Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bakım modu, topluluk veya kapanım sahiplerinin geçici olarak topluluklarını veya kuşatmalarını değişikliklere izin verilen "bakım modu" durumuna yerleştirmelerine olanak tanıyan bir özelliktir. Bu mod, ayrıcalıklı kullanıcıların normalde Reddetme Atamaları tarafından korunan temeldeki yönetilen kaynaklar üzerinde belirli değişiklikler yapmasına izin verir. Bu, topluluk ve enklav yalıtımının ve ağ sınırının korunmasına yardımcı olur.
Bakım modu seçenekleri
-
Off- Azure Enclave tarafından oluşturulan reddetme atamaları, bir enclave veya topluluk için altyapıdaki yönetilen kaynak gruplarını korumak üzere bulunur. -
GeneralAllow Dataplane Actions- Azure tarafından oluşturulan reddetme ataması, ayrıcalıklı kullanıcıların yalnızca temel alınan yönetilen kaynaklarda var olan belirli kaynakları değiştirmesine olanak tanır. Bir enklav için bu işlemler, kaynakların enklav sanal ağına katılmasını ve Özel DNS Bölgesi kayıtlarının oluşturulmasını içerir. Bir topluluk için bu işlemler, Sanal WAN kaynaklarda değişiklik yapmayı içerir. Varsayılan olarak, topluluklar ve enklavlarOffmodunda dağıtılır; ancak oluşturma sırasındaGeneralmodunu seçin ve korunan kaynaklarda değişiklik yapılmasına izin vermek için uygun Microsoft Entra ID kimliklerini sağlayın. -
Advanced- Azure tarafından oluşturulan reddetme ataması, ayrıcalıklı kullanıcıların temel alınan yönetilen kaynaklarda yükseltilmiş değişiklikler yapmasına izin vermek için geçici olarak kaldırılır.
Hizalama seçenekleri
- Ağ iletişimi - Yönetilen kaynaklarda ayrıcalıklı veya özel değişikliklerin yönetimi.
- Yönetişim - Günlüğe kaydetme, ilke veya yönetişimle ilgili diğer değişiklikleri yönetme.
- Kapalı - Bakım modu artık gerekli değildir.
Topluluk Bakım Modu
Topluluk Bakımı modu, Azure vWAN, Azure Güvenlik Duvarı, Güvenlik Duvarı İlkesi ve Log Analytics Çalışma Alanı dahil olmak üzere Topluluğu oluşturan yönetilen kaynakları korumayı kullanır. Reddetme atamaları, bu kaynaklar üzerinde yetkisiz eylemleri önlemek için kullanılır. Bakım modu etkinleştirildiğinde, belirtilen sorumlulara ayrıcalıklı RBAC eylemleri gerçekleştirmek için reddetme atamalarından dışlamalar verilir.
Topluluk Bakım Modu Senaryoları
Topluluk Bakım Modu için yaygın senaryolar şunlardır:
- Karmaşık ağ yapılandırmalarını desteklemek için sanal hub yönlendirme tablolarını oluşturma/değiştirme.
- Community vWAN içinde özel sanal hub'lar oluşturma/değiştirme
- Belirli Azure hizmetleri için gereken tek tek ağ güvenlik grubu kurallarını oluşturma/değiştirme
- Özel ağ iletişimini etkinleştirmek için Enclave yönetilen kaynak grubunda kaynaklar oluşturma (ör. Özel DNS Bölgeleri, Özel Bağlantılar vb.)
Topluluk - Genel Bakım Modu
**Topluluk ** kaynağında bakım modu etkinleştirildiğindeGeneral, bakım modu principals (örneğin, kullanıcılar veya gruplar) Deny All reddetme atamasının dışında tutulur.
Bu, bakım modunda tanımlanan kullanıcıların normalde Deny All reddetme ataması tarafından engellenecek bu eylemleri gerçekleştirmesine olanak tanır. Reddetme Allow Dataplane Actions atamaları tüm sorumlular (bakım modu sorumluları dahil) için hala etkindir. Bir kullanıcı yine de kendisine atanan roller tarafından sınırlandırılabilir.
Genel ana kaynak modu etkinleştirildiğinde Topluluk tarafından yönetilen kaynak grubu üzerinde aşağıdaki izinlere izin verilir.
Topluluk Reddetme Ataması: Deny All
| Operation | Eylem Türü | Explanation | |
|---|---|---|---|
| * | Action | Bu tabloda belirtilenler dışında tüm eylemleri reddet | |
| */read | NotAction | İzin veriliyor | Tüm kaynaklarda "okuma" eylemlerine izin ver |
| Microsoft.Resources/tags/* | NotAction | Tüm kaynaklarda "etiketler" eylemlerine izin ver |
Topluluk - Gelişmiş Bakım Modu
gelişmiş bakım modu etkinleştirildiğinde, topluluk tarafından yönetilen kaynak grubu üzerinde aşağıdaki izinlere izin verilir.
