Azure SQL Managed Instance のサービス エンドポイント ポリシー (プレビュー) を構成する

  • [アーティクル]

適用対象:Azure SQL Managed Instance

仮想ネットワーク (VNet) Azure Storage サービス エンドポイント ポリシーを使用すると、Azure Storage へのエグレス仮想ネットワーク トラフィックをフィルター処理して、特定のストレージ アカウントへのデータ転送を制限できます。

エンドポイント ポリシーを構成し、それらを自分の SQL Managed Instance に関連付ける機能は、現在プレビュー中です。

主なベネフィット

Azure SQL Managed Instance の仮想ネットワーク Azure Storage サービス エンドポイント ポリシーを構成すると次のベネフィットが得られます。

  • Azure Storage への Azure SQL Managed Instance トラフィックのセキュリティの向上: エンドポイント ポリシーにより、ビジネスクリティカルなデータの誤った流出や悪意のある流出を防ぐセキュリティ制御が確立されます。 トラフィックは、データ ガバナンス要件に準拠しているストレージ アカウントだけに制限できます。

  • アクセスできるストレージ アカウントをきめ細かく制御する: サービス エンドポイント ポリシーでは、サブスクリプション、リソース グループ、個々のストレージ アカウント レベルでストレージ アカウントへのトラフィックを許可できます。 管理者はサービス エンドポイント ポリシーを使用して、Azure での組織のデータ セキュリティ アーキテクチャへの準拠を強制できます。

  • システム トラフィックは影響を受けません: サービス エンドポイント ポリシーは、Azure SQL Managed Instance サービスが機能するために必要なストレージへのアクセス妨げない。 これには、バックアップ、データ ファイル、トランザクション ログ ファイル、その他の資産のストレージが含まれます。

重要

サービス エンドポイント ポリシーは、サブネットから送信され、Azure storage SQL Managed Instance 終了するトラフィックのみを制御します。 これらのポリシーは、たとえば、オンプレミスの BACPAC ファイルへのデータベースのエクスポート、Azure Data Factory の統合、Azure 診断設定を使用した診断情報の収集、Azure Storage を直接対象としないその他のデータ抽出メカニズムには影響しません。

制限事項

Azure SQL Managed Instance のサービス エンドポイント ポリシーを有効にする場合、次の制限があります。

  • プレビュー段階では、サブネットにサービス エンドポイント ポリシーを配置すると、そのサブネット内のインスタンスが別のサブネット内のインスタンスからポイントインタイム リストア (PITR) を実行する機能に干渉します。 ただし、他のサブネット内のインスタンスがそのサブネットからバックアップを復元することが、サービス エンドポイント ポリシーによって妨げられることはありません。
  • プレビュー期間中は、中国東部 2中国北部 2米国中部 EUAP米国東部 2 EUAPUS Gov アリゾナUS Gov テキサスUS Gov バージニア米国中西部を除き、SQL Managed Instance がサポートされているすべての Azure リージョンでこの機能を使用できます。
  • この機能は、Azure Resource Manager デプロイ モデルを使ってデプロイされた仮想ネットワークでのみ使用できます。
  • この機能は、Azure Storage のサービス エンドポイントが有効になっているサブネットでのみ使用できます。
  • サービス エンドポイント ポリシーをサービス エンドポイントに割り当てると、エンドポイントがリージョン スコープからグローバル スコープにアップグレードされます。 つまり、ストレージ アカウントが存在するリージョンに関係なく、Azure Storage へのすべてのトラフィックがサービス エンドポイントを通過します。
  • ストレージ アカウントを許可すると、RA-GRS セカンダリへのアクセスが自動的に許可されます。

ストレージ インベントリを準備する

サブネットでサービス エンドポイント ポリシーの構成を開始する前に、そのサブネットで Managed Instance がアクセスできる必要があるストレージ アカウントのリストを作成します。

次に示すのは、Azure Storage に連絡する可能性があるワークフローのリストです。

ストレージにアクセスするこれらのワークフローまたはその他のワークフローに参加しているストレージ アカウントのアカウント名、リソース グループ、サブスクリプションをメモしておきます。

ポリシーを構成

まず、サービス エンドポイント ポリシーを作成し、そのポリシーを SQL Managed Instance サブネットに関連付ける必要があります。 ビジネス ニーズに合わせて、このセクションのワークフローを変更します。

