Distribuire l'esempio di progetto Azure Security Benchmark Foundation
Importante
Il 11 luglio 2026 Blueprints (anteprima) sarà deprecato. Eseguire la migrazione delle definizioni e delle assegnazioni di progetto esistenti a specifiche di modello e stack di distribuzione. Gli artefatti del progetto devono essere convertiti in modelli JSON ARM o file Bicep usati per definire gli stack di distribuzione. Per informazioni su come creare un artefatto come risorsa arm, vedere:
Per distribuire l'esempio di progetto Azure Security Benchmark Foundation, è necessario eseguire i passaggi seguenti:
- Creare un nuovo progetto dall'esempio
- Contrassegnare la copia dell'esempio come Pubblicata
- Assegnare la copia del progetto a una sottoscrizione esistente
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Creare il progetto dall'esempio
Prima di tutto, implementare l'esempio di progetto creando un nuovo progetto nell'ambiente basato sull'esempio.
Selezionare Tutti i servizi nel riquadro a sinistra. Cercare e selezionare Progetti.
Nella pagina Getting started (Introduzione) a sinistra selezionare il pulsante Crea in Creare un progetto.
Trovare l'esempio di progetto Azure Security Benchmark Foundation in Altri esempi e selezionare Usa questo esempio.
Immettere le informazioni di base dell'esempio di progetto:
- Nome progetto: specificare un nome per la copia dell'esempio di progetto Azure Security Benchmark Foundation.
- Posizione della definizione: usare i puntini di sospensione e selezionare il gruppo di gestione in cui salvare la copia dell'esempio.
Selezionare la scheda Artefatti nella parte superiore della pagina oppure Avanti: Elementi nella parte inferiore della pagina.
Esaminare l'elenco degli artefatti che costituiscono l'esempio di progetto. Molti artefatti hanno parametri che verranno definiti in seguito. Una volta esaminato l'esempio di progetto, selezionare Salva bozza.
Pubblicare la copia dell'esempio
La copia dell'esempio di progetto è stata creata nell'ambiente. Ma poiché è stata creata in modalità Bozza, è necessario pubblicarla per poterla assegnare e distribuire. La copia dell'esempio di progetto può essere personalizzata in base all'ambiente e alle esigenze, ma tale modifica può allontanarla dal progetto Azure Security Benchmark Foundation.
Selezionare Tutti i servizi nel riquadro a sinistra. Cercare e selezionare Progetti.
Selezionare la pagina Definizioni di progetto a sinistra. Usare i filtri per trovare la copia dell'esempio di progetto e quindi selezionarla.
Selezionare Pubblica progetto nella parte superiore della pagina. Nella nuova pagina a destra specificare un valore di Versione per la copia dell'esempio di progetto. Questa proprietà è utile se si apporta una modifica successivamente. Specificare le note sulle modifiche, ad esempio "Prima versione pubblicata dall'esempio di progetto Azure Security Benchmark Foundation". Selezionare quindi Pubblica nella parte inferiore della pagina.
Assegnare la copia dell'esempio
Dopo che la copia dell'esempio di progetto è stata pubblicata correttamente, è possibile assegnarla a una sottoscrizione all'interno del gruppo di gestione in cui è stata salvata. In questo passaggio vengono specificati i parametri che rendono univoca ogni distribuzione della copia dell'esempio di progetto.
Selezionare Tutti i servizi nel riquadro a sinistra. Cercare e selezionare Progetti.
Selezionare la pagina Definizioni di progetto a sinistra. Usare i filtri per trovare la copia dell'esempio di progetto e quindi selezionarla.
Selezionare Assegna progetto nella parte superiore della pagina della definizione di progetto.
Specificare i valori dei parametri per l'assegnazione del progetto:
Nozioni di base
- Sottoscrizioni: selezionare una o più sottoscrizioni presenti nel gruppo di gestione in cui è stata salvata la copia dell'esempio di progetto. Se si selezionano più sottoscrizioni, viene creata un'assegnazione per ognuna usando i parametri immessi.
- Nome dell'assegnazione: il nome viene prepopolato in base al nome del progetto. Cambiarlo, se necessario, o lasciarlo inalterato.
- Località: selezionare un'area in cui creare l'identità gestita.
- Azure Blueprints usa questa identità gestita per distribuire tutti gli artefatti nel progetto assegnato. Per altre informazioni, vedere Managed identities for Azure resources (Identità gestite per risorse di Azure).
- Versione della definizione di progetto: Scegliere una versione pubblicata della copia dell'esempio di progetto.
Blocca assegnazione
Selezionare l'impostazione di blocco del progetto per l'ambiente. Per altre informazioni, vedere Blueprints resource locking (Blocco delle risorse del progetto).
