问题标签 [azure-security]

不确定这是否已经以某种方式成为可能，或者有一个不同的“流程”是预期的并且是有意义的，我还没有发现。

我们使用@azure/keyvault-secrets + @azure/identity 来访问/管理我们的应用程序和开发环境中的所有机密/密钥。

在生产环境中，这很容易，因为我们可以直接将服务帐户与应用程序服务相关联，或者只需创建一个服务帐户并将其设置在环境变量中，然后永远不要接触它。

但是，在本地，出于开发目的，必须获取我们正在开发的应用程序的密钥/配置并不理想，最好能够使用 azure cli 中的帐户凭据来检索基于开发应用程序的开发人员以及他们有权访问的内容，以便我们可以对他们的帐户强制执行 mfa 并仅为他们的用户帐户管理对密钥的访问等等。

@azure/identity 模块当前是否支持这种行为？如果没有，除了为开发中的每个应用程序配置服务帐户之外，是否有针对此用例的推荐行为。环境？

我们有一个没有 IP 访问权限的 sql server 防火墙设置，并且“允许 Azure 服务”标志也设置为关闭。

我理解这意味着没有 azure 服务和外部客户端将能够访问 sql 服务器和数据库。

但是，当我在 sql server 上尝试导入数据库选项时，将 bacpac 存储在 azure 存储中，我们收到一个奇怪的 IP 错误，需要在 sql server 防火墙中获得访问权限。错误读取。

虽然我们的 azure infra 在西欧，但没有提及这个 IP 属于什么以及它的目的是什么。

当然，同样的错误也发生在 Infra 作为代码方法和 CI-CD Pipelines 中。而且我认为在没有任何信息的情况下添加 IP 是有风险的。

有没有人遇到过这个问题？或者如果有人知道，这个IP需要访问的天蓝色数据库导入是什么，它总是一样吗？

我在 Azure 中为我的一个订阅设置了安全中心。

我将自动预配设置为“开”，并希望在该订阅下创建的每个 VM 都默认安装 Log Analytics 代理（这是我从此处的文档中了解到的）。

但是，当我创建新 VM 时，代理没有按预期安装。有谁知道为什么会这样？

我注意到一些内置的 Azure 策略使用“ Microsoft.Security/complianceResults ”进行审计。例如，“应加强 IaaS 上 Web 应用程序的 NSG 规则”使用“Microsoft.Security/complianceResults”中的“unprotectedWebApplication”。

在哪里可以找到“Microsoft.Security/complianceResults”中提供的合规性规则？

我可以用它来定义我自己的策略规则吗？

我正在开发一个使用 Azure 事件网格的项目，其中 Web 应用程序将自定义事件发送到事件网格，并且使用单独的应用程序中的 Web 挂钩来订阅这些事件。

看起来它在 web-hook 方面是安全的，因为只有您可以添加特定的 web hook 以用作事件网格订阅。但是，我没有找到太多关于如何限制事件网格仅从特定端点接收事件的信息。现在它只为您提供一个端点和一个主题键，在向主题发送事件时必须使用它们。如果有人设法同时获得端点和令牌密钥，则可以将“恶意事件”发送到事件网格。

有没有办法限制事件网格只接受来自特定源的事件，或者从 Key Vault 存储和检索密钥，这是最安全的选项？

我知道我们可以通过将人们添加到“项目管理员”组中来让人们在“区域路径”中创建“冲刺”。

sprint 创建的任务通常由我们组织中的产品所有者/业务分析师处理，但项目管理员拥有许多他们不需要的其他权限。例如：删除存储库，产品负责人不关心它们，很多人几乎不使用 git，很少去那个领域。

现在，如果遵循既定的安全实践，“Principal of least privilege”，将 Product-owner 添加到“Project-Adminstrator”组是错误的。那么我怎样才能达到他们创建 sprint 的要求呢？

他们在我的组织中担任贡献者的角色，我已经进入“区域路径”安全性，并将“创建子节点”设置为“允许”，但他们无法创建 sprint。

我已经进行了探索，我想坚持自定义模块概念，而不是使用 Azure 公共模块注册表。

源代码位置在这里

我使用以下参数在命令行上运行 terraform：

但是，我收到如下错误：

无法理解根本问题...

我在他们自己的 terraform 配置文件中定义所有模块并在根模块中调用它们？

我衷心感谢您的帮助。

我正在寻找订阅级别的 RBAC 角色，例如“Reader”，但与 Reader 不同的是，它不应允许访问 Key Vault 机密和 Azure 存储 blob 密钥。在订阅级别有这样的角色吗？

我们构建了一个应用程序，可以读取有关客户云资源的信息并为他们提供洞察力。它目前已针对 AWS 实施。

在 AWS 中，我让我的客户使用信任策略和外部 ID 创建一个 IAM 角色，并与我共享该信息。然后我“担任角色”进入他们的帐户。Azure 中的等效方法是什么？

我看到了“应用程序”、“服务主体”等概念——但我阅读的所有内容似乎都非常关注 SSO 和授权企业用户“访问外部应用程序”，而不是授权服务器端应用程序本身。

我应该创建一个“应用程序”并让他们添加它吗？我是否创建一个用户并让他们邀请它？抱歉 - 我对 Azure 还很陌生，到目前为止，大多数文档都将我视为 IT 管理员，试图将 Jira 添加到 IdP 门户。

目前我有以下情况。我在 Power BI 中有一份报告，该报告从包含所有公司数据的数据集中读取。在我的 ASP .NET MVC 应用程序中，用户将选择要为其显示报告的公司，并且使用 Power BI Embedded，应用程序通过 JS 中定义的嵌入配置（从服务器传递的过滤器参数）按公司 ID 过滤报告。

我正在使用应用程序拥有数据方法，其中我有一个主帐户，并且为主帐户生成了嵌入令牌。访问报告的用户没有对所有公司的访问权限，这是在服务器端处理的。然而，使用这种方法，用户可以轻松地更改 JS 中的嵌入配置并显示他无权访问的公司的报告。

我研究了行级安全性，发现以下方法https://community.powerbi.com/t5/Developer/PowerBi-Embedded-API-Works-with-RLS/td-p/231064存在一个角色每个公司和嵌入令牌都是为该特定公司生成的。这将是一种理想的方法，但在我的场景中，这些公司不是预先定义的，可以随时创建。因此，我需要为每个公司创建一个角色。但是，这无法以编程方式实现，因为 Power BI 不提供自动创建角色的方法。

我能想到的唯一方法是为每个新公司克隆一份报告，并创建一个特定于该报告的数据集，该数据集仅包含该特定公司的数据。然后生成的嵌入令牌将仅对该特定报告有效。

有没有人也经历过这种困境？有什么建议在这种情况下我应该做什么？