Создание, изменение и удаление группы безопасности сети

Правила безопасности в группах безопасности сети позволяют фильтровать различный сетевой трафик, который может проходить из подсетей виртуальной сети и сетевых интерфейсов или в них. Дополнительные сведения о группах безопасности сети см. в этой статье. Затем выполните инструкции из руководства по фильтрации сетевого трафика, чтобы получить опыт работы с группами безопасности сети.

Необходимые компоненты

Если у вас нет учетной записи Azure с активной подпиской, создайте учетную запись бесплатно. Прежде чем перейти к оставшейся части этой статьи, выполните одну из следующих задач:

• Пользователи портала. Войдите на портал Azure с помощью своей учетной записи Azure.

• Пользователи PowerShell: выполните команды в Azure Cloud Shell или запустите PowerShell локально с компьютера. Azure Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. Она включает предварительно установленные общие инструменты Azure и настроена для использования с вашей учетной записью. На вкладке обозревателя Azure Cloud Shell найдите раскрывающийся список Выбор среды, а затем выберите PowerShell, если этот пункт еще не выбран.

  Если вы работаете с PowerShell в локальной среде, используйте модуль Azure PowerShell 1.0.0 или более поздней версии. Выполните командлет Get-Module -ListAvailable Az.Network, чтобы узнать установленную версию. Если вам необходимо выполнить установку или обновление, см. статью об установке модуля Azure PowerShell. Запустите Connect-AzAccount, чтобы выполнить вход в Azure.

• Пользователи Azure CLI: выполните команды в Azure Cloud Shell или запустите Azure CLI локально с компьютера. Azure Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. Она включает предварительно установленные общие инструменты Azure и настроена для использования с вашей учетной записью. На вкладке браузера Azure Cloud Shell найдите раскрывающийся список "Выбор среды ", а затем выберите Bash , если он еще не выбран.

  Если вы используете Azure CLI локально, используйте Azure CLI версии 2.0.28 или более поздней. Выполните командлет az --version, чтобы узнать установленную версию. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0. Запустите az login, чтобы выполнить вход в Azure.

Назначьте роль участник сети или пользовательскую роль с соответствующими разрешениями.

Работа с группами безопасности сети

Можно создать группу безопасности сети, просмотреть все группы, просмотреть сведения о группе, а также изменить или удалить группу безопасности сети. Вы также можете связать или отключить группу безопасности сети из сетевого интерфейса или подсети.

Создание группы безопасности сети

Существует ограничение на количество групп безопасности сети, которые можно создать для каждого региона Azure и подписки. Узнайте о лимитах, квотах и ограничениях подписок и служб Azure.

Портал

1. В поле поиска в верхней части портала введите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

2. Выберите + Создать.

3. На странице "Создание группы безопасности сети" на вкладке "Основные сведения" введите или выберите следующие значения:

   Параметр	Действие
   Сведения о проекте
   Отток подписок	Выберите свою подписку Azure.
   Группа ресурсов	Выберите существующую группу ресурсов или создайте новую, нажав кнопку "Создать". В этом примере используется группа ресурсов myResourceGroup .
   Сведения об экземпляре
   Имя группы безопасности сети	Введите имя создаваемой группы безопасности сети.
   Регион	Выберите нужный регион.

   

4. Выберите Review + create (Просмотреть и создать).

5. При появлении сообщения Проверка пройдена выберите Создать.

PowerShell

Используйте New-AzNetworkSecurityGroup , чтобы создать группу безопасности сети с именем myNSG в регионе "Восточная часть США ". myNSG создается в существующей группе ресурсов myResourceGroup .

New-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup  -Location  eastus

Azure CLI

Используйте az network nsg create , чтобы создать группу безопасности сети с именем myNSG в существующей группе ресурсов myResourceGroup .

az network nsg create --resource-group MyResourceGroup --name myNSG

Просмотр всех групп безопасности сети

Портал

В поле поиска в верхней части портала введите группу безопасности сети. Выберите группы безопасности сети в результатах поиска, чтобы просмотреть список групп безопасности сети в подписке.

PowerShell

Используйте Get-AzNetworkSecurityGroup для перечисления всех групп безопасности сети в подписке.

