那些遇到过的问题

使用 terraform 禁用允许公共 blob 访问

Jon*_*Jon 9 azure terraform

我已经使用 Terraform 创建了一个存储帐户。我想禁用在 Azure 门户中的存储帐户设置和配置下找到的名为“允许公共 blob 访问”的选项,但是在azurerm_storage_account命令下,我似乎找不到实现此目的所需的选项。

下面是我到目前为止创建存储帐户的代码,它可以工作,但如果有人能指出我正确的方向,那就太好了,谢谢。

存储账户

resource "azurerm_storage_account" "st" {
    name = var.st.name
    resource_group_name = var.rg_shared_name
    location = var.rg_shared_location
    account_tier = var.st.tier
    account_replication_type = var.st.replication
    public_network_access_enabled = false
}
Run Code Online (Sandbox Code Playgroud)

Neb*_*tic 13

随着 azurerm 提供程序 3.0 版的发布,该参数allow_blob_public_access更改为allow_nested_items_to_be_public. 如果您阅读旧的文档或示例,这可能会导致混乱。此外,您可以通过多种方式禁用存储帐户的公共网络访问。

  • 您可以设置public_network_access_enabled为 false。
  • 您可以使用network_rules阻止并设置default_action为拒绝。
  • 您可以使用该azurerm_storage_account_network_rules资源并将其设置default_action为拒绝。

明确告诉任何人都不能公开进入存储帐户是最干净/最安全的选择。但是,有时您想要为一组特定的 IP 地址打开存储帐户并阻止所有其他 IP 地址,那么其他选项很有用。

如果禁用公共网络访问,则应使用专用终结点或服务终结点以便能够从专用网络连接到您的存储帐户。基于此存储库的示例:

resource "azurerm_storage_account" "storage_account" {
  name                            = var.name
  resource_group_name             = var.resource_group_name
  location                        = var.location
  account_kind                    = var.kind
  account_tier                    = var.tier
  account_replication_type        = var.replication_type
  is_hns_enabled                  = true
  enable_https_traffic_only       = true
  public_network_access_enabled   = false
  allow_nested_items_to_be_public = false
  min_tls_version                 = var.min_tls_version
}

resource "azurerm_private_endpoint" "private_endpoint_blob" {
  name                = "pe-blob-${var.name}"
  location            = var.location
  resource_group_name = var.resource_group_name
  subnet_id           = var.subnet_id

  private_service_connection {
    name                           = "psc-blob-${var.name}"
    is_manual_connection           = false
    private_connection_resource_id = azurerm_storage_account.storage_account.id
    subresource_names              = ["blob"]
  }

  # Should be deployed by Azure policy
  lifecycle {
    ignore_changes = [private_dns_zone_group]
  }
}
Run Code Online (Sandbox Code Playgroud)

Jon*_*Jon 10

我一发布这个问题,就找到了该命令,因此我为浪费您的时间表示歉意。

要使用的命令是allowed_nested_items_to_be_public,如果将此设置为false,它将禁用在Storage Account > Settings > Configuration下找到的功能,允许 blob 公共访问

来源 https://registry.terraform.io/providers/hashicorp/azurerm/latest/docs/resources/storage_account#allow_nested_items_to_be_public

更新代码

resource "azurerm_storage_account" "st" {
    name = var.st.name
    resource_group_name = var.rg_shared_name
    location = var.rg_shared_location
    account_tier = var.st.tier
    account_replication_type = var.st.replication
    public_network_access_enabled = false
    allow_nested_items_to_be_public = false
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

12769 次

最近记录:

3 年,8 月 前
相关归档
Azure共享计划上的SSL? 15
当我从 plan -out=file 执行 terraform apply 时,依赖性不一致 12
在 Azure 上部署后无法加载文件或程序集“System.IdentityModel.Tokens.Jwt” 11
在 ecs 中没有服务的情况下使用 terraform 运行新任务 5
PowerShell - 使用Microsoft帐户连接到Azure Active Directory 4
如何获取 Azure Files 文件的公共 URL? 4
使用Terraform部署到多个AWS账户吗? 4
是否可以在我的 ARM 模板中检索 oms 工作区 ID 4
传输:拨打 dial tcp xx.xx.xx.xx15012 时出错:AWS-EKS + Terraform + Istio 的 i/o 超时 3
使用 Python 更新 terraform (.tf) 文件 1
难疑归档
什么是Python中的元类? 5409
For-each在JavaScript中的数组? 4448
如何将空目录添加到Git存储库? 4039
如何在JavaScript中获取查询字符串值? 2701
如何从Python字典中删除密钥? 1539
如何查看Git提交中的更改? 1364
"无法找到或加载主类"是什么意思? 1277
使用react路由器以编程方式导航 1251
退出申请不赞成? 1131
创建将T限制为枚举的通用方法 1122