Konfigurera tjänstslutpunktsprinciper för Azure SQL Managed Instance

gäller för:Azure SQL Managed Instance

Virtual Network (VNet) Azure Storage tjänstslutpunktsprinciper gör att du kan filtrera utgående virtuell nätverkstrafik till Azure Storage, vilket begränsar dataöverföringar till specifika lagringskonton.

Viktiga fördelar

Om du konfigurerar azure storage-tjänstslutpunktsprinciper för virtuellt nätverk för din Azure SQL Managed Instance får du följande fördelar:

• Förbättrad säkerhet för din Azure SQL Managed Instance-trafik till Azure Storage: Slutpunktsprinciper upprättar en säkerhetskontroll som förhindrar felaktig eller skadlig exfiltrering av affärskritiska data. Trafiken kan begränsas till endast de lagringskonton som är kompatibla med dina datastyrningskrav.

• detaljerad kontroll över vilka lagringskonton som kan nås: Tjänstslutpunktsprinciper kan tillåta trafik till lagringskonton på prenumerations-, resursgrupps- och individuell lagringskontonivå. Administratörer kan använda tjänstslutpunktsprinciper för att framtvinga efterlevnad av organisationens datasäkerhetsarkitektur i Azure.

• Systemtrafik påverkas inte: Tjänstslutpunktsprinciper hindrar aldrig åtkomst till lagring som krävs för att Azure SQL Managed Instance ska fungera. Detta omfattar lagring av säkerhetskopior, datafiler, transaktionsloggfiler och andra tillgångar.

Tjänstslutpunktsprinciper styr endast trafik som kommer från SQL Managed Instance-undernätet och avslutas i Azure Storage. De påverkar inte andra metoder för utgående data. Till exempel exportera databasen till en lokal BACPAC-fil, Azure Data Factory-integrering, dataexfiltrering till andra molnleverantörer eller andra mekanismer för extrahering av data som inte direkt riktar sig mot Azure Storage. Dessa vägar kan skyddas med andra trafikkontrollmedel, till exempel användardefinierade vägar, nätverkssäkerhetsgrupper och Azure Firewall.

Begränsningar

Aktivering av tjänstslutpunktsprinciper för din Azure SQL Managed Instance har följande begränsningar:

• Tjänstslutpunktsprinciper för Azure Storage i undernät för hanterade instanser är tillgängliga i alla Azure-regioner där SQL Managed Instance stöds förutom Kina, östra 2, Kina, norra 2, USA, centrala EUAP, USA, östra 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Virginia, och USA, västra centrala.
• Funktionen är endast tillgänglig för virtuella nätverk som distribueras via Azure Resource Manager-distributionsmodellen.
• Funktionen är endast tillgänglig i undernät som har tjänstslutpunkter för Azure Storage aktiverat.
• När du tilldelar en tjänstslutpunktsprincip till en tjänstslutpunkt uppgraderas slutpunkten från att vara regional till att ha global omfattning. Med andra ord går all trafik till Azure Storage via tjänstslutpunkten oavsett i vilken region lagringskontot finns.
• Genom att tillåta ett lagringskonto ges automatiskt åtkomst till dess sekundära RA-GRS, om det finns.

Förbereda lagringslager

Innan du börjar konfigurera tjänstslutpunktsprinciper i ett undernät skapar du en lista över lagringskonton som den hanterade instansen ska ha åtkomst till i undernätet.

Följande är en lista över arbetsflöden som kan kontakta Azure Storage:

• Granskning till Azure Storage.
• Utföra en säkerhetskopiering med endast kopiering till Azure Storage.
• Återställa en databas från Azure Storage.
• Importerar data med BULK INSERT eller OPENROWSET(BULK ...).
• Logga utökade händelser till ett mål för händelsefil i Azure Storage.
• offlinemigrering av Azure DMS till Azure SQL Managed Instance.
• Migrering av Log Replay Service till Azure SQL Managed Instance.
• Synkronisera tabeller med transaktionsreplikering.

Observera kontonamnet, resursgruppen och prenumerationen för alla lagringskonton som deltar i dessa eller andra arbetsflöden som har åtkomst till lagring.

