ネットワーク アクセス制御を構成する

Azure SignalR Service を使用すると、要求の種類とネットワークのサブセットに基づいて、サービス エンドポイントへのアクセスをセキュリティで保護および管理できます。 ネットワーク アクセス制御規則を構成すると、指定されたネットワークからの要求を行うアプリケーションのみが SignalR Service にアクセスできます。

重要

ネットワーク アクセス制御ルールが有効なときに SignalR Service にアクセスするアプリケーションでも、要求に対する適切な認可が必要です。

パブリック ネットワーク アクセス

パブリック ネットワーク アクセスの構成を簡略化するために、単一の統合スイッチが提供されています。 スイッチには次のオプションがあります。

• 無効: パブリック ネットワーク アクセスを完全にブロックします。 他のすべてのネットワーク アクセス制御規則は、パブリック ネットワークでは無視されます。
• 有効: パブリック ネットワーク アクセスを許可します。追加のネットワーク アクセス制御規則によってさらに規制されます。

ポータルを使用してパブリック ネットワーク アクセスを構成する

1. セキュリティで保護する SignalR Service インスタンスに移動します。

2. 左側のメニューで [ネットワーク] を選択します。 [パブリック アクセス] タブを選択します。

   

3. [無効] または [有効] を選択します。

4. [保存] を選択して変更を保存します。

Bicep を使用してパブリック ネットワーク アクセスを構成する

次のテンプレートではパブリック ネットワーク アクセスを無効にします。

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

既定の動作

他の規則が一致しない場合は、既定のアクションが適用されます。

ポータルを使用して既定のアクションを構成する

1. セキュリティで保護する SignalR Service インスタンスに移動します。

2. 左側のメニューから [ネットワーク アクセス制御] を選びます。

   

3. 既定のアクションを編集するには、[許可/拒否] ボタンを切り替えます。

4. [保存] を選択して変更を保存します。

Bicep を使用して既定のアクションを構成する

次のテンプレートでは、既定のアクションを Deny に設定します。

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

要求の種類の規則

パブリック ネットワークと各プライベート エンドポイントの両方に対して、指定された要求の種類を許可または拒否するように規則を構成できます。

たとえば、サーバー接続は通常、高い特権を持ちます。 セキュリティを強化するために、送信元を制限することができます。 パブリック ネットワークからのすべてのサーバー接続をブロックし、指定された仮想ネットワークから送信されたもののみを許可するように規則を構成できます。

一致する規則がない場合は、既定のアクションが適用されます。

ポータルを使用して要求の種類の規則を構成する

1. セキュリティで保護する SignalR Service インスタンスに移動します。

2. 左側のメニューから [ネットワーク アクセス制御] を選びます。

   

3. パブリック ネットワーク ルールを編集するには、[パブリック ネットワーク] で許可されている要求の種類を選択します。

   

4. プライベート エンドポイント ネットワーク ルールを編集するには、[プライベート エンドポイント 接続] の下の各行で許可された種類の要求を選択します。

   

5. [保存] を選択して変更を保存します。

Bicep を使用して要求の種類の規則を構成する

次のテンプレートでは、クライアント接続を除くパブリック ネットワークからの要求をすべて拒否します。 さらに、特定のプライベート エンドポイントからのサーバー接続、REST API 呼び出し、トレース呼び出しのみを許可します。

プライベート エンドポイント接続の名前は、privateEndpointConnections サブリソースで調べることができます。 システムによって自動的に生成されます。

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.8e4d6671-8d62-4bb7-8c41-827dde9c1a05'
                allow: ['ServerConnection', 'ClientConnection', 'RESTAPI', 'Trace']
            }
        ]
    }
}

IP 規則

IP 規則を使用すると、特定のパブリック インターネット IP アドレス範囲へのアクセスを許可または拒否できます。 これらの規則は、特定のインターネット ベースのサービスとオンプレミス ネットワークに対してアクセスを許可したり、一般的なインターネット トラフィックをブロックしたりするために使用できます。

次の制限事項が適用されます。

• 最大 30 個の規則を構成できます。
• アドレス範囲は、16.17.18.0/24 など、CIDR 表記を使用して指定する必要があります。 IPv4 と IPv6 の両方のアドレスがサポートされています。
• IP 規則は、定義された順序で評価されます。 一致する規則がない場合は、既定のアクションが適用されます。
• IP 規則はパブリック トラフィックにのみ適用され、プライベート エンドポイントからのトラフィックをブロックすることはできません。

ポータルを使用して IP 規則を構成する

1. セキュリティで保護する SignalR Service インスタンスに移動します。

2. 左側のメニューで [ネットワーク] を選択します。 [アクセス制御規則] タブを選択します。

   

3. [IP 規則 セクションで一覧を編集します。

4. [保存] を選択して変更を保存します。

Bicep を使用して IP 規則を構成する

次のテンプレートには以下の効果があります。

• 123.0.0.0/8 および 2603::/8 からの要求が許可されます。
• 他のすべての IP 範囲からの要求は拒否されます。

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

次のステップ

Azure Private Link について学習します。