Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau.
Les étiquettes de service simplifient la configuration de la sécurité réseau dans Azure en :
- Élimination de la nécessité de suivre et de mettre à jour manuellement les adresses IP pour les services Azure
- Fourniture de mises à jour automatiques lorsque les plages d’adresses IP du service Azure changent
- Réduction de la complexité de la gestion des règles de sécurité
- Activation d’un contrôle granulaire du trafic réseau vers et depuis des services Azure
Vous pouvez utiliser des balises de service pour définir des contrôles d'accès au réseau sur les groupes de sécurité du réseau, Pare-feu Azure et les routes définies par l'utilisateur. Utilisez des balises de service à la place d'adresses IP spécifiques lorsque vous créez des règles de sécurité et des routes.
Important
Bien que les étiquettes de service simplifient la capacité à activer les listes de contrôle d’accès (ACL) basées sur IP, elles seules ne suffisent pas pour sécuriser le trafic sans tenir compte de la nature du service et du trafic qu’il envoie. Pour plus d’informations sur les listes ACL basées sur IP, consultez Qu’est-ce qu’une liste de contrôle d’accès (ACL) basée sur IP ?.
Des informations supplémentaires sur la nature du trafic sont disponibles plus loin dans cet article pour chaque service et leur étiquette. Il est important de vous assurer que vous connaissez le trafic que vous autorisez lors de l’utilisation des balises de service pour les listes de contrôle d’accès IP. Envisagez d’ajouter des niveaux de sécurité pour protéger votre environnement.
Fonctionnement des balises de service
Lorsque vous spécifiez un nom d’étiquette de service (par exemple , ApiManagement) dans le champ source ou de destination approprié d’une règle de sécurité, vous autorisez ou refusez le trafic pour le service correspondant. La balise de service inclut automatiquement toutes les plages d’adresses IP actuelles et futures utilisées par ce service.
Vous pouvez router le trafic destiné à l’un des préfixes encapsulés par la balise de service vers un type de saut suivant souhaité. Spécifiez le nom de l’étiquette de service dans le préfixe d’adresse d’une route.
Cas d’utilisation courants
Les étiquettes de service vous aident à :
- Atteindre l’isolation du réseau : protégez vos ressources Azure à partir d’Internet en général tout en accédant aux services Azure qui ont des points de terminaison publics
- Simplifier les règles de sécurité : créer des règles sans gérer des adresses IP individuelles
- Garantir les mises à jour automatiques : restez à jour avec les plages d’adresses IP du service Azure sans intervention manuelle
Par exemple, vous pouvez créer des règles de groupe de sécurité réseau entrantes/sortantes qui :
- Refuser le trafic vers/depuis Internet
- Autoriser le trafic vers/depuis AzureCloud ou d’autres balises de service disponibles de services Azure spécifiques
Balises de service disponibles
Le tableau suivant répertorie les balises de service disponibles à utiliser dans les règles Groupes de sécurité réseau.
Les colonnes indiquent si la balise :
- Est adaptée aux règles couvrant le trafic entrant ou sortant.
- Prend en charge l’étendue régionale.
- Est utilisable dans les règles dePare-feu Azure en tant que règle de destination uniquement pour le trafic entrant ou sortant.
Par défaut, les balises de service reflètent les plages pour l’ensemble du Cloud. Certaines balises de service permettent également d’obtenir un contrôle plus précis en limitant les plages d’adresses IP correspondantes à une région spécifiée. Par exemple, la balise de service Storage représente le Stockage Azure pour l’ensemble du cloud, alors que Storage.WestUS limite la sélection aux plages d’adresses IP de stockage de la région WestUS. Le tableau suivant indique si chaque étiquette de service prend en charge une telle étendue régionale, et la direction indiquée pour chaque balise est une recommandation. Par exemple, la balise AzureCloud peut être utilisée pour autoriser le trafic entrant. Dans la plupart des scénarios, nous vous déconseillons d’autoriser le trafic à partir de toutes les adresses IP Azure, car les adresses IP utilisées par d’autres clients Azure sont incluses dans le cadre de la balise de service.
