amazon-web-services - 具有托管身份和 IP 限制的虚拟机谁赢了?
问题描述
我对 Azure 有几个疑问:
- 如果我有 2 个为每个虚拟机配置了托管标识的虚拟机,并且这 2 个虚拟机的 IP 可以相互通信(即 NSG 有允许网络通信的规则),但 RBAC 被配置为拒绝 ARM 中的权限,他们会能沟通吗?我想不是,对吗?在一个角落场景中,如果 VM1 被入侵,是否可以说永远不会与 VM2 进行任何交互,因为 RBAC 不允许。
- 这种行为是否类似于使用 AWS IAM 角色和权限所做的事情?
- 如果我将角色分配给 VM1 o 与 VM2 交谈,然后在 VM2 中我不允许来自 VM1 的访问,那么哪个语句获胜?
谢谢!!!
解决方案
如果 VM1 被入侵,说永远不会与 VM2 进行任何交互是否正确,因为 RBAC 不允许
不完全,不。RBAC 与网络访问完全分离。唯一将身份与通信联系起来的是,如果一台服务器需要使用 Azure Active Directory 主体向另一台服务器进行身份验证,有时您需要允许网络访问。但他们不应该混淆。
托管标识基本上是驻留在 Azure AD 中的计算机帐户,就像您的标准本地 Active Directory 中存在计算机帐户一样,这是允许计算机对尝试登录服务器/工作站的用户进行身份验证所必需的。有时您可能有一些进程,例如在 SYSTEM 上下文中运行的 Windows 服务(作为计算机帐户运行),这些进程需要访问网络资源,并且访问控制允许您使用 Active Directory 授予或拒绝访问权限。
如果机器 A 可以访问机器 B,并且由于 IIS 中的漏洞而受到威胁,例如,您可能已明确拒绝机器 A 对机器 B 的所有权限,但如果机器 B 也运行相同版本的 IIS,并且机器 A 可以连接到它,然后 RBAC 将无济于事。
这种行为是否类似于使用 AWS IAM 角色和权限所做的事情?
我不是 AWS 方面的专家,但我想说这可能是相同的行为,但 IAM 和网络访问控制又不是一回事。
如果我将角色分配给 VM1 o 与 VM2 交谈,然后在 VM2 中我不允许来自 VM1 的访问,那么哪个语句获胜?
你指的是哪个角色?网络访问在 NSG 或防火墙中完成,角色转变成影响 VM2 中 Windows 权限的权限(ReFS 权限/NTFS/Windows Auth 等)。您可以通过角色从 VM1 授予对 VM2 的任何类型访问权限的唯一方法是,如果您要为 VM1 分配“云设备管理员”角色。此角色的任何受让人都将添加到所有加入 Azure AD 的计算机的本地管理员组中。默认情况下,加入 Azure AD 的计算机无权访问其他计算机资源,但可能无法枚举计算机上的共享。如果您的计算机上有一个允许所有人或域计算机访问的共享,那么是的,机器可以访问它,但默认情况下,Windows 机器上没有打开此类共享。
如果您想完全隔离两台机器,则应用 NSG 来拒绝它们之间的网络访问,但请记住,如果两台机器都有公共存在点,那么您也应该阻止它。
推荐阅读
- google-sheets - 使用公式从 Google 表格字符串中提取变化的数字
- flutter - Flutter App 在后台无法访问互联网
- machine-learning - 收集客户端返回的权重而不聚合它们
- c# - 在另一个数组中设置数组元素的值
- python - python如何用列表压缩列表列表
- c# - 提高 ASP.NET [核心] 系统中的瓶颈性能
- google-bigquery - 如何获取 ValueProvider 的值并将其写入 BigQuery 表?
- express - 使用 IIS 托管 express node.js 后端
- android - 将在不支持的设备上安装 ARCore android 应用
- python - 无法通过 python 中的 fbchat 登录 FB [2FA 未启用]