Identità gestita
Scegliere l'opzione predefinita Assegnata dal sistema per l'identità gestita oppure l'opzione Assegnata dall'utente per l'identità.
Parametri di progetto
I parametri definiti in questa sezione vengono usati da molti artefatti nella definizione del progetto per assicurare coerenza.
- Prefisso per le risorse e i gruppi di risorse: questa stringa viene usata come prefisso per tutti i nomi di risorse e gruppi di risorse
- Nome hub: nome dell'hub
- Conservazione dei log (giorni): numero di giorni di conservazione dei log; L'immissione di '0' mantiene i log per un periodo illimitato
- Distribuire l'hub: immettere "true" o "false" per specificare se l'assegnazione distribuisce i componenti hub dell'architettura
- Posizione dell'hub: posizione per il gruppo di risorse hub
- Indirizzi IP di destinazione: indirizzi IP di destinazione per la connettività in uscita; Elenco delimitato da virgole di indirizzi IP o prefissi di intervallo IP
- nome Network Watcher: nome della risorsa Network Watcher
- Network Watcher nome del gruppo di risorse: nome per il gruppo di risorse Network Watcher
- Abilitare la protezione DDoS: immettere "true" o "false" per specificare se la protezione DDoS è abilitata o meno nella rete virtuale
Nota
Se Network Watcher è già abilitato, è consigliabile usare il gruppo di risorse Network Watcher esistente. È anche necessario specificare il percorso per il gruppo di risorse Network Watcher esistente per il parametro dell'artefatto Network Watcher percorso del gruppo di risorse.
Parametri dell'elemento
I parametri definiti in questa sezione si applicano all'artefatto in cui sono definiti. Si tratta di parametri dinamici, in quanto vengono definiti durante l'assegnazione del progetto. Per un elenco completo di parametri di artefatti e relative descrizioni, vedere la tabella di parametri degli artefatti.
Dopo avere immesso tutti i parametri, selezionare Assegna in fondo alla pagina. Viene creata l'assegnazione del progetto e inizia la distribuzione degli artefatti. La distribuzione richiede circa un'ora. Per controllare lo stato della distribuzione, aprire l'assegnazione del progetto.
Avviso
Il servizio Azure Blueprints e gli esempi di progetti predefiniti sono gratuiti. Le risorse di Azure hanno un prezzo in base al prodotto. Usare la calcolatrice dei prezzi per stimare il costo dell'esecuzione delle risorse distribuite da questo esempio di progetto.
Tabella di parametri degli artefatti
Nella tabella seguente è riportato un elenco dei parametri del progetto:
| Nome dell'artefatto | Tipo di artefatto | Nome parametro | Descrizione |
|---|---|---|---|
| Gruppo di risorse hub | Resource group | Nome del gruppo di risorse | Bloccato - Concatena il prefisso con il nome dell'hub |
| Gruppo di risorse hub | Resource group | Località del gruppo di risorse | Bloccato - Usa la posizione dell'hub |
| Modello Firewall di Azure | Modello di Resource Manager | Firewall di Azure indirizzo IP privato | |
| Modello di Azure Log Analytics e Diagnostica | Modello di Resource Manager | Percorso dell'area di lavoro Log Analytics | Posizione in cui viene creata l'area di lavoro Log Analytics; eseguire in Azure PowerShell per visualizzare Get-AzLocation | Where-Object Providers -like 'Microsoft.OperationalInsights' | Select DisplayName le aree disponibili |
| Modello di Azure Log Analytics e Diagnostica | Modello di Resource Manager | ID account Automazione di Azure (facoltativo) | ID risorsa dell'account di automazione; usato per creare un servizio collegato tra Log Analytics e un account di Automazione |
| Modello di gruppo di sicurezza di rete di Azure | Modello di Resource Manager | Abilitare i log dei flussi del gruppo di sicurezza di rete | Immettere 'true' o 'false' per abilitare o disabilitare i log del flusso del gruppo di sicurezza di rete |
| Modello hub di Azure Rete virtuale | Modello di Resource Manager | Prefisso dell'indirizzo di rete virtuale | Prefisso dell'indirizzo di rete virtuale per la rete virtuale hub |
| Modello hub di Azure Rete virtuale | Modello di Resource Manager | Prefisso dell'indirizzo della subnet del firewall | Prefisso dell'indirizzo della subnet del firewall per la rete virtuale hub |
| Modello hub di Azure Rete virtuale | Modello di Resource Manager | Prefisso dell'indirizzo della subnet Bastion | Prefisso dell'indirizzo della subnet Bastion per la rete virtuale hub |
