Azure Экземпляр контейнера может запускать сценарии выполнения через Az CLI из publi c IP, несмотря на VNET только входящий NSG

Question

Итак, я развернул Azure Group Instance Group в частном Su bnet & VNET, где применяются правила входящих сообщений по умолчанию для NSG.

Публичный c IP не выделен (как и ожидалось), однако я все еще могу использовать Azure CLI для выполнения сценариев с помощью следующей команды из публичного c IP.

az container exec --resource-group myResourceGroup --name myContainer --exec-command /bin/bash

В идеале входящие правила NSG должны были бы запрещать такой вызов за пределами внутреннего диапазона VNET IP-адресов. Аналогично, az container logs & az container logs attach также может извлекать журналы из указанного экземпляра контейнера. Поэтому мой вопрос, почему? Почему эти входящие звонки не блокируются?

Answer 1

Потому что это не входящие звонки. Это вызовы Azure REST API, который, в свою очередь, делает что-то от вашего имени. По сути, это то же самое, что создание учетной записи хранения или выключение виртуальной машины с портала. Должна быть операция провайдера, которая будет отвечать за вызов этого действия. Вы можете создать запрещающее назначение роли (с помощью Azure Blueprints) или создать роли таким образом, чтобы у пользователя не было доступа к этому конкретному действию.