Udostępnij za pośrednictwem


Tworzenie, zmienianie i usuwanie sieciowej grupy zabezpieczeń

W przypadku używania reguł zabezpieczeń w sieciowych grupach zabezpieczeń można filtrować typ ruchu sieciowego przepływanego w podsieciach sieci wirtualnej i interfejsach sieciowych i wychodzących z nich. Aby dowiedzieć się więcej na temat sieciowych grup zabezpieczeń, zobacz Omówienie sieciowej grupy zabezpieczeń. Następnie ukończ samouczek Filtrowanie ruchu sieciowego, aby uzyskać doświadczenie z sieciowymi grupami zabezpieczeń.

Wymagania wstępne

Jeśli nie masz konta platformy Azure z aktywną subskrypcją, utwórz je bezpłatnie. Przed rozpoczęciem pozostałej części tego artykułu wykonaj jedno z tych zadań:

  • Użytkownicy portalu: zaloguj się do witryny Azure Portal przy użyciu konta platformy Azure.

  • Użytkownicy programu PowerShell: uruchom polecenia w usłudze Azure Cloud Shell lub uruchom program PowerShell lokalnie z komputera. Cloud Shell to bezpłatna interaktywna powłoka, której można użyć do wykonania kroków opisanych w tym artykule. Ma on typowe narzędzia platformy Azure, które są wstępnie zainstalowane i skonfigurowane do użycia z kontem. Na karcie Przeglądarka usługi Cloud Shell znajdź listę rozwijaną Wybierz środowisko . Następnie wybierz program PowerShell , jeśli nie został jeszcze wybrany.

    Jeśli używasz programu PowerShell lokalnie, użyj modułu Azure PowerShell w wersji 1.0.0 lub nowszej. Uruchom polecenie Get-Module -ListAvailable Az.Network, aby dowiedzieć się, jaka wersja jest zainstalowana. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie modułu Azure PowerShell. Uruchom polecenie Connect-AzAccount , aby zalogować się na platformie Azure.

  • Użytkownicy interfejsu wiersza polecenia platformy Azure: uruchom polecenia w usłudze Cloud Shell lub uruchom interfejs wiersza polecenia platformy Azure lokalnie z komputera. Cloud Shell to bezpłatna interaktywna powłoka, której można użyć do wykonania kroków opisanych w tym artykule. Ma on typowe narzędzia platformy Azure, które są wstępnie zainstalowane i skonfigurowane do użycia z kontem. Na karcie Przeglądarka usługi Cloud Shell znajdź listę rozwijaną Wybierz środowisko . Następnie wybierz pozycję Bash , jeśli nie została jeszcze wybrana.

    Jeśli używasz interfejsu wiersza polecenia platformy Azure lokalnie, użyj interfejsu wiersza polecenia platformy Azure w wersji 2.0.28 lub nowszej. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest zainstalowana. Jeśli konieczna będzie instalacja lub uaktualnienie interfejsu, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure. Uruchom polecenie az login , aby zalogować się na platformie Azure.

Przypisz rolę Współautor sieci lub rolę niestandardową z odpowiednimi uprawnieniami.

Praca z sieciowymi grupami zabezpieczeń

Możesz tworzyć, wyświetlać wszystkie, wyświetlać szczegóły, zmieniać i usuwać sieciową grupę zabezpieczeń. Można również skojarzyć lub usunąć skojarzenie sieciowej grupy zabezpieczeń z interfejsu sieciowego lub podsieci.

Tworzenie sieciowej grupy zabezpieczeń

Liczba sieciowych grup zabezpieczeń, które można utworzyć dla każdego regionu i subskrypcji platformy Azure, jest ograniczona. Aby dowiedzieć się więcej, zobacz Azure subscription and service limits, quotas, and constraints (Limity, limity przydziału i ograniczenia usługi platformy Azure).

  1. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.

  2. Wybierz + Utwórz.

  3. Na stronie Tworzenie sieciowej grupy zabezpieczeń na karcie Podstawy wprowadź lub wybierz następujące wartości:

    Ustawienie Akcja
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz istniejącą grupę zasobów lub utwórz nową, wybierając pozycję Utwórz nową. W tym przykładzie użyto myResourceGroup grupy zasobów.
    Szczegóły wystąpienia
    Nazwa sieciowej grupy zabezpieczeń Wprowadź nazwę tworzonej sieciowej grupy zabezpieczeń.
    Region (Region) Wybierz żądany region.

