Azure İlkesi kullanarak Azure SignalR Hizmeti kaynaklarının uyumluluğunu denetleme
Azure İlkesi, Azure'da ilkeleri oluşturmak, atamak ve yönetmek için kullandığınız bir hizmettir. Bu ilkeler, kaynaklarınız üzerinden farklı kuralları ve eylemleri uygulatarak kaynaklarınızın kurumsal standartlarınız ve hizmet düzeyi sözleşmelerinizle uyumlu kalmasını sağlar.
Bu makalede, Azure SignalR Hizmeti için yerleşik ilkeler (önizleme) tanıtılıyor. Yeni ve mevcut SignalR kaynaklarını uyumluluk açısından denetlemek için bu ilkeleri kullanın.
Azure İlkesi kullanımı ücretsizdir.
Yerleşik ilke tanımları
Aşağıdaki yerleşik ilke tanımları Azure SignalR Hizmeti özeldir:
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure SignalR Hizmeti genel ağ erişimini devre dışı bırakmalıdır | Azure SignalR Hizmeti kaynağının güvenliğini artırmak için kaynağın genel İnternet'e açık olmadığından ve yalnızca özel bir uç noktadan erişilebildiğinden emin olun. içinde açıklandığı https://aka.ms/asrs/networkaclsgibi genel ağ erişim özelliğini devre dışı bırakın. Bu seçenek, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Bu, veri sızıntısı risklerini azaltır. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure SignalR Hizmeti tanılama günlüklerini etkinleştirmelidir | Tanılama günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, Azure SignalR Hizmeti yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği artırır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti Özel Bağlantı etkin bir SKU kullanmalıdır | Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanıza olanak tanır ve bu da kaynaklarınızı genel veri sızıntısı risklerine karşı korur. İlke, Azure SignalR Hizmeti için etkinleştirilen Özel Bağlantı SKU'lar ile sınırlandırır. Özel bağlantı hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| yerel kimlik doğrulamasını devre dışı bırakmak için Azure SignalR Hizmeti yapılandırma | yerel kimlik doğrulama yöntemlerini devre dışı bırakın; böylece Azure SignalR Hizmeti yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirir. | Değiştir, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti için özel uç noktaları yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları Azure SignalR Hizmeti kaynaklara eşleyerek veri sızıntısı risklerini azaltabilirsiniz. https://aka.ms/asrs/privatelink adresinden daha fazla bilgi edinin. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Dağıt - özel uç noktalar için özel DNS bölgelerini yapılandırma Azure SignalR Hizmeti | Özel bir uç noktanın DNS çözümlemesini geçersiz kılmak için özel DNS bölgelerini kullanın. Özel DNS bölgesi, Azure SignalR Hizmeti kaynağına çözümlenmesi için sanal ağınıza bağlanır. Daha fazla bilgi için: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Genel ağ erişimini devre dışı bırakmak için Azure SignalR Hizmeti kaynaklarını değiştirme | Azure SignalR Hizmeti kaynağının güvenliğini artırmak için kaynağın genel İnternet'e açık olmadığından ve yalnızca özel bir uç noktadan erişilebildiğinden emin olun. içinde açıklandığı https://aka.ms/asrs/networkaclsgibi genel ağ erişim özelliğini devre dışı bırakın. Bu seçenek, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Bu, veri sızıntısı risklerini azaltır. | Değiştir, Devre Dışı | 1.1.0 |
İlke tanımları atama
- Azure portalını, Azure CLI'yı, Resource Manager şablonunu veya Azure İlkesi SDK'larını kullanarak ilke tanımları atayın.
- İlke atamasını kaynak grubuna, aboneliğe veya Azure yönetim grubuna kapsam olarak belirleyin. SignalR ilkesi atamaları, kapsamdaki mevcut ve yeni SignalR kaynakları için geçerlidir.
- İstediğiniz zaman ilke zorlamayı etkinleştirin veya devre dışı bırakın.
Not
Bir ilkeyi atadıktan veya güncelleştirdikten sonra atamanın tanımlı kapsamdaki kaynaklara uygulanması biraz zaman alır. İlke değerlendirme tetikleyicileri hakkındaki bilgilere bakın.
İlke uyumluluğunu gözden geçirme
azure portalını, Azure komut satırı araçlarını veya Azure İlkesi SDK'larını kullanarak ilke atamalarınız tarafından oluşturulan uyumluluk bilgilerine erişin. Ayrıntılar için bkz . Azure kaynaklarının uyumluluk verilerini alma.
Bir kaynak uyumsuz olduğunda, birçok olası neden vardır. Nedeni belirlemek veya değişikliği sorumlu bulmak için bkz . Uyumsuzluk belirleme.
Portalda ilke uyumluluğu:
Tüm hizmetler'i seçin ve İlke'yi arayın.
Uyumluluk'a tıklayın.
Uyumluluk durumlarını sınırlamak veya ilke aramak için filtreleri kullanın
Toplu uyumluluk ayrıntılarını ve olaylarını gözden geçirmek için bir ilke seçin. İsterseniz, kaynak uyumluluğu için belirli bir SignalR seçin.
Azure CLI'da ilke uyumluluğu
Uyumluluk verilerini almak için Azure CLI'yi de kullanabilirsiniz. Örneğin, uygulanan Azure SignalR Hizmeti ilkelerinin ilke kimliklerini almak için CLI'daki az policy assignment list komutunu kullanın:
az policy assignment list --query "[?contains(displayName,'SignalR')].{name:displayName, ID:id}" --output table
Örnek çıkış:
Name ID
------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure SignalR Service should use private links /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>
Ardından, belirli bir kaynak grubu altındaki tüm kaynaklar için JSON biçimli uyumluluk durumunu döndürmek için az policy state list komutunu çalıştırın:
az policy state list --g <resourceGroup>
Veya belirli bir SignalR kaynağının JSON biçimli uyumluluk durumunu döndürmek için az policy state list komutunu çalıştırın:
az policy state list \
--resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/SignalR/<resourceName> \
--namespace Microsoft.SignalRService \
--resource-group <resourceGroup>
Sonraki adımlar
Azure İlkesi tanımları ve etkileri hakkında daha fazla bilgi edinin
Özel ilke tanımı oluşturma
Azure'daki idare özellikleri hakkında daha fazla bilgi edinin