Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Тег службы представляет группу префиксов IP-адресов из данной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности.
Это важно
Хотя теги служб упрощают возможность включения списков управления доступом на основе IP-адресов (ACL), теги службы не достаточно для защиты трафика, не учитывая характер службы и трафик, который он отправляет. Дополнительные сведения о списках управления доступом на основе IP-адресов см. в разделе "Что такое список управления доступом на основе IP-адресов(ACL)?".
Дополнительные сведения о характере трафика можно найти далее в этой статье для каждой службы и их тега. Важно убедиться, что вы знакомы с трафиком, который можно разрешить при использовании тегов служб для списков управления доступом на основе IP-адресов. Рассмотрите возможность добавления уровней безопасности для защиты среды.
Теги служб можно использовать для определения элементов управления доступом к сети в группах безопасности сети, брандмауэре Azure и определяемых пользователем маршрутах. Используйте теги служб вместо определенных IP-адресов при создании правил безопасности и маршрутов. Указав имя тега службы, например ApiManagement, в соответствующем исходном или целевом поле правила безопасности, можно разрешить или запретить трафик соответствующей службы. Указав служебный тег в адресном префиксе маршрута, можно перенаправить трафик, предназначенный для любого из префиксов, охваченных служебным тегом, на необходимый тип следующего перехода.
Теги служб можно использовать для обеспечения сетевой изоляции и защиты ресурсов Azure от общего Интернета при доступе к службам Azure с общедоступными конечными точками. Создайте правила группы безопасности сети для входящего и исходящего трафика, чтобы запретить трафик из Интернета и разрешить трафик из AzureCloud или других доступных тегов служб Azure.
Доступные теги служб
В следующей таблице перечислены все теги служб, доступные для использования в правилах группы безопасности сети .
Столбцы указывают, является ли тег:
- Подходит для правил, охватывающих входящий или исходящий трафик.
- Поддерживает региональную область.
- Используется в правилах брандмауэра Azure в качестве правила назначения только для входящего или исходящего трафика.
По умолчанию теги служб отражают диапазоны для всего облака. Некоторые теги служб также позволяют более детально контролировать, ограничив соответствующие диапазоны IP-адресов указанным регионом. Например, служебный тег Storage обозначает службу Azure Storage для всего облака, а Storage.WestUS ограничивает диапазон только диапазонами IP-адресов хранилища в регионе WestUS. В следующей таблице указывается, поддерживает ли каждый тег службы такую региональную область, а направление, указанное для каждого тега, является рекомендацией. Например, тег AzureCloud может использоваться для разрешения входного трафика. В большинстве случаев мы не рекомендуем разрешать трафик со всех IP-адресов Azure, так как IP-адреса, используемые другими клиентами Azure, включаются в тег службы.
| Тег | Цель | Может ли использовать входящий или исходящий трафик? | Может быть региональным? | Можно ли использовать с Брандмауэром Azure? |
|---|---|---|---|---|
| ActionGroup | Группа действий. | Входящий трафик | нет | Да |
| ApiManagement | Управление трафиком для выделенных развертываний в Azure API Management. Примечание. Этот тег представляет конечную точку службы управления API Azure для плоскости управления на регион. Тег позволяет клиентам выполнять операции управления с API, Operations, Policies, NamedValues, настроенными в службе управления API. |
Входящий трафик | Да | Да |
| ApplicationInsightsAvailability | Доступность Application Insights. | Входящий трафик | нет | Да |
| AppConfiguration | Конфигурация приложения. | исходящий | нет | Да |
