Настройка учетных записей хранения Azure на основе подключаемого модуля в VMware Aria Automation

Администратор облачных систем может использовать подключаемый модуль Microsoft Azure для создания учетных записей хранения на основе шаблонов в VMware Aria Automation. Учетную запись хранения можно присоединить к ресурсу Azure, чтобы обеспечить доступ к объектам данных только с помощью этой учетной записи.

Учетные записи хранения Azure можно с легкостью настроить с учетом потребностей инфраструктуры. Например, в облачных шаблонах можно использовать свойства шифрования для управления доступом к учетной записи хранения.

В VMware Aria Automation поддерживаются создание, обновление и удаление ресурсов учетной записи хранения.

Свойства учетной записи хранения

Для подготовки ресурсов учетной записи хранения требуются следующие свойства.


Свойство	Описание
`name`	Имя ресурса, используемое в подключаемом модуле. Для свойства `account_name` можно использовать одно и то же значение.
`account_name`	Имя ресурса учетной записи хранения.
`account`	Облачная учетная запись Microsoft Azure для регионов учетной записи, в которых ваша рабочая группа развертывает облачные шаблоны. Дополнительные сведения см. в разделе Создание облачной учетной записи Microsoft Azure в VMware Aria Automation.
`location`	Расположение, где будет развернут ресурс учетной записи хранения.
`sku_name`	Название SKU ресурса учетной записи хранения.
`resource_group_name`	Имя группы ресурсов. Необходимо создать группу ресурсов на портале Azure.

В разделах ниже приведены примеры шаблонов для подготовки учетных записей хранения. После подготовки учетной записи хранения можно приступать к подготовке хранилища данных на портале Azure.

Подготовка базовой учетной записи хранения

В следующем шаблоне представлен способ подготовки базовой учетной записи хранения.

formatVersion: 1
inputs: {}
resources:
  Idem_AZURE_STORAGE_RESOURCE_PROVIDER_STORAGE_ACCOUNTS_1:
    type: Idem.AZURE.STORAGE_RESOURCE_PROVIDER.STORAGE_ACCOUNTS
    properties:name: validate_azure_storageacct
      account: azure-account
      resource_group_name: validate_azure_rg
      location: eastus
      sku_name: Standard_LRS
      account_name: validateazurestorageacct
      tags:
        key: value
      allow_blob_public_access: true
      identity:
        type: SystemAssigned

Подготовка учетной записи хранения с ключом, управляемым клиентом

В следующем шаблоне представлен способ подготовки учетной записи хранения с ключом, управляемым клиентом.

Прежде чем развернуть шаблон, на портале Azure необходимо создать ключ, управляемый клиентом. См. раздел Настройка ключей, управляемых клиентом, в том же клиенте для существующей учетной записи хранения в документации по Microsoft Azure.

formatVersion: 1
inputs: {}
resources:
  Idem_AZURE_STORAGE_RESOURCE_PROVIDER_STORAGE_ACCOUNTS_1:
    type: Idem.AZURE.STORAGE_RESOURCE_PROVIDER.STORAGE_ACCOUNTS
    properties:
      name: validateazurestorageaccount
      account: azure-account
      location: eastus
      sku_name: Standard_LRS
      account_name: validateazurestorageaccount
      resource_group_name: validate_azure_rg
      identity:
        type: UserAssigned
        user_assigned_identities:
          /subscriptions/svpvln45-brk0-mzca-7yxh-dla7h19zxyn3/resourcegroups/azure-test/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-idem-managed-identity: {}
      encryption_service:
        encryption_key_source: Microsoft.Keyvault
        blob_encryption_key_type: Account
        file_encryption_key_type: Account
      customer_managed_key:
        key_name: idem-key
        key_vault_uri: https://my-idem-key-vault.vault.azure.net
        key_version: ''
        user_assigned_identity_id: /subscriptions/svpvln45-brk0-mzca-7yxh-dla7h19zxyn3/resourcegroups/azure-test/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-idem-managed-identity

Подготовка учетной записи хранения с политикой неизменяемости

В следующем шаблоне представлен способ подготовки учетной записи хранения с политикой неизменяемости. Чтобы определить для объектов политику неизменяемости на уровне учетной записи, используйте свойство immutability_policy.

formatVersion: 1
inputs: {}
resources:
  Idem_AZURE_STORAGE_RESOURCE_PROVIDER_STORAGE_ACCOUNTS_1:
    type: Idem.AZURE.STORAGE_RESOURCE_PROVIDER.STORAGE_ACCOUNTS
    properties:
      name: validateazurestorageaccount
      account: azure-account
      location: eastus
      sku_name: Standard_GRS
      account_name: validateazurestorageaccount
      resource_group_name: validate_azure_rg
      enable_https_traffic_only: false
      key_policy: 
        key_expiration_period_in_days: 25
      is_hns_enabled: false
      allow_blob_public_access: false
      min_tls_version: TLS1_2
      allow_shared_key_access: true
      public_network_access: Disabled
      encryption_service: 
        file_encryption_key_type: Account
        blob_encryption_key_type: Account
        encryption_key_source: Microsoft.Storage
      require_infrastructure_encryption: false
      immutability_policy: 
        allow_protected_append_writes: true
        period_since_creation_in_days: 5
        state: Unlocked
      tags: 
        abc: def