Azure API Management ile ağ güvenlik çevre birimiyle korunan bir Azure kaynağını önünde konumlandırmak

Bu makalede, Azure ağ güvenlik çevresi ile bir Azure hizmet kaynağının güvenliğini sağlama ve Azure API Management aracılığıyla erişim sağlama adımları gösterilmektedir.

Örneğin, aboneliğinizden gelen trafiğe (API Management örneğini içeren) izin vermek için ağ güvenlik çevresine sahip bir Azure Depolama hesabı yapılandırabilir, Azure Depolama'da kimlik doğrulaması yapmak için API Management'ın yönetilen kimliğini kullanır ve API Management test konsoluyla erişimi doğrulayabilirsiniz. Güvenilen hizmet bağlantısı ve depolama hesabına genel erişim devre dışı bırakılır.

API Management ile neden bir ağ güvenlik çevresi kullanmalısınız?

Ağ güvenlik çevresi, genel erişim devre dışı bırakılırken trafiğe açıkça izin veren, desteklenmiş ve merkezileştirilmiş bir çevre sağlar. Şunları sağlar:

  • Modern belirteç güven modeli: Yönetilen kimlik belirteçleri artık örtük ağ atlama izni olmayan güven modu taleplerini içeriyor. Ağ güvenlik çevresi, arka uç sisteminizin ihtiyaç duyduğu açık ağ yolunu belirler.
  • Merkezi idare: Ağ güvenlik çevresi, hizmet başına ağ kurallarını tek bir çevrede birleştirerek korunan kaynaklar arasında tutarlılığı ve gözlemlenebilirliği artırır.
  • Sanal ağ olmadan çalışır: Sanal ağ ile yalıtılmayan API Management örnekleri için ağ güvenlik çevresi abonelik veya IP aralığına göre güvenli erişim sağlar. Sanal ağ yalıtımı varsa ve tercih edilirse, bu yaklaşımı kullanmaya devam edebilirsiniz.

Uyarı

Mart 2026'dan itibaren API Management, arka uç Azure hizmetlerini seçmek için ağ geçidinden güvenilen hizmet bağlantısını kullanımdan kaldırıyor . Azure depolama hesapları gibi, ağ erişimi için Microsoft hizmetlerine veya kaynak örneklerine güvenmek gerekiyorsa, bu arka uçları taşımanız gerekir. Ağ güvenlik çevresi, genel erişimi devre dışı bırakırken trafiğe açıkça izin vermek için desteklenen merkezi çevre sağlar.

Önkoşullar

  • Azure aboneliği ve Sahip veya Katılımcı yetkileri.
  • Sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliğin etkinleştirildiği bir Azure API Management örneği.
  • Azure Depolama hesabı
    • Kapsayıcı ve en az bir test blobu (örneğin, bir JSON dosyası) yapılandırın.
    • Başlamak için depolama hesabına genel ağ erişimini etkinleştirin. Varsayılan olarak, bu ayar güvenilen Microsoft hizmetlerinin ve kaynak örneklerinin depolama hesabına erişmesini de sağlar. Daha sonra ağ güvenlik çevresini ilişkilendirirken erişimi değiştirirsiniz.

Adımlara genel bakış

  1. API Management'ı yönetilen kimlik kullanarak Azure Depolama'yı çağıracak şekilde yapılandırın.

  2. Depolama hesabına genel ağ erişimini engelleyin.

  3. Bir ağ güvenlik çevre profili oluşturun ve depolama hesabını ilişkilendirin.

  4. API Management trafiğine izin vermek için bir gelen erişim kuralı ekleyin.

  5. Ağ güvenliği çevre erişim modunu geçiştenuygulanan moda taşıyın.

Adım 1. API Management'ı yönetilen kimlik kullanarak Azure Depolama'yı çağıracak şekilde yapılandırma

API Management'ı Azure Depolama'yı çağıracak şekilde yapılandırın. Bir test API'si ve işlemi ekleyin ve API Management'ın yönetilen kimliğini kullanarak kimlik doğrulaması yapmak için bir ilke yapılandırın.