| AppService | Служба приложений Azure; Этот тег рекомендуется для правил безопасности исходящего трафика для веб-приложений и приложений-функций. Примечание. Этот тег не включает IP-адреса, назначенные при использовании SSL на основе IP-адресов (назначаемый приложением адрес). |
исходящий | Да | Да |
| AppServiceManagement | Управляющий трафик для развертываний, предназначенных для среды приложений. | Оба | нет | Да |
| AzureActiveDirectory | Службы идентификаторов Microsoft Entra. Этот тег включает вход, MS Graph и другие службы Entra, не перечисленные в этой таблице. | исходящий | нет | Да |
| AzureActiveDirectoryDomainServices | Управление трафиком для развертываний, специально предназначенных для доменных служб Microsoft Entra. | Оба | нет | Да |
| AzureAdvancedThreatProtection | Microsoft Defender для удостоверений | исходящий | нет | Да |
| AzureArcInfrastructure | Серверы с поддержкой Azure Arc, Kubernetes с поддержкой Azure Arc и трафик гостевой конфигурации. Примечание. Этот тег имеет зависимость от тегов AzureActiveDirectory, AzureTrafficManager и AzureResourceManager . |
исходящий | нет | Да |
| AzureAttestation | Аттестация Azure. | исходящий | нет | Да |
| AzureBackup | Azure Backup. Примечание. Этот тег имеет зависимость от тегов службы хранилища и AzureActiveDirectory . |
исходящий | нет | Да |
| AzureBotService | Служба Azure Bot. | Оба | нет | Да |
| AzureCloud | Все общедоступные IP-адреса центра обработки данных. Этот тег не включает IPv6. | Оба | Да | Да |
| AzureCognitiveSearch | Поиск по искусственному интеллекту Azure. Этот тег задает диапазоны IP-адресов мультитенантных сред выполнения , используемых службой поиска для индексирования на основе индексатора. Примечание. IP-адрес самой службы поиска не охватывается этим тегом службы. В конфигурации брандмауэра ресурса Azure следует указать тег службы, а также конкретный IP-адрес самой службы поиска. |
Входящий трафик | нет | Да |
| AzureConnectors | Этот тег представляет IP-адреса, используемые для управляемых соединителей, которые выполняют входящие обратные вызовы веб-перехватчиков к службе Azure Logic Apps и исходящие вызовы к их соответствующим службам, например к службе Azure Storage или к Azure Event Hubs. | Оба | Да | Да |
| AzureContainerAppsService | Служба приложений контейнеров Azure | Оба | Да | нет |
| AzureContainerRegistry | Реестр контейнеров Azure. | исходящий | Да | Да |
| AzureCosmosDB | Azure Cosmos DB. | исходящий | Да | Да |
| AzureDatabricks | Azure Databricks. | Оба | нет | Да |
| AzureDataExplorerManagement | Управление Azure Data Explorer. | Входящий трафик | нет | Да |
| AzureDeviceUpdate | Обновление устройства для концентраторов интернета вещей. | Оба | нет | Да |
| AzureDevOps | Azure DevOps. | Входящий трафик | Да | Да |
| AzureDigitalTwins | Azure Digital Twins. Примечание. Этот тег или IP-адреса, охваченные этим тегом, можно использовать для ограничения доступа к конечным точкам, настроенным для маршрутов событий. |
Входящий трафик | нет | Да |
| AzureEventGrid | Сетка событий Azure. | Оба | нет | Да |
|
AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty AzureFrontDoor.MicrosoftSecurity |
Тег службы frontend содержит IP-адреса, используемые клиентами для доступа к Front Door. Вы можете применить тег службы AzureFrontDoor.Frontend , если вы хотите контролировать исходящий трафик, который может подключаться к службам за Azure Front Door. Тег серверной службы содержит IP-адреса, которые Azure Front Door использует для доступа к вашим исходным ресурсам. Этот тег службы можно применить при настройке безопасности для источников. FirstParty и MicrosoftSecurity — это специальные теги, зарезервированные для выбранной группы служб Майкрософт, размещенных в Azure Front Door. | Оба | Да | Да |
| AzureHealthcareAPIs | IP-адреса, содержащиеся в этом теге, можно использовать для ограничения доступа к службам данных Azure Health Data Services. | Оба | нет | Да |
| AzureInformationProtection | Azure Information Protection (Защита информации Azure) Примечание. Этот тег имеет зависимость от тегов AzureActiveDirectory, AzureFrontDoor.Frontend и AzureFrontDoor.FirstParty . |
исходящий | нет | Да |
| AzureIoTHub | Центр Интернета вещей Azure. | исходящий | Да | Да |
| AzureKeyVault | Azure Key Vault. Примечание. Этот тег имеет зависимость от тега AzureActiveDirectory . |
исходящий | Да | Да |
| AzureLoadBalancer | Подсистема балансировки нагрузки инфраструктуры Azure. Тег преобразуется в виртуальный IP-адрес узла (168.63.129.16), где возникают пробы работоспособности Azure. Это включает только тестовый трафик, а не реальный трафик к вашему заднему ресурсу. Если вы не используете Azure Load Balancer, можно переопределить это правило. | Оба | нет | нет |
| AzureMachineLearningInference | Этот тег службы используется для ограничения входящего трафика из публичной сети в сценариях выполнения прогнозов, управляемых частной сетью. | Входящий трафик | нет | Да |
| AzureManagedGrafana | Конечная точка экземпляра Azure Managed Grafana. | исходящий | нет | Да |
| AzureMonitor | Log Analytics, Application Insights, Azure Monitor Workspace, AzMon и пользовательские метрики (конечные точки GiG). Примечание. Для агента Azure Monitor также требуется AzureResourceManager . Для агента Log Analytics также требуется тег хранилища . Если используются агенты Log Analytics для Linux, также требуется тег GuestAndHybridManagement . (Устаревший агент Log Analytics будет снят с поддержки, начиная с 31 августа 2024 г.) |
исходящий | нет | Да |
| AzureOpenDatasets | Открытые наборы данных Azure. Примечание. Этот тег имеет зависимость от тега AzureFrontDoor.Frontend и хранилища . |
исходящий | нет | Да |
| AzurePlatformDNS | Базовая служба DNS (по умолчанию). Этот тег можно использовать для отключения DNS по умолчанию. Будьте осторожны при использовании этого тега. Рекомендуется ознакомиться с рекомендациями по платформе Azure. Мы также рекомендуем выполнить тестирование перед использованием этого тега. |
исходящий | нет | нет |
| AzurePlatformIMDS | Служба метаданных экземпляра Azure (IMDS), которая является базовой службой инфраструктуры. Этот тег можно использовать для отключения IMDS по умолчанию. Будьте осторожны при использовании этого тега. Рекомендуется ознакомиться с рекомендациями по платформе Azure. Мы также рекомендуем выполнить тестирование перед использованием этого тега. |
исходящий | нет | нет |
| AzurePlatformLKM | Лицензирование Windows или служба управления ключами. Этот тег можно использовать для отключения значений по умолчанию для лицензирования. Будьте осторожны при использовании этого тега. Рекомендуется ознакомиться с рекомендациями по платформе Azure. Мы также рекомендуем выполнить тестирование перед использованием этого тега. |
исходящий | нет | нет |
| AzureResourceManager | Azure Resource Manager. | исходящий | нет | Да |
| AzureSentinel | Microsoft Sentinel. | Входящий трафик | нет | Да |
| AzureSignalR | Azure SignalR. | исходящий | нет | Да |
| AzureSiteRecovery | Azure Site Recovery. Примечание. Этот тег зависит от тегов AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement и хранилища . |
исходящий | нет | Да |
| AzureSphere | Этот тег или IP-адреса, охваченные этим тегом, можно использовать для ограничения доступа к службам безопасности Azure Sphere. | Оба | нет | Да |
| AzureSpringCloud | Разрешить трафик для приложений, размещенных в Azure Spring Apps. | исходящий | нет | Да |
| AzureStack | Службы Azure Stack Bridge. Этот тег представляет конечную точку службы Azure Stack Bridge в каждом регионе. |
исходящий | нет | Да |
| AzureTrafficManager | IP-адреса проверок в диспетчере трафика Azure. Дополнительные сведения о IP-адресах проб диспетчера трафика см. в статье "Часто задаваемые вопросы о диспетчере трафика Azure". |
Входящий трафик | нет | Да |
| AzureUpdateDelivery | Тег службы доставки обновлений Azure, используемый для доступа к обновлениям Windows, помечается как нерекомендуемый и в будущем будет выведен из эксплуатации.
