適用対象:
Azure SQL DatabaseAzure Synapse Analytics
運用環境で Azure SQL 監査を使用するためのいくつかの推奨事項を次に示します。
地理的にレプリケーションされたデータベースの監査
geo レプリケーション データベースでは、プライマリ データベースで監査を有効にしている場合、セカンダリ データベースにはプライマリ データベースと同じ監査ポリシーがあります。 プライマリ データベースとは別に、セカンダリ サーバーで監査を有効にすることで、セカンダリ データベースで監査を設定することもできます。
- サーバーレベル (推奨): プライマリ サーバーとセカンダリ サーバーの両方で監査を有効にします。プライマリ データベースとセカンダリ データベースは、それぞれのサーバーレベル ポリシーに基づいて個別に監査されます。
- データベースレベル: セカンダリ データベースのデータベースレベルの監査は、プライマリ データベースの監査設定からのみ構成することができます。
監査は、サーバーではなく "プライマリ データベース自体" で有効にする必要があります。
プライマリ データベースで監査を有効にすると、セカンダリ データベースでも有効になります。
重要
データベースレベルの監査では、セカンダリ データベースのストレージ設定はプライマリ データベースと同じになるため、リージョンをまたいだトラフィックが発生します。 サーバー レベルの監査のみを有効にし、すべてのデータベースでデータベース レベルの監査を無効なままにしておくことをお勧めします。
ストレージ キーの再生成
運用環境では、ストレージ キーを最新の情報に定期的に更新することが推奨されます。 監査ログを Azure Storage に書き込む場合、ご自身のキーを最新の情報に更新するときに、お使いの監査ポリシーを再度保存する必要があります。 このプロセスは次のとおりです。
[ストレージ] で [詳細プロパティ] を開きます。 [ストレージ アクセス キー] セクションで、[セカンダリ] を選択します。 次に、監査構成ページの上部にある [保存] をクリックします。
キーが保持されている Azure の [ストレージ アカウント] にアクセスして、[アクセス キー] に移動します。 更新アイコン ボタンを選択して、プライマリ アクセス キーを再生成します。
![Azure Storage アカウントの [アクセス キー] メニューのスクリーンショット。](media/auditing-best-practices/6-auditing-get-started-regenerate-key.png?view=azuresql)
監査構成ページに戻り、[ストレージ アクセス キー] を [セカンダリ] から [プライマリ] に切り替え、[OK] を選択します。 次に、監査構成ページの上部にある [保存] をクリックします。
ストレージ構成ページに戻り、セカンダリ アクセス キーを (次のキー更新サイクルの準備として) 再生成します。
![Azure Storage アカウントの [アクセス キー] メニューのスクリーンショット。](media/auditing-best-practices/6-auditing-get-started-regenerate-key.png?view=azuresql#lightbox)
Azure Key Vault により暗号化されたストレージ アカウント
ファイアウォールの背後にあるキー コンテナーを使用して暗号化されるストレージ アカウントをターゲットとして監査を構成する場合は、キー コンテナーのアクセス ポリシーを設定する必要があります。 Azure Key Vault アクセス ポリシーに移動して、必要なキーのアクセス許可を持つ新しいポリシーを追加し、キーのラップ解除オプションを有効にして、さらに、アクセス権を付与する適切なプリンシパル (ストレージ アカウントなど) を選択します。