Screenshot: Verwenden des Azure Resource Manager-Diensttags
Mithilfe des Diensttags AzureResourceManager können Sie den Netzwerkzugriff für den Azure Resource Manager-Dienst definieren, ohne einzelne IP-Adressen anzugeben. Das Diensttag ist eine Gruppe von IP-Adresspräfixen, mit denen Sie die Komplexität bei der Erstellung von Sicherheitsregeln minimieren. Wenn Sie Diensttags verwenden, aktualisiert Azure automatisch die IP-Adressen für den Dienst, wenn sie sich ändern. Das Diensttag ist jedoch kein Sicherheitskontrollmechanismus. Das Diensttag ist lediglich eine Liste mit IP-Adressen.
Einsatzgebiete
Sie verwenden Diensttags, um Netzwerkzugriffssteuerungen für Folgendes zu definieren:
- Netzwerksicherheitsgruppen (NSGs)
- Azure Firewall-Regeln
- Benutzerdefiniertes Routing
Verwenden Sie zusätzlich zu diesen Szenarien das Diensttag AzureResourceManager für Folgendes:
- Einschränken des Zugriffs auf verknüpfte Vorlagen, auf die innerhalb einer ARM-Vorlagenbereitstellung verwiesen wird.
- Einschränken des Zugriff auf eine Kubernetes-Steuerungsebene, auf die über die Bicep-Erweiterbarkeit zugegriffen wird.
Sicherheitshinweise
Das Azure Resource Manager-Diensttag hilft Ihnen beim Definieren des Netzwerkzugriffs, sollte jedoch nicht als Ersatz für geeignete Netzwerksicherheitsmaßnahmen betrachtet werden. Für das Azure Resource Manager-Diensttag gilt insbesondere Folgendes:
- Es bietet keine präzise Kontrolle über einzelne IP-Adressen.
- Es sollte nicht als einzige Methode zum Schützen eines Netzwerks verwendet werden.
Überwachung und Automatisierung
Verwenden Sie bei der Überwachung Ihrer Infrastruktur die spezifischen IP-Adresspräfixe, die einem Diensttag im Azure-Netzwerkstapel zugeordnet sind.
Stellen Sie bei der Bereitstellungsautomatisierung und -überwachung sicher, dass nur öffentliche IP-Adressen aus den markierten Bereichen des Diensts für Teile des Diensts verwendet werden, die für Kunden sichtbar sind.
Nächste Schritte
Weitere Informationen zu Diensttags finden Sie unter Diensttags für virtuelle Netzwerke.