å¦ä½ç¦ç¨åå¨å¸æ·ä¸çå¿åè®¿é®ï¼

è¦ç¦ç¨å¿åè®¿é®ï¼è¯·ä½¿ç¨ Update-AzStorageAccount -AllowBlobPublicAccess $false å¨ PowerShell ä¸ï¼æè®¾ç½® allowBlobPublicAccess: false ç´æ¥å¨äºå¤´èæ¨¡æ¿ä¸ã

ä»ä¹æ¯âPublicAccessNotPermissionâéè¯¯ï¼

å¦ä½ä½¿ç¨æç®¡èº«ä»½è¿è¡èªå¨åå®å¨è®¿é®ï¼

æå¯ä»¥èªå¨æ§è¡åå¨å¸æ·è®¿é®æ£æ¥åï¼

æ¯çï¼æ¨å¯ä»¥ä½¿ç¨ PowerShell èæ¬èªå¨è¿è¡æ£æ¥ï¼è¯¥èæ¬ä½¿ç¨ä»¥ä¸å½ä»¤éªè¯è®¾ç½® Get-AzStorageAccountï¼ç¡®ä¿ AllowBlobPublicAccess è®¾ç½®ä¸º falseã

å¦ä½å®æçæ§ Azure åå¨è®¿é®è®¾ç½®ï¼

Azure Policy å¨åå¨è®¿é®å®å¨æ¹é¢åæ¥ä»ä¹ä½ç¨ï¼

å¦ä½è§£å³ä¸åå¨è®¿é®ç¸å³çèªå¨åéè¯¯ï¼

æ£æ¥ Azure é¨æ·ä¸çéè¯¯æ¥å¿å¹¶ç¡®è®¤å·²åéæéçæéãä½¿ç¨ Describe å It PowerShell ä¸çåç¨äºåå»ºéªè¯è®¿é®è®¾ç½®çååæµè¯ã

æ¯å¦å¯ä»¥ææ¶ç»è¿å¬å±è®¿é®éå¶ï¼

æå¯ä»¥åæ¶å°è¿äºè®¾ç½®åºç¨å°å¤ä¸ªåå¨å¸æ·åï¼

æå¯ä»¥ä½¿ç¨åªäºå·¥å·æ¥çæ§åå¨è®¿é®åè§æ§ï¼

Azure Monitor å Azure Policy é½å¾ææãæ¨è¿å¯ä»¥éè¿ä»¥ä¸æ¹å¼éæèªå®ä¹è¦æ¥ Log Analytics ä»¥è·å¾æ´è¯¦ç»çè®¿é®æ¥åã

Azure èªå¨ååèæ¬ç¼åæåï¼åæ¬ä½¿ç¨ PowerShell å Bicep æ¨¡æ¿èªå¨æ§è¡å®å¨ Azure å·¥ä½æµçæä½³å®è·µã Azure èªå¨åææ¡£

修复由 Azure

Daniel Marino

2024年11月18日星期一下午6:55:29

使用 Azure 存储帐户限制克服自动化障碍

使用 Azure 存储帐户时，禁用匿名访问可能是确保增强安全性和受控数据访问的重要步骤。 🔒 然而，这种安全措施有时会带来意想不到的挑战，特别是在配置需要某些权限才能执行的自动化模块时。

想象一下，在 Azure 自动化中设置一个模块，期望一切顺利运行，结果却遇到了令人沮丧的错误消息：“不允许公共访问。” 当禁用匿名访问时，通常会出现此问题，这可能会导致自动化脚本停止，因为它们可能依赖于不再可用的权限。

在本指南中，我们将深入探讨导致此错误的原因，并探索如何在自动化中创建模块，同时确保存储帐户的安全。好消息是，有一些简单的解决方法可以让您平衡安全性与功能。

让我们探索解决这些访问冲突的实用解决方案，提供现实生活中的示例和可行的步骤。无论您是 Azure 专业人士还是刚刚入门，本指南都将帮助您避免这个陷阱，并使您的自动化重回正轨！ 🚀