Клиентам рекомендуется не полагаться на зависимость от этого тега службы, и клиентам, уже использующим его, рекомендуется перенести его на один из следующих вариантов: Настройте брандмауэр Azure для устройств Windows 10/11, как это описано: • Управление точками подключения для Windows 11 Корпоративная • Управление точками подключения для Windows 10 Корпоративная, версия 21H2 Разверните службы обновления Windows Server (WSUS) Спланируйте развертывание для обновления виртуальных машин Windows в Azure, затем перейдите к Шаг 2: Настройка WSUS |
исходящий | нет | Да |
| AzureWebPubSub | AzureWebPubSub | Оба | Да | Да |
| BatchNodeManagement | Управляющий трафик для развертываний, выделенных службе Azure Batch. | Оба | Да | Да |
| ChaosStudio | Azure Chaos Studio. Примечание. Если вы включили интеграцию Application Insights с агентом Chaos, также требуется тег AzureMonitor. |
Оба | нет | Да |
| CognitiveServicesFrontend | Диапазоны адресов для трафика внешних порталов служб ИИ Azure. | Оба | нет | Да |
| CognitiveServicesManagement | Диапазоны адресов трафика для служб Azure AI. | Оба | нет | Да |
| DataFactory | Фабрика данных Azure | Оба | Да | Да |
| DataFactoryManagement | Управление трафиком для Azure Data Factory. | исходящий | нет | Да |
| Dynamics365ForMarketingEmail | Диапазоны адресов для сервиса маркетинговых email-рассылок Dynamics 365. | Оба | Да | Да |
| Dynamics365BusinessCentral | Этот тег или IP-адреса, охваченные этим тегом, можно использовать для ограничения доступа к службам Dynamics 365 Business Central. | Оба | нет | Да |
| EOPExternalPublishedIPs | Этот тег представляет IP-адреса, используемые для Центра безопасности и соответствия требованиям PowerShell. Дополнительные сведения см. в разделе "Подключение к центру безопасности и соответствия требованиям" PowerShell с помощью модуля EXO V2. | Оба | нет | Да |
| EventHub | . | исходящий | Да | Да |
| GatewayManager | Управление трафиком для развертываний, выделенных для Azure VPN Gateway и Application Gateway. | Входящий трафик | нет | нет |
| GuestAndHybridManagement | Служба автоматизации Azure и гостевая конфигурация. | исходящий | нет | Да |
| HDInsight | Azure HDInsight. | Входящий трафик | Да | Да |
| Интернет | Пространство IP-адресов, которое находится за пределами виртуальной сети и доступно через общедоступный Интернет. Диапазон адресов включает пространство общедоступных IP-адресов Azure. |
Оба | нет | нет |
| KustoAnalytics | Kusto Analytics. | Оба | нет | нет |
| LogicApps | Logic Apps. | Оба | нет | Да |
| LogicAppsManagement | Управление трафиком для Logic Apps. | Входящий трафик | нет | Да |
| M365ManagementActivityApi | API управления действиями в Office 365 предоставляет информацию о различных действиях и событиях пользователей, администраторов, систем и политик, полученных из журналов активности Office 365 и Microsoft Entra. Клиенты и партнеры могут использовать эти сведения для создания новых или улучшения существующих операций, безопасности и мониторинга соответствия требованиям для предприятия. Примечание. Этот тег имеет зависимость от тега AzureActiveDirectory . |
исходящий | Да | Да |
| M365ManagementActivityApiWebhook | Уведомления отправляются в настроенный веб-перехватчик для подписки по мере того как новое содержимое становится доступным. | Входящий трафик | Да | Да |
| MicrosoftAzureFluidRelay | Этот тег представляет IP-адреса, используемые для сервера Fluid Relay Microsoft Azure.
