Režim údržby

Režim údržby je funkce, která umožňuje vlastníkům komunity nebo enklávy dočasně umístit svou komunitu nebo enklávy do stavu "režimu údržby", kde jsou změny povoleny. Tento režim umožňuje privilegovaným uživatelům provádět určité změny v podkladových spravovaných prostředcích, které jsou normálně chráněny přiřazeními typu Odepřít. To pomáhá zachovat izolaci komunity a enklávy i oddělení sítě.

Možnosti režimu údržby

  • Off – Přiřazení zákazu vytvořená službou Azure Enclave jsou zavedena za účelem ochrany podkladových spravovaných skupin prostředků pro enklávu nebo komunitu.
  • General – Přiřazení zamítnutí Allow Dataplane Actions, které vytvořila služba Azure, umožňuje privilegovaným uživatelům upravovat určité existující prostředky pouze u podkladových spravovaných prostředků. Pro enklávu mezi tyto operace patří připojení prostředků k virtuální síti enklávy a vytvoření záznamů v privátní zóně DNS. Mezi tyto operace patří pro komunitu provádění změn Virtual WAN prostředků. Ve výchozím nastavení se komunity a enklávy nasazují v režimu Off, ale během vytváření zvolte režim General a zadejte odpovídající identity Microsoft Entra ID, aby bylo možné provádět změny chráněných prostředků.
  • Advanced - Přiřazení odepření vytvořené službou Azure se dočasně odebere, aby privilegovaní uživatelé mohli provádět změny se zvýšenými oprávněními u podkladových spravovaných prostředků.

Možnosti odůvodnění

  • Sítě – Správa oprávněných nebo vlastních změn ve spravovaných prostředcích.
  • Správa – Správa protokolování, zásad nebo dalších změn souvisejících se správou.
  • Vypnuto – Režim údržby už není nutný.

Režim údržby komunity

Režim údržby Community slouží k ochraně spravovaných prostředků, které tvoří Community, včetně Azure vWAN, Azure Firewall, Firewall Policy a Log Analytics Workspace. Odepření přiřazení slouží k zabránění neoprávněným akcím u těchto prostředků. Pokud je povolen režim údržby, zadaným objektům zabezpečení se udělí výjimky z přiřazení odepření, aby mohly provádět privilegované akce RBAC.

Scénáře režimu údržby komunity

Mezi běžné scénáře pro režim údržby komunity patří:

  • Vytváření a úpravy směrovacích tabulek virtuálních rozbočovačů pro podporu složitých síťových konfigurací
  • Vytváření a úpravy vlastních virtuálních center v rámci virtuální sítě WAN komunity
  • Vytvoření nebo úprava pravidel jednotlivých skupin zabezpečení sítě vyžadovaných pro konkrétní služby Azure
  • Vytváření prostředků v rámci spravované skupiny prostředků Enclave pro umožnění privátního síťového připojení (např. zóny privátního DNS, privátní propojení atd.)

Komunita – obecný režim údržby

Pokud je u prostředku **Community ** povolen režim údržby, entity v režimu údržby principals (například uživatelé nebo skupiny) jsou vyloučeny z Deny All přiřazení odepření pro skupinu prostředků spravovanou komunitou.

To umožňuje uživatelům identifikovaným v objektech zabezpečení režimu údržby provádět akce, které by jinak byly blokovány přiřazením odepření Deny All. Allow Dataplane Actions Zakazující přiřazení jsou stále účinná pro všechny objekty zabezpečení (včetně objektů zabezpečení v režimu údržby). Uživatel může být stále omezen přiřazenými rolemi.

Následující oprávnění jsou povolená pro skupinu prostředků spravovanou komunitou , pokud je povolený obecný režim maintanence.

Přiřazení zamítnutí komunity: Deny All

Operation Typ akce Explanation
* Činnost Odepřít všechny akce kromě uvedených v této tabulce
*/read NotAction Povoleno Povolit operace čtení pro všechny prostředky
Microsoft.Resources/tags/* NotAction Povolit akce „tags“ na všech zdrojích

Komunita – rozšířený režim údržby

Pokud je povolený rozšířený režim maintanence, jsou pro skupinu spravovaných prostředků Communtiy povolená následující oprávnění.

Přiřazení zamítnutí komunity: Allow Dataplane Actions

Operation Typ akce Explanation
* Činnost Odepřít všechny akce kromě uvedených v této tabulce
*/read NotAction Povolit akce čtení u všech prostředků
Microsoft.Insights/alertRules/* NotAction Povolit všechny akce pro „alertRules“
Microsoft.Support/* NotAction Povolit všechny akce u „Support“
Microsoft.Resources/tags/* NotAction Povolit akce „tags“ na všech zdrojích
Microsoft.Network/azureFirewalls/networkRuleCollections/write NotAction Povolit akce zápisu v networkRuleCollections
Microsoft.Network/azureFirewalls/applicationRuleCollections/write NotAction Povolit akce zápisu v applicationRuleCollections
Microsoft.Network/azureFirewalls/natRuleCollections/write NotAction Povolit akce zápisu na natRuleCollections
Microsoft.Network/firewallPolicies/ruleGroups/write NotAction Povolit akce zápisu u ruleGroups
Microsoft.Network/virtualHubs/write NotAction Povolit akce zápisu na virtuálníchHubech
Microsoft.Network/virtualWans/virtualHubs/read NotAction Povolit akce čtení na virtuálníchHubech
Microsoft.Network/virtualWans/join/action NotAction Povolit akce připojení pro virtuální sítě WAN
Microsoft.Network/virtualHubs/routeTables/write NotAction Povolit akce zápisu nad směrovacími tabulkami virtuálních center

Režim údržby enklávy

Režim údržby enklávy slouží k ochraně spravovaných prostředků, které tvoří enklávu, včetně Azure virtuální sítě, skupin zabezpečení sítě a pracovního prostoru služby Log Analytics. Odepření přiřazení slouží k zabránění neoprávněným akcím u těchto prostředků. Pokud je povolen režim údržby, zadaným objektům zabezpečení jsou uděleny výjimky ze zamítacích přiřazení, aby mohly provádět privilegované akce RBAC u skupiny prostředků spravované enklávou.

