Configurer des stratégies de point de terminaison de service (préversion) pour Azure SQL Managed Instance
S’applique à :
Azure SQL Managed Instance
Les stratégies de point de terminaison de service de stockage Azure de réseau virtuel vous permettent de filtrer le trafic de réseau virtuel de sortie vers le stockage Azure, ce qui limite les transferts de données vers des comptes de stockage spécifiques.
La possibilité de configurer vos stratégies de point de terminaison et de les associer à votre instance SQL Managed Instance est actuellement en préversion.
Principaux avantages
La configuration des stratégies de point de terminaison de service de stockage Azure de réseau virtuel pour votre instance Azure SQL Managed Instance offre les avantages suivants :
Amélioration de la sécurité de votre trafic Azure SQL Managed Instance vers le stockage Azure : les stratégies de point de terminaison établissent un contrôle de sécurité qui empêche l’exfiltration erronée ou malveillante des données critiques de l’entreprise. Le trafic peut être limité uniquement aux comptes de stockage conformes à vos exigences de gouvernance des données.
Contrôle précis des comptes de stockage accessibles : les stratégies de point de terminaison de service peuvent autoriser le trafic vers les comptes de stockage au niveau d’un abonnement, d’un groupe de ressources et d’un compte de stockage individuel. Les administrateurs peuvent utiliser des stratégies de point de terminaison de service pour appliquer l’adhésion à l’architecture de sécurité des données de l’organisation dans Azure.
Le trafic système reste non affecté : les stratégies de point de terminaison de service ne bloquent jamais l’accès au stockage requis pour le fonctionnement d’Azure SQL Managed Instance. Cela comprend le stockage des sauvegardes, des fichiers de données, des fichiers journaux de transactions et d’autres ressources.
Important
Les stratégies de point de terminaison de service contrôlent uniquement le trafic qui provient du sous-réseau SQL Managed Instance et se termine dans le stockage Azure. Les stratégies n’affectent pas, par exemple, l’exportation de la base de données vers un fichier BACPAC local, l’intégration Azure Data Factory, la collecte d’informations de diagnostic via les paramètres de diagnostic Azure ni d’autres mécanismes d’extraction de données qui ne ciblent pas directement le stockage Azure.
Limites
L’activation des stratégies de point de terminaison de service pour votre instance Azure SQL Managed Instance présente les limitations suivantes :
- Dans la préversion, la mise en place d’une stratégie de point de terminaison de service sur un sous-réseau interfère avec la capacité des instances exécutées dans ce sous-réseau à effectuer des restaurations dans le temps (PITR) à partir d’une instance exécutée dan un autre sous-réseau. Toutefois, une stratégie de point de terminaison de service n’empêche pas les instances dans d’autres sous-réseaux de restaurer les sauvegardes à partir de ce sous-réseau.
- En préversion, cette fonctionnalité est disponible dans toutes les régions Azure où SQL Managed Instance est pris en charge sauf Chine Est 2, Chine Nord 2, USA Centre EUAP, USA Est 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Virginie et USA Centre-Ouest.
- La fonctionnalité est disponible uniquement pour les réseaux virtuels déployés à l’aide du modèle de déploiement Azure Resource Manager.
- La fonctionnalité est disponible uniquement dans les sous-réseaux qui ont des points de terminaison de service pour le stockage Azure activés.
- L’attribution d’une stratégie de point de terminaison de service à un point de terminaison de service met à niveau le point de terminaison d’une étendue régionale à une étendue globale. En d’autres termes, tout le trafic vers le stockage Azure passe par le point de terminaison de service, quelle que soit la région dans laquelle le compte de stockage réside.
- L’autorisation d’un compte de stockage autorise automatiquement l’accès à son stockage géo-redondant avec accès en lecture (RA-GRS) secondaire.
Préparer l’inventaire de stockage
Avant de commencer la configuration des stratégies de point de terminaison de service sur un sous-réseau, composez la liste des comptes de stockage auxquels l’instance managée doit avoir accès dans ce sous-réseau.
Voici une liste de workflows qui peuvent contacter le stockage Azure :
- Audit dans le stockage Azure.
- Exécution d’une sauvegarde de copie uniquement vers le stockage Azure.
- Restauration d’une base de données à partir du stockage Azure.
- Importation de données avec BULK INSERT ou OPENROWSET(BULK ...).
- Enregistrement des événements étendus dans une cible de fichier d’événements sur le stockage Azure.
- Migration hors connexion d’Azure DMS vers Azure SQL Managed Instance.
- Migration de Log Replay Service vers Azure SQL Managed Instance.
- Synchronisation de tables en utilisant la réplication transactionnelle.
Notez le nom du compte, le groupe de ressources et l’abonnement pour tout compte de stockage qui participe à ces workflows, ou à d’autres, qui accèdent au stockage.
