次の方法で共有


Azure SQL Managed Instance のサービス エンドポイント ポリシー (プレビュー) を構成する

適用対象: Azure SQL Managed Instance

Virtual Network (VNet) Azure Storage サービス エンドポイントポリシーを使用すると、エグレス仮想ネットワーク トラフィックを Azure Storage にフィルター処理し、特定のストレージ アカウントへのデータ転送を制限できます。

エンドポイント ポリシーを構成し、それらを自分のエンドポイント ポリシー SQL Managed Instance現在プレビュー中です。

主な利点

Azure Storageサービス エンドポイント ポリシーの仮想ネットワーク を構成すると、Azure SQL Managed Instanceは以下の利点があります:

  • Azure Storageへの Azure SQL Managed Instance トラフィックのセキュリティの向上: エンドポイント ポリシーは、ビジネスに不可欠なデータの誤ったまたは悪意のある侵入を防ぐセキュリティ制御を確立します。 トラフィックは、データ ガバナンス要件に準拠しているストレージ アカウントにのみ制限できます。

  • アクセスできるストレージ アカウントをきめ細かく制御する: サービス エンドポイント ポリシーでは、サブスクリプション、リソース グループ、個々のストレージ アカウント レベルでストレージ アカウントへのトラフィックを許可できます。 管理者は、サービス エンドポイント ポリシーを使用して、Azure で組織のデータ セキュリティ アーキテクチャへの準拠を強制できます。

  • システム トラフィックは影響を受けません:サービス エンドポイント ポリシーは、Azure SQL Managed Instanceサービスが機能するために必要なストレージへのアクセス妨げない。 これには、バックアップ、データ ファイル、トランザクション ログ ファイル、その他の資産のストレージが含まれます。

重要

サービス エンドポイント ポリシーは、サブネットから送信され、Azure storage SQL Managed Instance終了するトラフィックのみを制御します。 これらのポリシーは、たとえば、オンプレミスの BACPAC ファイルへのデータベースのエクスポート、Azure Data Factory の統合、Azure 診断設定を使用した診断情報の収集、Azure Storage を直接対象としないその他のデータ抽出メカニズムには影響しません。

制限事項

Azure SQL Managed Instance のサービス エンドポイント ポリシーを有効にする場合、次の制限があります。

  • プレビュー段階では、サブネットにサービス エンドポイント ポリシーを配置すると、そのサブネット内のインスタンスが別のサブネット内のインスタンスからポイントインタイム リストア (PITR) を実行する機能に干渉します。 ただし、他のサブネット内のインスタンスがそのサブネットからバックアップを復元することが、サービス エンドポイント ポリシーによって妨げられることはありません。
  • プレビュー中は、中国東部 2中国北部 2米国中部 EUAP米国東部 2 EUAPUS Gov アリゾナUS Gov テキサスUS Gov バージニア米国中西部を除き、SQL Managed Instanceがサポートされているすべての Azure リージョンでこの機能を利用できます。
  • この機能は、Azure Resource Manager デプロイ モデルを使ってデプロイされた仮想ネットワークでのみ使用できます。
  • この機能は、サービス エンドポイントが有効になっているサブネットでのみAzure Storageできます。
  • サービス エンドポイントにサービス エンドポイント ポリシーを割り当てると、エンドポイントがリージョンスコープからグローバル スコープにアップグレードされます。 つまり、ストレージ アカウントがAzure Storageリージョンに関係なく、すべてのトラフィックがサービス エンドポイントを通過します。
  • ストレージ アカウントを許可すると、RA-GRS セカンダリへのアクセスが自動的に許可されます。

ストレージ インベントリを準備する

サブネットでサービス エンドポイント ポリシーの構成を開始する前に、そのサブネットでマネージド インスタンスがアクセスできる必要があるストレージ アカウントのリストを作成します。

次に示すのは、Azure Storageに連絡する可能性があるワークフローのリストです。

これらに参加しているストレージ アカウント、またはストレージにアクセスする他のワークフローのアカウント名、リソース グループ、サブスクリプションに注意してください。

ポリシーの構成

まず、サービス エンドポイント ポリシーを作成し、そのポリシーを新しいサブネットに関連SQL Managed Instanceがあります。 ビジネス ニーズに合わせて、このセクションのワークフローを変更します。