Get-AzNetworkSecurityGroup | format-table Name, Location, ResourceGroupName, ProvisioningState, ResourceGuid

Azure CLI

Используйте az network nsg list для перечисления всех групп безопасности сети в подписке.

az network nsg list --out table

Просмотр сведений о группе безопасности сети

Портал

1. В поле поиска в верхней части портала введите группу безопасности сети и выберите группы безопасности сети в результатах поиска.

2. Выберите имя своей группы безопасности сети.

В разделе Параметры можно просмотреть правила безопасности для входящего трафика, правила безопасности исходящего трафика, сетевые интерфейсы и подсети, с которыми связана группа безопасности сети.

В разделе Мониторинг можно включить или отключить параметры диагностики. Дополнительные сведения см. в разделе "Ведение журнала ресурсов" для группы безопасности сети.

В разделе справки можно просмотреть действующие правила безопасности. Дополнительные сведения см. в разделе Диагностика проблемы с фильтрацией трафика на виртуальной машине.

Дополнительные сведения о перечисленных общих параметрах Azure доступны в следующих статьях:

• Журнал действий

• Управление доступом (IAM)

• Теги

• Блокировки

• Сценарий автоматизации

PowerShell

Используйте Get-AzNetworkSecurityGroup для просмотра сведений о группе безопасности сети.

Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup

Дополнительные сведения о перечисленных общих параметрах Azure доступны в следующих статьях:

• Журнал действий

• Управление доступом (IAM)

• Теги

• Блокировки

Azure CLI

Используйте az network nsg show для просмотра сведений о группе безопасности сети.

az network nsg show --resource-group myResourceGroup --name myNSG

Дополнительные сведения о перечисленных общих параметрах Azure доступны в следующих статьях:

• Журнал действий

• Управление доступом (IAM)

• Теги

• Блокировки

Изменение группы безопасности сети

Наиболее распространенными изменениями в группе безопасности сети являются:

• Связывание или отключение связи группы безопасности сети с сетевым интерфейсом или из нее

• Связывание или отключение связи группы безопасности сети с подсетью или из нее

• Создание правила безопасности

• Удаление правила безопасности

Связывание или отключение связи группы безопасности сети с сетевым интерфейсом или из нее

Дополнительные сведения об ассоциации и диссоциации группы безопасности сети см. в статье "Связывание или отключение связи группы безопасности сети".

Связывание или отключение связи группы безопасности сети с подсетью или из нее

Портал

1. В поле поиска в верхней части портала введите группу безопасности сети и выберите группы безопасности сети в результатах поиска.

2. Выберите имя группы безопасности сети, а затем выберите подсети.

Чтобы связать группу безопасности сети с подсетью, выберите +Связать, а затем выберите виртуальную сеть и подсеть, с которой нужно связать группу безопасности сети. Нажмите ОК.

Чтобы отключить связь группы безопасности сети из подсети, выберите три точки рядом с подсетью, из которой требуется отсоотвести группу безопасности сети, а затем выберите "Отключить". Выберите Да.

PowerShell

Используйте Set-AzVirtualNetworkSubnetConfig для связывания или отключения связи группы безопасности сети с подсетью или из нее.

## Place the virtual network configuration into a variable. ##
$virtualNetwork = Get-AzVirtualNetwork -Name myVNet -ResourceGroupName myResourceGroup
## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Update the subnet configuration. ##
Set-AzVirtualNetworkSubnetConfig -Name mySubnet -VirtualNetwork $virtualNetwork -AddressPrefix 10.0.0.0/24 -NetworkSecurityGroup $networkSecurityGroup
## Update the virtual network. ##
Set-AzVirtualNetwork -VirtualNetwork $virtualNetwork

Azure CLI

Используйте az network vnet subnet update , чтобы связать или отсовязать группу безопасности сети к подсети или из нее.

az network vnet subnet update --resource-group myResourceGroup --vnet-name myVNet --name mySubnet --network-security-group myNSG

Удаление группы безопасности сети

Если группа безопасности сети связана с какой-либо подсетью или сетевыми интерфейсами, ее невозможно удалить. Удалите связи группы безопасности сети со всеми связанными с ней подсетями и сетевыми интерфейсами, прежде чем пытаться удалить эту группу.

