Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Underhållsläge är en funktion som gör det möjligt för community- eller enklaverägare att tillfälligt placera sina community- eller enklaver i ett "underhållsläge"-tillstånd där ändringar tillåts. Med det här läget kan privilegierade användare göra vissa ändringar i de underliggande hanterade resurser som normalt skyddas av Neka tilldelningar. Detta bidrar till att upprätthålla isolering och nätverksgräns för communityn och enklaver.
Alternativ för underhållsläge
-
Off– Neka tilldelningar som skapats av Azure Enclave finns på plats för att skydda underliggande hanterade resursgrupper för en enklav eller community. -
General- Den nekningstilldelning som skapats av Azure gör det möjligt för privilegierade användare att ändra vissa befintliga resurser enbart i de underliggande hanterade resurserna. För en enklav omfattar dessa åtgärder resurser som ansluter till det virtuella enklavens nätverk och skapar Private DNS Zone-poster. För en community omfattar dessa åtgärder att göra ändringar i de Virtual WAN resurserna. Som standard distribueras communities och enklaver iOffläge, men väljGeneralläge när de skapas och tillhandahålla lämpliga Microsoft Entra ID identiteter för att tillåta ändringar i de skyddade resurserna. -
Advanced- Nekningstilldelningen som skapats av Azure tas tillfälligt bort så att privilegierade användare kan göra ändringar med utökade behörigheter i de underliggande hanterade resurserna.
Justeringsalternativ
- Nätverk – Hantera privilegierade eller anpassade ändringar av hanterade resurser.
- Styrning – Hantera loggning, princip eller andra styrningsrelaterade ändringar.
- Av – Underhållsläge behövs inte längre.
Gemenskapens underhållsläge
Underhållsläget för Communityn används för att skydda de hanterade resurser som utgör Communityn, inklusive Azure vWAN, Azure Firewall, brandväggsprincip och Log Analytics-arbetsyta. Neka tilldelningar används för att förhindra obehöriga åtgärder för dessa resurser. När underhållsläget är aktiverat ges de angivna säkerhetsobjekten undantag från nekningstilldelningarna så att de kan utföra privilegierade RBAC-åtgärder.
Scenarier för community-maintanenceläge
Vanliga scenarier för Community Maintanence Mode är:
- Skapa/ändra routningstabeller för virtuell hubb för att stödja komplexa nätverkskonfigurationer.
- Skapa/ändra anpassade virtuella hubbar i communityn vWAN
- Skapa/ändra regler för enskilda nätverkssäkerhetsgrupper som krävs för specifika Azure tjänster
- Skapa resurser i den enklavens hanterade resursgrupp för att aktivera privata nätverk (t.ex. Private DNS zoner, privata länkar osv.)
Community – Allmänt underhållsläge
När General underhållsläge är aktiverat för en **Community **-resurs undantas de principals för underhållsläge (till exempel användare eller grupper) från Deny All nekningstilldelningen för den communityhanterade resursgruppen.
Detta gör att de användare som identifieras i underhållslägets huvudnamn kan utföra de åtgärder som annars skulle blockeras av neka-tilldelningen Deny All .
Allow Dataplane Actions nekningstilldelningarna är fortfarande i kraft för alla säkerhetsobjekt (inklusive säkerhetsobjekten i underhållsläge). En användare kan fortfarande begränsas av sina tilldelade roller.
Följande behörigheter är tillåtna för den community-hanterade resursgruppen när allmänt underhållsläge är aktiverat.
Tilldelning av communitynekelse: Deny All
| Operation | Typ av åtgärd | Explanation | |
|---|---|---|---|
| * | Action | Neka alla åtgärder förutom de som anges i den här tabellen | |
| */read | NotAction | Tillåtet | Tillåt "läs"-åtgärder för alla resurser |
| Microsoft.Resources/tags/* | NotAction | Tillåt taggningsåtgärder på alla resurser |
Community – Avancerat underhållsläge
Följande behörigheter tillåts för den Communtiy-hanterade resursgruppen när avancerat underhållsläge är aktiverat.
