Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Policy pomaga wymuszać standardy organizacyjne i oceniać zgodność na dużą skalę. Typowe przypadki użycia usługi Azure Policy obejmują implementowanie ładu na potrzeby spójności zasobów, zgodności z przepisami, bezpieczeństwa, kontroli kosztów i zarządzania. Aby dowiedzieć się więcej na temat zasad platformy Azure, zobacz Co to jest usługa Azure Policy? i Szybki start: tworzenie przypisania zasad w celu identyfikowania niezgodnych zasobów.
Z tego artykułu dowiesz się, jak zarządzać konfiguracją za pomocą trzech wbudowanych zasad dostępnych dla analizy ruchu usługi Azure Network Watcher.
Audyt dzienników przepływów przy użyciu wbudowanej polityki
Dzienniki przepływu usługi Network Watcher powinny mieć włączoną analizę ruchu. Polityka przeprowadza audyt wszystkich istniejących dzienników przepływu poprzez inspekcję obiektów typu usługi Azure Resource Manager i sprawdzanie, czy analiza ruchu jest włączona za pośrednictwem właściwości Microsoft.Network/networkWatchers/flowLogs zasobu dzienników przepływu. Ta zasada następnie oznacza zasób dzienników przepływu, który ma właściwość ustawioną na false.
Aby przeprowadzić inspekcję dzienników przepływu przy użyciu wbudowanej zasady:
Zaloguj się w witrynie Azure Portal.
W polu wyszukiwania w górnej części portalu wprowadź zasady. Wybierz pozycję Zasady z wyników wyszukiwania.
Wybierz pozycję Przypisania, a następnie wybierz pozycję Przypisz politykę.
Wybierz trzykropek ... obok pozycji Zakres, aby wybrać subskrypcję platformy Azure zawierającą dzienniki przepływu, które mają być kontrolowane za pomocą zasad. Możesz również wybrać grupę zasobów zawierającą dzienniki przepływu. Po wybraniu opcji wybierz przycisk Wybierz .
Wybierz wielokropek ... obok Definicja zasad, aby wybrać wbudowaną politykę, którą chcesz przypisać. Wprowadź analizę ruchu w polu wyszukiwania i wybierz pozycję Wbudowany filtr. W wynikach wyszukiwania wybierz pozycję Dzienniki przepływu usługi Network Watcher powinny mieć włączoną analizę ruchu, a następnie wybierz pozycję Dodaj.
Wprowadź nazwę w polu Nazwa przypisania i swoje imię w polu Przypisane przez. Te zasady nie wymagają żadnych parametrów.
Wybierz Przejrzyj i utwórz, a następnie Utwórz.
Uwaga
Te zasady nie wymagają żadnych parametrów. Nie zawiera ona również żadnych definicji ról, więc nie trzeba tworzyć przypisań ról dla tożsamości zarządzanej na karcie Korygowanie .
Wybierz pozycję Zgodność. Wyszukaj nazwę swojego zadania, a następnie je wybierz.
Zgodność zasobów wymienia wszystkie dzienniki przepływu, które są niezgodne.
Wdrożenie i konfiguracja analizy ruchu przy korzystaniu z zasad deployIfNotExists
Dostępne są dwie zasady deployIfNotExists umożliwiające konfigurowanie dzienników przepływów sieciowej grupy zabezpieczeń:
Skonfiguruj sieciowe grupy zabezpieczeń, aby korzystały z określonych obszarów roboczych, konta magazynu i zasad przechowywania dzienników przepływu na potrzeby analizy ruchu: te zasady flagują sieciową grupę zabezpieczeń, która nie ma włączonej analizy ruchu. Dla oznaczonej sieciowej grupy zabezpieczeń dzienniki przepływu NSG nie istnieją lub istnieją, ale nie jest włączona analiza ruchu. Jeśli chcesz, aby zasady wpływały na istniejące zasoby, możesz utworzyć zadanie korygowania .
Przypisanie działań naprawczych można wykonać podczas przypisywania zasad lub po ich przypisaniu i ocenie. Poprawa umożliwia analizę ruchu na wszystkich oflagowanych zasobach z podanymi parametrami. Jeśli sieciowa grupa zabezpieczeń ma już włączone dzienniki przepływu w określonym identyfikatorze magazynu, ale nie ma włączonej analizy ruchu, korygowanie umożliwia analizę ruchu w tej sieciowej grupie zabezpieczeń z podanymi parametrami. Jeśli identyfikator magazynu podany w parametrach różni się od tego włączonego dla dzienników przepływu, to w ramach zadania korygowania ten drugi identyfikator zostanie zastąpiony podanym identyfikatorem magazynu. Jeśli nie chcesz zastąpić, użyj zasady Konfiguruj sieciowe grupy zabezpieczeń, aby włączyć analizę ruchu.
Skonfiguruj sieciowe grupy zabezpieczeń, aby włączyć analizę ruchu sieciowego: Te zasady są podobne do poprzednich zasad, z wyjątkiem tego, że w trakcie poprawiania nie zastępuje ustawień dzienników przepływu w oflagowanych sieciowych grupach zabezpieczeń, które mają włączone dzienniki przepływu, ale analiza ruchu sieciowego jest wyłączona zgodnie z parametrem określonym w przypisaniu polityki.
Uwaga
Network Watcher to usługa regionalna, więc dwa zasady deployIfNotExists mają zastosowanie do sieciowych grup zabezpieczeń, które istnieją w określonym regionie. W przypadku sieciowych grup zabezpieczeń w innym regionie utwórz kolejne przypisanie zasad w tym regionie.