命令	使用示例
Get-AzStorageAccount	检索指定的 Azure 存储帐户详细信息，允许我们访问 AllowBlobPublicAccess 等属性以进行安全配置检查。
Update-AzStorageAccount	修改Azure存储帐户的属性，例如AllowBlobPublicAccess，直接通过代码启用安全配置以禁用公共访问。
allowBlobPublicAccess	Bicep 和 PowerShell 中的属性，用于控制对 Azure Blob 存储的匿名访问。将其设置为 false 可防止不受限制的数据访问，从而增强安全性。
Function Create-AutomationModule	定义自定义 PowerShell 函数以自动创建 Azure 模块，结合访问控制检查和基于配置状态的动态调整。
contentLink	在 Bicep 模板中指定模块源的 URI，为 Azure 自动化提供直接、安全的链接来下载必要的模块文件。
Describe	用于对验证特定功能的测试进行分组的 PowerShell 测试命令，例如确保禁用匿名访问，这对于保护自动化任务至关重要。
It	在 PowerShell 的“描述”中定义单独的测试，此处用于验证存储帐户的“AllowBlobPublicAccess”属性，从而确认安全配置。
output	在 Bicep 模板中，输出命令允许在部署后检索模块名称或访问状态等值，从而促进部署后检查和自动化任务。
param	在 Bicep 模板和 PowerShell 脚本中定义参数，允许配置值（例如预期访问设置），从而增强脚本的灵活性和可重用性。

自动创建安全的 Azure 存储模块

上面提供的脚本有助于解决配置具有严格安全要求的 Azure 存储帐户时遇到的常见问题。具体来说，他们解决了“不允许公共访问” 时出现的错误 匿名访问 被禁用，但模块仍然需要访问某些资源。 PowerShell 脚本首先建立与 Azure 的安全连接，检索存储帐户详细信息，然后使用 Update-AzStorageAccount 命令确保 AllowBlobPublicAccess 属性设置为“false”，以防止未经授权的访问。这种设置对于需要安全存储数据的场景至关重要，例如在必须严格限制匿名访问的金融或医疗保健应用程序中。 🔒

Create-AutomationModule 函数是该解决方案的另一个关键部分。通过隔离该函数中的创建逻辑，我们确保所有模块创建步骤都得到安全且一致的处理。此函数在继续之前首先检查AllowBlobPublicAccess 属性是否确实设置为 false。这种简单的验证有助于避免错误配置风险，因为该函数会停止并通知匿名访问是否仍处于启用状态。该脚本在自动化 DevOps 管道中特别有用，其中模块化和可重用性对于有效管理多个存储帐户至关重要。这里的安全第一方法可确保模块仅在受控环境中创建，从而减少潜在的违规行为。

Bicep 模板提供了一种替代方法，与 Azure 资源管理器集成以简化部署。它直接在模板中指定allowBlobPublicAccess: false，无需进一步手动配置。这对于跨环境一致地部署资源非常有效，特别是在依赖基础设施即代码 (IaC) 实践的企业中。在模板中使用 contentLink 还增强了安全性，因为它允许从安全 URI 直接部署模块，从而减少对外部存储的依赖。此方法非常适合大规模部署，其中所有资源都必须符合预定义的安全标准，从而在自动化工作流程中提供一致性和速度。 🚀

为了验证配置，脚本包含单元测试。 PowerShell 测试使用Describe 和It 块来确保正确禁用AllowBlobPublicAccess，从而提供额外的安全验证层。同样，在 Bicep 模板中，输出变量确认公共访问设置已正确应用。这些测试对于动态环境至关重要，在动态环境中，设置可能需要定期验证以确保合规性。在现实场景中，例如安全至关重要的生产环境中，这些自动检查可确保及早检测到任何错误配置，使团队能够专注于更关键的任务，同时保持强大的安全标准。