Nekningstilldelning för community: Allow Dataplane Actions
| Operation | Typ av åtgärd | Explanation |
|---|---|---|
| * | Action | Neka alla åtgärder förutom de som anges i den här tabellen |
| */read | NotAction | Tillåt "läs"-åtgärder för alla resurser |
| Microsoft.Insights/alertRules/* | NotAction | Tillåt alla åtgärder i "alertRules" |
| Microsoft.Support/* | NotAction | Tillåt alla åtgärder i "Support" |
| Microsoft.Resources/tags/* | NotAction | Tillåt taggningsåtgärder på alla resurser |
| Microsoft.Network/azureFirewalls/networkRuleCollections/write | NotAction | Tillåt "skrivåtgärder" i networkRuleCollections |
| Microsoft.Network/azureFirewalls/applicationRuleCollections/write | NotAction | Tillåt "skrivåtgärder" på applicationRuleCollections |
| Microsoft.Network/azureFirewalls/natRuleCollections/write | NotAction | Tillåt "skrivåtgärder" på natRuleCollections |
| Microsoft.Network/firewallPolicies/ruleGroups/write | NotAction | Tillåt "skrivåtgärder" på ruleGroups |
| Microsoft.Network/virtualHubs/write | NotAction | Tillåt "skrivåtgärder" på virtualHubs |
| Microsoft.Network/virtualWans/virtualHubs/read | NotAction | Tillåt "read"-åtgärder på virtualHubs |
| Microsoft.Network/virtualWANs/anslut/åtgärd | NotAction | Tillåt "join"-åtgärder på virtualWans |
| Microsoft.Network/virtualHubs/routeTables/write | NotAction | Tillåt "skrivåtgärder" över routningstabeller för virtuell hubb |
Enklavens underhållsläge
Underhållsläget för Enclave används för att skydda hanterade resurser som ingår i Enclave, inklusive virtuella Azure-nätverk, nätverkssäkerhetsgrupper och Log Analytics-arbetsytor. Neka tilldelningar används för att förhindra obehöriga åtgärder för dessa resurser. När underhållsläget är aktiverat beviljas de angivna huvudkontona undantag från neka-tilldelningarna för att utföra privilegierade RBAC-åtgärder över den enklavens hanterade resursgrupp.
Scenarier för enklavers underhållsläge
Vanliga scenarier för användning av enklavens underhållsläge är:
- Utföra åtgärder för att ansluta undernät/virtuella nätverk vid driftsättning av arbetsbelastningar
- Skapa/ändra regler för enskilda nätverkssäkerhetsgrupper som krävs för specifika Azure tjänster
- Skapa resurser i den enklaverhanterade resursgruppen för att aktivera privata nätverk (t.ex. Private DNS zoner, privata länkar osv.)
Enclave – allmänt underhållsläge
När General underhållsläget är aktiverat på en enklavresurs undantas underhållsläget principals (användare, grupper eller tjänstens huvudnamn) från neka-tilldelningen Deny All för den enklavens hanterade resursgrupp. Detta gör att de användare som identifieras i underhållslägets huvudnamn kan utföra de åtgärder som annars skulle blockeras av neka-tilldelningen Deny All .
Allow Dataplane Actions nekningstilldelningarna är fortfarande i kraft för alla säkerhetsobjekt (inklusive säkerhetsobjekten i underhållsläge). En användare kan fortfarande begränsas av sina tilldelade roller.
Följande behörigheter tillåts över den enklavens hanterade resursgrupp när det allmänna maintanence-läget är aktiverat.
Enklav nekar tilldelning: Deny All
| Operation | Typ av åtgärd | Explanation |
|---|---|---|
| * | Action | Neka alla åtgärder förutom de som anges i den här tabellen |
| */read | NotAction | Tillåt "läs"-åtgärder för alla resurser |
| Microsoft.Resources/tags/* | NotAction | Tillåt taggningsåtgärder på alla resurser |
Enklaver – avancerat underhållsläge
Följande behörigheter tillåts över den enklavens hanterade resursgrupp när avancerat maintanence-läge är aktiverat.