  1. Azure portalında API Management örneğine gidin.
  2. Sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliğin etkinleştirildiğinden emin olun. Adımlar için bkz . API Management'ta yönetilen kimlikleri kullanma.
  3. Depolama hesabına gidin ve yönetilen kimlik erişimi verin:
    1. Sol menüden Erişim denetimi (IAM)> seçin.
    2. Depolama Blob Veri Okuyucusu rolünü (veya yazma erişimi gerekiyorsa Katkıda Bulunan rolünü) seçin ve API Management yönetilen kimliğine atayın.
    3. Rol atama adımlarını tamamlayın.

Azure Depolama Hizmeti'ni çağırmak için bir API işlemi yapılandırma

  1. Azure Depolama blobu URI'sini önleyen bir HTTP API'sini ekleyin (örneğin, https://<storage-account-name>.blob.core.windows.net/apimtest).

  2. Kapsayıcıyı hedefleyen bir GET işlemi ekleyin. Portalda blob kapsayıcısına erişmek için örnek API işlemini gösteren ekran görüntüsü.

  3. Tasarım sekmesinde işlemi ve ardından ilke düzenleyicisini (</> ) seçin. API sürüm üst bilgisini ve yönetilen kimlik kimlik doğrulamasını eklemek için işlemin ilke tanımını düzenleyin.

Aşağıdaki örnekte:

  • İlke, authentication-managed-identity API Management örneğinin sistem tarafından atanan yönetilen kimliğin etkinleştirildiğini ve Azure Depolama'ya erişebildiğini varsayar. Kullanıcı tarafından atanan yönetilen kimliği kullanmak için ilkede bir client-id öznitelik ayarlayın. Daha fazla bilgi için ilke başvurusuna bakın.

  • İlke set-header, gerekli Depolama REST API'sinin sürüm üst bilgisini ayarlar.

    <policies>
    	<inbound>
    		<base />
    		<!-- Authenticate to Storage using API Management managed identity -->
    		<authentication-managed-identity resource="https://storage.azure.com/" />
    		<!-- Set Storage API version header -->
    		<set-header name="x-ms-version" exists-action="override">
    			<value>2025-11-05</value>
    		</set-header>
    	</inbound>
    	<backend>
    		<forward-request />
    	</backend>
    	<outbound>
    		<base />
    	</outbound>
    	<on-error>
    		<base />
    	</on-error>
    </policies>
    

Uyarı

  • Azure Depolama için resource değeri https://storage.azure.com/ olmalıdır.
  • Yönetilen kimliğe uygun RBAC rolünün atandığından emin olun.

API işlemini test edin

Ağ güvenlik çevresini yapılandırmadan önce API işleminin depolama hesabına ulaşıp ulaşmadığını test edin.

  1. Soldaki menüde, API'ler'in altında API'nizi ve işleminizi seçin.
  2. Test sekmesini seçin.
  3. Test et'i seçin ve işlemi çağırın. Ayrıntılı telemetriyi yakalamak için isteğe bağlı olarak İzle'yi seçin.

Beklenen sonuçlar:

  • Çağrı bir 200 OK yanıtla başarılı olur ve blob içeriğini döndürür.
  • İzleme'yi etkinleştirdiyseniz, API Management'ın yönetilen kimlik belirtecini Yetkilendirme üst bilgisine eklediğini doğrulayabilirsiniz.

Adım 2. Depolama hesabına genel ağ erişimini engelleme

Artık depolama hesabına genel ağ erişimini engellerseniz, güvenilir hizmet bağlantısı devre dışı bırakıldığından API Management'tan API çağrısı başarısız olur.

  1. Azure portalda depolama hesabınıza gidin.
  2. Soldaki menüde , Güvenlik + ağ altında Ağ'ı seçin.
  3. Genel erişim sekmesinde Yönet'i seçin. Genel ağ erişimini devre dışı bırakın.
  4. Kaydetseçeneğini seçin.

API işlemini test edin

API işleminin depolama hesabına artık ulaşamıyabileceğini test edin.