Configurer des stratégies
Vous devez d’abord créer votre stratégie de point de terminaison de service, puis l’associer au sous-réseau SQL Managed Instance. Modifiez le workflow de cette section pour l’adapter aux besoins de votre entreprise.
Notes
- Les sous-réseaux SQL Managed Instance nécessitent que les stratégies contiennent l’alias de service /Services/Azure/ManagedInstance (voir l’étape 5).
- Les instances managées déployées sur un sous-réseau qui contient déjà des stratégies de point de terminaison de service seront automatiquement mises à niveau avec l’alias de service /Services/Azure/ManagedInstance.
Créer une stratégie de point de terminaison de service
Pour créer une stratégie de point de terminaison de service, procédez comme suit :
Connectez-vous au portail Azure.
Sélectionnez + Créer une ressource.
Dans le volet de recherche, entrez stratégie de point de terminaison de service, sélectionnez Stratégie de point de terminaison de service, puis Créer.
Renseignez les valeurs suivantes dans la page Informations de base :
- Abonnement : sélectionnez l’abonnement pour votre stratégie dans la liste déroulante.
- Groupe de ressources : sélectionnez le groupe de ressources dans lequel se trouve votre instance managée, ou sélectionnez Créer nouveau et indiquez le nom d’un nouveau groupe de ressources.
- Nom : indiquez un nom pour votre stratégie, par exemple mySEP.
- Emplacement : sélectionnez la région du réseau virtuel qui héberge l’instance managée.
Dans Définitions de stratégies, sélectionnez Ajouter un alias et entrez les informations suivantes dans le volet Ajouter un alias :
- Alias de service : sélectionnez /Services/Azure/ManagedInstance.
- Sélectionnez Ajouter pour terminer l’ajout de l’alias de service.
Dans Définitions de stratégies, sélectionnez + Ajouter sous Ressources, puis entrez ou sélectionnez les informations suivantes dans le volet Ajouter une ressource :
- Service : sélectionnez Microsoft.Storage.
- Étendue : sélectionnez Tous les comptes de l’abonnement.
- Abonnement : sélectionnez un abonnement contenant le ou les comptes de stockage à autoriser. Reportez-vous à votre inventaire des comptes de stockage Azure créé précédemment.
- Sélectionnez Ajouter pour terminer l’ajout de la ressource.
- Répétez cette étape pour ajouter d’autres abonnements.
Facultatif : vous pouvez configurer des étiquettes sur la stratégie de point de terminaison de service sous Étiquettes.
Sélectionnez Vérifier + créer. Validez les informations et sélectionnez Créer. Pour apporter d’autres modifications, sélectionnez Précédent.
Conseil
Tout d’abord, configurez des stratégies pour autoriser l’accès à des abonnements entiers. Validez la configuration en veillant à ce que tous les workflows fonctionnent normalement. Ensuite, si vous le souhaitez, reconfigurez les stratégies pour autoriser des comptes de stockage individuels ou des comptes dans un groupe de ressources. Pour ce faire, sélectionnez Un seul compte ou Tous les comptes du groupe de ressources dans le champ Étendue : à la place et renseignez les autres champs en conséquence.
Associer une stratégie au sous-réseau
Une fois votre stratégie de point de terminaison de service créée, associez-la à votre sous-réseau SQL Managed Instance.
Pour associer votre stratégie, procédez comme suit :
Dans la zone Tous les services du portail Azure, recherchez réseaux virtuels. Sélectionner Réseaux virtuels.
Recherchez et sélectionnez le réseau virtuel qui héberge votre instance managée.
Sélectionnez Sous-réseaux et choisissez le sous-réseau dédié à votre instance managée. Entrez les informations suivantes dans le volet du sous-réseau :
- Services : sélectionnez Microsoft.Storage. Si ce champ est vide, vous devez configurer le point de terminaison de service pour le stockage Azure sur ce sous-réseau.
- Stratégies de point de terminaison de service : sélectionnez les stratégies de point de terminaison de service que vous souhaitez appliquer au sous-réseau SQL Managed Instance.
Sélectionnez Enregistrer pour terminer la configuration du réseau virtuel.
Avertissement
Si les stratégies sur ce sous-réseau n'ont pas l'alias /Services/Azure/ManagedInstance, vous pouvez voir l'erreur suivante : Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions Pour résoudre ce problème, mettez à jour toutes les stratégies sur le sous-réseau pour inclure l’alias /Services/Azure/ManagedInstance.
Étapes suivantes
- Apprenez-en davantage sur la sécurisation de vos comptes de stockage Azure.
- Découvrez les fonctionnalités de sécurité de SQL Managed instance.
- Explorez l’architecture de connectivité de SQL Managed Instance.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour