我的公司处理敏感数据,需要限制对生产环境的访问。如何组织订阅和(存储)帐户,以便拥有单独的环境?我可以有完全不同的订阅,但我想给予一些开发人员在生产上部署的权力,而其他人应该只能访问开发资产。在我的理想世界中,我会将个人添加到安全组中。每当thw开发人员想要在生产环境中部署时,他/她将使用他/她的凭据加上额外的确认步骤,如otp。这样我就可以避免错误,但仍然保持简单的用户管理。这在azure中可能吗?
ddrv8njm1#
最终,您想要做的事情将是可能的,并且在某种程度上取决于资源。随着Azure的更多功能进入预览门户(portal.azure.com),它们将显示为Role Based Access Controls,这就是您正在寻找的。不幸的是,现在,并非所有资源都在那里,有些资源没有完整的RBAC(如存储帐户)。目前,最好的办法仍然是通过订阅进行分离。如果您需要开发人员能够执行部署,您可以创建一个执行部署的脚本(使用存储的PowerShell凭据或安全管理证书),然后给予开发人员能够执行脚本。
uurv41yg2#
我建议你需要一个用于生产的存储帐户和一个用于开发的存储帐户。我还建议让一个首席开发人员负责管理生产环境的部署。所有其他开发人员都可以访问dev存储帐户进行测试,但随后必须与首席开发人员协调,以实际部署任何添加的队列或上传blob。至于构建本身的部署,你可以添加管道来自动化所有事情,然后在生产插槽上添加批准步骤。这样两个开发人员就可以决定什么时候可以将其投入生产。任何插槽交换等都将通过管道而不是通过任何UI来完成。您可以设置存储帐户通过防火墙保护,以便任何开发人员都可以通过白名单IP手动添加访问权限。我不知道在您的情况下引入更多资源是否有意义,但如果您只想要一个订阅,可以作为替代方案
2条答案
按热度按时间ddrv8njm1#
最终,您想要做的事情将是可能的,并且在某种程度上取决于资源。随着Azure的更多功能进入预览门户(portal.azure.com),它们将显示为Role Based Access Controls,这就是您正在寻找的。不幸的是,现在,并非所有资源都在那里,有些资源没有完整的RBAC(如存储帐户)。
目前,最好的办法仍然是通过订阅进行分离。如果您需要开发人员能够执行部署,您可以创建一个执行部署的脚本(使用存储的PowerShell凭据或安全管理证书),然后给予开发人员能够执行脚本。
uurv41yg2#
我建议你需要一个用于生产的存储帐户和一个用于开发的存储帐户。我还建议让一个首席开发人员负责管理生产环境的部署。所有其他开发人员都可以访问dev存储帐户进行测试,但随后必须与首席开发人员协调,以实际部署任何添加的队列或上传blob。
至于构建本身的部署,你可以添加管道来自动化所有事情,然后在生产插槽上添加批准步骤。这样两个开发人员就可以决定什么时候可以将其投入生产。任何插槽交换等都将通过管道而不是通过任何UI来完成。
您可以设置存储帐户通过防火墙保护,以便任何开发人员都可以通过白名单IP手动添加访问权限。我不知道在您的情况下引入更多资源是否有意义,但如果您只想要一个订阅,可以作为替代方案