Примечание. Этот тег имеет зависимость от тега AzureFrontDoor.Frontend . |
Оба | нет | Да |
| MicrosoftCloudAppSecurity | Microsoft Defender для облачных приложений. | Оба | нет | Да |
| MicrosoftDefenderForEndpoint | Основные службы Microsoft Defender для Endpoint. Примечание. Устройства должны быть подключены с упрощенным подключением и соответствовать требованиям, чтобы использовать этот тег службы. Защита для конечной точки или сервера требует дополнительных служебных тегов, таких как OneDSCollector, для поддержки всей функциональности. Дополнительные сведения см. в статье "Подключение устройств с помощью упрощенного подключения для Microsoft Defender для конечной точки" |
Оба | нет | Да |
| PowerBI | Серверные службы и конечные точки API платформы Power BI. |
Оба | Да | Да |
| PowerPlatformInfra | Этот тег представляет IP-адреса, используемые инфраструктурой для размещения служб Power Platform. | Оба | Да | Да |
| PowerPlatformPlex | Этот тег обозначает IP-адреса, которые используются инфраструктурой для исполнения функциональности Power Platform от имени клиента. | Оба | Да | Да |
| PowerQueryOnline | Power Query Online. | Оба | нет | Да |
| Скуба | Соединители данных для продуктов безопасности Майкрософт (Sentinel, Defender и т. д.). | Входящий трафик | нет | нет |
| SerialConsole | Ограничьте доступ к учетным записям хранения диагностики загрузки только с использованием тега службы последовательной консоли. | Входящий трафик | нет | Да |
| ServiceBus | Трафик служебной шины Azure. | исходящий | Да | Да |
| ServiceFabric | Azure Service Fabric. Примечание. Этот тег представляет конечную точку службы Service Fabric для контрольной плоскости в каждом регионе. Это позволяет клиентам выполнять операции управления для кластеров Service Fabric из конечной точки виртуальной сети. (Например, https:// westus.servicefabric.azure.com). |
Оба | нет | Да |
| Sql | База данных SQL Azure, База данных Azure для MariaDB и Azure Synapse Analytics. Примечание. Этот тег представляет услугу, но не конкретные экземпляры услуги. Например, тег представляет службу базы данных SQL Azure, но не определенную базу данных ИЛИ сервер SQL. Этот тег не применяется к управляемому экземпляру SQL. |
исходящий | Да | Да |
| SqlManagement | Трафик управления для выделенных развертываний SQL. | Оба | нет | Да |
| Хранение | Служба хранилища Azure. Примечание. Этот тег представляет услугу, но не конкретные экземпляры услуги. Например, тег представляет службу хранилища Azure, но не определенную учетную запись хранения Azure. |
исходящий | Да | Да |
| StorageSyncService | Служба синхронизации хранилища. | Оба | нет | Да |
| StorageMover | Перемещение хранилища. | исходящий | Да | Да |
| WindowsAdminCenter | Разрешите серверной службе Windows Admin Center взаимодействовать с установками клиентов Windows Admin Center. | исходящий | нет | Да |
| WindowsVirtualDesktop | Виртуальный рабочий стол Azure (ранее — виртуальный рабочий стол Windows). | Оба | нет | Да |
| VideoIndexer | Индексатор видео.
Используется для того, чтобы позволить клиентам открывать доступ к службе индексатора видео через свою NSG и получать обратные вызовы от этой службы. |
Оба | нет | Да |
| VirtualNetwork | Адресное пространство виртуальной сети (все диапазоны IP-адресов, определенные для виртуальной сети), все подключенные локальные адресные пространства, пиринговые виртуальные сети, виртуальные сети, подключенные к шлюзу виртуальной сети, виртуальные IP-адреса узла и префиксы адресов, используемые в определяемых пользователем маршрутах. Этот тег также может содержать маршруты по умолчанию. | Оба | нет | нет |
Замечание
При использовании тегов служб с брандмауэром Azure можно создавать только правила назначения для входящего и исходящего трафика. Исходные правила не поддерживаются. Дополнительные сведения см. в документации по тегам службы брандмауэра Azure .
Теги служб Azure указывают префиксы адресов из конкретного облака, используемого. Например, базовые диапазоны IP-адресов, соответствующие значению тега Sql в общедоступном облаке Azure, будут отличаться от базовых диапазонов в Microsoft Azure, управляемом облаком 21Vianet.
Если вы реализуете конечную точку службы виртуальной сети для службы, например службы хранилища Azure или Базы данных SQL Azure, Azure добавляет маршрут в подсеть виртуальной сети для службы. Префиксы адресов в маршруте совпадают с префиксами адресов или диапазонами CIDR, как и в соответствующем теге службы.
