اكتب تدقيقًا إلى حساب تخزين خلف VNet وجدار الحماية

ينطبق على: قاعدة بيانات Azure SQL Azure Synapse Analytics

يدعم تدقيق قاعدة بيانات Azure SQL و Azure Synapse Analytics كتابة أحداث قاعدة البيانات إلى حساب تخزين Azure خلف شبكة افتراضية وجدار حماية.

هذه المقالة تبين طريقتين لتكوين قاعدة بيانات Azure SQL وحساب تخزين Azure لهذا الخيار. الأول يستخدم مدخل Azure، والثاني يستخدم REST.

الخلفية

Azure Virtual Network (VNet) هي لبنة الإنشاء الأساسية لشبكتك الخاصة في Azure. يتيح VNet الكثير من أنواع موارد Azure، مثل Azure Virtual Machines (VM)، للتواصل بشكل آمن مع بعضها البعض، والإنترنت، والشبكات المحلية. يشبه VNet الشبكة التقليدية في مركز البيانات الخاص بك، ولكنه يجلب معها مزايا إضافية للبنية التحتية Azure مثل النطاق والتوافر والعزل.

لمعرفة أكثر حول مفاهيم VNet وأفضل الممارسات وغير ذلك الكثير، راجع ما هي شبكة Azure الظاهرية .

لمعرفة أكثر حول كيفية إنشاء شبكة افتراضية، راجع Quickstart: إنشاء شبكة افتراضية باستخدام مدخل Azure .

المتطلبات الأساسية

للتدقيق للكتابة إلى حساب تخزين خلف VNet أو جدار الحماية، فإن المتطلبات الأساسية الآتية مطلوبة:

• حساب تخزين v2 للأغراض العامة. إذا كان لديك حساب تخزين للأغراض العامة v1 أو حساب تخزين blob، فقم بالترقية إلى حساب تخزين للأغراض العامة v2. لمزيد من المعلومات، راجع أنواع حسابات التخزين .
• لا بد أن يكون حساب التخزين على نفس المستأجر وفي نفس الموقع مثل خادم SQL المنطقي (من المقبول أن تكون في اشتراكات مختلفة).
• يتطلب حساب Azure Storage Allow trusted Microsoft services to access this storage account. قم بتعيين هذا في حساب تخزين جدران الحماية والشبكات الافتراضية.
• لا بد أن يكون لديك إذن Microsoft.Authorization/roleAssignments/write لحساب التخزين المحدد. لمعلومات أكثر، راجع أدوار Azure المضمنة .

تكوين في بوابة Azure

قم بالاتصال بـ بوابة Azure الإلكترونية باشتراكك. قم بالانتقال إلى مجموعة الموارد والخادم.

1. قم بالنقر فوق تدقيق تحت عنوان الأمان. حدد تشغيل.

2. اختار التخزين. حدد واختار حساب التخزين حيث سيتم حفظ السجلات. لا بد أن يتوافق حساب التخزين مع المتطلبات المذكورة في المتطلبات الأساسية .

3. افتح تفاصيل التخزين

ملاحظة

إذا كان حساب التخزين المحدد خلف VNet، فسوف ترى الرسالة الآتية:

You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.

إذا كنت لا ترى هذه الرسالة، فإن حساب التخزين ليس خلف شبكة VNet.

4. قم بتحديد عدد الأيام لفترة الاستبقاء. ثم انقر على موافق. يتم حذف السجلات الأقدم من فترة الاحتفاظ.

5. حدد/ اختار حفظ في إعدادات التدقيق.

لقد نجحت في تكوين التدقيق للكتابة إلى حساب تخزين خلف VNet أو جدار الحماية.

تكوين مع أوامر REST

كبديل لاستخدام مدخل Azure، تستطيع استخدام أوامر REST لتكوين التدقيق لكتابة أحداث قاعدة البيانات على حساب تخزين خلف VNet وFirewall.

تتطلب منك نماذج البرامج النصية في هذا القسم تحديث البرنامج النصي قبل تشغيله. استبدل القيم الآتية في البرامج النصية:

قيمة العينة	وصف العينة
<subscriptionId>	معرف اشتراك Azure
<resource group>	مجموعة الموارد
<logical SQL Server>	اسم الخادم
<administrator login>	حساب المسؤول
<complex password>	كلمة مرور معقدة لحساب المسؤول

لتكوين SQL Audit لكتابة الأحداث إلى حساب تخزين خلف VNet أو Firewall:

1. سجل الخادم الخاص بك مع Azure Active Directory (Azure AD). استخدم إما PowerShell أو REST API.

   PowerShell

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId <subscriptionId>
   Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
   

   واجهة برمجة تطبيقات REST:

   طلب عينة

   PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
   

   نص الطلب

   {
   "identity": {
              "type": "SystemAssigned",
              },
   "properties": {
     "fullyQualifiedDomainName": "<azure server name>.database.windows.net",
     "administratorLogin": "<administrator login>",
     "administratorLoginPassword": "<complex password>",
     "version": "12.0",
     "state": "Ready"
     }
   }
   

2. قم بتعيين دور مساهم بيانات تخزين كائن ثنائي كبير الحجم Storage Blob Data Contributor إلى الخادم الذي يستضيف قاعدة البيانات التي قمت بتسجيلها باستخدام Microsoft Azure Active Directory في الخطوة السابقة.

   للحصول على خطوات تفصيلية، راجع ⁧⁩تعيين أدوار Azure باستخدام مدخل Microsoft Azure⁧⁩.

   ملاحظة

   ممكن فقط للأعضاء الذين يتمتعون بامتياز المالك تنفيذ هذه الخطوة. للتعرف على الأدوار الكثيرة المضمنة في Azure، راجع الأدوار المضمنة في Azure .

3. قم بتكوين سياسة تدقيق blob للخادم ، بدون تحديد storageAccountAccessKey:

   طلب عينة

     PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
   

   محتوى الطلب

   {
     "properties": {
      "state": "Enabled",
      "storageEndpoint": "https://<storage account>.blob.core.windows.net"
     }
   }
   

استخدام Azure PowerShell

• إنشاء أو تحديث سياسة تدقيق قاعدة البيانات (Set-AzSqlDatabaseAudit)
• إنشاء أو تحديث سياسة تدقيق الخادم (Set-AzSqlServerAudit)

استخدام قالب Azure Resource Manager

تستطيع تكوين التدقيق لكتابة أحداث قاعدة البيانات على حساب تخزين خلف الشبكة الافتراضية وجدار الحماية باستخدام قالب Azure Resource Manager ، كما هو موضح في المثال التالي:

هام

من أجل استخدام حساب التخزين خلف الشبكة الافتراضية والجدار الناري، تحتاج إلى تعيين معلمة isStorageBehindVnet على القيمة true

• نشر Azure SQL Server مع تمكين التدقيق لكتابة سجلات التدقيق إلى تخزين blob

ملاحظة

النموذج المرتبط موجود في مستودع عام خارجي ويتم توفيره "كما هو"، بدون ضمان، وغير مدعوم في أي برنامج / خدمة دعم من Microsoft.

الخطوات التالية

• استخدم PowerShell لإنشاء نقطة نهاية خدمة شبكة ظاهرية، ثم قاعدة شبكة ظاهرية لقاعدة بيانات Azure SQL.
• قواعد الشبكة الافتراضية: العمليات باستخدام واجهات برمجة تطبيقات REST
• قم باستخدام نقاط نهاية خدمة الشبكة الافتراضية وقواعدها للخوادم