Wdrażanie przykładu strategii Azure Security Benchmark Foundation
Ważne
11 lipca 2026 r. usługa Blueprints (wersja zapoznawcza) zostanie wycofana. Migrowanie istniejących definicji strategii i przypisań do specyfikacji szablonu i stosów wdrażania. Artefakty strategii mają być konwertowane na szablony JSON usługi ARM lub pliki Bicep używane do definiowania stosów wdrażania. Aby dowiedzieć się, jak utworzyć artefakt jako zasób usługi ARM, zobacz:
Aby wdrożyć przykład strategii Azure Security Benchmark Foundation, należy wykonać następujące kroki:
- Tworzenie nowej strategii na podstawie przykładu
- Oznaczanie swojej kopii przykładu jako opublikowanej
- Przypisywanie kopii strategii do istniejącej subskrypcji
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Tworzenie strategii na podstawie przykładu
Najpierw zaimplementuj przykład strategii, tworząc nową strategię w środowisku przy użyciu przykładu jako wzorca.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Na stronie Wprowadzenie z lewej strony wybierz przycisk Utwórz w obszarze Tworzenie strategii.
Znajdź przykład strategii Azure Security Benchmark Foundation w obszarze Inne przykłady i wybierz pozycję Użyj tego przykładu.
Wprowadź podstawowe informacje dotyczące tego przykładu strategii:
- Nazwa strategii: podaj nazwę kopii przykładu strategii Azure Security Benchmark Foundation.
- Lokalizacja definicji: użyj wielokropka i wybierz grupę zarządzania, aby zapisać kopię przykładu.
Wybierz kartę Artefakty w górnej części strony lub pozycję Dalej: Artefakty w dolnej części strony.
Zapoznaj się z listą artefaktów, które składają się na przykład strategii. Wiele artefaktów ma parametry, które zdefiniujemy później. Po zakończeniu przeglądania przykładu strategii wybierz pozycję Zapisz wersję roboczą.
Publikowanie kopii przykładu
Twoja kopia przykładu strategii została utworzona w środowisku. Została ona utworzona w trybie wersji roboczej i musi zostać opublikowana, zanim będzie można ją przypisać i wdrożyć. Kopię przykładu strategii można dostosować do środowiska i potrzeb, ale ta modyfikacja może odejść od strategii Azure Security Benchmark Foundation.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Po lewej stronie wybierz stronę Definicje strategii. Użyj filtrów, aby znaleźć kopię przykładowej strategii, a następnie wybierz ją.
W górnej części strony wybierz pozycję Publikuj strategię. Na nowej stronie, po prawej, w polu Wersja podaj wersję kopii przykładu strategii. Ta właściwość jest przydatna w przypadku dokonywania późniejszych modyfikacji. Podaj uwagi dotyczące zmian , takie jak "Pierwsza wersja opublikowana z przykładu strategii Azure Security Benchmark Foundation". Następnie wybierz pozycję Publikuj w dolnej części strony.
Przypisywanie kopii przykładu
Po pomyślnym opublikowaniu kopii przykładu strategii można ją przypisać do subskrypcji w grupie zarządzania, w której została zapisana. W tym kroku udostępniane są parametry, dzięki którym każde wdrożenie kopii przykładowej strategii będzie unikatowe.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Po lewej stronie wybierz stronę Definicje strategii. Użyj filtrów, aby znaleźć kopię przykładowej strategii, a następnie wybierz ją.
Wybierz pozycję Przypisz strategię w górnej części strony definicji strategii.
Podaj wartości parametrów dla przypisania strategii:
Podstawy
- Subskrypcje: wybierz co najmniej jedną subskrypcję, która znajduje się w grupie zarządzania, do której zapisano kopię przykładu strategii. W przypadku wybrania więcej niż jednej subskrypcji dla każdej z nich zostanie utworzone przypisanie przy użyciu wprowadzonych parametrów.
- Nazwa przypisania: nazwa jest wstępnie wypełniona na podstawie nazwy strategii. Jeśli chcesz, możesz ją zmienić lub pozostawić.
- Lokalizacja: wybierz region, w którym ma zostać utworzona tożsamość zarządzana.
- Usługa Azure Blueprints używa tej tożsamości zarządzanej do wdrożenia wszystkich artefaktów w przypisanej strategii. Aby dowiedzieć się więcej, zobacz tożsamości zarządzane dla zasobów platformy Azure.
- Wersja definicji strategii: wybierz opublikowaną wersję kopii przykładu strategii.
Zablokuj przypisanie
Wybierz ustawienie blokowania strategii dla danego środowiska. Aby uzyskać więcej informacji, zobacz blokowanie zasobów strategii.
Tożsamość zarządzana
Wybierz opcję domyślną tożsamości zarządzanej przypisanej przez system lub opcję tożsamości przypisanej przez użytkownika.
