Azure Synapse Analytics の IP ファイアウォール規則
この記事では、IP ファイアウォール規則について説明し、それを Azure Synapse Analytics で構成する方法を示します。
IP ファイアウォール規則
IP ファイアウォール規則は、各要求の発信元 IP アドレスに基づいて、Azure Synapse ワークスペースへのアクセス権を付与または拒否します。 お使いのワークスペースに対して IP ファイアウォール規則を構成できます。 ワークスペース レベルで構成された IP ファイアウォール規則は、ワークスペースのすべてのパブリック エンドポイント (専用 SQL プール、サーバーレス SQL プール、開発) に適用されます。 IP ファイアウォール規則の最大数は 128 に制限されています。 [Azure サービスおよびリソースにこのサーバーへのアクセスを許可する] の設定を有効にしてある場合、これはワークスペースに対する 1 つのファイアウォール規則としてカウントされます。
IP ファイアウォール規則の作成および管理
IP ファイアウォール規則を Azure Synapse ワークスペースに追加するには、2 つの方法があります。 IP ファイアウォールをワークスペースに追加するには、ワークスペースの作成時に [ネットワーク] を選択し、 [Allow connections from all IP addresses](すべての IP アドレスからの接続を許可する) をオンにします。
重要
この機能は、マネージド仮想ネットワークに関連付けられていない Azure Synapse ワークスペースでのみ使用可能です。
![[セキュリティ] タブと [Allow connections from all IP addresses]\(すべての IP アドレスからの接続を許可する\) チェックボックスが強調表示されているスクリーンショット。](media/synpase-workspace-ip-firewall/azure-synapse-workspace-networking-connections-all-ip-addresses.png#lightbox)
また、ワークスペースの作成後に、Synapse ワークスペースに IP ファイアウォール規則を追加することもできます。 Azure portal の [セキュリティ] の下で [ファイアウォール] を選択します。 新しい IP ファイアウォール規則を追加するには、それに名前、開始 IP、および終了 IP を指定します。 完了したら、 [保存] を選択します。
注意
このパブリック ネットワーク アクセス機能は、Azure Synapse Analytics のマネージド仮想ネットワークに関連付けられている Azure Synapse ワークスペースでのみ使用できます。 ただし、マネージド仮想ネットワークとの関連付けに関係なく、Azure Synapse ワークスペースをパブリック ネットワークに開くことはできます。 詳細については、「パブリック ネットワーク アクセス」を参照してください。
![Synapse ワークスペースの [ネットワーク] ページのスクリーンショット。[クライアント IP の追加] ボタンと [ルール] フィールドが強調表示されています。](media/synpase-workspace-ip-firewall/azure-synapse-workspace-networking-firewalls-add-client-ip.png#lightbox)
独自のネットワークから Azure Synapse に接続する
Synapse Studio を使用して、Synapse ワークスペースに接続できます。 また、SQL Server Management Studio (SSMS) を使用して、ワークスペース内の SQL リソース (専用 SQL プールとサーバーレス SQL プール) に接続することもできます。
ネットワークとローカル コンピューターのファイアウォールで TCP ポート 80、443、および 1443 での送信通信が許可されていることを確認します。 これらのポートは、Synapse Studio によって使用されます。
SSMS や Power BI などのツールを使用して接続するには、TCP ポート1433での送信通信を許可する必要があります。 ポート 1433 は、SSMS (デスクトップ アプリケーション) によって使用されます。
Note
Azure Policy は、Azure Resource Manager と所有するリソース プロバイダー (RP) の間で交換されるリソースの種類の PUT 要求と GET 応答に対してポリシー ルールを適用することで、他の Azure サービスよりも高いレベルで動作します。 ただし、Azure Portal 内での Synapse ワークスペースのファイアウォール設定の更新は、replaceAllIpFirewallRules 操作などの POST 呼び出しを使用して行われます。
この設計により、Azure Policy 定義では、POST 操作を介して行われたネットワーク設定の変更をブロックできません。 その結果、制限付きポリシーが適用されている場合でも、Azure Portal を使用してファイアウォール規則を変更すると、Azure Policy がバイパスされることがあります。
Azure Synapse ワークスペースのファイアウォールを管理する
ファイアウォールの管理の詳細については、サーバー レベルのファイアウォールを管理するための Azure SQL ドキュメントに関する記事を参照してください。 Azure Synapse では、サーバー レベルの IP ファイアウォール規則のみがサポートされます。 データベース レベルの IP ファイアウォール規則はサポートされていません。
プログラムによってファイアウォールを管理する方法の詳細については、以下を参照してください。
関連するコンテンツ
- Azure Synapse ワークスペースを作成する
- マネージド ワークスペース仮想ネットワークを使用して Azure Synapse ワークスペースを作成する
- Azure Private Link 接続に関する問題のトラブルシューティングを行う
- Azure プライベート エンドポイント接続に関する問題のトラブルシューティング