Aracılığıyla paylaş


Azure Event Hubs ad alanı için en düşük TLS sürümünün uyumluluğunu denetlemek için Azure İlkesi kullanma

Çok sayıda Microsoft Azure Event Hubs ad alanınız varsa, tüm ad alanlarının kuruluşunuzun gerektirdiği en düşük TLS sürümü için yapılandırıldığından emin olmak için bir denetim gerçekleştirmek isteyebilirsiniz. Bir dizi Event Hubs ad alanını uyumluluk açısından denetlemek için Azure İlkesi kullanın. Azure İlkesi, Azure kaynaklarına kural uygulayan ilkeler oluşturmak, atamak ve yönetmek için kullanabileceğiniz bir hizmettir. Azure İlkesi, bu kaynakları kurumsal standartlarınız ve hizmet düzeyi sözleşmelerinizle uyumlu tutmanıza yardımcı olur. Daha fazla bilgi için bkz. Azure İlkesi genel bakış.

Denetim etkisi olan bir ilke oluşturma

Azure İlkesi, bir ilke kuralı bir kaynağa göre değerlendirildiğinde ne olacağını belirleyen etkileri destekler. Denetim etkisi, bir kaynak uyumlu olmadığında ancak isteği durdurmadığında bir uyarı oluşturur. Efektler hakkında daha fazla bilgi için bkz. Azure İlkesi efektleri anlama.

Azure portal en düşük TLS sürümü için denetim etkisi olan bir ilke oluşturmak için şu adımları izleyin:

  1. Azure portal Azure İlkesi hizmetine gidin.

  2. Yazma bölümünde Tanımlar'ı seçin.

  3. Yeni bir ilke tanımı oluşturmak için İlke tanımı ekle'yi seçin.

  4. Tanım konumu alanı için Diğer düğmesini seçerek denetim ilkesi kaynağının nerede bulunduğunu belirtin.

  5. İlke için bir ad belirtin. İsteğe bağlı olarak bir açıklama ve kategori belirtebilirsiniz.

  6. İlke kuralı altında, policyRule bölümüne aşağıdaki ilke tanımını ekleyin.

    {
      "policyRule": {
        "if": {
          "allOf": [
            {
              "field": "type",
              "equals": "Microsoft.EventHub/namespaces"
            },
            {
              "not": {
                "field": "Microsoft.EventHub/namespaces/minimumTlsVersion",
                "equals": "1.2"
              }
            }
          ]
        },
        "then": {
          "effect": "audit"
        }
      }
    }
    
  7. İlkeyi kaydedin.

İlke atama

Ardından ilkeyi bir kaynağa atayın. İlkenin kapsamı bu kaynağa ve altındaki kaynaklara karşılık gelir. İlke ataması hakkında daha fazla bilgi için bkz. atama yapısı Azure İlkesi.

İlkeyi Azure portal atamak için şu adımları izleyin:

  1. Azure portal Azure İlkesi hizmetine gidin.
  2. Yazma bölümünde Atamalar'ı seçin.
  3. Yeni bir ilke ataması oluşturmak için İlke ata'yı seçin.
  4. Kapsam alanı için ilke atamasının kapsamını seçin.
  5. İlke tanımı alanı için Diğer düğmesini ve ardından listeden önceki bölümde tanımladığınız ilkeyi seçin.
  6. İlke ataması için bir ad belirtin. Açıklama isteğe bağlıdır.
  7. İlke zorlama seçeneğini Etkin olarak bırakın. Bu ayarın denetim ilkesi üzerinde hiçbir etkisi yoktur.
  8. Ödevi oluşturmak için Gözden geçir ve oluştur'u seçin.

Uyumluluk raporunu görüntüleme

İlkeyi atadıktan sonra uyumluluk raporunu görüntüleyebilirsiniz. Denetim ilkesinin uyumluluk raporu, hangi Event Hubs ad alanlarının ilkeyle uyumlu olmadığı hakkında bilgi sağlar. Daha fazla bilgi için bkz. İlke uyumluluk verilerini alma.

İlke ataması oluşturulduktan sonra uyumluluk raporunun kullanılabilir duruma gelmesi birkaç dakika sürebilir.

uyumluluk raporunu Azure portal görüntülemek için şu adımları izleyin:

  1. Azure portal Azure İlkesi hizmetine gidin.
  2. Uyumluluk'a tıklayın.
  3. Önceki adımda oluşturduğunuz ilke atamasının adı için sonuçları filtreleyin. Rapor, ilkeyle uyumlu olmayan kaynak sayısını gösterir.
  4. Uyumlu olmayan Event Hubs ad alanlarının listesi de dahil olmak üzere ek ayrıntılar için raporda detaya gidebilirsiniz.

En düşük TLS sürümünü zorlamak için Azure İlkesi kullanma

Azure İlkesi, Azure kaynaklarının gereksinimlere ve standartlara uygun olmasını sağlayarak bulut idaresini destekler. Kuruluşunuzdaki Event Hubs ad alanları için en düşük TLS sürümü gereksinimini zorlamak için, en düşük TLS gereksinimini ilke tarafından dikte edilenden daha eski bir TLS sürümüne ayarlayan yeni bir Event Hubs ad alanı oluşturulmasını engelleyen bir ilke oluşturabilirsiniz. Bu ilke, söz konusu ad alanının en düşük TLS sürümü ayarı ilkeyle uyumlu değilse mevcut bir ad alanında yapılan tüm yapılandırma değişikliklerini de engeller.

Zorlama ilkesi, en düşük TLS sürümünün artık kuruluşunuzun standartlarına uymaması için Event Hubs ad alanı oluşturan veya değiştiren bir isteği önlemek için reddetme etkisini kullanır. Efektler hakkında daha fazla bilgi için bkz. Azure İlkesi efektleri anlama.

TLS 1.2'den küçük en düşük TLS sürümü için reddetme etkisi olan bir ilke oluşturmak için, ilke tanımının policyRule bölümünde aşağıdaki JSON'u sağlayın:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": " Microsoft.EventHub/namespaces"
        },
        {
          "not": {
            "field": " Microsoft.EventHub/namespaces/minimumTlsVersion",
            "equals": "1.2"
          }
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

İlkeyi reddetme etkisiyle oluşturduktan ve bir kapsama atadıktan sonra, kullanıcı 1.2'den eski en düşük TLS sürümüne sahip bir Event Hubs ad alanı oluşturamaz. Ayrıca, kullanıcı şu anda 1.2'den eski en düşük TLS sürümünü gerektiren mevcut bir Event Hubs ad alanında yapılandırma değişiklikleri yapamaz. Bunu yapmaya çalışmak hatayla sonuçlanır. Ad alanı oluşturma veya yapılandırma işlemine devam etmek için Event Hubs ad alanı için gereken en düşük TLS sürümü 1.2 olarak ayarlanmalıdır.

Reddetme etkisine sahip bir ilke en düşük TLS sürümünün TLS 1.2 olarak ayarlanmasını gerektirdiğinde, en düşük TLS sürümü TLS 1.0 olarak ayarlanmış bir Event Hubs ad alanı oluşturmaya çalıştığınızda bir hata gösterilir.

Sonraki adımlar

Daha fazla bilgi için aşağıdaki belgelere bakın.