    Zrzut ekranu przedstawiający tworzenie sieciowej grupy zabezpieczeń w witrynie Azure Portal.

  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Po wyświetleniu komunikatu Weryfikacja przekazana wybierz pozycję Utwórz.

Wyświetlanie wszystkich sieciowych grup zabezpieczeń

W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania, aby wyświetlić listę sieciowych grup zabezpieczeń w subskrypcji.

Zrzut ekranu przedstawiający listę Sieciowych grup zabezpieczeń w witrynie Azure Portal.

Wyświetlanie szczegółów sieciowej grupy zabezpieczeń

  1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Sieciowa grupa zabezpieczeń i wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.

  2. Wybierz nazwę sieciowej grupy zabezpieczeń.

    • W obszarze Ustawienia wyświetl reguły zabezpieczeń dla ruchu przychodzącego, reguły zabezpieczeń dla ruchu wychodzącego, interfejsy sieciowe i podsieci, z którymi jest skojarzona sieciowa grupa zabezpieczeń.
    • W obszarze Monitorowanie włącz lub wyłącz ustawienia diagnostyczne. Aby uzyskać więcej informacji, zobacz Rejestrowanie zasobów dla sieciowej grupy zabezpieczeń.
    • W obszarze Pomoc wyświetl obowiązujące reguły zabezpieczeń. Aby uzyskać więcej informacji, zobacz Diagnozowanie problemu z filtrowaniem ruchu sieciowego maszyny wirtualnej.

    Zrzut ekranu przedstawiający stronę Sieciowa grupa zabezpieczeń w witrynie Azure Portal.

Aby dowiedzieć się więcej na temat typowych ustawień platformy Azure, które są wymienione, zobacz następujące artykuły:

Zmienianie sieciowej grupy zabezpieczeń

Najczęstsze zmiany w sieciowej grupie zabezpieczeń to:

Kojarzenie lub usuwanie skojarzenia sieciowej grupy zabezpieczeń z interfejsem sieciowym lub z interfejsu sieciowego

Aby uzyskać więcej informacji na temat skojarzenia i skojarzenia sieciowej grupy zabezpieczeń, zobacz Kojarzenie lub usuwanie skojarzenia sieciowej grupy zabezpieczeń.

Kojarzenie lub usuwanie skojarzenia sieciowej grupy zabezpieczeń do lub z podsieci

  1. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Następnie wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.

  2. Wybierz nazwę sieciowej grupy zabezpieczeń, a następnie wybierz pozycję Podsieci.

    • Aby skojarzyć sieciową grupę zabezpieczeń z podsiecią, wybierz pozycję + Skojarz. Następnie wybierz sieć wirtualną i podsieć, do której chcesz skojarzyć sieciową grupę zabezpieczeń. Wybierz przycisk OK.

      Zrzut ekranu przedstawiający kojarzenie sieciowej grupy zabezpieczeń z podsiecią w witrynie Azure Portal.

    • Aby usunąć skojarzenie sieciowej grupy zabezpieczeń z podsieci, wybierz trzy kropki obok podsieci, z której chcesz usunąć skojarzenie sieciowej grupy zabezpieczeń, a następnie wybierz pozycję Usuń skojarzenie. Wybierz opcję Tak.

      Zrzut ekranu przedstawiający usuwanie skojarzenia sieciowej grupy zabezpieczeń z podsieci w witrynie Azure Portal.

Usuwanie sieciowej grupy zabezpieczeń

Jeśli sieciowa grupa zabezpieczeń jest skojarzona z żadnymi podsieciami lub interfejsami sieciowymi, nie można jej usunąć. Usuń skojarzenie sieciowej grupy zabezpieczeń ze wszystkich podsieci i interfejsów sieciowych przed podjęciem próby jego usunięcia.

  1. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Następnie wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.

  2. Wybierz sieciową grupę zabezpieczeń, którą chcesz usunąć.

  3. Wybierz Usuń, a następnie wybierz Tak w oknie dialogowym potwierdzenia.

    Zrzut ekranu przedstawiający usuwanie sieciowej grupy zabezpieczeń w witrynie Azure Portal.