Портал

1. В поле поиска в верхней части портала введите группу безопасности сети и выберите группы безопасности сети в результатах поиска.

2. Выберите группу безопасности сети, которую вы хотите удалить.

3. Нажмите Удалить, а затем нажмите Да в диалоговом окне подтверждения.

   

PowerShell

Удалите группу безопасности сети с помощью Remove-AzNetworkSecurityGroup .

Remove-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup

Azure CLI

Используйте az network nsg delete для удаления группы безопасности сети.

az network nsg delete --resource-group myResourceGroup --name myNSG

Работа с правилами безопасности

Группа безопасности сети содержит ноль или больше правил безопасности. Вы можете создавать, просматривать все, просматривать сведения о правилах безопасности, изменять и удалять их.

Создание правила безопасности

Количество правил для группы безопасности сети, которые можно создать для одного расположения и одной подписки Azure, ограничено. Узнайте о лимитах, квотах и ограничениях подписок и служб Azure.

Портал

1. В поле поиска в верхней части портала введите группу безопасности сети и выберите группы безопасности сети в результатах поиска.

2. Выберите имя группы безопасности сети, в которую нужно добавить правило безопасности.

3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

   Отобразится несколько существующих правил, включая те, что вы, возможно, не добавляли. При создании группы безопасности сети в ней создается несколько правил безопасности по умолчанию. Ознакомьтесь с дополнительными сведениями о правилах безопасности по умолчанию. Правила безопасности по умолчанию невозможно удалить, но их можно переопределить с помощью правил с более высоким приоритетом.

4. Выберите + Добавить. Выберите или добавьте значения для следующих параметров, а затем нажмите кнопку "Добавить".