Aby przypisać dowolną z dwóch zasad deployIfNotExists , wykonaj następujące kroki:
Zaloguj się w witrynie Azure Portal.
W polu wyszukiwania w górnej części portalu wprowadź zasady. Wybierz pozycję Zasady z wyników wyszukiwania.
Wybierz pozycję Przypisania, a następnie wybierz pozycję Przypisz zasady.
Wybierz trzykropek ... obok pozycji Zakres, aby wybrać subskrypcję platformy Azure zawierającą dzienniki przepływu, które mają być kontrolowane za pomocą zasad. Możesz również wybrać grupę zasobów zawierającą dzienniki przepływu. Po wybraniu opcji wybierz przycisk Wybierz .
Wybierz wielokropek ... obok Definicja zasad, aby wybrać wbudowaną politykę, którą chcesz przypisać. Wprowadź analizę ruchu w polu wyszukiwania i wybierz wbudowany filtr. W wynikach wyszukiwania wybierz Konfiguruj sieciowe grupy zabezpieczeń, aby korzystać z określonego obszaru roboczego, konta magazynu i polityki przechowywania dzienników przepływu do analizy ruchu, a następnie wybierz Dodaj.
Wprowadź nazwę w polu Nazwa przypisania i swoje imię w polu Przypisane przez.
Wybierz przycisk Dalej dwa razy lub wybierz kartę Parametry . Następnie wprowadź lub wybierz następujące wartości:
Ustawienie Wartość Efekt Wybierz DeployIfNotExists. Region grupy zabezpieczeń sieci Wybierz region grupy zabezpieczeń sieciowych, który jest celem polityki. Identyfikator zasobu przechowywania Wprowadź pełny identyfikator zasobu konta przechowywania. Konto pamięci masowej musi znajdować się w tej samej lokalizacji co sieciowa grupa zabezpieczeń. Format identyfikatora zasobu magazynu to: /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.Interwał przetwarzania analizy ruchu w minutach Wybierz częstotliwość przesyłania przetworzonych logów do obszaru roboczego. Obecnie dostępne wartości to 10 i 60 minut. Domyślna wartość wynosi 60 minut. Identyfikator zasobu obszaru roboczego Wprowadź pełny identyfikator zasobu obszaru roboczego, w którym ma być włączona analiza ruchu. Format identyfikatora zasobu obszaru roboczego to: /subscriptions/<SubscriptionID>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.Region obszaru roboczego Wybierz region obszaru roboczego analizy ruchu. Identyfikator obszaru roboczego Wprowadź identyfikator obszaru roboczego analizy ruchu. Grupa zasobów usługi Network Watcher Wybierz grupę zasobów usługi Network Watcher. Nazwa usługi Network Watcher Wprowadź nazwę usługi Network Watcher. Liczba dni przechowywania dzienników przepływu Podaj liczbę dni, dla których chcesz zachować dane dzienników przepływu na koncie przechowywania. Jeśli chcesz zachować dane na zawsze, wprowadź wartość 0. Uwaga
Region obszaru roboczego analizy ruchu nie musi być taki sam jak region docelowej sieciowej grupy zabezpieczeń.
Wybierz kartę Dalej lub Korygowanie. Wprowadź lub wybierz te wartości:
Ustawienie Wartość Tworzenie zadania korygowania Zaznacz to pole wyboru, jeśli chcesz, aby zasady wpływały na istniejące zasoby. Utwórz tożsamość zarządzaną Zaznacz pole wyboru. Typ tożsamości zarządzanej Wybierz typ tożsamości zarządzanej, której chcesz użyć. Lokalizacja tożsamości przypisanej przez system Wybierz region tożsamości przypisanej przez system. Scope Wybierz obszar tożsamości przypisanej przez użytkownika. Istniejące tożsamości przypisane użytkownikom Wybierz tożsamość przypisaną przez użytkownika. Uwaga
Do korzystania z tych zasad potrzebne są uprawnienia Współautora lub Właściciela.
Wybierz Przejrzyj i utwórz, a następnie Utwórz.
Wybierz pozycję Zgodność. Wyszukaj nazwę swojego zadania, a następnie je wybierz.
Wybierz Zgodność zasobów, aby uzyskać listę wszystkich niezgodnych dzienników przepływu.
Rozwiązywanie problemów
Zadanie naprawiania kończy się niepowodzeniem z PolicyAuthorizationFailed kodem błędu: przykładowy błąd Tożsamość zasobu przypisanego w ramach polityki /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ nie ma niezbędnych uprawnień do wykonania wdrożenia.
W takim scenariuszu dostęp musi zostać ręcznie przyznany tożsamości zarządzanej. Przejdź do odpowiedniej subskrypcji/grupy zasobów (zawierającej zasoby podane w parametrach zasad) i przyznaj współautorowi dostęp do tożsamości zarządzanej utworzonej przez zasady.
Powiązana zawartość
- Dowiedz się o wbudowanych zasadach dzienników przepływu NSG.
- Dowiedz się więcej o analizie ruchu.
- Dowiedz się, jak używać szablonu Azure Resource Manager (ARM) do wdrażania dzienników przepływu i analizy ruchu. Zobacz Konfigurowanie dzienników przepływu w Grupie Zabezpieczeń Sieci przy użyciu szablonu Azure Resource Manager.