Azure SQL Managed Instance のサービス エンドポイント ポリシーを構成する

適用対象:Azure SQL Managed Instance

Virtual Network (VNet) Azure Storage サービス エンドポイントポリシーを使用すると、エグレス仮想ネットワーク トラフィックを Azure Storage にフィルター処理し、特定のストレージ アカウントへのデータ転送を制限できます。

主な利点

Azure Storageサービス エンドポイント ポリシーの仮想ネットワーク を構成すると、Azure SQL Managed Instanceは以下の利点があります：

• Azure Storageへの Azure SQL Managed Instance トラフィックのセキュリティの向上: エンドポイント ポリシーは、ビジネスに不可欠なデータの誤ったまたは悪意のある侵入を防ぐセキュリティ制御を確立します。 トラフィックは、データ ガバナンス要件に準拠しているストレージ アカウントにのみ制限できます。

• アクセスできるストレージ アカウントをきめ細かく制御する: サービス エンドポイント ポリシーでは、サブスクリプション、リソース グループ、個々のストレージ アカウント レベルでストレージ アカウントへのトラフィックを許可できます。 管理者は、サービス エンドポイント ポリシーを使用して、Azure で組織のデータ セキュリティ アーキテクチャへの準拠を強制できます。

• システム トラフィックは影響を受けません:サービス エンドポイント ポリシーは、Azure SQL Managed Instanceサービスが機能するために必要なストレージへのアクセス妨げない。 これには、バックアップ、データ ファイル、トランザクション ログ ファイル、その他の資産のストレージが含まれます。

サービス エンドポイント ポリシーは、SQL Managed Instance サブネットから送信され、Azure Storage で終了するトラフィックのみを制御します。 他のデータ エグレス手段には影響しません。たとえば、オンプレミスの BACPAC ファイルへのデータベースのエクスポート、Azure Data Factory 統合、他のクラウド プロバイダーへのデータ流出、または Azure Storage を直接ターゲットにしないデータ抽出のその他のメカニズムなどです。 これらの経路は、ユーザー定義ルート、ネットワーク セキュリティ グループ、Azure Firewall など、他のトラフィック制御手段で保護できます。

制限事項

Azure SQL Managed Instance のサービス エンドポイント ポリシーを有効にする場合、次の制限があります。

• マネージド インスタンス サブネット内の Azure Storage のサービス エンドポイント ポリシーは、SQL Managed Instance がサポートされているすべての Azure リージョンで使用できます。ただし、中国東部 2、中国北部 2、米国中部 EUAP、 米国東部 2 EUAP、 US Gov アリゾナ、 US Gov テキサス、 US Gov バージニア、 米国中西部。
• この機能は、Azure Resource Manager デプロイ モデルを使ってデプロイされた仮想ネットワークでのみ使用できます。
• この機能は、サービス エンドポイントが有効になっているサブネットでのみAzure Storageできます。
• サービス エンドポイントにサービス エンドポイント ポリシーを割り当てると、エンドポイントがリージョンスコープからグローバル スコープにアップグレードされます。 つまり、ストレージ アカウントがAzure Storageリージョンに関係なく、すべてのトラフィックがサービス エンドポイントを通過します。
• ストレージ アカウントを許可すると、RA-GRS セカンダリへのアクセスが自動的に許可されます (存在する場合)。

ストレージ インベントリを準備する

サブネットでサービス エンドポイント ポリシーの構成を開始する前に、そのサブネットでマネージド インスタンスがアクセスできる必要があるストレージ アカウントのリストを作成します。

次に示すのは、Azure Storageに連絡する可能性があるワークフローのリストです。

• Azure Storageへの監査。
• Azure Storageへコピー専用のバックアップを実行します。
• Azure Storageからデータベースの復元。
• BULK INSERTまたはOPENROWSET(BULK ...) を使用したデータのインポート。
• 拡張イベントをAzure Storageのイベント ファイルターゲットにログ。
• Azure DMS オフラインから Azure SQL Managed Instanceへの移行。
• Log Replayサービスから Azure SQL Managed Instance への移行。
• トランザクション レプリケーション を使用したテーブル の同期。

これらに参加しているストレージ アカウント、またはストレージにアクセスする他のワークフローのアカウント名、リソース グループ、サブスクリプションに注意してください。