   Параметр	Значение	Сведения
   Источник	Одно из двух значений: Any IP-адреса Мой IP-адрес Тег службы Группа безопасности приложений	При выборе параметра IP-адреса необходимо также указать значение поля Диапазоны исходных IP-адресов или CIDR. При выборе тега службы необходимо также выбрать тег службы источника. Если выбран параметр Группа безопасности приложений, необходимо также выбрать существующую группу безопасности приложений. Если вы выбрали значение Группа безопасности приложений для источника и назначения, то сетевые интерфейсы в обеих группах безопасности должны находиться в одной виртуальной сети. Узнайте, как создать группу безопасности приложений.
   Диапазоны исходных IP-адресов или CIDR	Разделенный запятыми список IP-адресов и диапазонов CIDR.	Этот параметр отображается, если для параметра Source заданы IP-адреса. Можно указать одно значение или список разделенных запятыми значений. Пример нескольких значений: 10.0.0.0/16, 192.188.1.1. Число значений, которые можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure. Если указанный IP-адрес назначен виртуальной машине Azure, укажите ее частный IP-адрес, а не общедоступный IP-адрес. Платформа Azure обрабатывает правила безопасности после того, как преобразовывает общедоступный IP-адрес в частный для правил безопасности для входящего трафика, но до того, как преобразовывает частный IP-адрес в общедоступный для правил для исходящего трафика. Дополнительные сведения о IP-адресах в Azure см. в разделе "Общедоступные IP-адреса" и "Частные IP-адреса".
   Тег службы источника	Тег службы из раскрывающегося списка	Этот параметр отображается, если для правила безопасности задано значение Sourceto Service Tag . Тег службы — это предопределенный идентификатор категории IP-адресов. Дополнительные сведения о доступных тегах служб и том, что они представляют, приведены в разделе Теги служб.
   Исходная группа безопасности приложений	Существующая группа безопасности приложений.	Этот параметр отображается, если для параметра Источник задано значение Группа безопасности приложений. Выберите группу безопасности приложений, которая размещена в том же регионе, что и сетевой интерфейс. Узнайте, как создать группу безопасности приложений.
   Диапазоны исходных портов	Одно из двух значений: один порт, например 80; диапазон портов, например 1024-65535; разделенный запятыми список отдельных портов и (или) диапазонов портов, например 80, 1024-65535; звездочка (*), чтобы разрешить передачу трафика через любой порт.	Этот параметр указывает порты, через которые правило разрешает или запрещает передачу трафика. Число портов, которые можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure.
   Назначение	Одно из двух значений: Any IP-адреса Тег службы Группа безопасности приложений	При выборе IP-адресов необходимо также указать диапазоны IP-адресов назначения или CIDR. При выборе тега службы необходимо также выбрать тег службы назначения. При выборе группы безопасности приложений необходимо также выбрать существующую группу безопасности приложений. Если вы выбрали значение Группа безопасности приложений для источника и назначения, то сетевые интерфейсы в обеих группах безопасности должны находиться в одной виртуальной сети. Узнайте, как создать группу безопасности приложений.
   Диапазоны IP-адресов назначения или CIDR	Разделенный запятыми список IP-адресов и диапазонов CIDR.	Этот параметр отображается, если для параметра Назначение задано значение IP-адреса. Как и в полях Источник и Диапазоны исходных IP-адресов или CIDR, можно указать один или несколько адресов либо диапазонов. Число адресов и диапазонов, которые можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure. Если указанный IP-адрес назначен виртуальной машине Azure, обязательно укажите ее частный IP-адрес, а не общедоступный IP-адрес. Платформа Azure обрабатывает правила безопасности после того, как преобразовывает общедоступный IP-адрес в частный для правил безопасности для входящего трафика, но до того, как преобразовывает частный IP-адрес в общедоступный для правил для исходящего трафика. Дополнительные сведения о IP-адресах в Azure см. в разделе "Общедоступные IP-адреса" и "Частные IP-адреса".
   Назначение: тег службы	Тег службы из раскрывающегося списка	Этот параметр отображается, если для правила безопасности задано значение "Назначение" для тега службы. Тег службы — это предопределенный идентификатор категории IP-адресов. Дополнительные сведения о доступных тегах служб и том, что они представляют, приведены в разделе Теги служб.
   Группа безопасности приложений для назначения	Существующая группа безопасности приложений.	Этот параметр отображается, если для параметра Назначение задано значение Группа безопасности приложений. Выберите группу безопасности приложений, которая размещена в том же регионе, что и сетевой интерфейс. Узнайте, как создать группу безопасности приложений.
   Служба	Протокол назначения из раскрывающегося списка	Этот параметр задает целевой протокол и диапазон портов для правила безопасности. Вы можете выбрать предопределенную службу, например RDP, или выбрать пользовательскую и указать диапазон портов в диапазонах портов назначения.
   Диапазоны портов назначения	Одно из двух значений: один порт, например 80; диапазон портов, например 1024-65535; разделенный запятыми список отдельных портов и (или) диапазонов портов, например 80, 1024-65535; звездочка (*), чтобы разрешить передачу трафика через любой порт.	Как и в случае с полем Диапазоны исходных портов, можно указать один или несколько портов и диапазонов. Число адресов и диапазонов, которые можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure.
   Протокол	Любой, TCP, UDP или ICMP.	Правило может быть ограничено протоколом TCP, протоколом UDP или протоколом ICMP. По умолчанию правило применяется ко всем протоколам (Any).
   Действие	Разрешить или Запретить.	Этот параметр указывает, разрешает или запрещает правило доступ к указанной конфигурации источника и назначения.
   Приоритет	Значение в диапазоне 100–4096, уникальное для всех правил безопасности в группе безопасности сети.	Платформа Azure обрабатывает правила безопасности в порядке приоритета. Чем меньше число, тем выше приоритет. Рекомендуется оставлять промежуток между номерами приоритетов при создании правил, например 100, 200 и 300. Это упростит добавление правил в будущем, когда вам могут потребоваться правила с более высоким или низким приоритетом, чем у существующих правил.
   Имя	Уникальное имя правила в пределах группы безопасности сети.	Оно может содержать до 80 знаков. Имя должно начинаться с буквы или цифры, и заканчиваться буквой, цифрой или символом подчеркивания. Оно может содержать только буквы, цифры, символы подчеркивания, точки и дефисы
   Description	Текстовое описание.	При необходимости можно указать текстовое описание правила безопасности. Описание не может превышать 140 символов.

