Sdílet prostřednictvím


Zápis auditu do účtu úložiště za virtuální sítí a bránou firewall

Platí pro: Azure SQL Database Azure Synapse Analytics

Auditování pro Azure SQL Database a Azure Synapse Analytics podporuje zápis databázových událostí do účtu služby Azure Storage za virtuální sítí a bránou firewall.

Tento článek vysvětluje dva způsoby konfigurace azure SQL Database a účtu úložiště Azure pro tuto možnost. První používá Azure Portal, druhý používá REST.

Pozadí

Azure Virtual Network (VNet) je základním stavebním blokem vaší privátní sítě v Azure. Virtuální síť umožňuje mnoho typů prostředků Azure, jako jsou virtuální počítače Azure, bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Virtuální síť se podobá tradiční síti ve vašem vlastním datacentru, ale přináší další výhody infrastruktury Azure, jako je škálování, dostupnost a izolace.

Další informace o konceptech virtuální sítě,osvědčených

Další informace o tom, jak vytvořit virtuální síť, najdete v tématu Rychlý start: Vytvoření virtuální sítě pomocí webu Azure Portal.

Požadavky

Pro audit pro zápis do účtu úložiště za virtuální sítí nebo bránou firewall jsou vyžadovány následující požadavky:

  • Účet úložiště pro obecné účely verze 2. Pokud máte účet úložiště pro obecné účely verze 1 nebo blob, upgradujte na účet úložiště pro obecné účely verze 2. Další informace najdete v tématu Typy účtů úložiště.
  • Podporuje se úložiště Úrovně Premium s BlockBlobStorage.
  • Účet úložiště musí být ve stejném tenantovi a ve stejném umístění jako logický SQL server (je v pořádku na různých předplatných).
  • Účet Azure Storage vyžaduje Allow trusted Microsoft services to access this storage account. Nastavte to v branách firewall účtu úložiště a virtuálních sítích.
  • Musíte mít Microsoft.Authorization/roleAssignments/write oprávnění k vybranému účtu úložiště. Další informace najdete v tématu Předdefinované role v Azure.

Poznámka:

Pokud je auditování účtu úložiště už na serveru nebo databázi povolené a pokud se cílový účet úložiště přesune za bránou firewall, ztratíme přístup k zápisu do účtu úložiště a protokoly auditu se do něj přestanou zapisovat. Aby auditování fungovalo, musíme znovu vytvořit nastavení auditu z portálu.

Konfigurace na webu Azure Portal

Připojte se k webu Azure Portal pomocí svého předplatného. Přejděte do skupiny prostředků a serveru.

  1. Klikněte na Auditování pod nadpisem Zabezpečení. Vyberte Zapnuto.

  2. Vyberte Úložiště. Vyberte účet úložiště, do kterého se budou ukládat protokoly. Účet úložiště musí splňovat požadavky uvedené v části Požadavky.

  3. Otevření podrobností o službě Storage

Poznámka:

Pokud je vybraný účet úložiště za virtuální sítí, zobrazí se následující zpráva:

You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.

Pokud tuto zprávu nevidíte, účet úložiště není za virtuální sítí.

  1. Vyberte počet dnů pro dobu uchovávání. Pak klikněte na OK. Protokoly starší než doba uchovávání se odstraní.

  2. V nastavení auditování vyberte Uložit .

Úspěšně jste nakonfigurovali audit pro zápis do účtu úložiště za virtuální sítí nebo bránou firewall.

Konfigurace s využitím příkazů REST

Jako alternativu k používání webu Azure Portal můžete pomocí příkazů REST nakonfigurovat audit pro zápis databázových událostí do účtu úložiště za virtuální sítí a bránou firewall.

Ukázkové skripty v této části vyžadují, abyste před spuštěním skript aktualizovali. Ve skriptech nahraďte následující hodnoty:

Ukázková hodnota Ukázkový popis
<subscriptionId> ID předplatného Azure
<resource group> Skupina prostředků
<logical SQL Server> Název serveru
<administrator login> Účet správce
<complex password> Složité heslo pro účet správce

Konfigurace auditu SQL pro zápis událostí do účtu úložiště za virtuální sítí nebo bránou firewall:

  1. Zaregistrujte server pomocí Microsoft Entra ID (dříve Azure Active Directory). Použijte PowerShell nebo rozhraní REST API.

    PowerShell

    Connect-AzAccount
    Select-AzSubscription -SubscriptionId <subscriptionId>
    Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
    

    REST API:

    Ukázkový požadavek

    PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
    

    Text požadavku

    {
    "identity": {
               "type": "SystemAssigned",
               },
    "properties": {
      "fullyQualifiedDomainName": "<azure server name>.database.windows.net",
      "administratorLogin": "<administrator login>",
      "administratorLoginPassword": "<complex password>",
      "version": "12.0",
      "state": "Ready"
      }
    }
    
  2. Přiřaďte roli Přispěvatel dat objektů blob úložiště k serveru, který je hostitelem databáze, kterou jste zaregistrovali s ID Microsoft Entra v předchozím kroku.

    Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.

    Poznámka:

    Tento krok můžou provádět pouze členové s oprávněním vlastníka. Informace o různých předdefinovaných rolích Azure najdete v předdefinovaných rolích Azure.

  3. Nakonfigurujte zásady auditování objektů blob serveru bez zadání storageAccountAccessKey:

    Ukázkový požadavek

      PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
    

    Text požadavku

    {
      "properties": {
       "state": "Enabled",
       "storageEndpoint": "https://<storage account>.blob.core.windows.net"
      }
    }
    

Použití Azure Powershell

Pomocí šablony Azure Resource Manageru

Pomocí šablony Azure Resource Manageru můžete nakonfigurovat auditování pro zápis databázových událostí do účtu úložiště za virtuální sítí a bránou firewall, jak je znázorněno v následujícím příkladu:

Důležité

Pokud chcete použít účet úložiště za virtuální sítí a bránou firewall, musíte nastavit parametr isStorageBehindVnet na hodnotu true.

Poznámka:

Propojená ukázka je v externím veřejném úložišti a poskytuje se "tak, jak je", bez záruky a nejsou podporovány v rámci žádného programu nebo služby podpory Microsoftu.

Další kroky