你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍了在企业中部署 Azure Arc 资源网桥之前应评估的安全配置和注意事项。
托管标识
默认情况下,会创建系统分配的 Microsoft Entra 托管标识,并将其分配到 Azure Arc 资源网桥。 Azure Arc 资源网桥目前仅支持系统分配的标识。
clusteridentityoperator 标识启动首次出站通信,并提取由其他代理用来与 Azure 通信的托管服务标识 (MSI) 证书。
标识和访问控制
Azure Arc 资源网桥表示 Azure 订阅内的资源组中的资源。 对此资源的访问由标准 Azure 基于角色的访问控制来控制。 在 Microsoft Azure 门户中的访问控制 (IAM) 页上,可验证谁有权访问 Azure Arc 资源网桥。
被授予资源组的参与者角色或管理员角色的用户和应用程序可以对资源网桥进行更改,包括部署或删除群集扩展。
数据驻留
Azure Arc 资源网桥遵循特定于每个区域的数据驻留规定。 如果适用,数据将根据数据驻留规定备份在辅助对区域中。 否则,数据仅驻留在该特定区域中。 数据不会跨不同地理位置存储或处理。
静态数据加密
Azure Arc 资源网桥将资源信息存储在 Azure Cosmos DB 中。 如 Azure Cosmos DB 中的数据加密所述,所有数据均静态加密。
安全审核日志
活动日志是一个 Azure 平台日志,提供订阅级事件的见解。 其中包含有关何时对 Azure Arc 资源网桥进行修改、删除或添加的跟踪信息。
可以在 Azure 门户中查看活动日志,或在 PowerShell 和 Azure CLI 中检索条目。 默认情况下,活动日志事件保留 90 天,然后被删除。
后续步骤
- 了解 Azure Arc 资源网桥的系统要求和网络要求。
- 查看 Azure Arc 资源网桥概述,详细了解功能和优势。
- 详细了解 Azure Arc。