Parametry strategii
Parametry zdefiniowane w tej sekcji są używane przez wiele artefaktów w definicji strategii w celu zapewnienia spójności.
- Prefiks dla zasobów i grup zasobów: ten ciąg jest używany jako prefiks dla wszystkich nazw zasobów i grup zasobów
- Nazwa centrum: nazwa centrum
- Przechowywanie dziennika (dni): liczba dni przechowywania dzienników; Wprowadzanie "0" zachowuje dzienniki na czas nieokreślony
- Wdróż centrum: wprowadź wartość "true" lub "false", aby określić, czy przypisanie wdraża składniki centrum architektury
- Lokalizacja centrum: lokalizacja dla grupy zasobów centrum
- Docelowe adresy IP: docelowe adresy IP dla łączności wychodzącej; rozdzielona przecinkami lista adresów IP lub prefiksów zakresu adresów IP
- nazwa Network Watcher: nazwa zasobu Network Watcher
- nazwa grupy zasobów Network Watcher: nazwa grupy zasobów Network Watcher
- Włącz ochronę przed atakami DDoS: wprowadź wartość "true" lub "false", aby określić, czy ochrona przed atakami DDoS jest włączona w sieci wirtualnej
Uwaga
Jeśli Network Watcher jest już włączona, zaleca się użycie istniejącej grupy zasobów Network Watcher. Należy również podać lokalizację istniejącej grupy zasobów Network Watcher dla parametru artefaktu Network Watcher lokalizacji grupy zasobów.
Parametry artefaktu
Parametry zdefiniowane w tej sekcji mają zastosowanie do artefaktu w ramach którego zostały zdefiniowane. Te parametry są parametrami dynamicznymi , ponieważ są definiowane podczas przypisywania strategii. Aby uzyskać pełną listę lub parametry artefaktu i ich opisy, zobacz Tabela parametrów artefaktu.
Po wprowadzeniu wszystkich parametrów wybierz pozycję Przypisz w dolnej części strony. Tworzone jest przypisanie strategii i rozpoczyna się wdrażanie artefaktu. Wdrażanie trwa około godziny. Aby sprawdzić stan wdrożenia, otwórz przypisanie strategii.
Ostrzeżenie
Usługa Azure Blueprints i wbudowane przykłady strategii są udostępniane bezpłatnie. Opłaty za zasoby platformy Azure są ustalane według produktu. Skorzystaj z kalkulatora cen, aby oszacować koszt działania zasobów wdrożonych za pomocą tego przykładu strategii.
Tabela parametrów artefaktów
Poniższa tabela zawiera listę parametrów strategii:
| Nazwa artefaktu | Typ artefaktu | Nazwa parametru | Opis |
|---|---|---|---|
| Grupa zasobów centrum | Grupa zasobów | Nazwa grupy zasobów | Zablokowane — łączy prefiks z nazwą centrum |
| Grupa zasobów koncentratora | Grupa zasobów | Lokalizacja grupy zasobów | Zablokowane — używa lokalizacji koncentratora |
| szablon Azure Firewall | Szablon usługi Resource Manager | Azure Firewall prywatny adres IP | |
| Szablon usługi Azure Log Analytics i diagnostyki | Szablon usługi Resource Manager | Lokalizacja obszaru roboczego usługi Log Analytics | Lokalizacja, w której jest tworzony obszar roboczy usługi Log Analytics; uruchamianie Get-AzLocation | Where-Object Providers -like 'Microsoft.OperationalInsights' | Select DisplayName w programie Azure PowersShell w celu wyświetlenia dostępnych regionów |
| Szablon usługi Azure Log Analytics i diagnostyki | Szablon usługi Resource Manager | identyfikator konta Azure Automation (opcjonalnie) | Identyfikator zasobu konta usługi Automation; służy do tworzenia połączonej usługi między usługą Log Analytics i kontem usługi Automation |
| Szablon sieciowej grupy zabezpieczeń platformy Azure | Szablon usługi Resource Manager | Włączanie dzienników przepływu sieciowej grupy zabezpieczeń | Wprowadź wartość "true" lub "false", aby włączyć lub wyłączyć dzienniki przepływu sieciowej grupy zabezpieczeń |
| Szablon centrum usługi Azure Virtual Network | Szablon usługi Resource Manager | Prefiks adresu sieci wirtualnej | Prefiks adresu sieci wirtualnej dla sieci wirtualnej koncentratora |
| Szablon centrum usługi Azure Virtual Network | Szablon usługi Resource Manager | Prefiks adresu podsieci zapory | Prefiks adresu podsieci zapory dla sieci wirtualnej koncentratora |
| Szablon centrum usługi Azure Virtual Network | Szablon usługi Resource Manager | Prefiks adresu podsieci bastionu | Prefiks adresu podsieci bastionu dla sieci wirtualnej koncentratora |
| Szablon centrum usługi Azure Virtual Network | Szablon usługi Resource Manager | Prefiks adresu podsieci bramy | Prefiks adresu podsieci bramy dla sieci wirtualnej koncentratora |
