Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Režim údržby je funkce, která umožňuje vlastníkům komunity nebo enklávy dočasně umístit svou komunitu nebo enklávy do stavu "režimu údržby", kde jsou změny povoleny. Tento režim umožňuje privilegovaným uživatelům provádět určité změny v podkladových spravovaných prostředcích, které jsou normálně chráněny přiřazeními typu Odepřít. To pomáhá zachovat izolaci komunity a enklávy i oddělení sítě.
Možnosti režimu údržby
-
Off– Přiřazení zákazu vytvořená službou Azure Enclave jsou zavedena za účelem ochrany podkladových spravovaných skupin prostředků pro enklávu nebo komunitu. -
General– Přiřazení zamítnutíAllow Dataplane Actions, které vytvořila služba Azure, umožňuje privilegovaným uživatelům upravovat určité existující prostředky pouze u podkladových spravovaných prostředků. Pro enklávu mezi tyto operace patří připojení prostředků k virtuální síti enklávy a vytvoření záznamů v privátní zóně DNS. Mezi tyto operace patří pro komunitu provádění změn Virtual WAN prostředků. Ve výchozím nastavení se komunity a enklávy nasazují v režimuOff, ale během vytváření zvolte režimGenerala zadejte odpovídající identity Microsoft Entra ID, aby bylo možné provádět změny chráněných prostředků. -
Advanced- Přiřazení odepření vytvořené službou Azure se dočasně odebere, aby privilegovaní uživatelé mohli provádět změny se zvýšenými oprávněními u podkladových spravovaných prostředků.
Možnosti odůvodnění
- Sítě – Správa oprávněných nebo vlastních změn ve spravovaných prostředcích.
- Správa – Správa protokolování, zásad nebo dalších změn souvisejících se správou.
- Vypnuto – Režim údržby už není nutný.
Režim údržby komunity
Režim údržby Community slouží k ochraně spravovaných prostředků, které tvoří Community, včetně Azure vWAN, Azure Firewall, Firewall Policy a Log Analytics Workspace. Odepření přiřazení slouží k zabránění neoprávněným akcím u těchto prostředků. Pokud je povolen režim údržby, zadaným objektům zabezpečení se udělí výjimky z přiřazení odepření, aby mohly provádět privilegované akce RBAC.
Scénáře režimu údržby komunity
Mezi běžné scénáře pro režim údržby komunity patří:
- Vytváření a úpravy směrovacích tabulek virtuálních rozbočovačů pro podporu složitých síťových konfigurací
- Vytváření a úpravy vlastních virtuálních center v rámci virtuální sítě WAN komunity
- Vytvoření nebo úprava pravidel jednotlivých skupin zabezpečení sítě vyžadovaných pro konkrétní služby Azure
- Vytváření prostředků v rámci spravované skupiny prostředků Enclave pro umožnění privátního síťového připojení (např. zóny privátního DNS, privátní propojení atd.)
Komunita – obecný režim údržby
Pokud je u prostředku **Community ** povolen režim údržby, entity v režimu údržby principals (například uživatelé nebo skupiny) jsou vyloučeny z Deny All přiřazení odepření pro skupinu prostředků spravovanou komunitou.
To umožňuje uživatelům identifikovaným v objektech zabezpečení režimu údržby provádět akce, které by jinak byly blokovány přiřazením odepření Deny All.
Allow Dataplane Actions Zakazující přiřazení jsou stále účinná pro všechny objekty zabezpečení (včetně objektů zabezpečení v režimu údržby). Uživatel může být stále omezen přiřazenými rolemi.
Následující oprávnění jsou povolená pro skupinu prostředků spravovanou komunitou , pokud je povolený obecný režim maintanence.
Přiřazení zamítnutí komunity: Deny All
| Operation | Typ akce | Explanation | |
|---|---|---|---|
| * | Činnost | Odepřít všechny akce kromě uvedených v této tabulce | |
| */read | NotAction | Povoleno | Povolit operace čtení pro všechny prostředky |
| Microsoft.Resources/tags/* | NotAction | Povolit akce „tags“ na všech zdrojích |
Komunita – rozšířený režim údržby
Pokud je povolený rozšířený režim maintanence, jsou pro skupinu spravovaných prostředků Communtiy povolená následující oprávnění.
