Configurazione degli account di storage di Azure basati su plug-in in VMware Aria Automation

In qualità di amministratore del cloud, è possibile utilizzare il plug-in Microsoft Azure per creare account di storage utilizzando modelli in VMware Aria Automation. È possibile collegare l'account di storage a una risorsa di Azure per assicurarsi che gli oggetti dati siano accessibili solo tramite l'account di storage.

È possibile configurare facilmente gli account di storage di Azure per supportare le esigenze dell'infrastruttura. Ad esempio, è possibile utilizzare le proprietà di crittografia nei modelli cloud per controllare l'accesso all'account di storage.

La creazione, l'aggiornamento e l'eliminazione delle risorse dell'account di storage sono supportati in VMware Aria Automation.

Proprietà dell'account di storage

Per eseguire il provisioning delle risorse dell'account di storage, sono necessarie le proprietà seguenti.


Proprietà	Descrizione
`name`	Il nome specifico del plug-in per la risorsa. È possibile utilizzare lo stesso valore per la proprietà `account_name`.
`account_name`	Il nome della risorsa account di storage.
`account`	Account cloud di Microsoft Azure per le regioni dell'account in cui il team distribuisce i modelli cloud. Per ulteriori informazioni, vedere Creazione di un account cloud di Microsoft Azure in VMware Aria Automation.
`location`	La posizione in cui verrà distribuita la risorsa account di storage.
`sku_name`	Il nome SKU dell'account di storage.
`resource_group_name`	Il nome del gruppo di risorse. È necessario creare il gruppo di risorse nel portale di Azure.

Le sezioni seguenti contengono modelli di esempio per il provisioning degli account di storage. Dopo aver eseguito il provisioning dell'account di storage, è possibile eseguire il provisioning dello storage dati nel portale di Azure.

Provisioning di un account di storage di base

Il modello seguente illustra come eseguire il provisioning di un account di storage di base.

formatVersion: 1
inputs: {}
resources:
  Idem_AZURE_STORAGE_RESOURCE_PROVIDER_STORAGE_ACCOUNTS_1:
    type: Idem.AZURE.STORAGE_RESOURCE_PROVIDER.STORAGE_ACCOUNTS
    properties:name: validate_azure_storageacct
      account: azure-account
      resource_group_name: validate_azure_rg
      location: eastus
      sku_name: Standard_LRS
      account_name: validateazurestorageacct
      tags:
        key: value
      allow_blob_public_access: true
      identity:
        type: SystemAssigned

Provisioning di un account di storage con una chiave gestita dal cliente

Il modello seguente illustra come eseguire il provisioning di un account di storage con una chiave gestita dal cliente.

Prima di distribuire il modello, è necessario creare una chiave gestita dal cliente nel portale di Azure. Vedere Configurazione delle chiavi gestite dal cliente nello stesso tenant per un nuovo account di storage nella documentazione di Microsoft Azure.

formatVersion: 1
inputs: {}
resources:
  Idem_AZURE_STORAGE_RESOURCE_PROVIDER_STORAGE_ACCOUNTS_1:
    type: Idem.AZURE.STORAGE_RESOURCE_PROVIDER.STORAGE_ACCOUNTS
    properties:
      name: validateazurestorageaccount
      account: azure-account
      location: eastus
      sku_name: Standard_LRS
      account_name: validateazurestorageaccount
      resource_group_name: validate_azure_rg
      identity:
        type: UserAssigned
        user_assigned_identities:
          /subscriptions/svpvln45-brk0-mzca-7yxh-dla7h19zxyn3/resourcegroups/azure-test/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-idem-managed-identity: {}
      encryption_service:
        encryption_key_source: Microsoft.Keyvault
        blob_encryption_key_type: Account
        file_encryption_key_type: Account
      customer_managed_key:
        key_name: idem-key
        key_vault_uri: https://my-idem-key-vault.vault.azure.net
        key_version: ''
        user_assigned_identity_id: /subscriptions/svpvln45-brk0-mzca-7yxh-dla7h19zxyn3/resourcegroups/azure-test/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-idem-managed-identity

Provisioning di un account di storage con un criterio di immutabilità

Il modello seguente illustra come eseguire il provisioning di un account di storage con un criterio di immutabilità. È possibile utilizzare la proprietà immutability_policy per definire il criterio di immutabilità a livello di account per gli oggetti.

formatVersion: 1
inputs: {}
resources:
  Idem_AZURE_STORAGE_RESOURCE_PROVIDER_STORAGE_ACCOUNTS_1:
    type: Idem.AZURE.STORAGE_RESOURCE_PROVIDER.STORAGE_ACCOUNTS
    properties:
      name: validateazurestorageaccount
      account: azure-account
      location: eastus
      sku_name: Standard_GRS
      account_name: validateazurestorageaccount
      resource_group_name: validate_azure_rg
      enable_https_traffic_only: false
      key_policy: 
        key_expiration_period_in_days: 25
      is_hns_enabled: false
      allow_blob_public_access: false
      min_tls_version: TLS1_2
      allow_shared_key_access: true
      public_network_access: Disabled
      encryption_service: 
        file_encryption_key_type: Account
        blob_encryption_key_type: Account
        encryption_key_source: Microsoft.Storage
      require_infrastructure_encryption: false
      immutability_policy: 
        allow_protected_append_writes: true
        period_since_creation_in_days: 5
        state: Unlocked
      tags: 
        abc: def