Delen via

Beleid voor service-eindpunten configureren voor Azure SQL Managed Instance

  • Artikel

van toepassing op:Azure SQL Managed Instance

Met het VNet-beleid (Virtual Network), het Azure Storage service-eindpuntbeleid, kunt u uitgaand verkeer van virtuele netwerken naar Azure Storage filteren, waardoor gegevensoverdracht naar specifieke opslagaccounts wordt beperkt.

Belangrijkste voordelen

Het configureren van azure Storage-service-eindpuntbeleid voor een virtueel netwerk voor uw Azure SQL Managed Instance biedt de volgende voordelen:

  • Verbeterde beveiliging voor verkeer van Azure SQL Managed Instance naar Azure Storage: eindpuntbeleid maakt een beveiligingsbeheer waarmee onjuiste of schadelijke exfiltratie van bedrijfskritieke gegevens wordt voorkomen. Verkeer kan worden beperkt tot alleen de opslagaccounts die voldoen aan uw vereisten voor gegevensbeheer.

  • gedetailleerde controle over welke opslagaccounts kunnen worden geopend: beleid voor service-eindpunten kan verkeer naar opslagaccounts op abonnements-, resourcegroep- en afzonderlijk opslagaccountniveau toestaan. Beheerders kunnen beleidsregels voor service-eindpunten gebruiken om naleving van de gegevensbeveiligingsarchitectuur van de organisatie in Azure af te dwingen.

  • systeemverkeer blijft ongewijzigd: beleid voor service-eindpunten belemmert nooit de toegang tot opslag die vereist is om Azure SQL Managed Instance te laten functioneren. Dit omvat de opslag van back-ups, gegevensbestanden, transactielogboekbestanden en andere assets.

Beleidsregels voor service-eindpunten beheren alleen verkeer dat afkomstig is van het subnet sql Managed Instance en wordt beëindigd in Azure Storage. Zij hebben geen invloed op andere middelen voor uitgaand gegevensverkeer; Als u bijvoorbeeld de database exporteert naar een on-premises BACPAC-bestand, Azure Data Factory-integratie, gegevensexfiltratie naar andere cloudproviders of andere mechanismen voor gegevensextractie die niet rechtstreeks zijn gericht op Azure Storage. Deze paden kunnen worden beveiligd met andere manieren van verkeersbeheer, zoals door de gebruiker gedefinieerde routes, netwerkbeveiligingsgroepen en Azure Firewall.

Beperkingen

Het inschakelen van beleid voor service-eindpunten voor uw Azure SQL Managed Instance heeft de volgende beperkingen:

  • Beleidsregels voor service-eindpunten voor Azure Storage in subnetten van beheerde exemplaren zijn beschikbaar in alle Azure-regio's waar SQL Managed Instance wordt ondersteund, met uitzondering van China Oost 2, China Noord 2, Centraal VS EUAP, Oost VS 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Virginia, en West Centraal VS.
  • De functie is alleen beschikbaar voor virtuele netwerken die zijn geïmplementeerd via het Azure Resource Manager-implementatiemodel.
  • De functie is alleen beschikbaar in subnetten waarvoor service-eindpunten zijn ingeschakeld voor Azure Storage.
  • Als u een service-eindpuntbeleid toewijst aan een service-eindpunt, wordt het eindpunt bijgewerkt van regionaal naar globaal bereik. Met andere woorden, al het verkeer naar Azure Storage gaat via het service-eindpunt, ongeacht de regio waarin het opslagaccount zich bevindt.
  • Wanneer u toegang verleent tot een opslagaccount, wordt automatisch toegang verleend tot zijn RA-GRS secundaire opslagaccount, indien deze bestaat.

Opslaginventaris voorbereiden

Voordat u service-eindpuntbeleid voor een subnet gaat configureren, moet u een lijst met opslagaccounts opstellen waartoe het beheerde exemplaar toegang moet hebben in dat subnet.

Hier volgt een lijst met werkstromen die mogelijk contact opnemen met Azure Storage:

Noteer de accountnaam, resourcegroep en het abonnement voor elk opslagaccount dat deelneemt aan deze of andere werkstromen die toegang hebben tot opslag.

Beleid configureren

U moet eerst uw service-eindpuntbeleid maken en vervolgens het beleid koppelen aan het subnet van sql Managed Instance. Wijzig de werkstroom in deze sectie zodat deze aan uw zakelijke behoeften voldoet.