Praca z regułami zabezpieczeń

Sieciowa grupa zabezpieczeń zawiera zero lub więcej reguł zabezpieczeń. Możesz tworzyć, wyświetlać wszystkie, wyświetlać szczegóły, zmieniać i usuwać regułę zabezpieczeń.

Tworzenie reguły zabezpieczeń

Liczba reguł na sieciową grupę zabezpieczeń, którą można utworzyć dla każdej lokalizacji i subskrypcji platformy Azure, jest ograniczona. Aby dowiedzieć się więcej, zobacz Azure subscription and service limits, quotas, and constraints (Limity, limity przydziału i ograniczenia usługi platformy Azure).

  1. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Następnie wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.

  2. Wybierz nazwę sieciowej grupy zabezpieczeń, do której chcesz dodać regułę zabezpieczeń.

  3. Wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego lub Reguły zabezpieczeń dla ruchu wychodzącego.

    Na liście znajduje się kilka istniejących reguł, w tym niektóre, które mogły nie zostać dodane. Podczas tworzenia sieciowej grupy zabezpieczeń zostanie utworzonych kilka domyślnych reguł zabezpieczeń. Aby dowiedzieć się więcej, zobacz Domyślne reguły zabezpieczeń. Nie można usunąć domyślnych reguł zabezpieczeń, ale można je zastąpić regułami o wyższym priorytcie.

  4. Wybierz pozycję + Dodaj. Wybierz lub dodaj wartości dla następujących ustawień, a następnie wybierz pozycję Dodaj.

    Ustawienie Wartość Szczegóły
    Source Jeden z:
    • Dowolne
    • Adresy IP
    • Mój adres IP
    • Tag usługi
    • Grupa zabezpieczeń aplikacji

    W przypadku wybrania pozycji Adresy IP należy również określić źródłowe adresy IP/zakresy CIDR.

    Jeśli wybierzesz pozycję Tag usługi, musisz również wybrać tag usługi źródłowej.

    Jeśli wybierzesz pozycję Grupa zabezpieczeń aplikacji, musisz również wybrać istniejącą grupę zabezpieczeń aplikacji. W przypadku wybrania opcji Grupa zabezpieczeń aplikacji dla opcji Źródło i Miejsce docelowe interfejsy sieciowe w obu grupach zabezpieczeń aplikacji muszą znajdować się w tej samej sieci wirtualnej. Dowiedz się, jak utworzyć grupę zabezpieczeń aplikacji.

    Źródłowe adresy IP/zakresy CIDR Rozdzielana przecinkami lista adresów IP i zakresów routingu międzydomenowego bez klas (CIDR)

    To ustawienie jest wyświetlane w przypadku ustawienia Źródło na adresy IP. Musisz określić pojedynczą wartość lub rozdzielaną przecinkami listę wielu wartości. Przykładem wielu wartości jest 10.0.0.0/16, 192.188.1.1. Liczba wartości, które można określić, jest ograniczona. Aby uzyskać więcej informacji, zobacz Limity platformy Azure.

    Jeśli określony adres IP jest przypisany do maszyny wirtualnej platformy Azure, określ jego prywatny adres IP, a nie publiczny adres IP. Platforma Azure przetwarza reguły zabezpieczeń po przetłumaczeniu publicznego adresu IP na prywatny adres IP dla reguł zabezpieczeń dla ruchu przychodzącego, ale przed tłumaczeniem prywatnego adresu IP na publiczny adres IP dla reguł ruchu wychodzącego. Aby dowiedzieć się więcej na temat adresów IP na platformie Azure, zobacz Publiczne adresy IP i prywatne adresy IP.

