos de customización en este grupo de recursos. Un principal que tenga acceso al grupo de recursos puede inspeccionar estas copias.
Identidad de plantilla
Una entidad de seguridad que tenga acceso a la identidad de plantilla puede acceder a todos los recursos para los que la identidad tiene permisos. Este conjunto de recursos incluye tus artefactos de personalización (por ejemplo, scripts de shell y PowerShell), tus destinos de distribución (por ejemplo, una versión de imagen de Azure Compute Gallery) y tu red virtual.
Solo debe proporcionar los privilegios mínimos necesarios para esta identidad.
Creación de la identidad de máquina virtual
Una entidad de seguridad que tenga acceso a la identidad de máquina virtual de compilación puede acceder a todos los recursos para los que la identidad tiene permisos. Este conjunto de recursos incluye los artefactos y redes virtuales que podría usar desde la máquina virtual de compilación a través de esta identidad.
Solo debe proporcionar los privilegios mínimos necesarios para esta identidad.
Credentials
No coloque credenciales en la plantilla de imagen ni en archivos usados para Shell, PowerShell y Personalizadores de archivos y validadores. Por ejemplo:
- Al especificar comandos insertados para personalizadores y validadores, no especifique ninguna contraseña ni otras credenciales de inicio de sesión. En su lugar, estas credenciales se deben almacenar en una instancia de Azure Key Vault y, a continuación, se debe acceder a ellas desde la máquina virtual de compilación mediante la identidad de la máquina virtual de compilación.
- Al proporcionar archivos en personalizadores y validadores, no especifique ninguna credencial en los archivos. En su lugar, estas credenciales se deben almacenar en una instancia de Azure Key Vault y, a continuación, se debe acceder a ellas desde la máquina virtual de compilación mediante la identidad de la máquina virtual de compilación.
- Al especificar el script o los URI de origen para personalizadores y validadores en una plantilla de imagen, no especifique URI de SAS ni URI con credenciales (como tokens de acceso personal). En su lugar, almacene estos archivos en la cuenta de Azure Storage y use la identidad de plantilla para acceder a ellos.
Aunque Azure VM Image Builder no prohíbe especificar estas credenciales, se desaconseja encarecidamente su uso. En caso de que se especifique dicha credencial, asegúrese de que no otorgue acceso a ningún recurso privilegiado y sea rotada lo antes posible.
Siga los procedimientos recomendados de Azure Compute Gallery.
Si va a distribuir a Azure Compute Gallery, asegúrese de seguir también los procedimientos recomendados para los recursos de Azure Compute Gallery.