用远程tfstate保护存储帐户
用远程tfstate保护存储帐户
提问于 2022-07-23 10:41:47
如何禁用对Azure存储帐户的公共访问,但仍然可以从cloudshell访问。
我所拥有和工作的东西:
- Az-包含具有公共访问权限的"terraform.tfstate“的存储帐户
- 在我的“”中为远程状态文件配置“后端”的main.tf文件
terraform {
required_version = ">= 1.2.4"
required_providers {
azurerm = {
source = "hashicorp/azurerm"
version = "~> 2.98.0"
}
}
# To store the state in a storage account
# Benefit=working with team and if local shell destroyed -> state=lost)
backend "azurerm" {
resource_group_name = "RG-Telco-tf-statefiles"
storage_account_name = "telcostatefiles"
container_name = "tf-statefile-app-1"
key = "terraform.tfstate"
}
}这工作得很好。但是,如果我限制存储帐户中的公共访问,我的"Azure Cloudshell“将不再拥有状态文件的权限。
我如何使它工作,在这种情况下,最好的安全最佳实践是什么?
回答 1
Stack Overflow用户
发布于 2022-07-23 14:33:33
我想,这就是你所需要的。
设置之后,您可以制定一个网络限制规则,并且可以允许云shell虚拟网络。
其他一些最佳做法:
- 存储状态文件的存储帐户应该位于单独的资源组中,并对其设置删除锁。
- 每6个月更新一次每个用户的SAS令牌,每个文件夹级别的范围、每个项目的一个容器和每个环境
- 在成对区域中存储冗余,以便在出现问题时进行读取访问
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/73090033
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号