你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

了解如何使用 Azure 资源管理器服务标记

通过使用 AzureResourceManager 服务标记，可以定义 Azure 资源管理器服务的网络访问，而无需指定单个 IP 地址。 服务标记是一组 IP 地址前缀，用于最大程度地降低创建安全规则的复杂性。 使用服务标记时，Azure 会在服务更改时自动更新 IP 地址。 但是，服务标记不是安全控制机制。 服务标记只是一个 IP 地址列表。

何时使用

使用服务标记定义以下项的网络访问控制：

• 网络安全组 (NSG)：
• Azure 防火墙规则
• 用户定义的路由 (UDR)

除了这些方案，还可以使用 AzureResourceManager 服务标记执行以下操作：

• 限制对 ARM 模板部署中引用的链接模板的访问。
• 限制对通过 Bicep 扩展性访问的 Kubernetes 控制平面的访问。

安全注意事项

Azure 资源管理器服务标记有助于定义网络访问，但不应将其视为适当的网络安全措施的替代项。 具体而言，Azure 资源管理器服务标记：

• 不提供对单个 IP 地址的精细控制。
• 不应依赖其作为保护网络的唯一方法。

监视和自动化

监视基础结构时，请使用与 Azure 网络堆栈中的服务标记关联的特定 IP 地址前缀。

对于部署自动化和监视，请确保仅对服务面向客户的部分使用服务标记范围内的公共 IP。

后续步骤

有关服务标记的详细信息，请参阅虚拟网络服务标记。