Udostępnij za pośrednictwem


Inspekcja zgodności zasobów usługi Azure Web PubSub przy użyciu usługi Azure Policy

Usługa Azure Policy to bezpłatna usługa platformy Azure umożliwiająca tworzenie, przypisywanie i zarządzanie zasadami, które wymuszają reguły i efekty, aby zapewnić zgodność zasobów ze standardami firmowymi i umowami dotyczącymi poziomu usług. Użyj tych zasad, aby przeprowadzić inspekcję zasobów Web PubSub pod kątem zgodności.

W tym artykule opisano wbudowane zasady dla usługi Azure Web PubSub Service.

Wbudowane definicje zasad

Poniższa tabela zawiera indeks wbudowanych definicji zasad usługi Azure Policy dla usługi Azure Web PubSub. Aby uzyskać wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.

Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja, aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure Web PubSub powinna wyłączyć dostęp do sieci publicznej Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Web PubSub nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługi Azure Web PubSub. Dowiedz się więcej na stronie: https://aka.ms/awps/networkacls. Inspekcja, Odmowa, Wyłączone 1.0.0
Usługa Azure Web PubSub powinna włączyć dzienniki diagnostyczne Inspekcja włączania dzienników diagnostycznych. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 1.0.0
Usługa Azure Web PubSub powinna mieć wyłączone lokalne metody uwierzytelniania Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że usługa Azure Web PubSub Service wymaga wyłącznie tożsamości usługi Azure Active Directory do uwierzytelniania. Inspekcja, Odmowa, Wyłączone 1.0.0
Usługa Azure Web PubSub powinna używać jednostki SKU obsługującej łącze prywatne Dzięki obsługiwanej jednostce SKU usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. Inspekcja, Odmowa, Wyłączone 1.0.0
Usługa Azure Web PubSub powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. Inspekcja, wyłączone 1.0.0
Konfigurowanie usługi Azure Web PubSub w celu wyłączenia uwierzytelniania lokalnego Wyłącz lokalne metody uwierzytelniania, aby usługa Azure Web PubSub Service wymagała wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Modyfikowanie, wyłączone 1.0.0
Konfigurowanie usługi Azure Web PubSub w celu wyłączenia dostępu do sieci publicznej Wyłącz dostęp do sieci publicznej dla zasobu usługi Azure Web PubSub, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/awps/networkacls. Modyfikowanie, wyłączone 1.0.0
Konfigurowanie usługi Azure Web PubSub do korzystania z prywatnych stref DNS Użyj prywatnych stref DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego. Prywatna strefa DNS łączy się z siecią wirtualną w celu rozpoznania usługi Azure Web PubSub. Dowiedz się więcej na stronie: https://aka.ms/awps/privatelink. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie usługi Azure Web PubSub z prywatnymi punktami końcowymi Prywatne punkty końcowe łączą sieci wirtualne z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe na usługę Azure Web PubSub, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. DeployIfNotExists, Disabled 1.0.0

Przypisywanie definicji zasad

Podczas przypisywania definicji zasad:

  • Definicje zasad można przypisywać przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, szablonu usługi Resource Manager lub zestawów SDK usługi Azure Policy.
  • Przypisania zasad mogą być ograniczone do grupy zasobów, subskrypcji lub grupy zarządzania platformy Azure.
  • W dowolnym momencie możesz włączyć lub wyłączyć wymuszanie zasad.
  • Przypisania zasad Web PubSub mają zastosowanie do istniejących i nowych zasobów Web PubSub w zakresie.

Uwaga

Po przypisaniu lub zaktualizowaniu zasad przypisanie do zasobów w zdefiniowanym zakresie zajmuje trochę czasu. Zobacz informacje o wyzwalaczach oceny zasad.

Przegląd zgodności zasad

Uzyskaj dostęp do informacji o zgodności generowanych przez przypisania zasad przy użyciu witryny Azure Portal, narzędzi wiersza polecenia platformy Azure lub zestawów SDK usługi Azure Policy. Aby uzyskać szczegółowe informacje, zobacz Pobieranie danych zgodności zasobów platformy Azure.

Jeśli zasób jest niezgodny, istnieje wiele możliwych powodów. Aby określić przyczynę lub znaleźć zmianę odpowiedzialną, zobacz Określanie niezgodności.

Zgodność zasad w portalu:

  1. Otwórz witrynę Azure Portal i wyszukaj pozycję Zasady.
  2. Wybierz pozycję Zasady.
  3. Wybierz pozycję Zgodność.
  4. Użyj filtrów, aby wyświetlić według stanu Zakres, Typ lub Zgodność. Użyj listy wyszukiwania według nazwy lub identyfikatora. Screenshot showing policy compliance in portal.
  5. Wybierz zasady, aby przejrzeć zagregowane szczegóły zgodności i zdarzenia.
  6. Wybierz określony internetowy pubSub pod kątem zgodności zasobów.

Zgodność zasad w interfejsie wiersza polecenia platformy Azure

Aby uzyskać dane zgodności, możesz użyć interfejsu wiersza polecenia platformy Azure. Użyj polecenia az policy assignment list, aby pobrać identyfikatory zasad usługi Azure Web PubSub Service, które są stosowane:

az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table

Przykładowe wyjście:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links  /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>

Uruchom polecenie az policy state list, aby zwrócić stan zgodności w formacie JSON dla wszystkich zasobów w określonej grupie zasobów:

az policy state list --g <resourceGroup>

Uruchom polecenie az policy state list, aby zwrócić stan zgodności w formacie JSON określonego zasobu Web PubSub:

az policy state list \
 --resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
 --namespace Microsoft.SignalRService \
 --resource-group <resourceGroup>

Następne kroki