Underhållsläge

Underhållsläge är en funktion som gör det möjligt för community- eller enklaverägare att tillfälligt placera sina community- eller enklaver i ett "underhållsläge"-tillstånd där ändringar tillåts. Med det här läget kan privilegierade användare göra vissa ändringar i de underliggande hanterade resurser som normalt skyddas av Neka tilldelningar. Detta bidrar till att upprätthålla isolering och nätverksgräns för communityn och enklaver.

Alternativ för underhållsläge

  • Off– Neka tilldelningar som skapats av Azure Enclave finns på plats för att skydda underliggande hanterade resursgrupper för en enklav eller community.
  • General - Den nekningstilldelning som skapats av Azure gör det möjligt för privilegierade användare att ändra vissa befintliga resurser enbart i de underliggande hanterade resurserna. För en enklav omfattar dessa åtgärder resurser som ansluter till det virtuella enklavens nätverk och skapar Private DNS Zone-poster. För en community omfattar dessa åtgärder att göra ändringar i de Virtual WAN resurserna. Som standard distribueras communities och enklaver i Off läge, men välj General läge när de skapas och tillhandahålla lämpliga Microsoft Entra ID identiteter för att tillåta ändringar i de skyddade resurserna.
  • Advanced - Nekningstilldelningen som skapats av Azure tas tillfälligt bort så att privilegierade användare kan göra ändringar med utökade behörigheter i de underliggande hanterade resurserna.

Justeringsalternativ

  • Nätverk – Hantera privilegierade eller anpassade ändringar av hanterade resurser.
  • Styrning – Hantera loggning, princip eller andra styrningsrelaterade ändringar.
  • Av – Underhållsläge behövs inte längre.

Gemenskapens underhållsläge

Underhållsläget för Communityn används för att skydda de hanterade resurser som utgör Communityn, inklusive Azure vWAN, Azure Firewall, brandväggsprincip och Log Analytics-arbetsyta. Neka tilldelningar används för att förhindra obehöriga åtgärder för dessa resurser. När underhållsläget är aktiverat ges de angivna säkerhetsobjekten undantag från nekningstilldelningarna så att de kan utföra privilegierade RBAC-åtgärder.

Scenarier för community-maintanenceläge

Vanliga scenarier för Community Maintanence Mode är:

  • Skapa/ändra routningstabeller för virtuell hubb för att stödja komplexa nätverkskonfigurationer.
  • Skapa/ändra anpassade virtuella hubbar i communityn vWAN
  • Skapa/ändra regler för enskilda nätverkssäkerhetsgrupper som krävs för specifika Azure tjänster
  • Skapa resurser i den enklavens hanterade resursgrupp för att aktivera privata nätverk (t.ex. Private DNS zoner, privata länkar osv.)

Community – Allmänt underhållsläge

När General underhållsläge är aktiverat för en **Community **-resurs undantas de principals för underhållsläge (till exempel användare eller grupper) från Deny All nekningstilldelningen för den communityhanterade resursgruppen.

Detta gör att de användare som identifieras i underhållslägets huvudnamn kan utföra de åtgärder som annars skulle blockeras av neka-tilldelningen Deny All . Allow Dataplane Actions nekningstilldelningarna är fortfarande i kraft för alla säkerhetsobjekt (inklusive säkerhetsobjekten i underhållsläge). En användare kan fortfarande begränsas av sina tilldelade roller.

Följande behörigheter är tillåtna för den community-hanterade resursgruppen när allmänt underhållsläge är aktiverat.

Tilldelning av communitynekelse: Deny All

Operation Typ av åtgärd Explanation
* Action Neka alla åtgärder förutom de som anges i den här tabellen
*/read NotAction Tillåtet Tillåt "läs"-åtgärder för alla resurser
Microsoft.Resources/tags/* NotAction Tillåt taggningsåtgärder på alla resurser

Community – Avancerat underhållsläge

Följande behörigheter tillåts för den Communtiy-hanterade resursgruppen när avancerat underhållsläge är aktiverat.

Nekningstilldelning för community: Allow Dataplane Actions

Operation Typ av åtgärd Explanation
* Action Neka alla åtgärder förutom de som anges i den här tabellen
*/read NotAction Tillåt "läs"-åtgärder för alla resurser
Microsoft.Insights/alertRules/* NotAction Tillåt alla åtgärder i "alertRules"
Microsoft.Support/* NotAction Tillåt alla åtgärder i "Support"
Microsoft.Resources/tags/* NotAction Tillåt taggningsåtgärder på alla resurser
Microsoft.Network/azureFirewalls/networkRuleCollections/write NotAction Tillåt "skrivåtgärder" i networkRuleCollections
Microsoft.Network/azureFirewalls/applicationRuleCollections/write NotAction Tillåt "skrivåtgärder" på applicationRuleCollections
Microsoft.Network/azureFirewalls/natRuleCollections/write NotAction Tillåt "skrivåtgärder" på natRuleCollections
Microsoft.Network/firewallPolicies/ruleGroups/write NotAction Tillåt "skrivåtgärder" på ruleGroups
Microsoft.Network/virtualHubs/write NotAction Tillåt "skrivåtgärder" på virtualHubs
Microsoft.Network/virtualWans/virtualHubs/read NotAction Tillåt "read"-åtgärder på virtualHubs
Microsoft.Network/virtualWANs/anslut/åtgärd NotAction Tillåt "join"-åtgärder på virtualWans
Microsoft.Network/virtualHubs/routeTables/write NotAction Tillåt "skrivåtgärder" över routningstabeller för virtuell hubb

Enklavens underhållsläge

Underhållsläget för Enclave används för att skydda hanterade resurser som ingår i Enclave, inklusive virtuella Azure-nätverk, nätverkssäkerhetsgrupper och Log Analytics-arbetsytor. Neka tilldelningar används för att förhindra obehöriga åtgärder för dessa resurser. När underhållsläget är aktiverat beviljas de angivna huvudkontona undantag från neka-tilldelningarna för att utföra privilegierade RBAC-åtgärder över den enklavens hanterade resursgrupp.