Topluluk Reddetme Ataması: Allow Dataplane Actions
| Operation | Eylem Türü | Explanation |
|---|---|---|
| * | Action | Bu tabloda belirtilenler dışında tüm eylemleri reddet |
| */read | NotAction | Tüm kaynaklarda "okuma" eylemlerine izin ver |
| Microsoft.Insights/alertRules/* | NotAction | "alertRules" üzerindeki tüm eylemlere izin ver |
| Microsoft.Support/* | NotAction | "Destek" üzerindeki tüm eylemlere izin ver |
| Microsoft.Resources/tags/* | NotAction | Tüm kaynaklarda "etiketler" eylemlerine izin ver |
| Microsoft.Network/azureFirewalls/networkRuleCollections/write | NotAction | networkRuleCollections üzerinde "yazma" eylemlerine izin ver |
| Microsoft.Network/azureFirewalls/applicationRuleCollections/write | NotAction | applicationRuleCollections üzerinde "yazma" eylemlerine izin ver |
| Microsoft.Network/azureFirewalls/natRuleCollections/yaz | NotAction | natRuleCollections üzerinde "yazma" eylemlerine izin ver |
| Microsoft.Network/firewallPolicies/ruleGroups/write | NotAction | ruleGroups üzerinde "yazma" eylemlerine izin ver |
| Microsoft.Network/virtualHubs/write | NotAction | virtualHub'larda "yazma" eylemlerine izin ver |
| Microsoft.Network/virtualWans/virtualHubs/read | NotAction | VirtualHub'larda "okuma" eylemlerine izin verme |
| Microsoft.Network/virtualWans/join/action | NotAction | virtualWan'larda "birleştirme" eylemlerine izin ver |
| Microsoft.Network/virtualHubs/routeTables/write | NotAction | Sanal hub yönlendirme tabloları üzerinden "yazma" eylemlerine izin verme |
Kapanım Bakım Modu
Enclave Bakım modu, Azure sanal ağı, ağ güvenlik grupları ve Log Analytics çalışma alanı dahil olmak üzere Enclave’i oluşturan yönetilen kaynakları korumak için kullanılır. Reddetme atamaları, bu kaynaklar üzerinde yetkisiz eylemleri önlemek için kullanılır. Bakım modu etkinleştirildiğinde, belirtilen güvenlik sorumluları, enclave tarafından yönetilen kaynak grubu üzerinde ayrıcalıklı RBAC eylemleri gerçekleştirebilmeleri için ret atamalarından muaf tutulur.
Enclave Bakım Modu Senaryoları
Enclave bakım modunun kullanımına yönelik yaygın senaryolar şunlardır:
- İş yükü dağıtımları sırasında alt ağ/sanal ağ birleştirme işlemleri gerçekleştirme
- Belirli Azure hizmetleri için gereken tek tek ağ güvenlik grubu kurallarını oluşturma/değiştirme
- Özel ağ iletişimini etkinleştirmek için enclave tarafından yönetilen kaynak grubu içinde kaynaklar oluşturma (ör. Özel DNS Bölgeleri, Özel Bağlantılar vb.)
Enclave - Genel Bakım Modu
General Bir enclave kaynağında bakım modu etkinleştirildiğinde, bakım modu principals sorumluları (kullanıcılar, gruplar veya hizmet sorumluları), enclave tarafından yönetilen kaynak grubu için Deny All engelleme atamasının dışında tutulur. Bu, bakım modunda tanımlanan kullanıcıların normalde Deny All reddetme ataması tarafından engellenecek bu eylemleri gerçekleştirmesine olanak tanır. Reddetme Allow Dataplane Actions atamaları tüm sorumlular (bakım modu sorumluları dahil) için hala etkindir. Bir kullanıcı yine de kendisine atanan roller tarafından sınırlandırılabilir.
genel bakım modu etkinleştirildiğinde, enclave tarafından yönetilen kaynak grubu üzerinde aşağıdaki izinlere izin verilir.
Enklav reddetme ataması: Deny All
| Operation | Eylem Türü | Explanation |
|---|---|---|
| * | Action | Bu tabloda belirtilenler dışında tüm eylemleri reddet |
| */read | NotAction | Tüm kaynaklarda "okuma" eylemlerine izin ver |
| Microsoft.Resources/tags/* | NotAction | Tüm kaynaklarda "etiketler" eylemlerine izin ver |
Enclave - Gelişmiş Bakım Modu
gelişmiş bakım modu etkinleştirildiğinde, enclave yönetilen kaynak grubu üzerinde aşağıdaki izinlere izin verilir.