    Tag usługi źródłowej Tag usługi z listy rozwijanej To ustawienie jest wyświetlane, jeśli dla reguły zabezpieczeń zostanie ustawiona wartość Źródło na Tag usługi. Tag usługi to wstępnie zdefiniowany identyfikator kategorii adresów IP. Aby dowiedzieć się więcej o dostępnych tagach usługi i tym, co reprezentuje każdy tag, zobacz Tagi usługi.
    Źródłowa grupa zabezpieczeń aplikacji Istniejąca grupa zabezpieczeń aplikacji To ustawienie jest wyświetlane w przypadku ustawienia Źródło na Wartość Grupa zabezpieczeń aplikacji. Wybierz grupę zabezpieczeń aplikacji, która istnieje w tym samym regionie co interfejs sieciowy. Dowiedz się, jak utworzyć grupę zabezpieczeń aplikacji.
    Zakresy portów źródłowych Jeden z:
    • Pojedynczy port, taki jak 80
    • Szereg portów, takich jak 1024-65535
    • Rozdzielona przecinkami lista pojedynczych portów i/lub zakresów portów, takich jak 80, 1024-65535
    • Gwiazdka (*) zezwala na ruch na dowolnym porcie
    To ustawienie określa porty, na których reguła zezwala na ruch lub odmawia go. Liczba portów, które można określić, jest ograniczona. Aby uzyskać więcej informacji, zobacz Limity platformy Azure.
    Lokalizacja docelowa Jeden z:
    • Dowolne
    • Adresy IP
    • Tag usługi
    • Grupa zabezpieczeń aplikacji

    W przypadku wybrania pozycji Adresy IP należy również określić docelowe adresy IP/zakresy CIDR.

    Jeśli wybierzesz pozycję Tag usługi, musisz również wybrać tag usługi docelowej.

    Jeśli wybierzesz pozycję Grupa zabezpieczeń aplikacji, musisz również wybrać istniejącą grupę zabezpieczeń aplikacji. W przypadku wybrania opcji Grupa zabezpieczeń aplikacji dla opcji Źródło i Miejsce docelowe interfejsy sieciowe w obu grupach zabezpieczeń aplikacji muszą znajdować się w tej samej sieci wirtualnej. Dowiedz się, jak utworzyć grupę zabezpieczeń aplikacji.

    Docelowe adresy IP/zakresy CIDR Rozdzielana przecinkami lista adresów IP i zakresów CIDR

    To ustawienie jest wyświetlane, jeśli zmienisz wartość Miejsce docelowe na Adresy IP. Można określić jeden lub wiele adresów lub zakresów, takich jak źródłowe i źródłowe adresy IP/zakresy CIDR. Liczba, którą można określić, jest ograniczona. Aby uzyskać więcej informacji, zobacz Limity platformy Azure.

    Jeśli określony adres IP jest przypisany do maszyny wirtualnej platformy Azure, upewnij się, że określono jego prywatny adres IP, a nie publiczny adres IP. Platforma Azure przetwarza reguły zabezpieczeń po przetłumaczeniu publicznego adresu IP na prywatny adres IP dla reguł zabezpieczeń dla ruchu przychodzącego, ale zanim platforma Azure przetłumaczy prywatny adres IP na publiczny adres IP dla reguł ruchu wychodzącego. Aby dowiedzieć się więcej na temat adresów IP na platformie Azure, zobacz Publiczne adresy IP i prywatne adresy IP.

