Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La modalità di manutenzione è una funzionalità che consente ai proprietari della community o dell'enclave di posizionare temporaneamente la community o le enclave in uno stato di "manutenzione" in cui sono consentite le modifiche. Questa modalità consente agli utenti con privilegi di apportare determinate modifiche alle risorse gestite sottostanti normalmente protette dalle assegnazioni di rifiuto. Ciò consente di mantenere l'isolamento della community e dell'enclave e il limite di rete.
Opzioni della modalità di manutenzione
-
Off- Le assegnazioni di negazione create da Azure Enclave sono predisposte per proteggere i gruppi di risorse gestite sottostanti per un'enclave o una community. -
General- L'assegnazioneAllow Dataplane Actionsdi rifiuto creata da Azure consente agli utenti con privilegi di modificare determinate risorse esistenti solo nelle risorse gestite sottostanti. Per un enclave, queste operazioni includono risorse che si uniscono alla rete virtuale dell'enclave e creano record di zona DNS privato. Per una community, queste operazioni includono l'esecuzione di modifiche alle risorse rete WAN virtuale. Per impostazione predefinita, le community e le enclave vengono distribuite in modalitàOff, ma scegliete la modalitàGeneraldurante la creazione e fornite identità Microsoft Entra ID appropriate per consentire modifiche alle risorse protette. -
Advanced- L'assegnazione di rifiuto creata da Azure viene temporaneamente rimossa per consentire agli utenti con privilegi di apportare modifiche elevate alle risorse gestite sottostanti.
Opzioni di giustificazione
- Rete - Gestione delle modifiche privilegiate o personalizzate alle risorse gestite.
- Governance - Gestione dei registri, dei criteri o di altre modifiche relative alla governance.
- Disattivato : la modalità di manutenzione non è più necessaria.
Modalità di manutenzione della community
La modalità di manutenzione della Community viene usata per proteggere le risorse gestite che compongono la Community, incluse Azure vWAN, Firewall di Azure, i Criteri di Firewall e l'area di lavoro di Log Analytics. Le assegnazioni di negazione vengono utilizzate per impedire azioni non autorizzate su queste risorse. Quando la modalità di manutenzione è abilitata, alle entità di sicurezza specificate vengono concesse esclusioni dalle assegnazioni di negazione per eseguire azioni RBAC privilegiate.
Scenari della modalità di manutenzione della community
Gli scenari comuni per la modalità Community Maintanence includono:
- Creazione/modifica delle tabelle di route dell'hub virtuale per supportare configurazioni di rete complesse.
- Creazione/modifica di hub virtuali personalizzati all'interno della rete WAN virtuale della community
- Creazione/modifica di singole regole del gruppo di sicurezza di rete necessarie per servizi di Azure specifici
- Creazione di risorse all'interno del gruppo di risorse gestite dell'enclave per abilitare la rete privata ,ad esempio zone DNS privato, collegamenti privati e così via.
Community - Modalità di manutenzione generale
Quando General la modalità di manutenzione è abilitata per una risorsa **Community **, gli elementi della modalità di manutenzione principals (ad esempio utenti o gruppi) sono esclusi dall'assegnazione di negazione Deny All per il gruppo di risorse gestito dalla community.
Ciò consente agli utenti identificati nelle entità della modalità di manutenzione di eseguire tali azioni che altrimenti verrebbero bloccate dall'assegnazione di rifiuto Deny All. Le Allow Dataplane Actions assegnazioni di negazione sono ancora in vigore per tutte le identità (incluse le identità della modalità di manutenzione). Un utente può comunque essere limitato dai ruoli assegnati.
Le autorizzazioni seguenti sono consentite per il gruppo di risorse gestite dalla community quando è abilitata la modalità maintanence generale .
Assegnazione di negazione della Community: Deny All
| Operation | Tipo di azione | Explanation | |
|---|---|---|---|
| * | Action | Nega tutte le azioni tranne quelle specificate in questa tabella | |
| */read | NotAction | Consentito | Consenti azioni di lettura su tutte le risorse |
| Microsoft.Resources/tags/* | NotAction | Consenti azioni "tag" su tutte le risorse |
Community - Modalità manutenzione avanzata
Le autorizzazioni seguenti sono consentite per il gruppo di risorse gestite Communtiy quando è abilitata la modalità maintanence avanzata .
