Azure Ilkesi kullanarak Azure SignalR hizmeti kaynaklarının uyumluluğunu denetleme

Azure ilkesi , Azure 'da ilke oluşturmak, atamak ve yönetmek için kullandığınız bir hizmettir. Bu ilkeler, kaynaklarınız üzerinden farklı kuralları ve eylemleri uygulatarak kaynaklarınızın kurumsal standartlarınız ve hizmet düzeyi sözleşmelerinizle uyumlu kalmasını sağlar.

Bu makalede, Azure SignalR hizmeti için yerleşik ilkeler (Önizleme) tanıtılmıştır. Yeni ve mevcut SignalR kaynaklarını uyumluluk açısından denetlemek için bu ilkeleri kullanın.

Azure Ilkesi kullanımı için herhangi bir ücret alınmaz.

Yerleşik ilke tanımları

Aşağıdaki yerleşik ilke tanımları Azure SignalR hizmetine özgüdür:

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Azure SignalR Hizmeti ağ erişimini devre dışı bırakmanız gerekir Kaynak kaynaklarında Azure SignalR Hizmeti için genel İnternet'e açık olmadığını ve yalnızca özel bir uç nokta üzerinden erişile olduğundan emin olun. genel ağ erişim özelliğini içinde açıklandığı gibi devre dışı https://aka.ms/asrs/networkacls bırakma. Bu seçenek, Azure IP aralığı dışındaki tüm genel adres alanlarından erişimi devre dışı verir ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşan tüm oturum açma bilgilerini geri alır. Bu, veri sızıntısı risklerini azaltır. Denetim, Reddet, Devre Dışı 1.0.0
Azure SignalR Hizmeti kimlik doğrulama yöntemleri devre dışı bırakılmıştır Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, özel olarak kimlik doğrulaması Azure SignalR Hizmeti kimlikleri Azure Active Directory güvenlik sağlar. Denetim, Reddet, Devre Dışı 1.0.0
Azure SignalR Hizmeti Bağlantı özellikli bir SKU kullanilmelidir Azure Özel Bağlantı kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurarak kaynaklarınızı genel veri sızıntısı risklerine karşı korumanızı sağlar. İlke sizi özel bağlantı için özel bağlantı özellikli SKUS'Azure SignalR Hizmeti. Özel bağlantı hakkında daha fazla bilgi için: https://aka.ms/asrs/privatelink . Denetim, Reddet, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullan Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları hizmetin tamamı Azure SignalR Hizmeti kaynak kaynağınıza eşlerken veri sızıntısı risklerinizi azaltmış oluruz. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/asrs/privatelink . Denetim, Reddet, Devre Dışı 1.0.1
Yerel Azure SignalR Hizmeti devre dışı bırakmak için yapılandırma Yerel kimlik doğrulama yöntemlerini devre dışı bırakarak Azure SignalR Hizmeti kimlik doğrulaması için Azure Active Directory kimlikleri gerektirir. Değiştirme, Devre Dışı 1.0.0
Özel uç noktaları yapılandırma Azure SignalR Hizmeti Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel uç noktaları kaynaklarla Azure SignalR Hizmeti veri sızıntısı risklerini azaltabilirsiniz. daha fazla bilgi için: https://aka.ms/asrs/privatelink . DeployIfNotExists, Disabled 1.0.0
Dağıtma - Özel DNS bölgelerini özel dns bölgelerinin özel uç noktalara bağlanması için Azure SignalR Hizmeti Özel bir uç noktanın DNS çözümlemelerini geçersiz kılmak için özel DNS bölgeleri kullanın. Özel BIR DNS bölgesi, sanal ağınıza bağlanarak kaynak Azure SignalR Hizmeti çözümletir. Daha fazla bilgi için: https://aka.ms/asrs/privatelink . DeployIfNotExists, Disabled 1.0.0
Genel Azure SignalR Hizmeti devre dışı bırakmak için kaynak kaynaklarında değişiklik Kaynak kaynaklarında Azure SignalR Hizmeti için genel İnternet'e açık olmadığını ve yalnızca özel bir uç nokta üzerinden erişile olduğundan emin olun. genel ağ erişim özelliğini içinde açıklandığı gibi devre dışı https://aka.ms/asrs/networkacls bırakma. Bu seçenek, Azure IP aralığı dışındaki tüm genel adres alanlarından erişimi devre dışı verir ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşan tüm oturum açma bilgilerini geri alır. Bu, veri sızıntısı risklerini azaltır. Değiştirme, Devre Dışı 1.0.0

İlke tanımları atama

Not

Bir ilkeyi atadıktan veya güncelleştirdikten sonra, bu, atamanın tanımlanan kapsamdaki kaynaklara uygulanması biraz zaman alır. İlke değerlendirme Tetikleyicilerihakkında bilgi için bkz..

İlke uyumluluğunu gözden geçirme

İlke atamalarınız tarafından oluşturulan uyumluluk bilgilerine Azure portal, Azure komut satırı araçlarını veya Azure Policy SDK 'larını kullanarak erişin. Ayrıntılar için bkz. Azure kaynaklarının uyumluluk verilerini edinme.

Bir kaynak uyumsuz olduğunda birçok olası neden vardır. Nedenini öğrenmek veya sorumluyu bulmak için bkz. uyumsuzluk belirleme.

Portalda ilke uyumluluğu:

  1. Tüm hizmetler' i seçin ve ilke araması yapın.

  2. Uyumluluk' i seçin.

  3. Uyumluluk durumlarını sınırlamak veya ilkeleri aramak için filtreleri kullanın

    Portalda ilke uyumluluğu

  4. Toplu uyumluluk ayrıntılarını ve olaylarını gözden geçirmek için bir ilke seçin. İsterseniz, kaynak uyumluluğu için belirli bir SignalR öğesini seçin.

Azure CLı 'de ilke uyumluluğu

Uyumluluk verilerini almak için Azure CLı 'yi de kullanabilirsiniz. Örneğin, uygulanan Azure SignalR hizmeti ilkelerinin ilke kimliklerini almak için CLı 'daki az Policy atama listesi komutunu kullanın:

az policy assignment list --query "[?contains(displayName,'SignalR')].{name:displayName, ID:id}" --output table

Örnek çıktı:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure SignalR Service should use private links  /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>

Ardından, belirli bir kaynak grubundaki tüm kaynaklar için JSON biçimli uyumluluk durumunu döndürmek için az Policy State List ' i çalıştırın:

az policy state list --g <resourceGroup>

Veya belirli bir SignalR kaynağının JSON biçimli uyumluluk durumunu döndürmek için az Policy State List ' i çalıştırın:

az policy state list \
 --resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/SignalR/<resourceName> \
 --namespace Microsoft.SignalRService \
 --resource-group <resourceGroup>

Sonraki adımlar