具有安全存储访问功能的自动化 Azure 模块部署

解决方案 1：禁用匿名访问的 Azure 存储帐户的 PowerShell 自动化脚本

# Import necessary Azure modules
Import-Module Az.Accounts
Import-Module Az.Storage
# Authenticate to Azure
Connect-AzAccount
# Set Variables
$resourceGroupName = "YourResourceGroup"
$storageAccountName = "YourStorageAccount"
$containerName = "YourContainer"
# Disable anonymous access for security
$storageAccount = Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName
Update-AzStorageAccount -ResourceGroupName $resourceGroupName -AccountName $storageAccountName -AllowBlobPublicAccess $false
# Function to create module with access control
Function Create-AutomationModule {
    param (
        [string]$ModuleName
    )
    # Check Access Settings
    if ($storageAccount.AllowBlobPublicAccess -eq $false) {
        Write-Output "Anonymous access disabled. Proceeding with module creation."
        # Proceed with module creation
        # Placeholder for creating module securely
    }
    else {
        Write-Output "Anonymous access still enabled. Cannot proceed."
    }
}
# Call the function to create the module
Create-AutomationModule -ModuleName "YourModule"

使用 Bicep 模板和 REST API 安全地创建自动化模块

解决方案 2：通过 REST API 集成进行二头肌模板部署以实现受控访问

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-02-01' = {
  name: 'yourstorageaccount'
  location: 'eastus'
  sku: {
    name: 'Standard_LRS'
  }
  kind: 'StorageV2'
  properties: {
    allowBlobPublicAccess: false
  }
}
resource automationModule 'Microsoft.Automation/automationAccounts/modules@2020-01-13-preview' = {
  name: 'yourModule'
  properties: {
    contentLink: {
      uri: 'https://path.to.your/module.zip'
    }
    isGlobal: false
  }
}
output moduleName string = automationModule.name

在多个环境中禁用匿名访问的情况下测试模块部署

PowerShell 和 Bicep 配置的单元测试

# PowerShell Test Script for Access Verification
Describe "Anonymous Access Check" {
    It "Should confirm that anonymous access is disabled" {
        $storageAccount.AllowBlobPublicAccess | Should -Be $false
    }
}
# Bicep Template Test: Verifies Public Access Setting
param expectedAllowBlobPublicAccess bool = false
resource testStorageAccount 'Microsoft.Storage/storageAccounts@2021-02-01' = {
  name: 'teststorageaccount'
  properties: {
    allowBlobPublicAccess: expectedAllowBlobPublicAccess
  }
}
output isPublicAccessDisabled bool = !testStorageAccount.properties.allowBlobPublicAccess

有效管理 Azure 存储自动化中的访问限制

在安全性是重中之重的情况下，管理 Azure 存储帐户的匿名访问设置至关重要。虽然禁用匿名访问可以提供基本的安全性，但它通常会在自动化环境中带来挑战，在自动化环境中，不同的组件需要在不影响安全性的情况下访问存储资源。例如，在部署自动化模块时，该服务可能会触发 不允许公共访问 如果由于访问设置受限而缺乏必要的权限，则会出现错误。这可能会中断工作流程，特别是在安排自动化作业以特定时间间隔与存储帐户交互的情况下。

需要考虑的一个关键方面是将服务主体和托管身份配置为匿名访问的安全替代方案。通过为自动化模块分配托管身份，我们可以完全绕过匿名访问的需要。托管标识为自动化资源提供必要的权限，而无需将数据公开给公共访问。这种方法在不同的自动化作业需要不同级别的访问权限的大型环境中特别有效，因为它允许根据特定需求进行精确的角色分配。这种方法不仅增强了安全性，还确保您的自动化工作流程具有弹性并且不受公共访问限制的影响。