    Docelowy tag usługi Tag usługi z listy rozwijanej To ustawienie jest wyświetlane, jeśli dla reguły zabezpieczeń zostanie ustawiona wartość Docelowa na Tag usługi. Tag usługi to wstępnie zdefiniowany identyfikator kategorii adresów IP. Aby dowiedzieć się więcej o dostępnych tagach usługi i tym, co reprezentuje każdy tag, zobacz Tagi usługi.
    Docelowa grupa zabezpieczeń aplikacji Istniejąca grupa zabezpieczeń aplikacji To ustawienie zostanie wyświetlone, jeśli ustawisz wartość Docelowa na Grupę zabezpieczeń aplikacji. Wybierz grupę zabezpieczeń aplikacji, która istnieje w tym samym regionie co interfejs sieciowy. Dowiedz się, jak utworzyć grupę zabezpieczeń aplikacji.
    Usługa Protokół docelowy z listy rozwijanej To ustawienie określa docelowy protokół i zakres portów dla reguły zabezpieczeń. Możesz wybrać wstępnie zdefiniowaną usługę, np . RDP, lub wybrać pozycję Niestandardowy i podać zakres portów w zakresach portów docelowych.
    Zakresy portów docelowych Jeden z:
    • Pojedynczy port, taki jak 80
    • Szereg portów, takich jak 1024-65535
    • Rozdzielona przecinkami lista pojedynczych portów i/lub zakresów portów, takich jak 80, 1024-65535
    • Gwiazdka (*) zezwala na ruch na dowolnym porcie
    Podobnie jak w przypadku zakresów portów źródłowych, można określić pojedyncze lub wiele portów i zakresów. Liczba, którą można określić, jest ograniczona. Aby uzyskać więcej informacji, zobacz Limity platformy Azure.
    Protokół Dowolny, TCP, UDP lub ICMP Regułę można ograniczyć do protokołu TCP (Transmission Control Protocol), protokołu UDP (User Datagram Protocol) lub protokołu ICMP (Internet Control Message Protocol). Wartość domyślna to dla reguły, która ma być stosowana do wszystkich protokołów (Dowolny).
    Akcja Zezwalaj lub odmawiaj To ustawienie określa, czy ta reguła zezwala na dostęp do podanej konfiguracji źródłowej i docelowej lub odmawia dostępu.
    Priorytet Wartość z zakresu od 100 do 4096, która jest unikatowa dla wszystkich reguł zabezpieczeń w sieciowej grupie zabezpieczeń Platforma Azure przetwarza reguły zabezpieczeń w kolejności priorytetów. Im niższa liczba, tym wyższy priorytet. Zalecamy pozostawienie luki między liczbami priorytetowymi podczas tworzenia reguł, takich jak 100, 200 i 300. Pozostawienie luk ułatwia dodawanie reguł w przyszłości, dzięki czemu można nadać im wyższy lub niższy priorytet niż istniejące reguły.
    Nazwa/nazwisko Unikatowa nazwa reguły w sieciowej grupie zabezpieczeń Nazwa może mieć maksymalnie 80 znaków. Musi zaczynać się literą lub cyfrą i musi kończyć się literą, cyfrą lub podkreśleniami. Nazwa może zawierać tylko litery, cyfry, podkreślenia, kropki lub łączniki.
    Opis Opis tekstu Opcjonalnie można określić opis tekstowy reguły zabezpieczeń. Opis nie może być dłuższy niż 140 znaków.

    Zrzut ekranu przedstawiający dodawanie reguły zabezpieczeń do sieciowej grupy zabezpieczeń w witrynie Azure Portal.

Wyświetlanie wszystkich reguł zabezpieczeń

Sieciowa grupa zabezpieczeń zawiera zero lub więcej reguł. Aby dowiedzieć się więcej na temat listy informacji podczas wyświetlania reguł, zobacz Reguły zabezpieczeń.

  1. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Następnie wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.

  2. Wybierz nazwę sieciowej grupy zabezpieczeń, dla której chcesz wyświetlić reguły.

  3. Wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego lub Reguły zabezpieczeń dla ruchu wychodzącego.

    Lista zawiera wszystkie utworzone reguły i domyślne reguły zabezpieczeń sieciowej grupy zabezpieczeń.

    Zrzut ekranu przedstawiający reguły zabezpieczeń dla ruchu przychodzącego sieciowej grupy zabezpieczeń w witrynie Azure Portal.

Wyświetlanie szczegółów reguły zabezpieczeń

  1. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Następnie wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.

  2. Wybierz nazwę sieciowej grupy zabezpieczeń, dla której chcesz wyświetlić reguły.

  3. Wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego lub Reguły zabezpieczeń dla ruchu wychodzącego.

  4. Wybierz regułę, dla której chcesz wyświetlić szczegóły. Aby uzyskać wyjaśnienie wszystkich ustawień, zobacz Ustawienia reguły zabezpieczeń.

    Uwaga

    Ta procedura dotyczy tylko niestandardowej reguły zabezpieczeń. Nie działa, jeśli wybierzesz domyślną regułę zabezpieczeń.

    Zrzut ekranu przedstawiający szczegóły reguły zabezpieczeń dla ruchu przychodzącego sieciowej grupy zabezpieczeń w witrynie Azure Portal.

Zmienianie reguły zabezpieczeń

  1. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Następnie wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.

  2. Wybierz nazwę sieciowej grupy zabezpieczeń, dla której chcesz wyświetlić reguły.

  3. Wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego lub Reguły zabezpieczeń dla ruchu wychodzącego.

  4. Wybierz regułę, którą chcesz zmienić.

  5. Zmień ustawienia zgodnie z potrzebami, a następnie wybierz pozycję Zapisz. Aby uzyskać wyjaśnienie wszystkich ustawień, zobacz Ustawienia reguły zabezpieczeń.