Enclave reddetme ataması: Allow Dataplane Actions
| Operation | Eylem Türü | Explanation |
|---|---|---|
| * | Action | Bu tabloda belirtilenler dışında tüm eylemleri reddet |
| */read | NotAction | Tüm kaynaklarda "okuma" eylemlerine izin ver |
| Microsoft.Insights/alertRules/* | NotAction | "alertRules" üzerindeki tüm eylemlere izin ver |
| Microsoft.Resources/deployments/* | NotAction | "Dağıtımlar" üzerinde tüm eylemlere izin ver |
| Microsoft.Support/* | NotAction | "Destek" üzerindeki tüm eylemlere izin ver |
| Microsoft.Network/privateDnsZones/* | NotAction | "privateDnsZones" üzerindeki tüm eylemlere izin ver |
| Microsoft. Ağ/privateDnsOperationResults/* | NotAction | "privateDnsOperationResults" üzerindeki tüm eylemlere izin ver |
| Microsoft.Network/privateDnsOperationStatuses/* | NotAction | "privateDnsOperationStatuses" üzerindeki tüm eylemlere izin ver |
| Microsoft.Network/virtualNetworks/join/action | NotAction | enclave vNet üzerinden vNet'e katılma işlemlerine izin ver |
| Microsoft. Ağ/virtualNetworks/alt ağlar/birleştirme/eylem | NotAction | Enclave vNet üzerinden alt ağ ve katılma işlemlerine izin ver |
| Microsoft. Yetkilendirme/policyExemptions/* | NotAction | "policyExemptions" üzerindeki tüm eylemlere izin ver |
| Microsoft.Network/routeTables/routes/write | NotAction | Sanal Ağ yönlendirme tabloları üzerinde "yazma" eylemlerine izin ver |
Bakım modunu kullanma
1. Topluluk veya enklev oluştururken bakım modunu etkinleştirin
- Topluluk veya enclave oluşturma formundaki Bakım modu sekmesine gidin.
- [
Off/General/Advanced] mod seçeneğini belirleyin. - Eklemek istediğiniz hizmet sorumlularını seçin.
- Bakım moduna
OFF/NETWORKING/GOVERNANCE[] girme nedenine ilişkin gerekçeyi seçin. - Topluluğu veya enklavı her zamanki gibi gözden geçirin ve oluşturun.
2. Mevcut bir topluluk veya enklav için bakım modunu etkinleştirin
- Bakım modunu etkinleştireceğiniz topluluğa veya enklava gidin.
- "Bakım modu" sekmesine gidin.
- [
Advanced/General] mod seçeneğini belirleyin. - Eklemek istediğiniz hizmet sorumlularını seçin.
- Bakım moduna
NETWORKING/GOVERNANCE[] girme nedenine ilişkin gerekçeyi seçin. - Onaylayın ve kaydedin.
3. Bakım görevlerini gerçekleştirme
- Bakım Modu etkinleştirildikten sonra bakım görevlerinizle devam edin veya gerektiğinde karmaşık iş yükleri oluşturun.
4. Bakım modunu devre dışı bırakma
- Görevlerinizi tamamladıktan sonra Bakım modu sekmesine dönün.
-
OFFModu seçin. - Onaylayın ve kaydedin.
En iyi uygulamalar
- Kullanımı Sınırla: Bakım modunun yalnızca planlı bakım pencereleri sırasında güvenilir ayrıcalıklı kullanıcılar tarafından etkinleştirildiğinden ve Azure Enclave kaynakları üzerinde güvenlik ile yalıtımın korunduğundan emin olun.
- Etkiyi anlama: Ayrıcalıklı kullanıcılar yaptıkları değişiklikleri tam olarak anlamalı ve bu değişiklikleri geri alma veya düzeltme adımları gerçekleştirmelidir. Bir topluluk veya kapanım bakım modundayken, altta yatan yönetilen kaynaklarda manuel değişiklikler yapmak ortamınızın ideal durumlardan istenmeyen biçimde sapmasına neden olabilir.
Daha fazla bilgi edinin
- Azure rol tabanlı erişim kontrolü (Azure RBAC) nedir?
- Azure engelleme atamalarını anlayın
- Azure portalını kullanarak reddetme atamalarını listeleme
- Azure yerleşik rolleri
- Azure rol tanımlarını anlama
- Azure RBAC için en iyi yöntemler
- Microsoft Entra Privileged Identity Management nedir?
- Azure yönetilen kaynak grupları