注意

  • SQL Managed Instanceサブネットには、/Services/Azure/ManagedInstance サービス 別名を含むポリシーが必要です (ステップ5 を参照)。
  • サービス エンドポイント ポリシーが既に含まれているサブネットにデプロイされた Managed Instance は、/Services/Azure/ManagedInstance サービス エイリアスに自動的にアップグレードされます。

サービス エンドポイント ポリシーを作成する

サービス エンドポイント ポリシーを作成するには、これらの手順に従います。

  1. Azure portal にサインインします。

  2. [+ リソースの作成] を選択します。

  3. 検索ウィンドウで、「サービス エンドポイント ポリシー」 と入力し、[サービス エンドポイント ポリシー] を選択してから、[作成] を選択します。

    Create service endpoint policy

  4. [基本] ページで次の値を入力します。

    • サブスクリプション: ドロップダウンからポリシーのサブスクリプションを選択します。
    • リソース グループ: Managed Instance があるリソース グループを選択するか、または [新規作成] を選択して、新しいリソース グループの名前を入力します。
    • 名前: ポリシーの名前 (mySEP など) を指定します。
    • 場所: Managed Instance をホストする仮想ネットワークのリージョンを選択します。

    Create service endpoint policy basics

  5. [ポリシー定義][別名の追加] を選択し、[別名の追加] ペインに以下の情報を入力します。

    • サービス エイリアス: [/Services/Azure/ManagedInstance] を選択します。
    • [追加] を選択して、サービス エイリアスの追加を完了します。

    Add an alias to a service endpoint policy

  6. [ポリシー定義] で、[リソース][+追加] を選択し、[リソースの追加] ペインで次の情報を入力または選択します。

    • サービス: [Microsoft.Storage] を選択します。
    • スコープ: [サブスクリプションのすべてのアカウント] を選択します。
    • サブスクリプション: 許可するストレージ アカウントを含むサブスクリプションを選択します。 先ほど作成した Azure ストレージ アカウントのインベントリを参照してください。
    • [追加] を選択して、リソースの追加を完了します。
    • サブスクリプションを追加するには、このステップを繰り返します。

    Add a resource to a service endpoint policy

  7. 省略可能: [タグ] でサービス エンドポイント ポリシーのタグを構成できます。

  8. [確認および作成] を選択します。 情報を検証し、[作成] を選択します。 さらに編集するには、[前へ] を選択します。

ヒント

まず、サブスクリプション全体へのアクセスを許可するようにポリシーを構成します。 すべてのワークフローが正常に動作していることを確認して構成を検証します。 次に、必要に応じて、個々のストレージ アカウント、またはリソース グループ内のアカウントを許可するようにポリシーを再構成します。 これを行うには、代わりに [スコープ] フィールドで [単一のアカウント] または [リソース グループのすべてのアカウント] を選択し、他のフィールドに適宜入力します

ポリシーをサブネットに関連付ける

サービス エンドポイント ポリシーが作成されたら、そのポリシーを SQL Managed Instance サブネットに関連付けます。

ポリシーを関連付けるには、これらの手順に従います。

  1. Azure portal の すべてのサービス ボックスで、仮想ネットワーク" 検索します。 [仮想ネットワーク] を選択します。

  2. Managed Instance をホストする仮想ネットワークを見つけて選択します。

  3. [サブネット] を選択し、Managed Instance 専用のサブネットを選択します。 サブネット ペインで次の情報を入力します。

    • サービス: [Microsoft.Storage] を選択します。 このフィールドが空の場合は、このサブネットに Azure Storage のサービス エンドポイントを構成する必要があります。
    • サービス エンドポイント ポリシー: SQL Managed Instanceサブネットに適用するサービス エンドポイント ポリシーを選択します。

    Associate a service endpoint policy with a subnet

  4. [保存] を選択して、仮想ネットワークの構成を完了します。

警告

このサブネットのポリシーに /Services/Azure/ManagedInstance エイリアスが含まれていない場合、次のエラーが表示されることがあります。 Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions これを解決するには、サブネットのすべてのポリシーを更新して /Services/Azure/ManagedInstance 別名を含める必要があります。

次のステップ