| Balise | Objectif | Peut-elle utiliser le trafic entrant ou sortant ? | Peut-elle être étendue à une zone régionale ? | Peut-elle être utilisée avec le Pare-feu Azure ? |
|---|---|---|---|---|
| ActionGroup | Groupe d’actions. | Trafic entrant | Non | Oui |
| ApiManagement | Gestion du trafic pour les déploiements dédiés d'Azure API Management. Remarque : cette étiquette représente le point de terminaison du service Gestion des API Azure pour le plan de contrôle par région. La balise permet aux clients d’effectuer des opérations de gestion sur les API, les opérations, les stratégies et les valeurs nommées configurées sur le service Gestion des API. |
Trafic entrant | Oui | Oui |
| DisponibilitéDesInformationsD'Application | Disponibilité d’Application Insights. | Trafic entrant | Non | Oui |
| AppConfiguration | Configuration de l'application. | Règle de trafic sortant | Non | Oui |
| AppService | Azure App Service Cette balise est recommandée pour les règles de sécurité sortantes vers les applications web et les applications de fonctions. Remarque : Cette balise n’inclut pas les adresses IP attribuées quand le protocole SSL basé sur IP (adresse attribuée par l’application) est utilisé. |
Règle de trafic sortant | Oui | Oui |
| AppServiceManagement | Gestion du trafic pour les déploiements dédiés à App Service Environment. | Les deux | Non | Oui |
| AzureActiveDirectory | Services d'identification Microsoft Entra. Cette balise inclut la connexion, MS Graph et d’autres services Microsoft Entra non répertoriés dans ce tableau | Règle de trafic sortant | Non | Oui |
| AzureActiveDirectoryDomainServices | Trafic de gestion pour les déploiements dédiés vers Microsoft Entra Domain Services. | Les deux | Non | Oui |
| AzureAdvancedThreatProtection | Microsoft Defender pour Identity. | Règle de trafic sortant | Non | Oui |
| AzureArcInfrastructure | Serveurs Azure Arc, Kubernetes avec Azure Arc et trafic Guest Configuration. Remarque : cette étiquette a une dépendance vis-à-vis des étiquettes AzureActiveDirectory, AzureTrafficManager et AzureResourceManager. |
Règle de trafic sortant | Non | Oui |
| AzureAttestation | Azure Attestation | Règle de trafic sortant | Non | Oui |
| AzureBackup | Sauvegarde Azure. Remarque : cette étiquette est dotée d’une dépendance par rapport aux étiquettes Storage et AzureActiveDirectory. |
Règle de trafic sortant | Non | Oui |
| AzureBotService | Service de Bot Azure. | Les deux | Non | Oui |
| AzureCloud | Toutes les adresses IP publiques du centre de données. Cette balise n’inclut pas IPv6. | Les deux | Oui | Oui |
| AzureCognitiveSearch | Recherche Azure AI. Cette étiquette spécifie les plages IP des environnements d’exécution multilocataires utilisées par un service de recherche pour l’indexation basée sur l’indexeur. Remarque : L’IP du service de recherche lui-même n’est pas couverte par cette étiquette de service. Dans la configuration du pare-feu de votre ressource Azure, vous devez spécifier l’étiquette de service ainsi que l’adresse IP spécifique du service de recherche lui-même. |
Trafic entrant | Non | Oui |
| AzureConnectors | Cette étiquette représente les adresses IP utilisées pour les connecteurs managés qui effectuent des rappels de webhook entrants vers le service Azure Logic Apps et des appels sortants vers leurs services respectifs, par exemple, Stockage Azure ou Azure Event Hubs. | Les deux | Oui | Oui |
| AzureContainerRegistry | Azure Container Registry. | Règle de trafic sortant | Oui | Oui |
| AzureCosmosDB | Azure Cosmos DB. | Règle de trafic sortant | Oui | Oui |
| AzureDatabricks | Azure Databricks. | Les deux | Non | Oui |
| AzureDataExplorerManagement | Gestion d’Azure Data Explorer. | Trafic entrant | Non | Oui |