Note

  • SQL Managed Instanceサブネットには、/Services/Azure/ManagedInstance サービス 別名を含むポリシーが必要です (ステップ5 を参照)。
  • サービス エンドポイント ポリシーが既に含まれているサブネットにデプロイされたマネージド インスタンスは、/Services/Azure/ManagedInstance サービス 別名に自動的にアップグレードされます。

サービス エンドポイント ポリシーを作成する

サービス エンドポイント ポリシーを作成するには、次のステップに従います:

  1. Azure portal にサインインします。

  2. [+ リソースの作成] を選択します。

  3. 検索ウィンドウで、 「サービス エンドポイント ポリシー」 と入力し、 [サービス エンドポイント ポリシー] を選択してから、 [作成] を選択します。

    サービス エンドポイント ポリシーを作成する

  4. [基本] ページで以下の値を入力します:

    • [サブスクリプション]: ドロップダウンからポリシーのサブスクリプションを選択します。
    • リソース グループ: マネージド インスタンスがあるリソース グループを選択するか、または [Create new] を選択し、新しいリソース グループの名前を入力します。
    • 名前: ポリシーの名前( mySEP など) を指定します。
    • 場所: マネージド インスタンスをホストする仮想ネットワークのリージョンを選択します。

    サービス エンドポイント ポリシーの基本を作成する

  5. [ポリシー定義][別名の追加] を選択し、 [別名の追加] ペインに以下の情報を入力します:

    • サービス別名: [/Services/Azure/ManagedInstance] を選択します。
    • [追加] を選択して、サービス別名の追加を完了します。

    サービス エンドポイント ポリシーに別名を追加する

  6. [ポリシー定義] で、 [リソース][+追加] を選択し、 [リソースの追加] ペインで以下の情報を入力または選択します:

    • サービス: [Microsoft.Storage] を選択します。
    • スコープ: [サブスクリプションのすべてのアカウント] を選択します。
    • サブスクリプション: ストレージ アカウントを含むサブスクリプションを選択して、許可します。 前に作成した Azure ストレージ アカウントのインベントリ を参照してください。
    • [追加 ] を 選択して、リソースの追加を完了します。
    • サブスクリプションを追加するには、このステップを繰り返します。

    サービス エンドポイント ポリシーにリソースを追加する

  7. 省略可能: [タグ] のサービス エンドポイント ポリシーでタグを構成できます。

  8. [確認および作成] を選択します。 情報を検証し、 [作成] を選択します。 さらに編集するには、 [前へ] を選択します。

ヒント

まず、サブスクリプション全体へのアクセスを許可するポリシーを構成します。 すべてのワークフローが正常に動作し、構成を検証します。 次に、必要に応じて、個々のストレージ アカウント、またはリソース グループ内のアカウントを許可するポリシーを再構成します。 これを行うには、代わりに [スコープ:] フィールドで [単一アカウント] または [リソース グループのすべてのアカウント] を選択し、必要に応じて他のフィールドに入力します。

ポリシーをサブネットに関連付ける

サービス エンドポイント ポリシーが作成された後、ポリシーをサブネットに関連SQL Managed Instanceします。

ポリシーを関連付けるには、次のステップに従います:

  1. Azure portalの [すべてのサービス] ボックスに 仮想ネットワーク を検索します。 [仮想ネットワーク] を選択します。

  2. マネージド インスタンスをホストする仮想ネットワークを見つけて選択します。

  3. [サブネット] を選択し、マネージド インスタンス専用のサブネットを選択します。 サブネット ペインに以下の情報を入力します:

    • サービス: [Microsoft.Storage] を選択します。 このフィールドが空の場合は、このサブネットにサービス エンドポイントをAzure Storageに構成する必要があります。
    • サービス エンドポイント ポリシー: SQL Managed Instanceサブネットに適用するサービス エンドポイント ポリシーを選択します。

    サービス エンドポイント ポリシーをサブネットに関連付ける

  4. [保存] を選択して、仮想ネットワークの構成を完了します。

警告

このサブネットのポリシーに /Services/Azure/ManagedInstance エイリアスが含まれていない場合、次のエラーが表示されることがあります。 Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions これを解決するには、サブネットのすべてのポリシーを更新して /Services/Azure/ManagedInstance 別名を含める必要があります。

次の手順