Přiřazení zamítnutí komunity: Allow Dataplane Actions
| Operation | Typ akce | Explanation |
|---|---|---|
| * | Činnost | Odepřít všechny akce kromě uvedených v této tabulce |
| */read | NotAction | Povolit akce čtení u všech prostředků |
| Microsoft.Insights/alertRules/* | NotAction | Povolit všechny akce pro „alertRules“ |
| Microsoft.Support/* | NotAction | Povolit všechny akce u „Support“ |
| Microsoft.Resources/tags/* | NotAction | Povolit akce „tags“ na všech zdrojích |
| Microsoft.Network/azureFirewalls/networkRuleCollections/write | NotAction | Povolit akce zápisu v networkRuleCollections |
| Microsoft.Network/azureFirewalls/applicationRuleCollections/write | NotAction | Povolit akce zápisu v applicationRuleCollections |
| Microsoft.Network/azureFirewalls/natRuleCollections/write | NotAction | Povolit akce zápisu na natRuleCollections |
| Microsoft.Network/firewallPolicies/ruleGroups/write | NotAction | Povolit akce zápisu u ruleGroups |
| Microsoft.Network/virtualHubs/write | NotAction | Povolit akce zápisu na virtuálníchHubech |
| Microsoft.Network/virtualWans/virtualHubs/read | NotAction | Povolit akce čtení na virtuálníchHubech |
| Microsoft.Network/virtualWans/join/action | NotAction | Povolit akce připojení pro virtuální sítě WAN |
| Microsoft.Network/virtualHubs/routeTables/write | NotAction | Povolit akce zápisu nad směrovacími tabulkami virtuálních center |
Režim údržby enklávy
Režim údržby enklávy slouží k ochraně spravovaných prostředků, které tvoří enklávu, včetně Azure virtuální sítě, skupin zabezpečení sítě a pracovního prostoru služby Log Analytics. Odepření přiřazení slouží k zabránění neoprávněným akcím u těchto prostředků. Pokud je povolen režim údržby, zadaným objektům zabezpečení jsou uděleny výjimky ze zamítacích přiřazení, aby mohly provádět privilegované akce RBAC u skupiny prostředků spravované enklávou.
Scénáře režimu údržby enklávy
Mezi běžné scénáře použití režimu údržby enklávy patří:
- Provádění operací připojení podsítě nebo virtuální sítě během nasazení úloh
- Vytvoření nebo úprava pravidel jednotlivých skupin zabezpečení sítě vyžadovaných pro konkrétní služby Azure
- Vytváření prostředků ve spravované skupině prostředků enklávy za účelem umožnění privátních sítí (např. zóny Privátní DNS, Private Linky atd.)
Enkláva – obecný režim údržby
Pokud General je u prostředku enklávy povolen režim údržby, režim principals údržby (uživatelé, skupiny nebo instanční objekty) jsou vyloučeny z Deny All přiřazení zamítnutí spravované skupiny prostředků enklávy. To umožňuje uživatelům identifikovaným v objektech zabezpečení režimu údržby provádět akce, které by jinak byly blokovány přiřazením odepření Deny All.
Allow Dataplane Actions Zakazující přiřazení jsou stále účinná pro všechny objekty zabezpečení (včetně objektů zabezpečení v režimu údržby). Uživatel může být stále omezen přiřazenými rolemi.
Pokud je povolen obecný režim údržby, jsou pro skupinu spravovaných prostředků enklávy povolena následující oprávnění.
Zamítající přiřazení enklávy: Deny All
| Operation | Typ akce | Explanation |
|---|---|---|
| * | Činnost | Odepřít všechny akce kromě uvedených v této tabulce |
| */read | NotAction | Povolit akce čtení u všech prostředků |
| Microsoft.Resources/tags/* | NotAction | Povolit akce „tags“ na všech zdrojích |
Enkláva – rozšířený režim údržby
Následující oprávnění jsou povolena pro spravovanou skupinu prostředků enklávy, když je povolen pokročilý režim údržby.
