Поделиться через

Настройка политик конечной точки службы для Управляемого экземпляра SQL Azure

  • Статья

Область применения: Управляемый экземпляр SQL Azure

Политики конечных точек службы для службы хранилища Azure и виртуальной сети позволяют фильтровать исходящий трафик виртуальной сети к службе хранилища Azure, разрешая передачу данных только к определенным учетным записям хранения.

Ключевые преимущества

Настройка политик конечных точек службы для службы хранилища Azure виртуальной сети для Управляемого экземпляра SQL Azure предоставляет следующие преимущества:

  • Повышение безопасности трафика в службу хранилища Azure для Управляемого экземпляра SQL Azure: политики конечных точек обеспечивают контроль безопасности, который позволяет избежать ошибочной утечки или злонамеренной кражи критически важных для бизнеса данных. Трафик может быть разрешен только для тех учетных записей хранения, которые соответствуют требованиям к управлению данными.

  • Детальное управление доступом к учетным записям хранения: политики конечных точек службы позволяют разрешить трафик к учетным записям хранения на уровне подписки, группы ресурсов и отдельных учетных записей хранения. Администраторы могут использовать политики конечных точек службы, чтобы обеспечить соблюдение архитектуры безопасности данных организации в Azure.

  • Системный трафик не затрагивается: политики конечных точек службы никогда не препятствуют доступу к хранилищу, который необходим для работы Управляемого экземпляра SQL Azure. Это относится к хранению резервных копий, файлов данных, файлов журналов транзакций и других ресурсов.

Политики конечных точек службы управляют трафиком, который исходит только из подсети Управляемого экземпляра SQL и завершается в Azure Storage. Они не влияют на другие средства исходящего трафика данных; Например, экспорт базы данных в локальный BACPAC-файл, интеграцию Фабрики данных Azure, утечку данных другим поставщикам облачных служб или другие механизмы извлечения данных, которые не предназначены непосредственно для хранилища Azure. Эти пути можно защитить с помощью других средств управления трафиком, таких как определяемые пользователем маршруты, группы безопасности сети и брандмауэр Azure.

Ограничения

На включение политик конечных точек службы для Управляемого экземпляра SQL Azure распространяются следующие ограничения:

  • Политики конечных точек службы для Azure Storage в подсетях управляемого экземпляра доступны во всех регионах Azure, где поддерживается SQL Managed Instance, за исключением China East 2, China North 2, Central US EUAP, East US 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Virginiaи West Central US.
  • Функция доступна только для виртуальных сетей, развернутых посредством модели развертывания с помощью Azure Resource Manager.
  • Эта функция доступна только в подсетях, в которых включены конечные точки службы для службы хранилища Azure.
  • При назначении политики для конечной точки службы конечная точка службы изменяется с региональной на глобальную. Другими словами, весь трафик к службе хранилища Azure будет проходить через конечную точку службы независимо от региона, в котором находится учетная запись хранения.
  • Разрешение учетной записи хранения автоматически разрешает доступ к его RA-GRS вторичной, если она существует.

Подготовка инвентаризации хранилища

Прежде чем приступить к настройке политик конечной точки службы в подсети, составьте список учетных записей хранения, к которым у управляемого экземпляра должен быть доступ в этой подсети.

Ниже приводится список рабочих процессов, которые могут связываться со службой хранилища Azure:

Обратите внимание на имя учетной записи, группу ресурсов и подписку для всех учетных записей хранения, которые участвуют в этих или любых других процессах, которые обращаются к хранилищу.

Настройка политик

Сначала необходимо создать политику конечной точки службы, а затем связать ее с подсетью Управляемого экземпляра SQL. Измените рабочий процесс в этом разделе в соответствии с потребностями вашей организации.

Примечание.

  • Подсети Управляемых экземпляров SQL должны содержать псевдонимы службы /Services/Azure/ManagedInstance (см. шаг 5).

Создание политики конечной точки службы

Чтобы создать политику конечной точки службы, выполните следующие действия:

  1. Войдите на портал Azure.

  2. Щелкните + Создать ресурс.

  3. В области поиска введите политика конечной точки службы, выберите Политика конечной точки службы и щелкните Создать.

    Создание политики для конечной точки службы

  4. На вкладке Основные данные задайте следующие значения:

    • Подписка: выберите подписку для своей политики из раскрывающегося списка.
    • Группа ресурсов: выберите группу ресурсов, в которой находится управляемый экземпляр, или нажмите Создать и укажите имя новой группы ресурсов.
    • Имя: укажите имя политики, например, mySEP.
    • Расположение: выберите регион виртуальной сети, в котором размещается управляемый экземпляр.

    Основные данные, необходимые для создания политики для конечной точки службы

  5. В разделе Определения политик выберите Добавить псевдоним и укажите следующие сведения в области Добавление псевдонима:

    • Псевдоним службы: выберите /Services/Azure/ManagedInstance.
    • Нажмите кнопку Добавить, чтобы завершить добавление псевдонима службы.

    Добавление псевдонима для политики конечной точки службы

  6. В разделе "Определения политик" выберите + Добавить в разделе Ресурсы и введите или выберите следующую информацию в области Добавление ресурса:

    • Служба: выберите Microsoft.Storage.
    • Область: выберите Все учетные записи в подписке.
    • Подписка: выберите подписку, содержащую учетные записи хранения, которым необходимо предоставить разрешение. Обратитесь к инвентаризации учетных записей хранения Azure, которая была создана ранее.
    • Нажмите кнопку Добавить, чтобы завершить добавление ресурса.
    • Повторите этот шаг, чтобы добавить дополнительные подписки.

    Добавление ресурса для политики конечной точки службы

  7. Необязательно: вы можете настроить теги в политике конечной точки службы в разделе Теги.

  8. Выберите Review + Create (Просмотреть и создать). Проверьте сведения и нажмите кнопку Создать. Чтобы внести дополнительные изменения, нажмите кнопку Назад.

Совет

Сначала настройте политики, чтобы разрешить доступ ко всем подпискам. Проверьте конфигурацию, убедившись в том, что все рабочие процессы работают нормально. Затем при желании можно перенастроить политики, чтобы разрешить отдельные учетные записи хранения или учетные записи в группе ресурсов. Для этого выберите Одна учетная запись или Все учетные записи в группе ресурсов в поле Область: и заполните остальные поля соответствующим образом.

Связывание политики с подсетью

После создания политики конечной точки службы свяжите ее с подсетью Управляемого экземпляра SQL.

Чтобы связать политику, выполните указанные ниже действия:

  1. В поле Все службы на портале Azure выполните поиск по фразе виртуальные сети. Выберите Виртуальные сети.

  2. Найдите и выберите виртуальную сеть, в которой размещается управляемый экземпляр.

  3. Выберите Подсети и выберите подсеть, выделенную для управляемого экземпляра. Укажите следующие сведения в области "Подсеть":

    • Службы: выберите Microsoft.Storage. Если это поле является пустым, необходимо настроить конечную точку службы для службы хранилища Azure в этой подсети.
    • Политики конечных точек службы: выберите политики конечных точек службы, которые необходимо применить к подсети Управляемого экземпляра SQL.

    Связывание политики конечной точки службы с подсетью

  4. Нажмите кнопку Сохранить, чтобы завершить настройку виртуальной сети.

Предупреждение

Если политики в этой подсети не имеют /Services/Azure/ManagedInstance псевдонима, может появить следующая ошибка: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy. Details: Service endpoint policies on subnet are missing definitions Чтобы устранить эту проблему, обновите все политики в подсети, так чтобы они включали псевдоним /Services/Azure/ManagedInstance.

Следующие шаги