Enklav nekar tilldelning: Allow Dataplane Actions
| Operation | Typ av åtgärd | Explanation |
|---|---|---|
| * | Action | Neka alla åtgärder förutom de som anges i den här tabellen |
| */read | NotAction | Tillåt "läs"-åtgärder för alla resurser |
| Microsoft.Insights/alertRules/* | NotAction | Tillåt alla åtgärder i "alertRules" |
| Microsoft.Resources/deployments/* | NotAction | Tillåt alla åtgärder för "distributioner" |
| Microsoft.Support/* | NotAction | Tillåt alla åtgärder i "Support" |
| Microsoft.Network/privateDnsZones/* | NotAction | Tillåt alla åtgärder på "privateDnsZones" |
| Microsoft. Network/privateDnsOperationResults/* | NotAction | Tillåt alla åtgärder på "privateDnsOperationResults" |
| Microsoft. Network/privateDnsOperationStatuses/* | NotAction | Tillåt alla åtgärder på "privateDnsOperationStatuses" |
| Microsoft.Network/virtualNetworks/join/action | NotAction | Tillåt vNet/kopplingsåtgärder över enklavens virtuella nätverk |
| Microsoft.Network/virtualNetworks/undernät/ansluta/åtgärd | NotAction | Tillåt undernäts-/kopplingsåtgärder över enklavens virtuella nätverk |
| Microsoft. Authorization/policyExemptions/* | NotAction | Tillåt alla åtgärder för "policyExemptions" |
| Microsoft.Network/routeTables/routes/write | NotAction | Tillåt "skriv"-åtgärder för routningstabeller för virtuella nätverk |
Så här använder du underhållsläge
1. Aktivera underhållsläge när communityn eller enklaven skapas
- Gå till fliken Underhållsläge i formuläret för att skapa en community eller enklav.
- Välj lägesalternativet [
Off/General/Advanced]. - Välj de tjänsthuvudnamn som du vill inkludera.
- Välj motiveringen för varför du anger underhållsläge [
OFF/NETWORKING/GOVERNANCE]. - Granska och skapa communityn eller enklaven som vanligt.
2. Aktivera underhållsläge för en befintlig community eller en enklav
- Navigera till communityn eller enklaven som du aktiverar underhållsläge för.
- Gå till fliken Underhållsläge.
- Välj lägesalternativet [
Advanced/General]. - Välj de tjänsthuvudnamn som du vill inkludera.
- Välj motiveringen för varför du anger underhållsläge [
NETWORKING/GOVERNANCE]. - Bekräfta och spara.
3. Utföra underhållsaktiviteter
- När underhållsläget har aktiverats fortsätter du med dina underhållsaktiviteter eller skapar komplexa arbetsbelastningar efter behov.
4. Inaktivera underhållsläge
- När du har slutfört dina uppgifter går du tillbaka till fliken Underhållsläge.
- Välj läget
OFF. - Bekräfta och spara.
Metodtips
- Begränsa användningen: Se till att underhållsläget endast är aktiverat för betrodda privilegierade användare under planerade mainenance-fönster och se till att upprätthålla säkerhet och isolering över Azure Enklaverresurser.
- Förstå effekten: Privilegierade användare bör fullt ut förstå de ändringar de gör och steg för att ångra eller åtgärda dessa ändringar. Manuella ändringar av underliggande hanterade resurser i en community eller en enklav i underhållsläge kan orsaka oavsiktliga avvikelser i din miljö från idealiska tillstånd.
Learn more
- Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?
- Förstå Azure-nekningstilldelningar
- Visa nekade tilldelningar i Azure-portalen
- Inbyggda roller i Azure
- Förstå rolldefinitioner i Azure
- Metodtips för Azure RBAC
- Vad är Microsoft Entra Privileged Identity Management?
- Hanterade resursgrupper i Azure