Notitie

  • Voor subnetten van SQL Managed Instance moeten beleidsregels de alias /Services/Azure/ManagedInstance-service bevatten (zie stap 5).

Beleid voor service-eindpunten maken

Voer de volgende stappen uit om beleid voor service-eindpunten te maken:

  1. Meld u aan bij de Azure Portal.

  2. Selecteer + Maak een resource aan.

  3. Voer in het zoekvenster beleid voor service-eindpunten in, selecteer beleid voor service-eindpuntenen selecteer vervolgens maken.

    beleid voor service-eindpunten maken

  4. Vul de volgende waarden in op de pagina Basisinformatie:

    • Abonnement: Selecteer het abonnement voor uw beleid in de vervolgkeuzelijst.
    • Resourcegroep: Selecteer de resourcegroep waarin uw beheerde exemplaar zich bevindt of selecteer Nieuwe maken en vul de naam in voor een nieuwe resourcegroep.
    • Naam: Geef een naam op voor uw beleid, zoals mySEP-.
    • Locatie: Selecteer de regio van het virtuele netwerk dat als host fungeert voor het beheerde exemplaar.

    Basisbeginselen van service-eindpuntbeleid maken

  5. Selecteer in BeleidsdefinitiesEen alias toevoegen en voer de volgende informatie in het deelvenster Een alias toevoegen in:

    • Service-alias: Selecteer /Services/Azure/ManagedInstance.
    • Selecteer Toevoegen om het toevoegen van de servicealias te voltooien.

    Een alias toevoegen aan een beleid voor service-eindpunten

  6. Selecteer in beleidsdefinities + toevoegen onder Middelen en voer de volgende gegevens in of selecteer ze in het deelvenster Een resource toevoegen:

    • Service: Selecteer Microsoft.Storage -.
    • Bereik: selecteer Alle accounts in het abonnement.
    • Abonnement: Selecteer een abonnement met de opslagaccounts die u wilt toestaan. Raadpleeg uw inventaris van Azure-opslagaccounts die u eerder hebt gemaakt.
    • Selecteer Toevoegen om het toevoegen van de resource te voltooien.
    • Herhaal deze stap om extra abonnementen toe te voegen.

    Een resource toevoegen aan een service-eindpuntbeleid

  7. Optioneel: u kunt tags configureren voor het beleid voor service-eindpunten onder Tags.

  8. Selecteer Controleren enmaken. Valideer de gegevens en selecteer Creëer. Als u verdere wijzigingen wilt aanbrengen, selecteert u Vorige.

Tip

Configureer eerst beleidsregels om toegang tot volledige abonnementen toe te staan. Valideer de configuratie door ervoor te zorgen dat alle werkstromen normaal werken. Herconfigureer eventueel beleidsregels om afzonderlijke opslagaccounts of accounts in een resourcegroep toe te staan. Selecteer hiervoor Enkele account of Alle accounts in de resource-groep in het Bereik: veld en vul de andere velden dienovereenkomstig in.

Beleid koppelen aan subnet

Nadat uw beleid voor service-eindpunten is gemaakt, koppelt u het beleid aan het subnet van uw SQL Managed Instance.

Voer de volgende stappen uit om uw beleid te koppelen:

  1. Zoek in het vak Alle services in de Azure-portal naar virtuele netwerken. Selecteer virtuele netwerken.

  2. Zoek en selecteer het virtuele netwerk dat als host fungeert voor uw beheerde exemplaar.

  3. Selecteer Subnetten en kies het subnet dat is toegewezen aan uw beheerde exemplaar. Voer de volgende informatie in het subnetvenster in:

    • Services: Selecteer Microsoft.Storage. Als dit veld leeg is, moet u het service-eindpunt configureren voor Azure Storage in dit subnet.
    • Beleid voor service-eindpunten: selecteer beleidsregels voor service-eindpunten die u wilt toepassen op het subnet van SQL Managed Instance.

    een service-eindpuntbeleid koppelen aan een subnet

  4. Selecteer Opslaan om het virtuele netwerk te configureren.

Waarschuwing

Als het beleid voor dit subnet niet over de /Services/Azure/ManagedInstance alias beschikt, ziet u mogelijk de volgende fout: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy. Details: Service endpoint policies on subnet are missing definitions U kunt dit oplossen door alle beleidsregels op het subnet bij te werken om de /Services/Azure/ManagedInstance alias op te nemen.

Volgende stappen