Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes
Este artigo descreve as práticas recomendadas a seguir enquanto você está usando o Construtor de Imagens de VM do Azure.
Usar bloqueios de recursos para modelos de imagem
Para impedir que modelos de imagem sejam excluídos acidentalmente, use bloqueios de recursos neles. Para obter mais informações, consulte Bloquear seus recursos do Azure para proteger sua infraestrutura.
Configurar modelos de imagem para recuperação de desastre
Verifique se os modelos de imagem estão configurados para recuperação de desastre seguindo as recomendações de confiabilidade do Construtor de Imagens de VM.
Definir gatilhos
Configure os gatilhos do Criador de Imagens de Máquina Virtual para reconstruir automaticamente suas imagens e mantê-las atualizadas.
Habilitar a otimização de inicialização de VM
Habilite a otimização de inicialização da VM (máquina virtual) no Construtor de Imagens da VM para melhorar o tempo de criação das VMs.
Traga suas próprias sub-redes
Especifique suas próprias sub-redes de VM de build (subnetId) e sub-redes das Instâncias de Contêiner do Azure (containerInstanceSubnetId) para ter um controle mais rigoroso sobre a implantação de recursos relacionados à rede pelo Construtor de Imagens de VM na sua assinatura. Especificar essas sub-redes também leva a builds de imagem mais rápidos e confiáveis.
Você pode ler mais sobre essa topologia de rede na seção Construções de Imagem Isolada.
Siga o princípio do privilégio mínimo
Siga o princípio de privilégio mínimo para os recursos do Construtor de Imagens da VM.
Modelo de imagem
Uma entidade de segurança que tem acesso ao modelo de imagem pode executá-lo, excluí-lo ou adulterá-lo. Esse acesso permite que a entidade de segurança altere as imagens criadas pelo modelo de imagem.
Verifique se apenas as entidades de segurança necessárias podem acessar modelos de imagem.
Grupo de recursos de preparo
O Construtor de Imagens de VM usa um grupo de recursos de preparo em sua assinatura para personalizar a imagem da VM. Você deve considerar este grupo de recursos como sensível e restringir o acesso somente às principais entidades necessárias. Tenha esses riscos em mente:
Como o processo de personalização da imagem ocorre neste grupo de recursos, uma entidade de segurança que tem acesso ao grupo de recursos pode comprometer o processo de criação da imagem. Por exemplo, essa entidade de segurança pode injetar malware na imagem.
O Construtor de Imagens da VM delega privilégios associados à identidade do modelo e à identidade da VM de build aos recursos desse grupo de recursos. Uma entidade de segurança que tem acesso ao grupo de recursos pode acessar essas identidades.
O Construtor de Imagens de VM mantém uma cópia dos artefatos do personalizador nesse grupo de recursos. Uma entidade de segurança que tem acesso ao grupo de recursos pode inspecionar essas cópias.
Identidade do modelo
Uma entidade de segurança que tem acesso à identidade do modelo pode acessar todos os recursos para os quais a identidade tem permissões. Esse conjunto de recursos inclui seus artefatos personalizadores (por exemplo, scripts do Shell e do PowerShell), seus destinos de distribuição (por exemplo, uma versão de imagem da Galeria de Computação do Azure) e sua rede virtual.
Você deve fornecer apenas os privilégios mínimos necessários para essa identidade.
Criar identidade de VM
Uma entidade de segurança que tem acesso à identidade da VM de build pode acessar todos os recursos para os quais a identidade tem permissões. Esse conjunto de recursos inclui artefatos e redes virtuais que você pode estar usando dentro da VM de build por meio dessa identidade.
Você deve fornecer apenas os privilégios mínimos necessários para essa identidade.
Credentials
Não coloque nenhuma credencial no modelo de imagem ou nos arquivos usados para Shell, PowerShell e Personalizadores e Validadores de Arquivos. Por exemplo:
- Ao especificar comandos embutidos para personalizadores e validadores, não especifique nenhuma senha ou outras credenciais de logon. Em vez disso, essas credenciais devem ser armazenadas em um Azure Key Vault e, em seguida, acessadas da VM de build usando a identidade da VM de build.
- Ao fornecer arquivos em personalizadores e validadores, não especifique nenhuma credenciais nos arquivos. Em vez disso, essas credenciais devem ser armazenadas em um Azure Key Vault e, em seguida, acessadas da VM de build usando a identidade da VM de build.
- Ao especificar scripts ou URIs de origem para personalizadores e validadores em um modelo de imagem, não especifique URIs SAS ou aqueles com credenciais (como Tokens de Acesso Pessoal). Em vez disso, armazene esses arquivos na Conta de Armazenamento do Azure e use a identidade de modelo para acessá-los.
Embora o Construtor de Imagens de VM do Azure não proíba a especificação dessas credenciais, esse uso é altamente desencorajado. Caso essa credencial seja especificada de fato, verifique se ela não fornece acesso a nenhum recurso privilegiado e é rotacionada o mais rápido possível.
Siga as práticas recomendadas da Galeria de Computação do Azure
Se você estiver distribuindo para a Galeria de Computação do Azure, siga também as práticas recomendadas para recursos da Galeria de Computação do Azure.