Теги, поддерживаемые в классической модели развертывания
Классическая модель развертывания (до Azure Resource Manager) поддерживает небольшое подмножество тегов, перечисленных в предыдущей таблице. Теги в классической модели развертывания написаны по-другому, как показано в следующей таблице:
| Тег диспетчера ресурсов | Соответствующий тег в классической модели развертывания |
|---|---|
| AzureLoadBalancer | AZURE_LOADBALANCER |
| Интернет | ИНТЕРНЕТ |
| VirtualNetwork | Виртуальная сеть |
Теги, неподдерживаемые для определяемых пользователем маршрутов (UDR)
Ниже приведен список тегов, которые в настоящее время не поддерживаются для использования с пользовательскими маршрутами (UDR).
AzurePlatformDNS
AzurePlatformIMDS
AzurePlatformLKM
Виртуальная сеть
Балансировщик нагрузки Azure
Интернет
Служебные теги в локальной инфраструктуре
Вы можете получить текущие сведения о теге службы и диапазоне, чтобы включить их в конфигурации локального брандмауэра. Эта информация представляет собой текущий список диапазонов IP-адресов, соответствующих каждому тегу службы. Информацию следует получить программным способом или с помощью скачивания JSON-файла, как описано в следующих разделах.
Использование API обнаружения тегов службы
Вы можете программно получить текущий список тегов служб вместе с сведениями о диапазоне IP-адресов:
Например, чтобы получить все префиксы для тега службы хранилища, можно использовать следующие командлеты PowerShell:
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
Замечание
- Данные API представляют эти теги, которые можно использовать с правилами NSG в вашем регионе. Используйте данные API в качестве источника истины для доступных тегов службы, так как они могут отличаться от скачиваемого файла JSON.
- Для распространения данных тега службы в результатах API во всех регионах Azure требуется до 4 недель. Из-за этого процесса результаты данных API могут быть не синхронизированы с скачиваемым JSON-файлом, так как данные API представляют подмножество тегов, которые сейчас находятся в скачиваемом JSON-файле.
- Необходимо аутентифицироваться и иметь роль, позволяющую читать вашу текущую подписку.
Обнаружение тегов службы с помощью скачиваемых JSON-файлов
Вы можете скачать JSON-файлы, содержащие текущий список тегов служб, а также сведения о диапазоне IP-адресов. Эти списки обновляются и публикуются еженедельно. Расположения для каждого облака:
Диапазоны IP-адресов в этих файлах находятся в нотации CIDR.
Следующие теги AzureCloud не имеют региональных имен, отформатированных в соответствии с обычной схемой:
AzureCloud.centralfrance (FranceCentral)
AzureCloud.southfrance (FranceSouth)
AzureCloud.germanywc (ГерманияWestCentral)
AzureCloud.germanyn (GermanyNorth)
AzureCloud.НорвегияВосток
AzureCloud.норвегияв (НорвегияЗапад)
AzureCloud.switzerlandn (ШвейцарияНорт)
AzureCloud.switzerlandw (ШвейцарияЗапад)
AzureCloud.usstagee (EastUSSTG)
AzureCloud.usstagec (SouthCentralUSSTG)
AzureCloud.бразилияюговосток (БразилияЮго-Восток)
Подсказка
Вы можете обнаружить обновления от одной публикации к следующей, заметив увеличение значений changeNumber в JSON-файле. Каждый подраздел (например, Storage.WestUS) имеет свой собственный параметр changeNumber , который увеличивается по мере изменения. Верхний уровень изменения файла увеличивается при изменении любого из подразделов.
Примеры анализа сведений о теге службы (например, получение всех диапазонов адресов для хранилища в WestUS) см. в документации по API обнаружения тегов службы PowerShell .
Когда новые IP-адреса добавляются в теги служб, они не будут использоваться в Azure по крайней мере на одну неделю. Это позволяет обновлять все системы, которые могут потребоваться для отслеживания IP-адресов, связанных с тегами службы.
Дальнейшие шаги
- Узнайте, как создать группу безопасности сети.