Azure实例元数据服务
Azure实例元数据服务
提问于 2020-11-01 22:24:57
我对使用Azure实例元数据服务的Azure系统管理标识的内部工作的理解是,每个VM都有自己独特的使用Azure AD创建的服务主体以及与其关联的唯一对公钥对。
私钥在VM上维护,并用于签名可以使用Azure实例元数据服务上的/identity API端点获取的访问令牌。
这个VM实例的唯一标识是仅与这个私钥相关联,还是有更多的私钥?如果一个坏的参与者能够将私钥复制到另一个VM,那么坏的角色可以模拟给定的VM吗?或者,在这个访问令牌的生成过程中,除了私钥之外,还有更多的内容吗?
回答 1
Stack Overflow用户
回答已采纳
发布于 2020-11-04 02:11:31
我只是在这里做一个总结:托马斯提供了一个详细和专业的解释。基于MSI是如何工作的和如何在Azure VM上通过托管标识获取访问令牌,如您所见,获取访问令牌的整个过程是一个GET函数,没有提供私钥或秘密,因此不必担心有人窃取它们并在其他VM上使用它们。正如@Thomas所说:
只有您的VM可以向IMDS请求一个令牌。
如果您的问题已经解决,请标记这篇文章来结束这个案子,谢谢!
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/64637626
复制相关文章
相似问题
腾讯云开发者
