次の方法で共有


仮想ネットワークを使用して Azure API Management の受信または送信トラフィックをセキュリティで保護する

適用対象: Developer | Basic | Basic v2 | Standard | Standard v2 | Premium | Premium v2

既定では、API Management インスタンスはパブリック エンドポイントでインターネットからアクセスされ、パブリック バックエンドへのゲートウェイとして機能します。 API Management には、Azure 仮想ネットワークを使用して、API Management インスタンスとバックエンド API へのアクセスをセキュリティで保護するためのオプションがいくつか用意されています。 使用可能なオプションは、API Management インスタンスのサービス レベルによって異なります。 組織のニーズに合わせてネットワーク機能を選択します。

次の表に、仮想ネットワーク オプションの比較を示します。 詳細については、この記事の後のセクションと詳細なガイダンスへのリンクを参照してください。

ネットワーク モデル サポートされるレベル サポートされているコンポーネント サポートされているトラフィック 使用シナリオ
仮想ネットワーク インジェクションン (クラシックレベル) - 外部 開発者、プレミアム 開発者ポータル、ゲートウェイ、管理プレーン、Git リポジトリ インターネット、ピアリングされた仮想ネットワーク、ExpressRoute、および S2S VPN 接続に対して受信トラフィックと送信トラフィックを許可できます。 プライベート バックエンドとオンプレミス バックエンドへの外部アクセス
仮想ネットワーク インジェクションン (クラシックレベル) - 内部 開発者、プレミアム 開発者ポータル、ゲートウェイ、管理プレーン、Git リポジトリ ピアリングされた仮想ネットワーク、ExpressRoute、および S2S VPN 接続に対して受信トラフィックと送信トラフィックを許可できます。 プライベート バックエンドとオンプレミス バックエンドへの内部アクセス
仮想ネットワーク インジェクション (v2 レベル) Premium v2 ゲートウェイのみ 仮想ネットワークの委任されたサブネット、ピアリングされた仮想ネットワーク、ExpressRoute、および S2S VPN 接続に対して受信トラフィックと送信トラフィックを許可できます。 プライベート バックエンドとオンプレミス バックエンドへの内部アクセス
仮想ネットワーク統合 (v2 レベル) Standard v2、Premium v2 ゲートウェイのみ 送信要求トラフィックは、接続された 1 つの仮想ネットワークの委任されたサブネットでホストされている API に到達できます。 プライベート バックエンドとオンプレミス バックエンドへの外部アクセス
受信プライベート エンドポイント 開発者, Basic, Standard, Standard v2 (プレビュー), Premium ゲートウェイのみ (マネージド ゲートウェイはサポートされていますが、セルフホステッド ゲートウェイはサポートされていません) インターネット、ピアリングされた仮想ネットワーク、ExpressRoute、および S2S VPN 接続からの受信トラフィックのみを許可できます。 API Management ゲートウェイへのクライアント接続をセキュリティで保護する

仮想ネットワーク インジェクションン (クラシックレベル)

API Management のクラシック Developer レベルおよび Premium レベルでは、API Management インスタンスをインターネット以外のルーティング可能なネットワークのサブネットに デプロイ ("挿入") します。 仮想ネットワークでの API Management インスタンスは、ネットワーク接続された他の Azure リソースに安全にアクセスでき、さまざまな VPN テクノロジを使ってオンプレミス ネットワークにも接続できます。

Azure portal、Azure CLI、Azure Resource Manager テンプレート、またはその他のツールを構成に使用できます。 API Management がデプロイされるサブネットへの受信トラフィックと送信トラフィックは、ネットワーク セキュリティ グループを使用して制御します。

デプロイの詳細な手順とネットワーク構成については、以下を参照してください。

アクセス オプション

仮想ネットワークを使用すると、開発者ポータル、API ゲートウェイ、およびその他の API Management エンドポイントを、インターネット (外部モード) または仮想ネットワーク内 (内部モード) のみのいずれかからアクセスできるように構成できます。

  • 外部: API Management エンドポイントは、パブリック インターネットから外部ロード バランサーを使用してアクセスできます。 ゲートウェイは、仮想ネットワーク内のリソースにアクセスできます。

    外部仮想ネットワークへの接続を示す図。

    仮想ネットワークにデプロイされているバックエンド サービスにアクセスするには、外部モードで API Management を使用します。

  • 内部: API Management のエンドポイントは、仮想ネットワーク内から内部ロード バランサーを使用してのみアクセスできます。 ゲートウェイは、仮想ネットワーク内のリソースにアクセスできます。

