通過(guò)郵件實(shí)現(xiàn)Azure中VM的開(kāi)關(guān)機(jī)？這有可能實(shí)現(xiàn)嗎？當(dāng)然是可以的，而且其實(shí)還非常簡(jiǎn)單，今天就來(lái)分享一波吧

創(chuàng)新互聯(lián)是一家專注于網(wǎng)站建設(shè)、成都網(wǎng)站制作與策劃設(shè)計(jì),都江堰網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)十年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:都江堰等地區(qū)。都江堰做網(wǎng)站價(jià)格咨詢:13518219792

 

 實(shí)際上分析這個(gè)需求可以發(fā)現(xiàn)，如果想通過(guò)發(fā)送一封郵件就對(duì)Azure中的環(huán)境進(jìn)行操作，那么首先第一個(gè)要解決的問(wèn)題就是身份驗(yàn)證了，郵件本身肯定是不會(huì)帶credential的，一種方法是可以把用戶名密碼寫(xiě)在郵件內(nèi)容里，這個(gè)當(dāng)然很傻了，絕對(duì)不會(huì)推薦這么做的，另外一種方法是可以通過(guò)Azure key vault，把用戶名密碼寫(xiě)在key vault中，這種方法其實(shí)是可以的，相對(duì)來(lái)說(shuō)也比較安全。之前也有分享過(guò)一些基本的用法，有興趣的可以看看https://blog.51cto.com/mxyit/2346350

 這樣總體上來(lái)說(shuō)可以保證用戶密碼的可用性和安全性，但是其實(shí)這種方法也是很麻煩的，目前來(lái)說(shuō)在Azure中可以做身份驗(yàn)證的方法有這么幾種

1：Azure AD 用戶credential登陸

這種方法是最傳統(tǒng)，也是最古老的，直接在應(yīng)用程序中使用用戶名和密碼登陸，需要注意的是如何保護(hù)credential的安全性，是應(yīng)該應(yīng)該關(guān)注的一個(gè)重點(diǎn)，這種方法基本上企業(yè)是很少會(huì)用的，因?yàn)榘踩詫?shí)在太差，個(gè)人用戶偶爾在測(cè)試環(huán)境用一下倒是還可以

 

以下是如何通過(guò)PowerShell的方式使用Azure AD 用戶密碼登陸

2：Azure service principal方式

如果有需要訪問(wèn)或修改資源的代碼，則可以為應(yīng)用創(chuàng)建標(biāo)識(shí)。 此標(biāo)識(shí)稱為服務(wù)主體。 可以將所需權(quán)限分配給服務(wù)主體，這種方式通過(guò)RBAC給service principal賦予角色，之后應(yīng)用程序即可擁有對(duì)應(yīng)的權(quán)限，我們?cè)诓僮鲿r(shí)可以通過(guò)Portal或者PowerShell的方式注冊(cè)一個(gè)application，我們可以通過(guò)PowerShell直接登錄，可以看到登陸方法和用戶名密碼的方式類似

3：托管標(biāo)識(shí)方式

借助 Azure Active Directory 的托管標(biāo)識(shí)，應(yīng)用可以輕松訪問(wèn)其他受 AAD 保護(hù)的資源（如 Azure Key Vault）。 標(biāo)識(shí)由 Azure 平臺(tái)托管，無(wú)需設(shè)置或轉(zhuǎn)交任何機(jī)密

 

你的應(yīng)用程序可以被授予兩種類型的標(biāo)識(shí)：

• 系統(tǒng)分配的標(biāo)識(shí)與你的應(yīng)用程序相綁定，如果刪除應(yīng)用，標(biāo)識(shí)也會(huì)被刪除。 一個(gè)應(yīng)用只能具有一個(gè)系統(tǒng)分配的標(biāo)識(shí)。

• 用戶分配的標(biāo)識(shí)是可以分配給應(yīng)用的獨(dú)立 Azure 資源。 一個(gè)應(yīng)用可以具有多個(gè)用戶分配的標(biāo)識(shí)。

 

這種方式不需要用戶名密碼，如果應(yīng)用程序需要調(diào)用Azure的資源，不需要使用用戶名密碼或者service principal，可以使用標(biāo)識(shí)向支持 Azure AD 身份驗(yàn)證的任何服務(wù)（包括 Key Vault）證明身份，無(wú)需在代碼中放入任何憑據(jù)。

簡(jiǎn)單理解來(lái)說(shuō)，RBAC以前是將用戶角色分配給Azure AD的用戶，組或者是service principal，但是通過(guò)identity，我們可以直接將權(quán)限assign給app service，key vault或者是VM

 

以下是一些應(yīng)用的案例，比如可以在app service里找到identity，然后開(kāi)啟identity

在IAM中可以看到，assign access to中不光是Azure AD user，還可以選擇其他的Azure service

當(dāng)然，這個(gè)服務(wù)目前來(lái)說(shuō)還只在Azure Global有，mooncake目前還沒(méi)有這個(gè)服務(wù)

這樣，web app即可擁有對(duì)應(yīng)的權(quán)限！無(wú)需任何用戶名和密碼，這種方式也是比較推薦的

 

下邊回到我們的原始需求，來(lái)看下郵件開(kāi)關(guān)機(jī)應(yīng)該如何解決安全問(wèn)題

本文名稱：Azure實(shí)踐之如何通過(guò)郵件實(shí)現(xiàn)AzureVM的開(kāi)關(guān)機(jī)（一）——需求分析以及Azure身份驗(yàn)證剖
網(wǎng)站網(wǎng)址：http://www.chinadenli.net/article8/gcceip.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供關(guān)鍵詞優(yōu)化、響應(yīng)式網(wǎng)站、云服務(wù)器、網(wǎng)站排名、小程序開(kāi)發(fā)、定制網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)