| AzureDeviceUpdate | Device Update pour IoT Hub. | Les deux | Non | Oui |
| AzureDevOps | Azure DevOps. | Trafic entrant | Oui | Oui |
| AzureDigitalTwins | Azure Digital Twins. Remarque : Cette étiquette et les adresses IP qu’elle couvre peuvent être utilisées pour restreindre l’accès aux points de terminaison configurés pour des routes d’événements. |
Trafic entrant | Non | Oui |
| AzureEventGrid | Azure Event Grid. | Les deux | Non | Oui |
| AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty AzureFrontDoor.MicrosoftSecurity |
L’étiquette de service Frontend contient les adresses IP que les clients utilisent pour atteindre Front Door. Vous pouvez appliquer l’étiquette de service AzureFrontDoor.Frontend quand vous voulez contrôler le trafic sortant qui peut se connecter aux services derrière Azure Front Door. L’étiquette de service Backend contient la liste des adresses IP que Azure Front Door utilise pour accéder à vos origines. Vous pouvez appliquer cette étiquette de service quand vous configurez la sécurité pour vos origines. FirstParty et MicrosoftSecurity sont des balises spéciales réservées à un groupe sélectionné de services Microsoft hébergés sur Azure Front Door. La balise de service FirstParty est disponible uniquement dans le cloud public, tandis que les autres balises de service sont disponibles dans les clouds publics et gouvernementaux. | Les deux | Oui | Oui |
| AzureHealthcareAPIs | Les adresses IP couvertes par cette étiquette peuvent être utilisées pour restreindre l’accès à Azure Health Data Services. | Les deux | Non | Oui |
| AzureInformationProtection | Azure Information Protection. Remarque : cette étiquette est dotée d’une dépendance par rapport aux étiquettes AzureActiveDirectory, AzureFrontDoor.Frontend et AzureFrontDoor.FirstParty. |
Règle de trafic sortant | Non | Oui |
| AzureIoTHub | Azure IoT Hub. | Règle de trafic sortant | Oui | Oui |
| AzureKeyVault | Azure Key Vault. Remarque : cette étiquette est dotée d’une dépendance par rapport à l’étiquette AzureActiveDirectory. |
Règle de trafic sortant | Oui | Oui |
| AzureLoadBalancer | Équilibrage de charge de l’infrastructure Azure. Elle est translatée vers l’adresse IP virtuelle de l’hôte (168.63.129.16) d’où proviennent les sondes d’intégrité d’Azure. Cela comprend uniquement le trafic de sondes, et non le trafic réel vers votre ressource principale. Vous pouvez remplacer cette règle si vous n’utilisez pas l’équilibreur de charge Azure. | Les deux | Non | Non |
| AzureMachineLearningInference | Cette étiquette de service sert à restreindre l’entrée du réseau public dans les scénarios d’inférence managée par un réseau privé. | Trafic entrant | Non | Oui |
| AzureManagedGrafana | Un point de terminaison d’instance Azure Managed Grafana. | Règle de trafic sortant | Non | Oui |
| AzureMonitor | Métriques Log Analytics, Application Insights, espace de travail Azure Monitor, AzMon et métriques personnalisées (points de terminaison GiG). Remarque : pour l’agent Azure Monitor, AzureResourceManager est également requis. Remarque : pour l’agent Log Analytics, l’étiquette Storage est également nécessaire. Si des agents Linux Log Analytics sont utilisés, l’étiquette GuestAndHybridManagement est également nécessaire. (L’agent Log Analytics hérité est déconseillé depuis le 31 août 2024.) |
Règle de trafic sortant | Non | Oui |
| AzureOpenDatasets | Azure Open Datasets. Remarque : cette étiquette est dotée d’une dépendance par rapport aux étiquettes AzureFrontDoor.Frontend et Storage. |
Règle de trafic sortant | Non | Oui |
| AzurePlatformDNS | Service DNS de l’infrastructure de base (par défaut). Vous pouvez utiliser cette balise pour désactiver le DNS par défaut. Utilisez cette balise avec prudence. Nous vous recommandons de lire les considérations sur la plateforme Azure. Nous vous recommandons également d’effectuer des tests avant d’utiliser cette balise. |