   

PowerShell

Используйте Add-AzNetworkSecurityRuleConfig для создания правила группы безопасности сети.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Create the security rule. ##
Add-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup `
-Description "Allow RDP" -Access Allow -Protocol Tcp -Direction Inbound -Priority 300 `
-SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Azure CLI

Используйте az network nsg rule create для создания правила группы безопасности сети.

az network nsg rule create --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule --priority 300 \
    --destination-address-prefixes '*' --destination-port-ranges 3389 --protocol Tcp --description "Allow RDP"

Просмотр всех правил безопасности

Группа безопасности сети может содержать ноль или больше правил. Дополнительные сведения о указанных при просмотре правил см. в разделе "Правила безопасности".

Портал

1. В поле поиска в верхней части портала введите группу безопасности сети и выберите группы безопасности сети в результатах поиска.

2. Выберите из списка имя группы безопасности сети, правила которой нужно просмотреть.

3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

   Список содержит все созданные правила и правила безопасности по умолчанию группы безопасности сети.

   

PowerShell

Используйте Get-AzNetworkSecurityRuleConfig для просмотра правил безопасности группы безопасности сети.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## List security rules of the network security group in a table. ##
Get-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup | format-table Name, Protocol, Access, Priority, Direction, SourcePortRange, DestinationPortRange, SourceAddressPrefix, DestinationAddressPrefix

Azure CLI

Используйте az network nsg rule list для просмотра правил безопасности группы безопасности сети.

az network nsg rule list --resource-group myResourceGroup --nsg-name myNSG

Просмотр сведений о правиле безопасности

Портал

1. В поле поиска в верхней части портала введите группу безопасности сети и выберите группы безопасности сети в результатах поиска.

2. Выберите из списка имя группы безопасности сети, правила которой нужно просмотреть.

3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

4. Выберите правило, сведения о котором нужно просмотреть. Описание всех параметров приведено в разделе Работа с правилами безопасности.

   Примечание.

   Эта процедура применяется только к настраиваемому правилу безопасности. Он не подходит для правил безопасности по умолчанию.

   

PowerShell

Используйте Get-AzNetworkSecurityRuleConfig для просмотра сведений о правиле безопасности.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## View details of the security rule. ##
Get-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup

Примечание.

Эта процедура применяется только к настраиваемому правилу безопасности. Он не подходит для правил безопасности по умолчанию.

Azure CLI

Используйте az network nsg rule show для просмотра сведений о правиле безопасности.

az network nsg rule show --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule

Примечание.

Эта процедура применяется только к настраиваемому правилу безопасности. Он не подходит для правил безопасности по умолчанию.

Изменение правила безопасности

Портал

1. В поле поиска в верхней части портала введите группу безопасности сети и выберите группы безопасности сети в результатах поиска.

2. Выберите из списка имя группы безопасности сети, правила которой нужно просмотреть.

3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

4. Выберите правило, которое нужно изменить.

5. Измените необходимые параметры, а затем щелкните Сохранить. Описание всех параметров приведено в разделе Работа с правилами безопасности.

   

   Примечание.

   Эта процедура применяется только к настраиваемому правилу безопасности. Изменить правило безопасности по умолчанию невозможно.

PowerShell

Используйте Set-AzNetworkSecurityRuleConfig для обновления правила группы безопасности сети.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Make changes to the security rule. ##
Set-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup `
-Description "Allow RDP" -Access Allow -Protocol Tcp -Direction Inbound -Priority 200 `
-SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Примечание.

Эта процедура применяется только к настраиваемому правилу безопасности. Изменить правило безопасности по умолчанию невозможно.

Azure CLI

Используйте az network nsg rule update для обновления правила группы безопасности сети.

az network nsg rule update --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule --priority 200

Примечание.

Эта процедура применяется только к настраиваемому правилу безопасности. Изменить правило безопасности по умолчанию невозможно.

Удаление правила безопасности

Портал

1. В поле поиска в верхней части портала введите группу безопасности сети и выберите группы безопасности сети в результатах поиска.