| Szablon centrum usługi Azure Virtual Network | Szablon usługi Resource Manager | Prefiks adresu podsieci zarządzania | Prefiks adresu podsieci zarządzania dla sieci wirtualnej koncentratora |
| Szablon centrum usługi Azure Virtual Network | Szablon usługi Resource Manager | Prefiks adresu podsieci przesiadkowej | Prefiks adresu podsieci przesiadkowej dla sieci wirtualnej koncentratora |
| Szablon centrum usługi Azure Virtual Network | Szablon usługi Resource Manager | Nazwy adresów podsieci (opcjonalnie) | Tablica nazw podsieci do wdrożenia w sieci wirtualnej koncentratora; na przykład "subnet1", "subnet2" |
| Szablon centrum usługi Azure Virtual Network | Szablon usługi Resource Manager | Prefiksy adresów podsieci (opcjonalnie) | Tablica prefiksów adresów IP dla opcjonalnych podsieci dla sieci wirtualnej koncentratora; na przykład "10.0.7.0/24","10.0.8.0/24" |
| Grupa zasobów szprychy | Grupa zasobów | Nazwa grupy zasobów | Zablokowane — łączy prefiks z nazwą szprychy |
| Grupa zasobów szprychy | Grupa zasobów | Lokalizacja grupy zasobów | Zablokowane — używa lokalizacji koncentratora |
| Szablon szprychy platformy Azure Virtual Network | Szablon usługi Resource Manager | Wdrażanie szprychy | Wprowadź wartość "true" lub "false", aby określić, czy przypisanie wdraża składniki szprych architektury |
| Szablon szprychy platformy Azure Virtual Network | Szablon usługi Resource Manager | Identyfikator subskrypcji centrum | Identyfikator subskrypcji, w którym jest wdrażane centrum; wartość domyślna to subskrypcja, w której znajduje się definicja strategii |
| Szablon szprychy platformy Azure Virtual Network | Szablon usługi Resource Manager | Nazwa szprychy | Nazwa szprychy |
| Szablon szprychy platformy Azure Virtual Network | Szablon usługi Resource Manager | prefiks adresu Virtual Network | prefiks adresu Virtual Network dla sieci wirtualnej szprych |
| Szablon szprychy platformy Azure Virtual Network | Szablon usługi Resource Manager | Prefiks adresu podsieci | Prefiks adresu podsieci dla sieci wirtualnej szprych |
| Szablon szprychy platformy Azure Virtual Network | Szablon usługi Resource Manager | Nazwy adresów podsieci (opcjonalnie) | Tablica nazw podsieci do wdrożenia w sieci wirtualnej szprych; na przykład "subnet1", "subnet2" |
| Szablon szprychy platformy Azure Virtual Network | Szablon usługi Resource Manager | Prefiksy adresów podsieci (opcjonalnie) | Tablica prefiksów adresów IP dla opcjonalnych podsieci dla sieci wirtualnej szprych; na przykład "10.0.7.0/24","10.0.8.0/24" |
| Szablon szprychy platformy Azure Virtual Network | Szablon usługi Resource Manager | Wdrażanie szprychy | Wprowadź wartość "true" lub "false", aby określić, czy przypisanie wdraża składniki szprych architektury |
| Szablon usługi Azure Network Watcher | Szablon usługi Resource Manager | Network Watcher lokalizacji | Lokalizacja zasobu Network Watcher |
| Szablon usługi Azure Network Watcher | Szablon usługi Resource Manager | Network Watcher lokalizacji grupy zasobów | Jeśli Network Watcher jest już włączona, ta wartość parametru musi być zgodna z lokalizacją istniejącej grupy zasobów Network Watcher. |
Rozwiązywanie problemów
Jeśli wystąpi błąd The resource group 'NetworkWatcherRG' failed to deploy due to the following error: Invalid resource group location '{location}'. The Resource group already exists in location '{location}'., sprawdź, czy parametr strategii Network Watcher nazwa grupy zasobów określa istniejącą nazwę grupy zasobów Network Watcher i czy parametr artefaktu Network Watcher lokalizacji grupy zasobów określa istniejącą Network Watcher lokalizacja grupy zasobów.
Następne kroki
Teraz, po zapoznaniu się z krokami wdrażania przykładu strategii Azure Security Benchmark Foundation, zapoznaj się z następującym artykułem, aby dowiedzieć się więcej o architekturze:
Dodatkowe artykuły na temat strategii i sposobu ich używania:
- Uzyskaj informacje na temat cyklu życia strategii.
- Dowiedz się, jak używać parametrów statycznych i dynamicznych.
- Dowiedz się, jak dostosować kolejność sekwencjonowania strategii.
- Dowiedz się, jak używać blokowania zasobów strategii.
- Dowiedz się, jak zaktualizować istniejące przypisania.