ポリシーの構成

まず、サービス エンドポイント ポリシーを作成し、そのポリシーを新しいサブネットに関連SQL Managed Instanceがあります。 ビジネス ニーズに合わせて、このセクションのワークフローを変更します。

Note

• SQL Managed Instanceサブネットには、/Services/Azure/ManagedInstance サービス 別名を含むポリシーが必要です (ステップ5 を参照)。

サービス エンドポイント ポリシーを作成する

サービス エンドポイント ポリシーを作成するには、次のステップに従います：

1. Azure portal にサインインします。

2. [+ リソースの作成] を選択します。

3. 検索ウィンドウで、 「サービス エンドポイント ポリシー」 と入力し、 [サービス エンドポイント ポリシー] を選択してから、 [作成] を選択します。

   

4. [基本] ページで以下の値を入力します：

   • [サブスクリプション]: ドロップダウンからポリシーのサブスクリプションを選択します。
   • リソース グループ: マネージド インスタンスがあるリソース グループを選択するか、または [Create new] を選択し、新しいリソース グループの名前を入力します。
   • 名前: ポリシーの名前( mySEP など) を指定します。
   • 場所: マネージド インスタンスをホストする仮想ネットワークのリージョンを選択します。

   

5. [ポリシー定義] で [別名の追加] を選択し、 [別名の追加] ペインに以下の情報を入力します：

   • サービス別名: [/Services/Azure/ManagedInstance] を選択します。
   • [追加] を選択して、サービス別名の追加を完了します。

   

6. [ポリシー定義] で、 [リソース] の [+追加] を選択し、 [リソースの追加] ペインで以下の情報を入力または選択します：

   • サービス: [Microsoft.Storage] を選択します。
   • スコープ: [サブスクリプションのすべてのアカウント] を選択します。
   • サブスクリプション: ストレージ アカウントを含むサブスクリプションを選択して、許可します。 前に作成した Azure ストレージ アカウントのインベントリ を参照してください。
   • [追加 ] を 選択して、リソースの追加を完了します。
   • サブスクリプションを追加するには、このステップを繰り返します。

   

7. 省略可能: [タグ] のサービス エンドポイント ポリシーでタグを構成できます。

8. [確認および作成] を選択します。 情報を検証し、 [作成] を選択します。 さらに編集するには、 [前へ] を選択します。

ヒント

まず、サブスクリプション全体へのアクセスを許可するポリシーを構成します。 すべてのワークフローが正常に動作し、構成を検証します。 次に、必要に応じて、個々のストレージ アカウント、またはリソース グループ内のアカウントを許可するポリシーを再構成します。 これを行うには、代わりに [スコープ:] フィールドで [単一アカウント] または [リソース グループのすべてのアカウント] を選択し、必要に応じて他のフィールドに入力します。

ポリシーをサブネットに関連付ける

サービス エンドポイント ポリシーが作成された後、ポリシーをサブネットに関連SQL Managed Instanceします。

ポリシーを関連付けるには、次のステップに従います：

1. Azure portalの [すべてのサービス] ボックスに 仮想ネットワーク を検索します。 [仮想ネットワーク] を選択します。

2. マネージド インスタンスをホストする仮想ネットワークを見つけて選択します。

3. [サブネット] を選択し、マネージド インスタンス専用のサブネットを選択します。 サブネット ペインに以下の情報を入力します：

   • サービス: [Microsoft.Storage] を選択します。 このフィールドが空の場合は、このサブネットにサービス エンドポイントをAzure Storageに構成する必要があります。
   • サービス エンドポイント ポリシー: SQL Managed Instanceサブネットに適用するサービス エンドポイント ポリシーを選択します。

   

4. [保存] を選択して、仮想ネットワークの構成を完了します。

警告

このサブネットのポリシーに /Services/Azure/ManagedInstance エイリアスが含まれていない場合、次のエラーが表示されることがあります。 Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions これを解決するには、サブネットのすべてのポリシーを更新して /Services/Azure/ManagedInstance 別名を含める必要があります。

次の手順

• Azure Storageアカウントの保護の詳細について学習します。
• SQL Managed Instanceのセキュリティ機能に関して読み取ってください。
• SQL Managed Instanceの接続アーキテクチャを探検する。