    内部仮想ネットワークへの接続を示す図。

    API Management を内部モードで使用するのは、次のようなケースです。

    • Azure VPN 接続または Azure ExpressRoute を使用することで、プライベート データセンターでホストされている API へのアクセスを、サード パーティが安全に行うことができるようにします。
    • 一般的なゲートウェイを通じてクラウド ベースの API とオンプレミスの API を公開することによって、ハイブリッド クラウドのシナリオを有効にします。
    • 単一のゲートウェイ エンドポイントを使用して複数の地理的な場所でホストされている API を管理します。

仮想ネットワーク インジェクション (v2 レベル)

API Management Premium v2 レベルでは、ゲートウェイの受信トラフィックと送信トラフィックをセキュリティで保護するために、仮想ネットワークの委任されたサブネットにインスタンスを挿入します。 現時点では、インスタンスの作成時に仮想ネットワーク インジェクションの設定を構成できます。

この構成では次のようになります。

  • API Management ゲートウェイ エンドポイントには、仮想ネットワークを経由してプライベート IP アドレスでアクセスできます。
  • API Management は、ネットワーク内で分離された API バックエンドに送信要求を行うことができます。

この構成は、API Management インスタンスとバックエンド API の両方を分離するシナリオに推奨されます。 Premium v2 レベルの仮想ネットワーク インジェクションは、Azure API Management のほとんどのサービス依存関係へのネットワーク接続を自動的に管理します。

受信トラフィックと送信トラフィックを分離するために仮想ネットワークに API Management インスタンスを挿入する図。

詳細については、「仮想ネットワークに Premium v2 インスタンスを挿入する」を参照してください。

仮想ネットワーク統合 (v2 レベル)

Standard v2 および Premium v2 レベルでは、送信仮想ネットワーク統合がサポートされており、接続された単一の仮想ネットワーク内に分離された API バックエンドに、API Management インスタンスが到達できるようにしています。 API Management ゲートウェイ、管理プレーン、および開発者ポータルは、インターネットから公的にアクセス可能です。

送信統合により、API Management インスタンスは、パブリックとネットワーク分離バックエンド サービスの両方に到達できます。

API Management インスタンスと委任されたサブネットの統合の図。

詳細については、「送信接続のためにプライベート仮想ネットワークと Azure API Management インスタンスを統合する」を参照してください。

受信プライベート エンドポイント

API Management では、API Management インスタンスに対してセキュリティ保護された受信クライアント接続を行うために、プライベート エンドポイントをサポートしています。 セキュリティ保護された各接続では、仮想ネットワークと Azure Private Link からのプライベート IP アドレスが使用されます。

プライベート エンドポイントを使用した API Management へのセキュリティで保護された接続を示す図。

プライベート エンドポイントと Private Link を使うと、次のことが可能になります。

  • API Management インスタンスへの複数の Private Link 接続を作成します。

  • プライベート エンドポイントを使って、安全な接続でインバウンド トラフィックを送信します。

  • ポリシーを使って、プライベート エンドポイントから送信されるトラフィックを区別します。

  • 受信トラフィックをプライベート エンドポイントのみに制限し、データ流出を防ぎます。

  • Standard v2 インスタンスへの受信プライベート エンドポイントと送信仮想ネットワーク統合を組み合わせて API Management クライアントとバックエンド サービスのエンドツーエンドのネットワーク分離を提供します。

    プライベート エンドポイントを使用した API Management Standard v2 へのセキュリティで保護された受信接続を示す図。

重要

  • API Management インスタンスへの受信トラフィックに対してのみ、プライベート エンドポイント接続を構成できます。

詳細については、受信プライベート エンドポイントを使用した API Management へのプライベート接続に関する記事を参照してください。

高度なネットワークの構成

Web アプリケーション ファイアウォールを使用してAPI Management エンドポイントをセキュリティで保護する

API Management インスタンスへのセキュリティで保護された外部アクセスおよび内部アクセスの両方と、プライベート バックエンドとオンプレミス バックエンドにアクセスできる柔軟性が必要なシナリオがあります。 これらのシナリオでは、Web アプリケーション ファイアウォール (WAF) を使用して、API Management インスタンスのエンドポイントへの外部アクセスを管理することを選択できます。

1 つの例として、API Management インスタンスを内部仮想ネットワークにデプロイし、インターネットに接続されている Azure Application Gateway を使用してそのインスタンスへのパブリック アクセスをルーティングすることができます。

API Management インスタンスの前の Application Gateway を示す図。

詳細については、「内部仮想ネットワーク内の API Management を Application Gateway とデプロイする」を参照してください。

API Management を使用した仮想ネットワークの構成の詳細情報:

Azure Virtual Network の詳細については、まず「Azure Virtual Network の概要」の情報をご覧ください。