Konfigurera principer

Du måste först skapa din tjänstslutpunktsprincip och sedan associera principen med SQL Managed Instance-undernätet. Ändra arbetsflödet i det här avsnittet så att det passar dina affärsbehov.

Anteckning

• SQL Managed Instance-undernät kräver att principer innehåller tjänstaliaset /Services/Azure/ManagedInstance (se steg 5).

Skapa en tjänsteslutpunktspolicy

Följ dessa steg för att skapa en tjänstslutpunktsprincip:

1. Logga in på Azure-portalen.

2. Välj + Skapa en resurs.

3. I sökfönstret anger du tjänstslutpunktsprincip, väljer tjänstslutpunktsprincipoch väljer sedan Skapa.

   

4. Fyll i följande värden på sidan Grundläggande:

   • Prenumeration: Välj prenumerationen för policyn i listrutan.
   • Resursgrupp: Välj resursgruppen där den hanterade instansen finns eller välj Skapa ny och fyll i namnet på en ny resursgrupp.
   • Namn: Ange ett namn för din princip, till exempel mySEP-.
   • Plats: Välj region för det virtuella nätverk som är värd för den hanterade instansen.

   

5. I principdefinitionerväljer du Lägg till ett alias och anger följande information i fönstret Lägg till ett alias:

   • Tjänstalias: Välj /Services/Azure/ManagedInstance.
   • Välj Lägg till för att slutföra tillägg av tjänstaliaset.

   

6. I Principdefinitioner väljer du + Lägg till under Resurser och anger eller väljer följande information i fönstret Lägg till en resurs:

   • Tjänst: Välj Microsoft.Storage.
   • Omfång: Välj Alla konton i prenumerationen.
   • Prenumeration: Välj en prenumeration som innehåller de lagringskonton som ska tillåtas. Se din lista över Azure-lagringskonton som skapades tidigare.
   • Välj Lägg till för att slutföra tillägg av resursen.
   • Upprepa det här steget om du vill lägga till ytterligare prenumerationer.

   

7. Valfritt: du kan konfigurera taggar på tjänstslutpunktens policy under Taggar.

8. Välj Granska + Skapa. Verifiera informationen och välj Skapa. Om du vill göra ytterligare ändringar väljer du Föregående.

Tips

Konfigurera först principer för att tillåta åtkomst till hela prenumerationer. Verifiera konfigurationen genom att se till att alla arbetsflöden fungerar som de ska. Du kan också konfigurera om principer för att tillåta enskilda lagringskonton eller konton i en resursgrupp. Om du vill göra det väljer du Enskilt konto eller Alla konton i resursgruppen i fältet Omfång: i stället och fyller i de andra fälten i enlighet med detta.

Associera princip med undernät

När din tjänstslutpunktsprincip har skapats associerar du principen med ditt SQL Managed Instance-undernät.

Följ dessa steg för att koppla din regel:

1. I rutan Alla tjänster i Azure-portalen söker du efter virtuella nätverk. Välj Virtuella nätverk.

2. Leta upp och välj det virtuella nätverk som är värd för din hanterade instans.

3. Välj undernät och välj det undernät som är dedikerat till din hanterade instans. Ange följande information i undernätsfönstret:

   • Tjänster: Välj Microsoft.Storage. Om det här fältet är tomt måste du konfigurera tjänstslutpunkten för Azure Storage i det här undernätet.
   • Tjänstslutpunktsprinciper: Välj alla tjänstslutpunktsprinciper som du vill tillämpa på SQL Managed Instance-undernätet.

   

4. Välj Spara för att slutföra konfigurationen av det virtuella nätverket.

Varning

Om policyerna i det här undernätet inte har aliaset /Services/Azure/ManagedInstance kan följande fel visas: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy. Details: Service endpoint policies on subnet are missing definitions Du kan lösa detta genom att uppdatera alla principer i undernätet så att de innehåller /Services/Azure/ManagedInstance alias.

Nästa steg

• Läs mer om hur du säkrar dina Azure Storage-konton .
• Läs om SQL Managed Instances säkerhetsfunktioner.
• Utforska anslutningsarkitekturen för SQL Managed Instance.