Règle de trafic sortant | Non | Non |
| AzurePlatformIMDS | Azure Instance Metadata Service (IMDS), qui est un service d’infrastructure de base. Vous pouvez utiliser cette balise pour désactiver l'IMDS par défaut. Utilisez cette balise avec prudence. Nous vous recommandons de lire les considérations sur la plateforme Azure. Nous vous recommandons également d’effectuer des tests avant d’utiliser cette balise. |
Règle de trafic sortant | Non | Non |
| AzurePlatformLKM | Gestionnaire de licences Windows ou service de gestion de clés. Vous pouvez utiliser cette balise pour désactiver les paramètres par défaut des licences. Utilisez cette balise avec prudence. Nous vous recommandons de lire les considérations sur la plateforme Azure. Nous vous recommandons également d’effectuer des tests avant d’utiliser cette balise. |
Règle de trafic sortant | Non | Non |
| AzureResourceManager | Azure Resource Manager. | Règle de trafic sortant | Non | Oui |
| AzureSentinel | Microsoft Sentinel. | Trafic entrant | Non | Oui |
| AzureSignalR | Azure SignalR. | Règle de trafic sortant | Non | Oui |
| AzureSiteRecovery | Azure Site Recovery. Remarque : cette balise est dépendante des balises AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement et Storage . |
Règle de trafic sortant | Non | Oui |
| AzureSphere | Cette étiquette et les adresses IP qu’elle couvre peuvent être utilisées pour restreindre l’accès aux services de sécurité Azure Sphere. | Les deux | Non | Oui |
| AzureSpringCloud | Autoriser le trafic vers les applications hébergées dans Azure Spring Apps. | Règle de trafic sortant | Non | Oui |
| AzureStack | Services Azure Stack Bridge. Cette étiquette représente le point de terminaison de service Azure Stack Bridge par région. |
Règle de trafic sortant | Non | Oui |
| AzureTrafficManager | Adresses IP de sonde Azure Traffic Manager. Pour plus d’informations sur les adresses IP de sondage Traffic Manager, consultez les Questions fréquentes (FAQ) sur Azure Traffic Manager. |
Trafic entrant | Non | Oui |
| AzureUpdateDelivery | La balise de service De remise des mises à jour Azure utilisée pour accéder aux mises à jour Windows est déconseillée. Les clients sont invités à ne pas dépendre de cette balise de service et pour les clients qui l’utilisent déjà, ils sont invités à migrer vers l’une des options suivantes : Configurer le Pare-feu Azure pour vos appareils Windows 10/11 comme indiqué : • Gérer les points de terminaison de connexion pour Windows 11 Entreprise • Gérer les points de terminaison de connexion pour Windows 10 Entreprise, version 21H2 Déployer les services Windows Server Update Services (WSUS) Planifier le déploiement de machines virtuelles Windows dans Azure, puis passer à l’étape 2 : Configurer WSUS Pour plus d’informations, consultez Modifications apportées à la balise du service De remise des mises à jour Azure |
Règle de trafic sortant | Non | Oui |
| AzureWebPubSub | AzureWebPubSub | Les deux | Oui | Oui |
| BatchNodeManagement | Trafic de gestion pour les déploiements dédiés d’Azure Batch. | Les deux | Oui | Oui |
| ChaosStudio | Azure Chaos Studio. Remarque : Si vous avez activé l’intégration d’Application Insights sur Chaos Agent, la balise AzureMonitor est également requise. |
Les deux | Non | Oui |
| CognitiveServicesFrontend | Les plages d’adresses pour le trafic des portails frontaux des services Azure AI. | Les deux | Non | Oui |
| CognitiveServicesManagement | Les plages d’adresses pour le trafic des services Azure AI. | Les deux | Non | Oui |
| DataFactory | Azure Data Factory. | Les deux | Oui | Oui |