Scénáře režimu údržby enklávy

Mezi běžné scénáře použití režimu údržby enklávy patří:

  • Provádění operací připojení podsítě nebo virtuální sítě během nasazení úloh
  • Vytvoření nebo úprava pravidel jednotlivých skupin zabezpečení sítě vyžadovaných pro konkrétní služby Azure
  • Vytváření prostředků ve spravované skupině prostředků enklávy za účelem umožnění privátních sítí (např. zóny Privátní DNS, Private Linky atd.)

Enkláva – obecný režim údržby

Pokud General je u prostředku enklávy povolen režim údržby, režim principals údržby (uživatelé, skupiny nebo instanční objekty) jsou vyloučeny z Deny All přiřazení zamítnutí spravované skupiny prostředků enklávy. To umožňuje uživatelům identifikovaným v objektech zabezpečení režimu údržby provádět akce, které by jinak byly blokovány přiřazením odepření Deny All. Allow Dataplane Actions Zakazující přiřazení jsou stále účinná pro všechny objekty zabezpečení (včetně objektů zabezpečení v režimu údržby). Uživatel může být stále omezen přiřazenými rolemi.

Pokud je povolen obecný režim údržby, jsou pro skupinu spravovaných prostředků enklávy povolena následující oprávnění.

Zamítající přiřazení enklávy: Deny All

Operation Typ akce Explanation
* Činnost Odepřít všechny akce kromě uvedených v této tabulce
*/read NotAction Povolit akce čtení u všech prostředků
Microsoft.Resources/tags/* NotAction Povolit akce „tags“ na všech zdrojích

Enkláva – rozšířený režim údržby

Následující oprávnění jsou povolena pro spravovanou skupinu prostředků enklávy, když je povolen pokročilý režim údržby.

Zamítající přiřazení enklávy: Allow Dataplane Actions

Operation Typ akce Explanation
* Činnost Odepřít všechny akce kromě uvedených v této tabulce
*/read NotAction Povolit akce čtení u všech prostředků
Microsoft.Insights/alertRules/* NotAction Povolit všechny akce pro „alertRules“
Microsoft.Resources/deployments/* NotAction Povolit všechny akce v nasazeních
Microsoft.Support/* NotAction Povolit všechny akce u „Support“
Microsoft.Network/privateDnsZones/* NotAction Povolit všechny akce u privateDnsZones
Microsoft. Network/privateDnsOperationResults/* NotAction Povolit všechny akce u privateDnsOperationResults
Microsoft. Network/privateDnsOperationStatuses/* NotAction Povolit všechny akce u privateDnsOperationStatuses
Microsoft.Network/virtualNetworks/join/action NotAction Povolení operací virtuální sítě nebo spojení přes virtuální síť enklávy
Microsoft.Network/virtuální sítě/subnety/připojení/akce NotAction Povolit operace podsítě/připojení přes virtuální síť enklávy
Microsoft. Autorizace/ policyExemptions/* NotAction Povolit všechny akce u „policyExemptions“
Microsoft.Network/routeTables/routes/write NotAction Povolit akce „write“ u tabulek směrování virtuální sítě

Jak používat režim údržby

1. Aktivace režimu údržby během vytváření komunity nebo enklávy

  1. Přejděte na kartu Režim údržby v komunitě nebo formuláři pro vytvoření enklávy.
  2. Vyberte možnost režimu [Off / General / Advanced].
  3. Vyberte instanční objekty služby, které chcete zahrnout.
  4. Vyberte odůvodnění, proč vstupujete do režimu údržby [OFF / NETWORKING / GOVERNANCE].
  5. Zkontrolujte a vytvořte komunitu nebo enklávu jako obvykle.

2. Aktivace režimu údržby pro stávající komunitu nebo enklávu

  1. Přejděte do komunity nebo enklávy, pro kterou povolujete režim údržby.
  2. Přejděte na kartu Režim údržby.
  3. Vyberte možnost režimu [Advanced / General].
  4. Vyberte instanční objekty služby, které chcete zahrnout.
  5. Vyberte odůvodnění, proč vstupujete do režimu údržby [NETWORKING / GOVERNANCE].
  6. Potvrďte a uložte.

3. Provádění úloh údržby

  • Po aktivaci režimu údržby pokračujte v úlohách údržby nebo podle potřeby vytvořte složité úlohy.

4. Deaktivovat režim údržby

  1. Po dokončení úkolů přejděte zpět na kartu Režim údržby.
  2. OFF Vyberte režim.
  3. Potvrďte a uložte.

Osvědčené postupy

  • Omezení používání: Ujistěte se, že je režim údržby povolen pouze pro důvěryhodné privilegované uživatele během plánovaných oken údržby, a zajistěte zachování zabezpečení a izolace prostředků Azure Enclave.
  • Pochopit dopad: Privilegovaní uživatelé by měli plně pochopit změny, které dělají, a kroky k vrácení nebo nápravě těchto změn. Ruční změny podkladových spravovaných prostředků v komunitě nebo enklávě v režimu údržby můžou způsobit nezamýšlený posun ve vašem prostředí z ideálních stavů.

Další informace