Udostępnij za pośrednictwem

Informacje na temat używania tagu usługi Azure Resource Manager

  • Artykuł

Za pomocą tagu AzureResourceManager usługi można zdefiniować dostęp sieciowy dla usługi Azure Resource Manager bez określania poszczególnych adresów IP. Tag usługi to grupa prefiksów adresów IP, których używasz do zminimalizowania złożoności tworzenia reguł zabezpieczeń. Gdy używasz tagów usługi, platforma Azure automatycznie aktualizuje adresy IP w miarę ich zmiany w usłudze. Jednak tag usługi nie jest mechanizmem kontroli zabezpieczeń. Tag usługi jest jedynie listą adresów IP.

Kiedy używać

Tagi usług służą do definiowania mechanizmów kontroli dostępu do sieci dla:

  • Sieciowe grupy zabezpieczeń
  • Reguły usługi Azure Firewall
  • Routing zdefiniowany przez użytkownika (UDR)

Oprócz tych scenariuszy użyj tagu AzureResourceManager usługi, aby:

  • Ogranicz dostęp do połączonych szablonów, do których odwołuje się wdrożenie szablonu usługi ARM.
  • Ogranicz dostęp do płaszczyzny sterowania Kubernetes dostępnej za pośrednictwem rozszerzalności Bicep.

Zagadnienia dotyczące zabezpieczeń

Tag usługi Azure Resource Manager ułatwia zdefiniowanie dostępu do sieci, ale nie należy go traktować jako zamiennik odpowiednich środków zabezpieczeń sieci. W szczególności tag usługi Azure Resource Manager:

  • Nie zapewnia szczegółowej kontroli nad poszczególnymi adresami IP.
  • Nie należy polegać na tej samej metodzie zabezpieczania sieci.

Monitorowanie i automatyzacja

Podczas monitorowania infrastruktury użyj określonych prefiksów adresów IP skojarzonych z tagiem usługi w stosie sieci platformy Azure.

W przypadku automatyzacji wdrażania i monitorowania upewnij się, że w częściach usługi używane są tylko publiczne adresy IP z zakresów oznakowanych przez usługę.

Następne kroki

Aby uzyskać więcej informacji na temat tagów usługi, zobacz Tagi usługi sieci wirtualnej.