Zamítající přiřazení enklávy: Allow Dataplane Actions
| Operation | Typ akce | Explanation |
|---|---|---|
| * | Činnost | Odepřít všechny akce kromě uvedených v této tabulce |
| */read | NotAction | Povolit akce čtení u všech prostředků |
| Microsoft.Insights/alertRules/* | NotAction | Povolit všechny akce pro „alertRules“ |
| Microsoft.Resources/deployments/* | NotAction | Povolit všechny akce v nasazeních |
| Microsoft.Support/* | NotAction | Povolit všechny akce u „Support“ |
| Microsoft.Network/privateDnsZones/* | NotAction | Povolit všechny akce u privateDnsZones |
| Microsoft. Network/privateDnsOperationResults/* | NotAction | Povolit všechny akce u privateDnsOperationResults |
| Microsoft. Network/privateDnsOperationStatuses/* | NotAction | Povolit všechny akce u privateDnsOperationStatuses |
| Microsoft.Network/virtualNetworks/join/action | NotAction | Povolení operací virtuální sítě nebo spojení přes virtuální síť enklávy |
| Microsoft.Network/virtuální sítě/subnety/připojení/akce | NotAction | Povolit operace podsítě/připojení přes virtuální síť enklávy |
| Microsoft. Autorizace/ policyExemptions/* | NotAction | Povolit všechny akce u „policyExemptions“ |
| Microsoft.Network/routeTables/routes/write | NotAction | Povolit akce „write“ u tabulek směrování virtuální sítě |
Jak používat režim údržby
1. Aktivace režimu údržby během vytváření komunity nebo enklávy
- Přejděte na kartu Režim údržby v komunitě nebo formuláři pro vytvoření enklávy.
- Vyberte možnost režimu [
Off/General/Advanced]. - Vyberte instanční objekty služby, které chcete zahrnout.
- Vyberte odůvodnění, proč vstupujete do režimu údržby [
OFF/NETWORKING/GOVERNANCE]. - Zkontrolujte a vytvořte komunitu nebo enklávu jako obvykle.
2. Aktivace režimu údržby pro stávající komunitu nebo enklávu
- Přejděte do komunity nebo enklávy, pro kterou povolujete režim údržby.
- Přejděte na kartu Režim údržby.
- Vyberte možnost režimu [
Advanced/General]. - Vyberte instanční objekty služby, které chcete zahrnout.
- Vyberte odůvodnění, proč vstupujete do režimu údržby [
NETWORKING/GOVERNANCE]. - Potvrďte a uložte.
3. Provádění úloh údržby
- Po aktivaci režimu údržby pokračujte v úlohách údržby nebo podle potřeby vytvořte složité úlohy.
4. Deaktivovat režim údržby
- Po dokončení úkolů přejděte zpět na kartu Režim údržby.
-
OFFVyberte režim. - Potvrďte a uložte.
Osvědčené postupy
- Omezení používání: Ujistěte se, že je režim údržby povolen pouze pro důvěryhodné privilegované uživatele během plánovaných oken údržby, a zajistěte zachování zabezpečení a izolace prostředků Azure Enclave.
- Pochopit dopad: Privilegovaní uživatelé by měli plně pochopit změny, které dělají, a kroky k vrácení nebo nápravě těchto změn. Ruční změny podkladových spravovaných prostředků v komunitě nebo enklávě v režimu údržby můžou způsobit nezamýšlený posun ve vašem prostředí z ideálních stavů.
Další informace
- Co je řízení přístupu na základě role v Azure (Azure RBAC)?
- Principy přiřazení odepření v Azure
- Výpis přiřazení zamítnutí pomocí portálu Azure
- Předdefinované role v Azure
- Podstatné definice rolí Azure
- Osvědčené postupy pro Azure RBAC
- Co je Microsoft Entra Privileged Identity Management?
- Spravované skupiny prostředků v Azure