| Modello hub di Azure Rete virtuale | Modello di Resource Manager | Prefisso dell'indirizzo della subnet del gateway | Prefisso dell'indirizzo della subnet del gateway per la rete virtuale hub |
| Modello hub di Azure Rete virtuale | Modello di Resource Manager | Prefisso dell'indirizzo della subnet di gestione | Prefisso dell'indirizzo della subnet di gestione per la rete virtuale hub |
| Modello hub di Azure Rete virtuale | Modello di Resource Manager | Prefisso dell'indirizzo della subnet jump box | Prefisso dell'indirizzo della subnet jump box per la rete virtuale hub |
| Modello hub di Azure Rete virtuale | Modello di Resource Manager | Nomi di indirizzi della subnet (facoltativo) | Matrice di nomi di subnet da distribuire nella rete virtuale hub; Ad esempio, "subnet1","subnet2" |
| Modello hub di Azure Rete virtuale | Modello di Resource Manager | Prefissi dell'indirizzo subnet (facoltativo) | Matrice di prefissi di indirizzi IP per subnet facoltative per la rete virtuale hub; Ad esempio, "10.0.7.0/24","10.0.8.0/24" |
| Gruppo di risorse Spoke | Resource group | Nome del gruppo di risorse | Bloccato - Concatena il prefisso con nome spoke |
| Gruppo di risorse Spoke | Resource group | Località del gruppo di risorse | Bloccato - Usa la posizione dell'hub |
| Modello spoke di Azure Rete virtuale | Modello di Resource Manager | Distribuire spoke | Immettere 'true' o 'false' per specificare se l'assegnazione distribuisce i componenti spoke dell'architettura |
| Modello spoke di Azure Rete virtuale | Modello di Resource Manager | ID sottoscrizione dell'hub | ID sottoscrizione in cui viene distribuito l'hub; il valore predefinito è la sottoscrizione in cui si trova la definizione del progetto |
| Modello spoke di Azure Rete virtuale | Modello di Resource Manager | Nome spoke | Nome dell'spoke |
| Modello spoke di Azure Rete virtuale | Modello di Resource Manager | Prefisso dell'indirizzo della rete virtuale | Rete virtuale prefisso dell'indirizzo per la rete virtuale spoke |
| Modello spoke di Azure Rete virtuale | Modello di Resource Manager | Prefisso dell'indirizzo della subnet | Prefisso dell'indirizzo della subnet per la rete virtuale spoke |
| Modello spoke di Azure Rete virtuale | Modello di Resource Manager | Nomi di indirizzi della subnet (facoltativo) | Matrice di nomi di subnet da distribuire nella rete virtuale spoke; Ad esempio, "subnet1","subnet2" |
| Modello spoke di Azure Rete virtuale | Modello di Resource Manager | Prefissi dell'indirizzo subnet (facoltativo) | Matrice di prefissi di indirizzi IP per subnet facoltative per la rete virtuale spoke; Ad esempio, "10.0.7.0/24","10.0.8.0/24" |
| Modello spoke di Azure Rete virtuale | Modello di Resource Manager | Distribuire spoke | Immettere 'true' o 'false' per specificare se l'assegnazione distribuisce i componenti spoke dell'architettura |
| Modello di Network Watcher di Azure | Modello di Resource Manager | Network Watcher posizione | Percorso della risorsa Network Watcher |
| Modello di Network Watcher di Azure | Modello di Resource Manager | Network Watcher percorso del gruppo di risorse | Se Network Watcher è già abilitato, questo valore di parametro deve corrispondere alla posizione del gruppo di risorse Network Watcher esistente. |
Risoluzione dei problemi
Se si verifica l'errore The resource group 'NetworkWatcherRG' failed to deploy due to the following error: Invalid resource group location '{location}'. The Resource group already exists in location '{location}'., verificare che il parametro del progetto Network Watcher nome del gruppo di risorse specifica il nome del gruppo di risorse Network Watcher esistente e che il parametro dell'artefatto Network Watcher percorso del gruppo di risorse specifica l'Network Watcher esistente posizione del gruppo di risorse.
Passaggi successivi
Dopo aver esaminato i passaggi per distribuire l'esempio di progetto azure Security Benchmark Foundation, vedere l'articolo seguente per informazioni sull'architettura:
Altri articoli sui progetti e su come usarli:
- Informazioni sul ciclo di vita del progetto.
- Informazioni su come usare parametri statici e dinamici.
- Informazioni su come personalizzare l'ordine di sequenziazione del progetto.
- Informazioni su come usare in modo ottimale il blocco delle risorse del progetto.
- Informazioni su come aggiornare assegnazioni esistenti.