Správa řízení přístupu k síti

Azure Web PubSub umožňuje zabezpečit a spravovat přístup ke koncovému bodu služby na základě typů požadavků a podmnožin sítě. Při konfiguraci pravidel řízení přístupu k síti můžou k instanci Azure Web PubSub přistupovat jenom aplikace provádějící požadavky ze zadaných sítí.

Azure Web PubSub můžete nakonfigurovat pro zabezpečení a řízení úrovně přístupu ke koncovému bodu služby na základě typu požadavku a podmnožin používaných sítí. Pokud jsou nakonfigurovaná pravidla sítě, mají přístup k vašemu prostředku Web PubSub jenom aplikace, které požadují data přes zadanou sadu sítí.

Přístup k veřejné síti

Nabízíme jeden jednotný přepínač, který zjednodušuje konfiguraci přístupu k veřejné síti. Přepínač má následující možnosti:

• Zakázáno: Úplně zablokuje přístup k veřejné síti. Všechna ostatní pravidla řízení přístupu k síti jsou pro veřejné sítě ignorována.
• Povoleno: Umožňuje přístup k veřejné síti, který je dále regulován dalšími pravidly řízení přístupu k síti.

Konfigurace přístupu k veřejné síti přes portál

1. Přejděte do instance Azure Web PubSub, kterou chcete zabezpečit.
2. V nabídce na levé straně vyberte Sítě . Vyberte kartu Veřejný přístup :

1. Vyberte Zakázáno nebo Povoleno.

2. Výběrem možnosti Uložit se vaše změny uplatní.

Konfigurace přístupu k veřejné síti přes bicep

Následující šablona zakáže přístup k veřejné síti:

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Výchozí akce

Výchozí akce se použije, když žádné jiné pravidlo neodpovídá.

Konfigurace výchozí akce prostřednictvím portálu

1. Přejděte do instance Azure Web PubSub, kterou chcete zabezpečit.
2. V nabídce na levé straně vyberte Řízení přístupu k síti.

1. Pokud chcete upravit výchozí akci, přepněte tlačítko Povolit/Odepřít .
2. Výběrem možnosti Uložit se vaše změny uplatní.

Konfigurace výchozí akce prostřednictvím bicep

Následující šablona nastaví výchozí akci na Deny.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Pravidla typu požadavku

Můžete nakonfigurovat pravidla tak, aby umožňovala nebo odepřela zadané typy požadavků pro veřejnou síť i pro každý privátní koncový bod.

Volání rozhraní REST API jsou například obvykle vysoce privilegovaná. Pokud chcete zvýšit zabezpečení, možná budete chtít omezit jejich původ. Pravidla můžete nakonfigurovat tak, aby blokovala všechna volání rozhraní REST API z veřejné sítě a povolila je pouze z konkrétní virtuální sítě.

Pokud žádné pravidlo neodpovídá, použije se výchozí akce.

Konfigurace pravidel typů požadavků prostřednictvím portálu

1. Přejděte do instance Azure Web PubSub, kterou chcete zabezpečit.
2. V nabídce na levé straně vyberte Řízení přístupu k síti.

1. Pokud chcete upravit pravidlo veřejné sítě, vyberte v části Veřejná síť povolené typy požadavků.

1. Pokud chcete upravit pravidla sítě privátního koncového bodu, vyberte v každém řádku v části Připojení privátního koncového bodu povolené typy požadavků.

1. Výběrem možnosti Uložit se vaše změny uplatní.

Konfigurace pravidel typů požadavků prostřednictvím bicep

Následující šablona odmítne všechny požadavky z veřejné sítě s výjimkou klientských připojení. Kromě toho umožňuje pouze volání rozhraní REST API a trasování volání z konkrétního privátního koncového bodu.

Název připojení privátního koncového bodu je možné zkontrolovat v podnabídce privateEndpointConnections . Systém ho automaticky vygeneruje.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['RESTAPI', 'Trace']
            }
        ]
    }
}

Pravidla PROTOKOLU IP

Pravidla PROTOKOLU IP umožňují udělit nebo odepřít přístup ke konkrétním rozsahům ip adres veřejného internetu. Tato pravidla lze použít k povolení přístupu k určitým internetovým službám a místním sítím nebo k blokování obecného internetového provozu.

Platí následující omezení:

• Můžete nakonfigurovat až 30 pravidel.
• Rozsahy adres musí být zadány pomocí zápisu CIDR, například 16.17.18.0/24. Podporují se adresy IPv4 i IPv6.
• Pravidla IP adres se vyhodnocují v pořadí, v jakém jsou definovány. Pokud žádné pravidlo neodpovídá, použije se výchozí akce.
• Pravidla PROTOKOLU IP se vztahují pouze na veřejný provoz a nemůžou blokovat provoz z privátních koncových bodů.

Konfigurace pravidel IP přes portál

1. Přejděte do instance Azure Web PubSub, kterou chcete zabezpečit.

2. V nabídce na levé straně vyberte Sítě . Vyberte kartu Pravidla řízení přístupu:

   

3. Upravte seznam v části Pravidla PROTOKOLU IP.

4. Výběrem možnosti Uložit se vaše změny uplatní.

Konfigurace pravidel PROTOKOLU IP přes bicep

Následující šablona má tyto efekty:

• Žádosti od 123.0.0.0/8 a 2603::/8 jsou povolené.
• Žádosti ze všech ostatních rozsahů IP adres jsou odepřeny.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Další kroky

Další informace o Azure Private Link