| DataFactoryManagement | Trafic de gestion pour Azure Data Factory. | Règle de trafic sortant | Non | Oui |
| Dynamics365ForMarketingEmail | Plages d’adresses pour le service de messagerie marketing de Dynamics 365. | Les deux | Oui | Oui |
| Dynamics365BusinessCentral | Cette étiquette et les adresses IP qu’elle couvre peuvent être utilisées pour restreindre l’accès de/à Dynamics 365 Business Central Services. | Les deux | Non | Oui |
| EOPExternalPublishedIPs | Cette étiquette représente les adresses IP utilisées pour le Centre de sécurité et de conformité PowerShell. Pour plus d'informations, consultez Se connecter au Centre de sécurité et de conformité PowerShell à l'aide du module EXO V2. | Les deux | Non | Oui |
| EventHub | Azure Event Hubs. | Règle de trafic sortant | Oui | Oui |
| GatewayManager | Trafic de gestion pour les déploiements dédiés à la passerelle VPN Azure et à la passerelle d'application Azure. | Trafic entrant | Non | Non |
| GuestAndHybridManagement | Azure Automation et Guest Configuration. | Règle de trafic sortant | Non | Oui |
| HDInsight | Azure HDInsight | Trafic entrant | Oui | Oui |
| Internet | Espace d’adresse IP qui se trouve en dehors du réseau virtuel et est accessible sur les réseaux Internet publics. La plage d’adresse inclut l’espace de l’adresse IP public d’Azure. |
Les deux | Non | Non |
| KustoAnalytics | Kusto Analytics | Les deux | Non | Non |
| LogicApps | Logic Apps. | Les deux | Non | Oui |
| LogicAppsManagement | Trafic de gestion pour Logic Apps. | Trafic entrant | Non | Oui |
| M365ManagementActivityApi | L’API Activité de gestion Office 365 fournit des informations sur différentes actions et événements d’utilisateurs, d’administrateurs, de système et de stratégies des journaux d’activités Office 365 et Microsoft Entra. Les clients et partenaires peuvent utiliser ces informations pour créer ou améliorer des solutions de monitoring de la conformité, d’opérations et de sécurité existantes. Remarque : cette étiquette est dotée d’une dépendance par rapport à l’étiquette AzureActiveDirectory. |
Règle de trafic sortant | Oui | Oui |
| M365ManagementActivityApiWebhook | Des notifications sont envoyées au webhook configuré pour un abonnement lors de la mise à disposition de nouveau contenu. | Trafic entrant | Oui | Oui |
| MicrosoftAzureFluidRelay | Cette balise représente les adresses IP utilisées pour azure Microsoft Fluid Relay Server. Remarque : cette balise a une dépendance sur la balise AzureFrontDoor.Frontend . |
Les deux | Non | Oui |
| MicrosoftCloudAppSecurity | Applications Microsoft Defender pour le cloud. | Les deux | Non | Oui |
| MicrosoftDefenderForEndpoint | Services de base de Microsoft Defender for Endpoint. Remarque : pour utiliser cette étiquette de service, vous devez vous assurer que les appareils sont intégrés avec une connectivité simplifiée et respectent certaines exigences. Defender pour point de terminaison/serveur nécessite plus d’étiquettes de service, comme OneDSCollector, pour prendre en charge toutes les fonctionnalités. Pour plus d’informations, consultez Intégration d’appareils à l’aide d’une connectivité simplifiée pour Microsoft Defender for Endpoint |
Les deux | Non | Oui |
| PowerBI | Services principaux de plateforme Power BI et points de terminaison d’API. |
Les deux | Oui | Oui |
| PowerPlatformInfra | Cette étiquette représente les adresses IP utilisées par l’infrastructure pour héberger les services Power Platform. | Les deux | Oui | Oui |
| PowerPlatformPlex | Cette étiquette représente les adresses IP utilisées par l’infrastructure pour héberger l’exécution de l’extension Power Platform pour le compte du client. | Les deux | Oui | Oui |
| PowerQueryOnline | Power Query en ligne. | Les deux | Non | Oui |
