Zápis auditu do účtu úložiště za virtuální sítí a bránou firewall
Platí pro: Azure SQL Database Azure Synapse Analytics
Auditování pro Azure SQL Database a Azure Synapse Analytics podporuje zápis databázových událostí do účtu služby Azure Storage za virtuální sítí a bránou firewall.
Tento článek vysvětluje dva způsoby konfigurace azure SQL Database a účtu úložiště Azure pro tuto možnost. První používá Azure Portal, druhý používá REST.
Pozadí
Azure Virtual Network (VNet) je základním stavebním blokem vaší privátní sítě v Azure. Virtuální síť umožňuje mnoho typů prostředků Azure, jako jsou virtuální počítače Azure, bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Virtuální síť se podobá tradiční síti ve vašem vlastním datacentru, ale přináší další výhody infrastruktury Azure, jako je škálování, dostupnost a izolace.
Další informace o konceptech virtuální sítě,osvědčených
Další informace o tom, jak vytvořit virtuální síť, najdete v tématu Rychlý start: Vytvoření virtuální sítě pomocí webu Azure Portal.
Požadavky
Pro audit pro zápis do účtu úložiště za virtuální sítí nebo bránou firewall jsou vyžadovány následující požadavky:
- Účet úložiště pro obecné účely verze 2. Pokud máte účet úložiště pro obecné účely verze 1 nebo blob, upgradujte na účet úložiště pro obecné účely verze 2. Další informace najdete v tématu Typy účtů úložiště.
- Podporuje se úložiště Úrovně Premium s BlockBlobStorage.
- Účet úložiště musí být ve stejném tenantovi a ve stejném umístění jako logický SQL server (je v pořádku na různých předplatných).
- Účet Azure Storage vyžaduje
Allow trusted Microsoft services to access this storage account
. Nastavte to v branách firewall účtu úložiště a virtuálních sítích. - Musíte mít
Microsoft.Authorization/roleAssignments/write
oprávnění k vybranému účtu úložiště. Další informace najdete v tématu Předdefinované role v Azure.
Poznámka:
Pokud je auditování účtu úložiště už na serveru nebo databázi povolené a pokud se cílový účet úložiště přesune za bránou firewall, ztratíme přístup k zápisu do účtu úložiště a protokoly auditu se do něj přestanou zapisovat. Aby auditování fungovalo, musíme znovu vytvořit nastavení auditu z portálu.
Konfigurace na webu Azure Portal
Připojte se k webu Azure Portal pomocí svého předplatného. Přejděte do skupiny prostředků a serveru.
Klikněte na Auditování pod nadpisem Zabezpečení. Vyberte Zapnuto.
Vyberte Úložiště. Vyberte účet úložiště, do kterého se budou ukládat protokoly. Účet úložiště musí splňovat požadavky uvedené v části Požadavky.
Otevření podrobností o službě Storage
Poznámka:
Pokud je vybraný účet úložiště za virtuální sítí, zobrazí se následující zpráva:
You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.
Pokud tuto zprávu nevidíte, účet úložiště není za virtuální sítí.
Vyberte počet dnů pro dobu uchovávání. Pak klikněte na OK. Protokoly starší než doba uchovávání se odstraní.
V nastavení auditování vyberte Uložit .
Úspěšně jste nakonfigurovali audit pro zápis do účtu úložiště za virtuální sítí nebo bránou firewall.
Konfigurace s využitím příkazů REST
Jako alternativu k používání webu Azure Portal můžete pomocí příkazů REST nakonfigurovat audit pro zápis databázových událostí do účtu úložiště za virtuální sítí a bránou firewall.
Ukázkové skripty v této části vyžadují, abyste před spuštěním skript aktualizovali. Ve skriptech nahraďte následující hodnoty:
Ukázková hodnota | Ukázkový popis |
---|---|
<subscriptionId> |
ID předplatného Azure |
<resource group> |
Skupina prostředků |
<logical SQL Server> |
Název serveru |
<administrator login> |
Účet správce |
<complex password> |
Složité heslo pro účet správce |
Konfigurace auditu SQL pro zápis událostí do účtu úložiště za virtuální sítí nebo bránou firewall:
Zaregistrujte server pomocí Microsoft Entra ID (dříve Azure Active Directory). Použijte PowerShell nebo rozhraní REST API.
PowerShell
Connect-AzAccount Select-AzSubscription -SubscriptionId <subscriptionId> Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
Ukázkový požadavek
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
Text požadavku
{ "identity": { "type": "SystemAssigned", }, "properties": { "fullyQualifiedDomainName": "<azure server name>.database.windows.net", "administratorLogin": "<administrator login>", "administratorLoginPassword": "<complex password>", "version": "12.0", "state": "Ready" } }
Přiřaďte roli Přispěvatel dat objektů blob úložiště k serveru, který je hostitelem databáze, kterou jste zaregistrovali s ID Microsoft Entra v předchozím kroku.
Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.
Poznámka:
Tento krok můžou provádět pouze členové s oprávněním vlastníka. Informace o různých předdefinovaných rolích Azure najdete v předdefinovaných rolích Azure.
Nakonfigurujte zásady auditování objektů blob serveru bez zadání storageAccountAccessKey:
Ukázkový požadavek
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
Text požadavku
{ "properties": { "state": "Enabled", "storageEndpoint": "https://<storage account>.blob.core.windows.net" } }
Použití Azure Powershell
- Vytvoření nebo aktualizace zásad auditování databáze (Set-AzSqlDatabaseAudit)
- Vytvoření nebo aktualizace zásad auditování serveru (Set-AzSqlServerAudit)
Pomocí šablony Azure Resource Manageru
Pomocí šablony Azure Resource Manageru můžete nakonfigurovat auditování pro zápis databázových událostí do účtu úložiště za virtuální sítí a bránou firewall, jak je znázorněno v následujícím příkladu:
Důležité
Pokud chcete použít účet úložiště za virtuální sítí a bránou firewall, musíte nastavit parametr isStorageBehindVnet na hodnotu true.
Poznámka:
Propojená ukázka je v externím veřejném úložišti a poskytuje se "tak, jak je", bez záruky a nejsou podporovány v rámci žádného programu nebo služby podpory Microsoftu.