  1. Azure portalında API Management örneğine gidin.
  2. Soldaki menüde, API'ler'in altında API'nizi ve işleminizi seçin.
  3. Test sekmesini seçin.
  4. Test et'i seçin ve işlemi çağırın. İsteğe bağlı olarak ayrıntılı telemetriyi yakalamak için İz'i seçin.

Beklenen sonuç:

  • Çağrı bir 403 Forbidden yanıtla başarısız oluyor.

Adım 3. Ağ güvenlik çevre profili oluşturma ve depolama hesabını ilişkilendirme

Ağ güvenlik çevresi oluşturma ve Azure kaynağını bir profille ilişkilendirmeye yönelik tipik adımlar için bkz. Ağ güvenlik çevresi ve profili oluşturma. Aşağıdaki kısa adımlar:

  1. Azure portalında Ağ Güvenlik Çevreleri'ni arayın ve seçin.
  2. + Oluştur'u seçin ve bir ad ve bölge belirtin. Diğer ayarlar için varsayılanları kabul edin ve çevresini oluşturun.
  3. Dağıtımdan sonra, Ayarlar>İlişkili kaynaklar dikey penceresine gidin ve depolama hesabını mevcut veya yeni bir profille ilişkilendirin.

4. Adım: API Management trafiğine izin vermek için bir gelen erişim kuralı ekleme

API Management'ın çevre üzerinden depolama hesabına erişmesine izin vermek için bir gelen kuralı ekleyin. En basit yaklaşım Azure aboneliğidir.

  1. Ağ güvenlik çevremizin sol menüsünde Ayarlar>Profilleri'ni ve ardından depolama hesabıyla ilişkilendirdiğiniz profili seçin.
  2. Sol menüde Ayarlar>Gelen erişim kuralları>+ Ekle'yi seçin:
    1. Kural için bir ad girin.
    2. Kaynak türüAbonelikler'i seçin, ardından İzin verilen kaynaklar bölümünde API Management örneğinizi içeren aboneliği seçin.
  3. Add (Ekle) seçeneğini belirleyin.

Uyarı

IP adresi tabanlı denetimi seçerseniz, gelen kuralında API Management'ın giden genel IP adresi aralığını belirtin. API Management örneğiniz için tüm giden IP adreslerini eklediğinizden emin olun.

Depolama hesabında ağ yapılandırmasını onaylayın

  1. Azure portalda depolama hesabınıza gidin.
  2. Soldaki menüde , Güvenlik + ağ altında Ağ'ı seçin.
  3. Ağ güvenlik çevresi altında, depolama hesabının ağ güvenlik çevre profilinizle ilişkilendirildiğini ve erişim kuralının listelendiğini onaylayın.

Portaldaki depolama hesabındaki genel erişim ayarlarının ekran görüntüsü.

API işlemini test edin

API işleminin ağ güvenlik çevresindeki depolama hesabına ulaşabildiğini test edin.

  1. Azure portalında API Management örneğine gidin.
  2. Soldaki menüde, API'ler'in altında API'nizi ve işleminizi seçin.
  3. Test sekmesini seçin.
  4. Test et'i seçin ve işlemi çağırın. İsteğe bağlı olarak ayrıntılı telemetriyi yakalamak için İzleme'yi seçin.

Beklenen sonuç:

  • Çağrı bir 200 OK yanıtla başarılı olur ve blob içeriğini döndürür.

Adım 5. Erişim modunu zorunluya taşı

Ağ güvenlik çevresi aşağıdaki erişim modlarını destekler:

  • Geçiş: Hem mevcut kaynak başına ağ ayarlarını hem de ağ güvenlik çevresi kurallarını uygular. Bu mod, bir kaynağı ilk ilişkilendirdiğinizde varsayılan moddur.
  • Zorunlu: Yalnızca ağ güvenlik çevre kurallarını uygular. Erişimi doğruladıktan sonra bu modu kullanın.

Geçiş modunda erişimi doğruladıktan sonra ağ güvenlik çevresinin erişim modunu zorunlu olacak şekilde ayarlayın. Daha fazla bilgi için bkz. publicNetworkAccess ve accessMode özelliklerini yapılandırma adımları.