    Zrzut ekranu przedstawiający zmianę szczegółów reguły zabezpieczeń dla ruchu przychodzącego sieciowej grupy zabezpieczeń w witrynie Azure Portal.

    Uwaga

    Ta procedura dotyczy tylko niestandardowej reguły zabezpieczeń. Nie można zmienić domyślnej reguły zabezpieczeń.

Usuwanie reguły zabezpieczeń

  1. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Następnie wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.

  2. Wybierz nazwę sieciowej grupy zabezpieczeń, dla której chcesz wyświetlić reguły.

  3. Wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego lub Reguły zabezpieczeń dla ruchu wychodzącego.

  4. Wybierz reguły, które chcesz usunąć.

  5. Wybierz pozycję Usuń, a następnie wybierz pozycję Tak.

    Zrzut ekranu przedstawiający usuwanie reguły zabezpieczeń dla ruchu przychodzącego sieciowej grupy zabezpieczeń w witrynie Azure Portal.

    Uwaga

    Ta procedura dotyczy tylko niestandardowej reguły zabezpieczeń. Nie możesz usunąć domyślnej reguły zabezpieczeń.

Praca z grupami zabezpieczeń aplikacji

Grupa zabezpieczeń aplikacji zawiera zero lub więcej interfejsów sieciowych. Aby dowiedzieć się więcej, zobacz Grupy zabezpieczeń aplikacji. Wszystkie interfejsy sieciowe w grupie zabezpieczeń aplikacji muszą istnieć w tej samej sieci wirtualnej. Aby dowiedzieć się, jak dodać interfejs sieciowy do grupy zabezpieczeń aplikacji, zobacz Dodawanie interfejsu sieciowego do grupy zabezpieczeń aplikacji.

Tworzenie grupy zabezpieczeń aplikacji

  1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Grupa zabezpieczeń aplikacji. Następnie wybierz pozycję Grupy zabezpieczeń aplikacji w wynikach wyszukiwania.

  2. Wybierz + Utwórz.

  3. Na stronie Tworzenie grupy zabezpieczeń aplikacji na karcie Podstawy wprowadź lub wybierz następujące wartości:

    Ustawienie Akcja
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz istniejącą grupę zasobów lub utwórz nową, wybierając pozycję Utwórz nową. W tym przykładzie użyto myResourceGroup grupy zasobów.
    Szczegóły wystąpienia
    Nazwisko Wprowadź nazwę tworzonej grupy zabezpieczeń aplikacji.
    Region (Region) Wybierz region, w którym chcesz utworzyć grupę zabezpieczeń aplikacji.

    Zrzut ekranu przedstawiający tworzenie grupy zabezpieczeń aplikacji w witrynie Azure Portal.

  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Po wyświetleniu komunikatu Weryfikacja przekazana wybierz pozycję Utwórz.

Wyświetlanie wszystkich grup zabezpieczeń aplikacji

W polu wyszukiwania w górnej części portalu wprowadź ciąg Grupa zabezpieczeń aplikacji. Następnie wybierz pozycję Grupy zabezpieczeń aplikacji w wynikach wyszukiwania. W witrynie Azure Portal zostanie wyświetlona lista grup zabezpieczeń aplikacji.

Zrzut ekranu przedstawiający istniejące grupy zabezpieczeń aplikacji w witrynie Azure Portal.

Wyświetlanie szczegółów określonej grupy zabezpieczeń aplikacji

  1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Grupa zabezpieczeń aplikacji. Następnie wybierz pozycję Grupy zabezpieczeń aplikacji w wynikach wyszukiwania.

  2. Wybierz grupę zabezpieczeń aplikacji, dla której chcesz wyświetlić szczegóły.

Zmienianie grupy zabezpieczeń aplikacji

  1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Grupa zabezpieczeń aplikacji. Następnie wybierz pozycję Grupy zabezpieczeń aplikacji w wynikach wyszukiwania.

  2. Wybierz grupę zabezpieczeń aplikacji, którą chcesz zmienić:

    • Wybierz pozycję Przenieś obok pozycji Grupa zasobów lub Subskrypcja , aby odpowiednio zmienić grupę zasobów lub subskrypcję.

    • Wybierz pozycję Edytuj obok pozycji Tagi , aby dodać lub usunąć tagi. Aby dowiedzieć się więcej, zobacz Organizowanie zasobów platformy Azure i hierarchii zarządzania przy użyciu tagów.