2. Выберите из списка имя группы безопасности сети, правила которой нужно просмотреть.

3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

4. Выберите правила, которые нужно удалить.

5. Нажмите Удалить, а затем — Да.

   

   Примечание.

   Эта процедура применяется только к настраиваемому правилу безопасности. Удаление правила безопасности по умолчанию запрещено.

PowerShell

Используйте Remove-AzNetworkSecurityRuleConfig , чтобы удалить правило безопасности из группы безопасности сети.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Remove the security rule. ##
Remove-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Примечание.

Эта процедура применяется только к настраиваемому правилу безопасности. Изменить правило безопасности по умолчанию невозможно.

Azure CLI

Используйте az network nsg rule delete , чтобы удалить правило безопасности из группы безопасности сети.

az network nsg rule delete --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule

Примечание.

Эта процедура применяется только к настраиваемому правилу безопасности. Изменить правило безопасности по умолчанию невозможно.

Работа с группами безопасности приложений

Группа безопасности приложений содержит ноль или более сетевых интерфейсов. Дополнительные сведения см. в разделе Группы безопасности приложений. Все сетевые интерфейсы внутри группы безопасности приложений должны находиться в одной виртуальной сети. Чтобы узнать больше о добавлении сетевого интерфейса в группу безопасности приложений, ознакомьтесь с разделом Создание, изменение или удаление сетевых интерфейсов.

Создание группы безопасности приложений

Портал

1. В поле поиска в верхней части портала введите группу безопасности приложений. Выберите группы безопасности приложений в результатах поиска.

2. Выберите + Создать.

3. На странице "Создание группы безопасности приложений" на вкладке "Основные сведения" введите или выберите следующие значения:

   Параметр	Действие
   Сведения о проекте
   Отток подписок	Выберите свою подписку Azure.
   Группа ресурсов	Выберите существующую группу ресурсов или создайте новую, нажав кнопку "Создать". В этом примере используется группа ресурсов myResourceGroup .
   Сведения об экземпляре
   Имя.	Введите имя создаваемой группы безопасности приложений.
   Регион	Выберите регион, в который нужно создать группу безопасности приложений.

   

4. Выберите Review + create (Просмотреть и создать).

5. При появлении сообщения Проверка пройдена выберите Создать.

PowerShell

Использование New-AzApplicationSecurityGroup

New-AzApplicationSecurityGroup -ResourceGroupName myResourceGroup -Name myASG -Location eastus

Azure CLI

Использование az network asg create

az network asg create --resource-group myResourceGroup --name myASG --location eastus

Просмотр всех групп безопасности приложений

Портал

В поле поиска в верхней части портала введите группу безопасности приложений. Выберите группы безопасности приложений в результатах поиска. Портал Azure отобразит список групп безопасности приложений.

PowerShell

Используйте Get-AzApplicationSecurityGroup для перечисления всех групп безопасности приложений в подписке Azure.

Get-AzApplicationSecurityGroup | format-table Name, ResourceGroupName, Location

Azure CLI

Используйте az network asg list для перечисления всех групп безопасности приложений в группе ресурсов.

az network asg list --resource-group myResourceGroup --out table

Просмотр сведений об определенной группе безопасности приложений

Портал

1. В поле поиска в верхней части портала введите группу безопасности приложений. Выберите группы безопасности приложений в результатах поиска.

2. Выберите группу безопасности приложений, сведения о которой хотите просмотреть.

PowerShell

Использование Get-AzApplicationSecurityGroup

Get-AzApplicationSecurityGroup -Name myASG

Azure CLI

Используйте az network asg show для просмотра сведений о группе безопасности приложений.

az network asg show --resource-group myResourceGroup --name myASG

Изменение группы безопасности приложений

Портал

1. В поле поиска в верхней части портала введите группу безопасности приложений. Выберите группы безопасности приложений в результатах поиска.

2. Выберите группу безопасности приложений, которую вы хотите изменить.

Выберите рядом с группой ресурсов или подпиской , чтобы изменить группу ресурсов или подписку соответственно.

