Configurer le contrôle d’accès réseau

Azure SignalR Service vous permet de sécuriser et de gérer l’accès à votre point de terminaison de service en fonction des types de requête et des sous-ensembles de réseaux. Lorsque vous configurez des règles de contrôle d’accès au réseau, seules les applications effectuant des requêtes à partir des réseaux spécifiés peuvent accéder à votre SignalR Service.

Important

Une application qui accède à une instance SignalR Service lorsque des règles de contrôle d’accès au réseau sont en vigueur requiert toujours une autorisation appropriée pour la requête.

Accès au réseau public

Nous offrons un basculement unique et unifié pour simplifier la configuration de l’accès au réseau public. Le basculement a les options suivantes :

• Désactivé : bloque complètement l’accès au réseau public. Toutes les autres règles de contrôle d’accès au réseau sont ignorées pour les réseaux publics.
• Activé : autorise l’accès au réseau public qui est davantage réglementé par des règles de contrôle d’accès au réseau supplémentaires.

Configurer l’accès au réseau public via le portail

1. Accédez à l’instance SignalR Service que vous souhaitez sécuriser.

2. Sélectionnez Mise en réseau dans le menu de gauche. Sélectionnez l’onglet Accès public :

   

3. Sélectionnez Désactivé ou Activé.

4. Sélectionnez Enregistrer pour enregistrer vos modifications.

Configurer l’accès au réseau public via Bicep

Le modèle suivant désactive l’accès au réseau public :

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Action par défaut

L’action par défaut est appliquée lorsqu’aucune autre règle ne correspond.

Configurer l’action par défaut via le portail

1. Accédez à l’instance SignalR Service que vous souhaitez sécuriser.

2. Sélectionnez Contrôle d’accès au réseau dans le menu de gauche.

   

3. Pour modifier l’action par défaut, faites basculer le bouton Autoriser/Refuser.

4. Sélectionnez Enregistrer pour enregistrer vos modifications.

Configurer l’action par défaut via Bicep

Le modèle suivant définit l’action par défaut sur Deny.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Règles de type de requête

Vous pouvez configurer les règles pour autoriser ou refuser les types de requête spécifiées pour le réseau public et chaque point de terminaison privé.

Par exemple, Connexions serveur sont généralement à privilèges élevés. Pour améliorer la sécurité, vous voudrez peut-être limiter leur origine. Vous pouvez configurer des règles pour bloquer toutes les connexions serveur depuis le réseau public et autoriser seulement celles provenant d’un réseau virtuel spécifique.

Si aucune règle ne correspond, l’action par défaut est appliquée.

Configurer des règles de type de requête via le portail

1. Accédez à l’instance SignalR Service que vous souhaitez sécuriser.

2. Sélectionnez Contrôle d’accès au réseau dans le menu de gauche.

   

3. Pour modifier une règle de réseau public, sélectionnez les types de requêtes autorisés sous Réseau public.

   

4. Pour modifier des règles de réseau des points de terminaison privés, sélectionnez les types de requêtes autorisés dans chaque ligne sous Connexions de points de terminaison privés.

   

5. Sélectionnez Enregistrer pour enregistrer vos modifications.

Configurer des règles de type de requête via Bicep

Le modèle suivant refuse toutes les requêtes provenant du réseau public, sauf les connexions de clients. En outre, il autorise uniquement les connexions serveur, les appels d’API REST et Trace à partir d’un point de terminaison privé spécifique.

Le nom de la connexion de point de terminaison privé peut être examiné dans la sous-ressource privateEndpointConnections. Il est automatiquement généré par le système.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['ServerConnection', 'RESTAPI', 'Trace']
            }
        ]
    }
}

Règles d’adresse IP

Les règles d’adresse IP vous permettent d’octroyer ou de refuser l’accès à des plages d’adresses IP Internet publiques spécifiques. Vous pouvez utiliser ces règles pour autoriser l’accès à certains services Internet et réseaux locaux ou bloquer le trafic Internet général.

Les restrictions suivantes s’appliquent :

• Vous pouvez configurer jusqu’à 30 règles.
• Les plages d’adresses doivent être spécifiées en utilisant une notation CIDR, telle que 16.17.18.0/24. Les adresses IPv4 et IPv6 sont prises en charge.
• Les règles d’adresse IP sont évaluées dans l’ordre de leur définition. Si aucune règle ne correspond, l’action par défaut est appliquée.
• Les règles d’adresse IP s’appliquent uniquement au trafic public et ne peuvent pas bloquer le trafic à partir de points de terminaison privés.

Configurer des règles d’adresse IP via le portail

1. Accédez à l’instance SignalR Service que vous souhaitez sécuriser.

2. Sélectionnez Mise en réseau dans le menu de gauche. Sélectionnez l’onglet Règles de contrôle d’accès :

   

3. Modifiez la liste sous la section Règles d’adresse IP.

4. Sélectionnez Enregistrer pour enregistrer vos modifications.

Configurer des règles d’adresse IP via Bicep

Le modèle suivant a ces effets :

• Les requêtes de 123.0.0.0/8 et 2603::/8 sont autorisées.
• Les requêtes de toutes les autres plages d’adresses IP sont refusées.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Étapes suivantes

En savoir plus sur Azure Private Link.