Scenarier för enklavers underhållsläge

Vanliga scenarier för användning av enklavens underhållsläge är:

  • Utföra åtgärder för att ansluta undernät/virtuella nätverk vid driftsättning av arbetsbelastningar
  • Skapa/ändra regler för enskilda nätverkssäkerhetsgrupper som krävs för specifika Azure tjänster
  • Skapa resurser i den enklaverhanterade resursgruppen för att aktivera privata nätverk (t.ex. Private DNS zoner, privata länkar osv.)

Enclave – allmänt underhållsläge

När General underhållsläget är aktiverat på en enklavresurs undantas underhållsläget principals (användare, grupper eller tjänstens huvudnamn) från neka-tilldelningen Deny All för den enklavens hanterade resursgrupp. Detta gör att de användare som identifieras i underhållslägets huvudnamn kan utföra de åtgärder som annars skulle blockeras av neka-tilldelningen Deny All . Allow Dataplane Actions nekningstilldelningarna är fortfarande i kraft för alla säkerhetsobjekt (inklusive säkerhetsobjekten i underhållsläge). En användare kan fortfarande begränsas av sina tilldelade roller.

Följande behörigheter tillåts över den enklavens hanterade resursgrupp när det allmänna maintanence-läget är aktiverat.

Enklav nekar tilldelning: Deny All

Operation Typ av åtgärd Explanation
* Action Neka alla åtgärder förutom de som anges i den här tabellen
*/read NotAction Tillåt "läs"-åtgärder för alla resurser
Microsoft.Resources/tags/* NotAction Tillåt taggningsåtgärder på alla resurser

Enklaver – avancerat underhållsläge

Följande behörigheter tillåts över den enklavens hanterade resursgrupp när avancerat maintanence-läge är aktiverat.

Enklav nekar tilldelning: Allow Dataplane Actions

Operation Typ av åtgärd Explanation
* Action Neka alla åtgärder förutom de som anges i den här tabellen
*/read NotAction Tillåt "läs"-åtgärder för alla resurser
Microsoft.Insights/alertRules/* NotAction Tillåt alla åtgärder i "alertRules"
Microsoft.Resources/deployments/* NotAction Tillåt alla åtgärder för "distributioner"
Microsoft.Support/* NotAction Tillåt alla åtgärder i "Support"
Microsoft.Network/privateDnsZones/* NotAction Tillåt alla åtgärder på "privateDnsZones"
Microsoft. Network/privateDnsOperationResults/* NotAction Tillåt alla åtgärder på "privateDnsOperationResults"
Microsoft. Network/privateDnsOperationStatuses/* NotAction Tillåt alla åtgärder på "privateDnsOperationStatuses"
Microsoft.Network/virtualNetworks/join/action NotAction Tillåt vNet/kopplingsåtgärder över enklavens virtuella nätverk
Microsoft.Network/virtualNetworks/undernät/ansluta/åtgärd NotAction Tillåt undernäts-/kopplingsåtgärder över enklavens virtuella nätverk
Microsoft. Authorization/policyExemptions/* NotAction Tillåt alla åtgärder för "policyExemptions"
Microsoft.Network/routeTables/routes/write NotAction Tillåt "skriv"-åtgärder för routningstabeller för virtuella nätverk

Så här använder du underhållsläge

1. Aktivera underhållsläge när communityn eller enklaven skapas

  1. Gå till fliken Underhållsläge i formuläret för att skapa en community eller enklav.
  2. Välj lägesalternativet [Off / General / Advanced].
  3. Välj de tjänsthuvudnamn som du vill inkludera.
  4. Välj motiveringen för varför du anger underhållsläge [OFF / NETWORKING / GOVERNANCE].
  5. Granska och skapa communityn eller enklaven som vanligt.

2. Aktivera underhållsläge för en befintlig community eller en enklav

  1. Navigera till communityn eller enklaven som du aktiverar underhållsläge för.
  2. Gå till fliken Underhållsläge.
  3. Välj lägesalternativet [Advanced / General].
  4. Välj de tjänsthuvudnamn som du vill inkludera.
  5. Välj motiveringen för varför du anger underhållsläge [NETWORKING / GOVERNANCE].
  6. Bekräfta och spara.

3. Utföra underhållsaktiviteter

  • När underhållsläget har aktiverats fortsätter du med dina underhållsaktiviteter eller skapar komplexa arbetsbelastningar efter behov.

4. Inaktivera underhållsläge

  1. När du har slutfört dina uppgifter går du tillbaka till fliken Underhållsläge.
  2. Välj läget OFF .
  3. Bekräfta och spara.

Metodtips

  • Begränsa användningen: Se till att underhållsläget endast är aktiverat för betrodda privilegierade användare under planerade mainenance-fönster och se till att upprätthålla säkerhet och isolering över Azure Enklaverresurser.
  • Förstå effekten: Privilegierade användare bör fullt ut förstå de ändringar de gör och steg för att ångra eller åtgärda dessa ändringar. Manuella ändringar av underliggande hanterade resurser i en community eller en enklav i underhållsläge kan orsaka oavsiktliga avvikelser i din miljö från idealiska tillstånd.

Learn more