Comprendre comment utiliser l’étiquette de service Azure Resource Manager
À l’aide de l’étiquette de service AzureResourceManager
, vous pouvez définir l’accès réseau pour le service Azure Resource Manager sans spécifier d’adresses IP individuelles. L’étiquette de service est un groupe de préfixes d’adresses IP que vous utilisez pour simplifier la création de règles de sécurité. Lorsque vous utilisez des étiquettes de service, Azure met automatiquement à jour les adresses IP au fur et à mesure qu’elles changent pour le service. Toutefois, l’étiquette de service n’est pas un mécanisme de contrôle de sécurité. L’étiquette de service est simplement une liste d’adresses IP.
Quand utiliser
Vous utilisez des étiquettes de service pour définir des contrôles d’accès réseau pour :
- Groupes de sécurité réseau (NSG)
- Règles de Pare-feu Azure
- Itinéraire défini par l’utilisateur (UDR)
En plus de ces scénarios, utilisez l’étiquette de service AzureResourceManager
pour :
- Limiter l’accès aux modèles associés référencés dans un déploiement de modèle ARM.
- Limiter l’accès à un plan de contrôle Kubernetes accessible via l’extensibilité de Bicep.
Considérations de sécurité
L’étiquette de service Azure Resource Manager vous permet de définir l’accès réseau, mais elle ne doit pas être considérée comme une substitution aux mesures de sécurité réseau appropriées. Plus précisément, l’étiquette de service Azure Resource Manager :
- Ne fournit pas de contrôle granulaire sur les adresses IP individuelles.
- Ne doit pas être utilisée comme seule et unique méthode de sécurisation d’un réseau.
Supervision et automatisation
Lors de la surveillance de votre infrastructure, utilisez les préfixes d’adresse IP spécifiques qui sont associés à une étiquette de service dans la pile réseau Azure.
Pour l’automatisation et la surveillance du déploiement, assurez-vous que seules les adresses IP publiques des plages étiquetées du service sont utilisées sur les parties du service accessibles au client.
Étapes suivantes
Pour plus d’informations sur les étiquettes de service, consultez Étiquettes du service de réseaux virtuels.