Нажмите кнопку "Изменить рядом с тегами", чтобы добавить или удалить теги. Дополнительные сведения см. в статье "Использование тегов для организации ресурсов Azure и иерархии управления"

Примечание.

Невозможно изменить расположение группы безопасности приложений.

Выберите элемент управления доступом (IAM), чтобы назначить или удалить разрешения для группы безопасности приложений.

PowerShell

Примечание.

Невозможно изменить группу безопасности приложений с помощью PowerShell.

Azure CLI

Используйте az network asg update для обновления тегов для группы безопасности приложений.

az network asg update --resource-group myResourceGroup --name myASG --tags Dept=Finance

Примечание.

Нельзя изменить группу ресурсов, подписку или расположение группы безопасности приложений с помощью Azure CLI.

Удаление группы безопасности приложений

Невозможно удалить группу безопасности приложений, если она содержит какие-либо сетевые интерфейсы. Чтобы удалить все сетевые интерфейсы из группы безопасности приложений, измените параметры сетевых интерфейсов или удалите эти сетевые интерфейсы. Дополнительные сведения см. в разделе Добавление в группы безопасности приложений или удаление из них или Удаление сетевого интерфейса.

Портал

1. В поле поиска в верхней части портала введите группу безопасности приложений. Выберите группы безопасности приложений в результатах поиска.

2. Выберите группу безопасности приложений, которую вы хотите удалить.

3. Выберите Удалить и нажмите Да, чтобы удалить группу безопасности приложений.

   

PowerShell

Удалите группу безопасности приложений с помощью Remove-AzApplicationSecurityGroup .

Remove-AzApplicationSecurityGroup -ResourceGroupName myResourceGroup -Name myASG

Azure CLI

Используйте az network asg delete для удаления группы безопасности приложений.

az network asg delete --resource-group myResourceGroup --name myASG

Разрешения

Чтобы управлять группами безопасности сети, правилами безопасности и группами безопасности приложений, учетная запись должна быть назначена роли "Сеть участник". Пользовательскую роль можно также использовать, назначающую соответствующие разрешения, как указано в следующих таблицах:

Примечание.

Возможно, вы не увидите полный список тегов службы, если роль участника сети назначена на уровне группы ресурсов. Чтобы просмотреть полный список, можно назначить эту роль в область подписки. Если вы можете разрешить только участнику сети для группы ресурсов, можно также создать пользовательскую роль для разрешений "Microsoft.Network/locations/serviceTags/read" и "Microsoft.Network/locations/serviceTagDetails/read" и назначить их в подписке область вместе с участником сети в группе ресурсов область.

группу безопасности сети;

Действие	Имя.
Microsoft.Network/networkSecurityGroups/read	Получение группы безопасности сети.
Microsoft.Network/networkSecurityGroups/write	Создание или обновление группы безопасности сети.
Microsoft.Network/networkSecurityGroups/delete	Удаление группы безопасности сети.
Microsoft.Network/networkSecurityGroups/join/action	Привязка группы безопасности сети к подсети или сетевому интерфейсу.

Примечание.

Для выполнения операций write с группой безопасности сети учетная запись подписки должна иметь по крайней мере разрешения read для группы ресурсов, а также разрешения Microsoft.Network/networkSecurityGroups/write.

Правило группы безопасности сети

Действие	Имя.
Microsoft.Network/networkSecurityGroups/securityRules/read	Получение правила.
Microsoft.Network/networkSecurityGroups/securityRules/write	Создание или обновление правила.
Microsoft.Network/networkSecurityGroups/securityRules/delete	Удаление правила

Группа безопасности приложений

Действие	Имя.
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action	Присоединение конфигурации IP к группе безопасности приложений.
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action	Присоединение правила безопасности к группе безопасности приложений.
Microsoft.Network/applicationSecurityGroups/read	Получение группы безопасности приложений.
Microsoft.Network/applicationSecurityGroups/write	Создание или обновление группы безопасности приложений.
Microsoft.Network/applicationSecurityGroups/delete	Удаление группы безопасности приложений

Следующие шаги

• Добавьте или удалите сетевой интерфейс в группу безопасности приложений или из нее.

• Создайте и назначьте определения Политики Azure для виртуальных сетей.