Assegnazione di negazione della Community: Allow Dataplane Actions
| Operation | Tipo di azione | Explanation |
|---|---|---|
| * | Action | Nega tutte le azioni tranne quelle specificate in questa tabella |
| */read | NotAction | Consenti azioni di lettura su tutte le risorse |
| Microsoft.Insights/alertRules/* | NotAction | Consenti tutte le azioni su "alertRules" |
| Microsoft.Support/* | NotAction | Consenti tutte le azioni su "Supporto" |
| Microsoft.Resources/tags/* | NotAction | Consenti azioni "tag" su tutte le risorse |
| Microsoft.Network/azureFirewalls/networkRuleCollections/write | NotAction | Consenti azioni di scrittura su networkRuleCollections |
| Microsoft.Network/azureFirewalls/applicationRuleCollections/write | NotAction | Consenti azioni di "scrittura" in applicationRuleCollections |
| Microsoft.Network/azureFirewalls/natRuleCollections/write | NotAction | Consenti azioni di scrittura in natRuleCollections |
| Microsoft.Network/firewallPolicies/ruleGroups/write | NotAction | Consentire azioni di "scrittura" su ruleGroups |
| Microsoft.Network/virtualHubs/write | NotAction | Consenti azioni di "scrittura" in virtualHubs |
| Microsoft.Network/virtualWans/virtualHubs/read | NotAction | Consenti azioni di lettura in virtualHubs |
| Microsoft.Network/virtualWans/join/action | NotAction | Consenti operazioni di associazione su Virtual WANs |
| Microsoft.Network/virtualHubs/routeTables/write | NotAction | Consenti azioni di "scrittura" sulle tabelle di route dell'hub virtuale |
Modalità di manutenzione dell'enclave
La modalità di manutenzione dell'enclave consente di proteggere le risorse gestite che costituiscono l'enclave, tra cui Azure rete virtuale, gruppi di sicurezza di rete e area di lavoro Log Analytics. Le assegnazioni di negazione vengono utilizzate per impedire azioni non autorizzate su queste risorse. Quando la modalità di manutenzione è abilitata, alle entità di sicurezza specificate sono concesse esenzioni dalle assegnazioni di negazione per eseguire azioni RBAC privilegiate nel gruppo di risorse gestito dell'enclave.
Scenari della modalità di manutenzione dell'enclave
Gli scenari comuni per utilizzare la modalità di manutenzione dell'enclave includono:
- Esecuzione di operazioni di connessione a subnet/VNet durante la distribuzione dei carichi di lavoro
- Creazione/modifica di singole regole del gruppo di sicurezza di rete necessarie per servizi di Azure specifici
- Creazione di risorse all'interno del gruppo di risorse gestite dall'enclave per abilitare la rete privata ,ad esempio zone DNS privato, collegamenti privati e così via.
Enclave - Modalità di manutenzione generale
Quando General la modalità di manutenzione è abilitata su una risorsa enclave, le entità della modalità di manutenzione principals (utenti, gruppi o entità servizio) sono escluse dall'assegnazione di negazione Deny All per il gruppo di risorse gestito dall'enclave. Ciò consente agli utenti identificati nelle entità della modalità di manutenzione di eseguire tali azioni che altrimenti verrebbero bloccate dall'assegnazione di rifiuto Deny All. Le Allow Dataplane Actions assegnazioni di negazione sono ancora in vigore per tutte le identità (incluse le identità della modalità di manutenzione). Un utente può comunque essere limitato dai ruoli assegnati.
Le autorizzazioni seguenti sono consentite per il gruppo di risorse gestite dall'enclave quando è abilitata la modalità maintanence generale .
Assegnazione di rifiuto dell'enclave: Deny All
| Operation | Tipo di azione | Explanation |
|---|---|---|
| * | Action | Nega tutte le azioni tranne quelle specificate in questa tabella |
| */read | NotAction | Consenti azioni di lettura su tutte le risorse |
| Microsoft.Resources/tags/* | NotAction | Consenti azioni "tag" su tutte le risorse |
Enclave - Modalità di manutenzione avanzata
Le autorizzazioni seguenti sono consentite per il gruppo di risorse gestite dall'enclave quando è abilitata la modalità maintanence avanzata .