| Plongée sous-marine | Connecteurs de données pour les produits de sécurité Microsoft (Microsoft Sentinel, Defender, etc.). | Trafic entrant | Non | Non |
| SerialConsole | Limiter l’accès aux comptes de stockage de diagnostics de démarrage uniquement à partir de l’étiquette de service Console série | Trafic entrant | Non | Oui |
| ServiceBus | Trafic Azure Service Bus. | Règle de trafic sortant | Oui | Oui |
| ServiceFabric | Azure Service Fabric. Remarque : cette étiquette représente le point de terminaison du service Service Fabric pour le plan de contrôle par région. Cela permet aux clients d’effectuer des opérations de gestion pour leurs clusters Service Fabric à partir de leur point de terminaison de réseau virtuel. (Par exemple https:// westus.servicefabric.azure.com). |
Les deux | Non | Oui |
| SQL | Azure SQL Database, Azure Database for MariaDB et Azure Synapse Analytics. Remarque : cette étiquette représente le service, mais pas des instances spécifiques du service. Par exemple, la balise représente le service Azure SQL Database, mais pas une base de données ou un serveur SQL spécifique. Cette balise ne s’applique pas à l’Instance gérée SQL. |
Règle de trafic sortant | Oui | Oui |
| SqlManagement | Gestion du trafic pour les déploiements dédiés à SQL. | Les deux | Non | Oui |
| Stockage | Stockage Azure. Remarque : cette étiquette représente le service, mais pas des instances spécifiques du service. Par exemple, la balise représente le service Azure Storage, mais pas un compte Azure Storage spécifique. |
Règle de trafic sortant | Oui | Oui |
| StorageSyncService | Service de synchronisation du stockage. | Les deux | Non | Oui |
| StorageMover | Déplaceur de stockage. | Règle de trafic sortant | Oui | Oui |
| WindowsAdminCenter | Autoriser le service principal du Centre d’administration Windows à communiquer avec l'installation du Centre d'administration Windows chez les clients. | Règle de trafic sortant | Non | Oui |
| WindowsVirtualDesktop | Azure Virtual Desktop (anciennement Microsoft Virtual Desktop). | Les deux | Non | Oui |
| VideoIndexer | Video Indexer. Utilisé pour permettre aux clients d’ouvrir leur groupe de sécurité réseau au service Video Indexer et de recevoir des rappels à leur service. |
Les deux | Non | Oui |
| VirtualNetwork | L’espace d’adressage du réseau virtuel (toutes les plages d’adresses IP définies pour le réseau virtuel), tous les espaces d’adressage locaux connectés, les réseaux virtuels appairés ou connectés à une passerelle de réseau virtuel, l’adresse IP virtuelle de l’hôte et les préfixes d’adresse utilisés sur les routes définies par l’utilisateur. Cette balise peut également contenir des itinéraires par défaut. | Les deux | Non | Non |
Remarque
Lorsque vous utilisez des balises de service avec le Pare-feu Azure, vous pouvez uniquement créer des règles de destination sur le trafic entrant et sortant. Les règles de source ne sont pas prises en charge. Pour plus d’informations, consultez la documentation sur les étiquettes de service de pare-feu Azure .
Les balises des services Azure indiquent les préfixes d’adresse du cloud spécifique utilisé. Par exemple, les plages d’adresses IP sous-jacentes qui correspondent à la valeur de balise Sql sur le cloud public Azure sont différentes des plages sous-jacentes sur le cloud Microsoft Azure géré par le cloud 21Vianet.
Si vous implémentez un point de terminaison de service de réseau virtuel pour un service, par exemple Stockage Azure ou Azure SQL Database, Azure ajoute un itinéraire vers un sous-réseau de réseau virtuel pour le service. Les préfixes d’adresse de l’itinéraire sont les mêmes préfixes d’adresse ou plages CIDR que pour la balise de service correspondante.
