Configurar o controle de acesso à rede

O Serviço do Azure SignalR permite que você proteja e gerencie o acesso ao ponto de extremidade de serviço com base em tipos de solicitação e subconjuntos de rede. Quando você configura regras de controle de acesso à rede, somente aplicativos que fazem solicitações das redes especificadas podem acessar o Serviço do SignalR.

Importante

Um aplicativo que acessa um Serviço do SignalR quando as regras de controle de acesso à rede estão em vigor ainda requer autorização adequada para a solicitação.

Acesso à rede pública

Oferecemos uma única opção unificada para simplificar a configuração do acesso à rede pública. A opção tem as seguintes opções:

• Desabilitado: bloqueia completamente o acesso à rede pública. Todas as outras regras de controle de acesso à rede são ignoradas para redes públicas.
• Habilitado: permite o acesso à rede pública, que é ainda mais regulamentado por regras adicionais de controle de acesso à rede.

Configurar o Acesso à Rede Pública por meio do Portal

1. Vá para a instância do Serviço do SignalR que você deseja proteger.

2. Selecione Rede no menu do lado esquerdo. Selecione a guia Acesso público:

   

3. Selecione Desabilitado ou Habilitado.

4. Selecione Salvar para salvar suas alterações.

Configurar o Acesso à Rede Pública por meio do Bicep

O modelo a seguir desabilita o acesso à rede pública:

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Ação Padrão

A ação padrão é aplicada quando nenhuma outra regra corresponde.

Configurar a ação padrão por meio do Portal

1. Vá para a instância do Serviço do SignalR que você deseja proteger.

2. Selecione o Controle de acesso de rede no menu do lado esquerdo.

   

3. Para editar a ação padrão, alterne o botão Permitir/Negar.

4. Selecione Salvar para salvar suas alterações.

Configurar a ação padrão por meio do Bicep

O modelo a seguir define a ação padrão como Deny.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Regras de tipo de solicitação

Você pode configurar regras para permitir ou negar tipos de solicitação especificados para a rede pública e cada ponto de extremidade privado.

Por exemplo, as Conexões de Servidor geralmente são altamente privilegiadas. Para aprimorar a segurança, talvez você queira restringir a origem deles. Você pode configurar regras para bloquear todas as Conexões de Servidor da rede pública e permitir que elas sejam originadas apenas de uma rede virtual especificada.

Se nenhuma regra corresponder, a ação padrão será aplicada.

Configurar regras de tipo de solicitação por meio do Portal

1. Vá para a instância do Serviço do SignalR que você deseja proteger.

2. Selecione o Controle de acesso de rede no menu do lado esquerdo.

   

3. Para editar a regra de rede pública, selecione os tipos de solicitações permitidos em Rede pública.

   

4. Para editar regras de rede de ponto de extremidade privado, selecione os tipos de solicitações permitidos em cada linha em Conexões de ponto de extremidade privado.

   

5. Selecione Salvar para salvar suas alterações.

Configurar regras de tipo de solicitação por meio do Bicep

O modelo a seguir nega todas as solicitações da rede pública, exceto Conexões de Cliente. Além disso, ele permite apenas conexões de servidor, chamadas à API REST e chamadas de rastreamento de um ponto de extremidade privado específico.

O nome da conexão de ponto de extremidade privado pode ser inspecionado no sub-recurso privateEndpointConnections. Ele é gerado automaticamente pelo sistema.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['ServerConnection', 'RESTAPI', 'Trace']
            }
        ]
    }
}

Regras de IP

As regras de IP permitem que você conceda ou negue acesso a intervalos de endereços IP públicos específicos da Internet. Essas regras podem ser usadas para permitir o acesso a determinados serviços baseados na Internet e redes locais ou para bloquear o tráfego geral da Internet.

As restrições a seguir se aplicam:

• Você pode configurar até 30 regras.
• Os intervalos de endereços devem ser especificados usando a notação CIDR, como 16.17.18.0/24. Há suporte para endereços IPv4 e IPv6.
• As regras de IP são avaliadas na ordem em que são definidas. Se nenhuma regra corresponder, a ação padrão será aplicada.
• As regras de IP se aplicam apenas ao tráfego público e não podem bloquear o tráfego de pontos de extremidade privados.

Configurar regras de IP por meio do Portal

1. Vá para a instância do Serviço do SignalR que você deseja proteger.

2. Selecione Rede no menu do lado esquerdo. Selecione a guia Regras de controle de acesso:

   

3. Edite a lista na seção Regras de IP.

4. Selecione Salvar para salvar suas alterações.

Configurar regras de IP por meio do Bicep

O modelo a seguir tem estes efeitos:

• Solicitações de 123.0.0.0/8 e 2603::/8 são permitidas.
• Solicitações de todos os outros intervalos de IP são negadas.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Próximas etapas

Saiba mais sobre o Link Privado do Azure.