Assegnazione di rifiuto dell'enclave: Allow Dataplane Actions
| Operation | Tipo di azione | Explanation |
|---|---|---|
| * | Action | Nega tutte le azioni tranne quelle specificate in questa tabella |
| */read | NotAction | Consenti azioni di lettura su tutte le risorse |
| Microsoft.Insights/alertRules/* | NotAction | Consenti tutte le azioni su "alertRules" |
| Microsoft.Resources/deployments/* | NotAction | Consentire tutte le azioni sulle "distribuzioni" |
| Microsoft.Support/* | NotAction | Consenti tutte le azioni su "Supporto" |
| Microsoft.Network/privateDnsZones/* | NotAction | Consenti tutte le azioni in "privateDnsZones" |
| Microsoft.Network/privateDnsOperationResults/* | NotAction | Consenti tutte le azioni in "privateDnsOperationResults" |
| Microsoft.Network/privateDnsOperationStatuses/* | NotAction | Consenti tutte le azioni in "privateDnsOperationStatuses" |
| Microsoft.Network/virtualNetworks/join/action | NotAction | Consentire operazioni di vNet/join sulla rete virtuale dell'enclave |
| Microsoft.Network/virtualNetworks/subnets/join/action | NotAction | Consenti operazioni di subnet/join sulla rete virtuale dell'enclave |
| Microsoft.Authorization/policyExemptions/* | NotAction | Consenti tutte le azioni su "policyExemptions" |
| Microsoft.Network/routeTables/routes/write | NotAction | Consentire azioni di scrittura sulle tabelle di route della rete virtuale |
Come usare la modalità di manutenzione
1. Attivare la modalità di manutenzione durante la creazione della community o dell'enclave
- Passare alla scheda Modalità di manutenzione nel modulo di creazione della community o dell'enclave.
- Selezionare l'opzione mode [
Off/General/Advanced]. - Selezionare le entità di servizio che si desidera includere.
- Selezionare la giustificazione per il motivo per cui si sta immettendo la modalità di manutenzione [
OFF/NETWORKING/GOVERNANCE]. - Rivedi e crea la community o l'enclave come di consueto.
2. Attivare la modalità di manutenzione per una community o un enclave esistente
- Passare alla community o all'enclave per cui si sta abilitando la modalità di manutenzione.
- Passare alla scheda "Modalità manutenzione".
- Selezionare l'opzione mode [
Advanced/General]. - Selezionare le entità servizio da includere.
- Selezionare la giustificazione per il motivo per cui si sta immettendo la modalità di manutenzione [
NETWORKING/GOVERNANCE]. - Confermare e salvare.
3. Eseguire attività di manutenzione
- Dopo l'attivazione della modalità di manutenzione, procedere con le attività di manutenzione o creare carichi di lavoro complessi in base alle esigenze.
4. Disattivare la modalità di manutenzione
- Dopo aver completato le attività, tornare alla scheda Modalità di manutenzione.
- Selezionare la
OFFmodalità. - Confermare e salvare.
Procedure consigliate
- Limita utilizzo: assicurarsi che la modalità di manutenzione sia abilitata solo per gli utenti con privilegi attendibili durante le finestre di mainenance pianificate e assicurarsi di mantenere la sicurezza e l'isolamento sulle risorse dell'enclave Azure.
- Comprendere l'impatto: gli utenti con privilegi devono comprendere appieno le modifiche apportate e i passaggi per annullare o correggere tali modifiche. Apportare modifiche manuali alle risorse gestite sottostanti in una community o in un enclave mentre in modalità di manutenzione potrebbe causare deviazioni impreviste nell'ambiente dagli stati ideali.
Ulteriori informazioni
- Che cos'è il controllo degli accessi basato sui ruoli di Azure (Azure RBAC)?
- Comprendere le assegnazioni di negazione di Azure
- Elencare le assegnazioni di rifiuto usando il portale di Azure
- Ruoli predefiniti di Azure
- Comprendere le definizioni dei ruoli di Azure
- Procedure consigliate per Azure RBAC
- Che cos'è Microsoft Entra Privileged Identity Management?
- Gruppi di risorse gestiti in Azure