      Zrzut ekranu przedstawiający zmianę grupy zabezpieczeń aplikacji w witrynie Azure Portal.

      Uwaga

      Nie można zmienić lokalizacji grupy zabezpieczeń aplikacji.

    • Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami), aby przypisać lub usunąć uprawnienia do grupy zabezpieczeń aplikacji.

Usuwanie grupy zabezpieczeń aplikacji

Nie można usunąć grupy zabezpieczeń aplikacji, jeśli zawiera ona jakiekolwiek interfejsy sieciowe. Aby usunąć wszystkie interfejsy sieciowe z grupy zabezpieczeń aplikacji, zmień ustawienia interfejsu sieciowego lub usuń interfejsy sieciowe. Aby dowiedzieć się więcej, zobacz Dodawanie lub usuwanie z grup zabezpieczeń aplikacji lub Usuwanie interfejsu sieciowego.

  1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Grupa zabezpieczeń aplikacji. Następnie wybierz pozycję Grupy zabezpieczeń aplikacji w wynikach wyszukiwania.

  2. Wybierz grupę zabezpieczeń aplikacji, którą chcesz usunąć.

  3. Wybierz pozycję Usuń, a następnie wybierz pozycję Tak , aby usunąć grupę zabezpieczeń aplikacji.

    Zrzut ekranu przedstawiający usuwanie grupy zabezpieczeń aplikacji w witrynie Azure Portal.

Uprawnienia

Aby zarządzać sieciowymi grupami zabezpieczeń, regułami zabezpieczeń i grupami zabezpieczeń aplikacji, twoje konto musi być przypisane do roli Współautor sieci. Możesz również użyć roli niestandardowej z przypisanymi odpowiednimi uprawnieniami, jak pokazano w poniższych tabelach.

Uwaga

Pełna lista tagów usług może nie być widoczna, jeśli rola Współautor sieci została przypisana na poziomie grupy zasobów. Aby wyświetlić pełną listę, zamiast tego możesz przypisać tę rolę w zakresie subskrypcji. Jeśli możesz zezwolić tylko na rolę Współautor sieci dla grupy zasobów, możesz również utworzyć rolę niestandardową dla uprawnień Microsoft.Network/locations/serviceTags/read i Microsoft.Network/locations/serviceTagDetails/read. Przypisz je w zakresie subskrypcji wraz z rolą Współautor sieci w zakresie grupy zasobów.

Sieciowa grupa zabezpieczeń

Akcja Nazwisko
Microsoft.Network/networkSecurityGroups/read Uzyskaj sieciową grupę zabezpieczeń.
Microsoft.Network/networkSecurityGroups/write Utwórz lub zaktualizuj sieciową grupę zabezpieczeń.
Microsoft.Network/networkSecurityGroups/delete Usuń sieciową grupę zabezpieczeń.
Microsoft.Network/networkSecurityGroups/join/action Skojarz sieciową grupę zabezpieczeń z podsiecią lub interfejsem sieciowym.

Uwaga

Aby wykonywać write operacje na sieciowej grupie zabezpieczeń, konto subskrypcji musi mieć co najmniej read uprawnienia dla grupy zasobów wraz z uprawnieniami Microsoft.Network/networkSecurityGroups/write .

Reguła sieciowej grupy zabezpieczeń

Akcja Nazwisko
Microsoft.Network/networkSecurityGroups/securityRules/read Uzyskaj regułę.
Microsoft.Network/networkSecurityGroups/securityRules/write Utwórz lub zaktualizuj regułę.
Microsoft.Network/networkSecurityGroups/securityRules/delete Usuń regułę.

Grupa zabezpieczeń aplikacji

Akcja Nazwisko
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action Dołącz konfigurację adresu IP do grupy zabezpieczeń aplikacji.
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action Dołącz regułę zabezpieczeń do grupy zabezpieczeń aplikacji.
Microsoft.Network/applicationSecurityGroups/read Pobierz grupę zabezpieczeń aplikacji.
Microsoft.Network/applicationSecurityGroups/write Utwórz lub zaktualizuj grupę zabezpieczeń aplikacji.
Microsoft.Network/applicationSecurityGroups/delete Usuń grupę zabezpieczeń aplikacji.