Balises non prises en charge pour les itinéraires définis par l’utilisateur (UDR)
La liste suivante de balises n’est actuellement pas prise en charge pour une utilisation avec des itinéraires définis par l’utilisateur (UDR).
- AzurePlatformDNS
- AzurePlatformIMDS
- AzurePlatformLKM
- VirtualNetwork
- AzureLoadBalancer (équilibreur de charge Azure)
- Internet
Balises de service locales
Vous pouvez obtenir la balise de service et les informations de plage actuelles à inclure dans le cadre de vos configurations du pare-feu local. Ces informations forment la liste actuelle des plages d’adresses IP qui correspondent à chaque balise de service. Vous devez obtenir les informations par programmation ou via un téléchargement de fichier JSON, comme décrit dans les sections suivantes.
Utiliser l’API Service Tag Discovery
Vous pouvez récupérer par programmation la liste actuelle des balises de service ainsi que les informations relatives aux plages d’adresses IP :
Par exemple, pour récupérer tous les préfixes de l’étiquette de service Stockage, vous pouvez utiliser les applets de commande PowerShell suivantes :
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
Remarque
- Les données d’API représentent les étiquettes qui peuvent être utilisées avec les règles de groupe de sécurité réseau dans votre région. Utilisez les données d’API comme source de vérité pour les balises de service disponibles, car elles peuvent être différentes du fichier téléchargeable JSON.
- Il faut jusqu’à quatre semaines pour que les nouvelles données d’étiquette de service se propagent dans les résultats de l’API dans toutes les régions Azure. En raison de ce processus, vos résultats de données d’API peuvent être désynchronisées avec le fichier JSON téléchargeable, car les données d’API représentent un sous-ensemble des balises actuellement dans le fichier JSON téléchargeable.
- Vous devez être authentifié et disposer d’un rôle avec des autorisations de lecture pour votre abonnement actuel.
Détection de balises de service à l’aide de fichiers JSON téléchargeables
Vous pouvez télécharger des fichiers JSON qui contiennent la liste actuelle des balises de service avec les informations relatives aux plages d’adresses IP. Ces listes sont mises à jour et publiées chaque semaine. Les emplacements de chaque cloud sont les suivants :
Les plages d’adresses IP de ces fichiers sont en notation CIDR.
Les étiquettes AzureCloud suivantes n’ont pas de noms régionaux formatés selon le schéma normal :
- AzureCloud.francecentrale (FranceCentrale)
- AzureCloud.southfrance (FranceSouth)
- AzureCloud.germanywc (Allemagne-Centre-Ouest)
- AzureCloud.germanyn (GermanyNorth)
- AzureCloud.NorvègeEst (NorwayEast)
- AzureCloud.norwayw (NorwayWest)
- AzureCloud.switzerlandn (SwitzerlandNorth)
- AzureCloud.switzerlandw (Suisse-Ouest)
- AzureCloud.usstagee (EastUSSTG)
- AzureCloud.usstagec (SouthCentralUSSTG)
- AzureCloud.brazilse (BrésilSoutheast)
Conseil
- Vous pouvez détecter les mises à jour d’une publication à l’autre en notant les valeurs changeNumber augmentées dans le fichier JSON. Chaque sous-section (par exemple, Storage.WestUS) a sa propre valeur changeNumber qui est incrémentée au fur et à mesure que des modifications sont effectuées. Le niveau supérieur de la valeur changeNumber du fichier est incrémenté lorsque l’une des sous-sections est modifiée.
- Pour obtenir des exemples d’analyse des informations de balise de service (par exemple, obtenir toutes les plages d’adresses pour le stockage dans la région WestUS), reportez-vous à la documentation relative à l’API Service Tag Discovery PowerShell.
- Lorsque de nouvelles adresses IP sont ajoutées aux balises de service, elles ne sont pas utilisées dans Azure pendant au moins une semaine. Ce processus vous donne le temps de mettre à jour tous les systèmes susceptibles de devoir suivre les adresses IP associées aux balises de service.
Étapes suivantes
- Découvrez comment créer des groupes de sécurité réseau.