Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Kom igång med nätverkssäkerhetsperimeter genom att skapa en nätverkssäkerhetsperimeter för ett Azure Key Vault med hjälp av Azure CLI. Med en nätverkssäkerhetsperimeter kan Azure PaaS-resurser (PaaS) kommunicera inom en explicit betrodd gräns. Sedan skapar och uppdaterar du en PaaS-resursassociation i en nätverkssäkerhetsprofil. Sedan skapar och uppdaterar du åtkomstregler för nätverkssäkerhet. När du är klar tar du bort alla resurser som skapats i den här snabbstarten.
Viktigt!
Nätverkssäkerhetsperimetern är nu allmänt tillgänglig i alla offentliga Azure-molnregioner. Information om tjänster som stöds finns i Onboarded private link resources for supported PaaS services (Onboarded private link resources for supported PaaS services( Onboarded private link resources for supported PaaS services( Onboarded private link resources for supported PaaS services( Onboarded
Förutsättningar
- Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
- Den senaste Azure CLI eller så kan du använda Azure Cloud Shell i portalen.
- Den här artikeln kräver version 2.38.0 eller senare av Azure CLI. Om du använder Azure Cloud Shell är den senaste versionen redan installerad.
- När du har uppgraderat till den senaste versionen av Azure CLI importerar du nätverkssäkerhetsperimeterkommandona med .
az extension add --name nsp
Anslut till ditt Azure-konto och välj din prenumeration
Kom igång genom att ansluta till Azure Cloud Shell eller använda din lokala CLI-miljö.
Om du använder Azure Cloud Shell loggar du in och väljer din prenumeration.
Om du har installerat CLI lokalt loggar du in med följande kommando:
# Sign in to your Azure account az loginNär du har använt gränssnittet väljer du din aktiva prenumeration lokalt med följande kommando:
# List all subscriptions az account set --subscription <Azure Subscription> # Re-register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
Skapa en resursgrupp och ett nyckelvalv
Innan du kan skapa en nätverkssäkerhetsperimeter måste du skapa en resursgrupp och en nyckelvalvsresurs med az group create och az keyvault create.
Det här exemplet skapar en resursgrupp med namnet resource-group på platsen WestCentralUS och ett nyckelvalv med namnet key-vault-YYYYDDMM i resursgruppen med följande kommandon:
az group create \
--name resource-group \
--location westcentralus
# Create a key vault using a datetime value to ensure a unique name
key_vault_name="key-vault-$(date +%s)"
az keyvault create \
--name $key_vault_name \
--resource-group resource-group \
--location westcentralus \
--query 'id' \
--output tsv
Skapa en nätverkssäkerhetsperimeter
I det här steget skapar du en nätverkssäkerhetsperimeter med kommandot az network perimeter create .
Anteckning
Placera inga personliga identifierbara eller känsliga data i reglerna för nätverkssäkerhetsperimeter eller annan nätverkssäkerhetsperimeterkonfiguration.
az network perimeter create\
--name network-security-perimeter \
--resource-group resource-group \
-l westcentralus
Skapa och uppdatera PaaS-resursers association med en ny profil
I det här steget skapar du en ny profil och associerar PaaS-resursen, Azure Key Vault med profilen med hjälp av kommandona az network perimeter profile create och az network perimeter association create .
Anteckning
För parametervärdena --private-link-resource och --profile ersätter du <PaaSArmId> och <networkSecurityPerimeterProfileId> med värdena för nyckelvalvet respektive profil-ID:t.
Skapa en ny profil för nätverkssäkerhetsperimetern med följande kommando:
# Create a new profile az network perimeter profile create \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeterAssociera Azure Key Vault (PaaS-resursen) med nätverkssäkerhetsperimeterprofilen med följande kommandon.
# Get key vault id az keyvault show \ --name $key_vault_name \ --resource-group resource-group \ --query 'id' # Get the profile id az network perimeter profile show \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeter # Associate the Azure Key Vault with the network security perimeter profile # Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Learning \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"Uppdatera associationen genom att ändra åtkomstläget till tillämpat med kommandot az network perimeter association create enligt följande:
az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Enforced \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"
Hantera åtkomstregler för nätverkssäkerhetens perimeter
I det här steget skapar, uppdaterar och tar du bort åtkomstregler för nätverkssäkerhet med offentliga IP-adressprefix med kommandot az network perimeter profile access-rule create .
Skapa en regel för inkommande åtkomst med ett offentligt IP-adressprefix för profilen som skapats med följande kommando:
# Create an inbound access rule az network perimeter profile access-rule create \ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "[192.0.2.0/24]"Uppdatera regeln för inkommande åtkomst med ett annat offentligt IP-adressprefix med följande kommando:
# Update the inbound access rule az network perimeter profile access-rule create\ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"Om du behöver ta bort en åtkomstregel, använd kommandot az network perimeter profile access-rule delete
# Delete the access rule az network perimeter profile access-rule delete \ --Name network-perimeter-association \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group
Anteckning
Om den hanterade identiteten inte har tilldelats den resurs som stöder den nekas utgående åtkomst till andra resurser inom samma perimeter. Prenumerationsbaserade regler för inkommande trafik som är avsedda att tillåta åtkomst från denna resurs kommer inte att träda i kraft.
Ta bort alla resurser
Om du vill ta bort en nätverkssäkerhetsperimeter och andra resurser i den här snabbstarten använder du följande az network perimeter-kommandon :
# Delete the network security perimeter association
az network perimeter association delete \
--name network-perimeter-association \
--resource-group resource-group \
--perimeter-name network-security-perimeter
# Delete the network security perimeter
az network perimeter delete \
--resource-group resource-group \
--name network-security-perimeter --yes
# Delete the key vault
az keyvault delete \
--name $key_vault_name \
--resource-group resource-group
# Delete the resource group
az group delete \
--name resource-group \
--yes \
--no-wait
Anteckning
Om du tar bort resursassociationen från nätverkssäkerhetsperimetern återgår åtkomstkontrollen till den befintliga resursbrandväggskonfigurationen. Detta kan leda till att åtkomst tillåts/nekas enligt resursbrandväggskonfigurationen. Om PublicNetworkAccess är inställt på SecuredByPerimeter och associationen har tagits bort, kommer resursen att ange ett låst tillstånd. Mer information finns i Övergång till en nätverkssäkerhetsperimeter i Azure.