此外，必须定期审核和监视 Azure 门户中的访问设置，以确保符合安全策略。如果存在任何配置错误（例如无意中启用了公共访问），Azure Monitor 和 Azure Policy 等监视工具可以向管理员发出警报。主动监控访问配置增加了额外的保护层并保持自动化资源的安全，特别是在金融或医疗保健等数据敏感性需要持续保持警惕的行业。 🔐 通过采取这些措施，组织可以实现安全稳定的自动化环境，从而最大限度地减少与公共访问设置相关的风险。

有关 Azure 存储访问和自动化模块的常见问题

如何禁用存储帐户中的匿名访问？
要禁用匿名访问，请使用 Update-AzStorageAccount -AllowBlobPublicAccess $false 在 PowerShell 中，或设置 allowBlobPublicAccess: false 直接在二头肌模板中。
什么是“PublicAccessNotPermission”错误？
当服务或模块尝试访问禁用匿名访问的 Azure 存储帐户时，会发生此错误。自动化可能需要权限，这些权限需要通过托管身份进行安全配置。
如何使用托管身份进行自动化安全访问？
通过将托管身份分配给您的自动化帐户或模块，您可以授予特定权限，而无需启用公共访问。使用 New-AzRoleAssignment 安全地分配权限。
我可以自动执行存储帐户访问检查吗？
是的，您可以使用 PowerShell 脚本自动进行检查，该脚本使用以下命令验证设置 Get-AzStorageAccount，确保 AllowBlobPublicAccess 设置为 false。
如何定期监控 Azure 存储访问设置？
使能够 Azure Monitor 并配置有关访问设置的警报。如果无意中启用了公共访问，这将通知管理员。
Azure Policy 在存储访问安全方面发挥什么作用？
Azure Policy 可以强制执行合规性规则，根据组织安全要求自动限制公共访问设置。
如何解决与存储访问相关的自动化错误？
检查 Azure 门户中的错误日志并确认已分配所需的权限。使用 Describe 和 It PowerShell 中的块用于创建验证访问设置的单元测试。
是否可以暂时绕过公共访问限制？
建议避免暂时启用公共访问。相反，通过托管身份或服务主体配置权限以实现安全访问。
我可以同时将这些设置应用到多个存储帐户吗？
是的，您可以创建 PowerShell 脚本或 Bicep 模板来跨多个帐户应用这些设置。使用 ForEach 循环以有效地应用相同的配置。
我可以使用哪些工具来监控存储访问合规性？
Azure Monitor 和 Azure Policy 都很有效。您还可以通过以下方式集成自定义警报 Log Analytics 以获得更详细的访问报告。

关于安全 Azure 自动化的最终想法

设置具有受限访问权限的 Azure 存储帐户对于保护敏感数据至关重要。禁用匿名访问是实现这一目标的有力一步，尽管它在配置自动化时通常会带来挑战。通过使用安全的替代方案（例如托管身份），您可以轻松克服这些问题。

利用正确的工具和策略（包括 PowerShell、Bicep 和 Azure Monitor）可确保自动化工作流程保持安全且正常运行。通过一些配置，您可以完全限制公共访问，同时保持无缝模块操作，从而受益于更安全、更可靠的 Azure 环境。 🚀

安全 Azure 存储自动化的资源和参考

有关配置安全访问和管理 Azure 存储帐户的 Microsoft 文档，其中包含禁用公共访问和配置自动化角色的示例。微软Azure存储安全
有关为 Azure 资源设置托管标识以安全管理访问而无需启用公共权限的详细信息。 Azure 托管身份概述
Azure 自动化和脚本编写指南，包括使用 PowerShell 和 Bicep 模板自动执行安全 Azure 工作流的最佳实践。 Azure 自动化文档
有关使用单元测试和 Azure Monitor 警报测试和验证存储访问安全配置的指南。 Azure 监视器和警报

修复由 Azure 存储帐户禁用匿名访问导致的自动化模块问题