背景
我们将设置一个部署服务器,该服务器将用于管理Azure资源。部署服务器将运行预定义的PowerShell脚本并部署ARM模板。
This文章介绍了如何使用服务主体和密钥库,以便在部署服务器内部安全运行的应用程序可以执行部署脚本。
问题
通常,将使用脚本,新管道,不同类型的配置,代码片段,模板等来更新部署服务器。在部署服务器上进行更改时,我们不希望以任何方式公开机密。
及时的方法-自定义访问密钥API
我们正在寻找的功能可以通过自定义的访问密钥API随流程一起实现:
在服务请求门户中,部署票证由 批准人
部署服务器收到签名的部署票证
部署服务器将签名的票证发送到自定义访问权限 密钥API并接收临时服务主体和访问密钥
部署服务器执行脚本(使用临时服务 校长)
临时服务主体和访问密钥是自动的 删除
为什么需要自定义访问密钥API?
自定义访问密钥API添加了以下功能:
与部署服务器相比,该API占用的空间较小,我们认为该服务的更新将很少,并且可以通过非常受控的方式来完成。
API可以根据确切的需求(订阅,资源组等)授予对部署服务器的访问权限
API可以使用数字签名来验证票证的原始批准人
推荐的方法?
为部署服务器实现即时访问的推荐方法是什么?