Azure Web PubSub サービスのネットワーク アクセス制御を構成する

  • [アーティクル]

Azure Web PubSub サービスでは、要求の種類と使用されるネットワークのサブセットに基づいて、サービス エンドポイントへのアクセス レベルをセキュリティで保護し、制御することができます。 ネットワーク ルールが構成されている場合、指定された一連のネットワークを介してデータを要求するアプリケーションのみが、Azure Web PubSub サービスにアクセスできます。

Azure Web PubSub サービスには、インターネット経由でアクセスできるパブリック エンドポイントがあります。 Azure Web PubSub サービスのプライベート エンドポイントを作成することもできます。 プライベート エンドポイントは、VNet のプライベート IP アドレスを Azure Web PubSub サービスに割り当て、プライベート リンクを介して VNet と Azure Web PubSub サービス間のすべてのトラフィックを保護します。 Azure Web PubSub サービスのネットワーク アクセス制御は、パブリック エンドポイントとプライベート エンドポイントの両方に対するアクセス制御を提供します。

必要に応じて、パブリック エンドポイントと各プライベート エンドポイントに対する特定の種類の要求を許可するか拒否するかを選択できます。

ネットワーク アクセス制御ルールが有効なときに Azure Web PubSub サービスにアクセスするアプリケーションでも、要求に対する適切な認可が必要です。

シナリオ A - パブリック トラフィックなし

すべてのパブリック トラフィックを完全に拒否するには、まず要求の種類を許可しないようにパブリック ネットワーク ルールを構成する必要があります。 次に、特定の VNet からのトラフィックにアクセスを許可するルールを構成する必要があります。 この構成では、アプリケーションに対してセキュリティで保護されたネットワーク境界を構築することができます。

シナリオ B - パブリック ネットワークからのクライアント接続のみ

このシナリオでは、パブリック ネットワークからのクライアント接続のみを許可するようにパブリック ネットワーク ルールを構成できます。 その後、特定の VNet から送信された他の種類の要求を許可するように、プライベート ネットワーク ルールを構成することができます。 この構成では、パブリック ネットワークからアプリ サーバーが非表示になり、アプリ サーバーと Azure Web PubSub サービス間にセキュリティで保護された接続が確立されます。

ネットワーク アクセス制御の管理

Azure portal を使用して、Azure Web PubSub サービスのネットワーク アクセス制御を管理できます。

Azure Portal

  1. セキュリティで保護する Azure Web PubSub サービスに移動します。

  2. 設定メニューの [ネットワーク アクセス制御] を選択します。

    Network Access Control in Azure portal.

  3. 既定のアクションを編集するには、[許可/拒否] ボタンを切り替えます。

    ヒント

    既定のアクションは、一致する ACL ルールがない場合に実行するアクションです。 たとえば、既定のアクションが [拒否] の場合、下で明示的に承認されていない種類の要求は拒否されます。

  4. パブリック ネットワーク ルールを編集するには、[パブリック ネットワーク] で許可されている要求の種類を選択します。

    Edit public network ACL in Azure portal.

  5. プライベート エンドポイント ネットワーク ルールを編集するには、[プライベート エンドポイント 接続] の下の各行で許可された種類の要求を選択します。

  6. [保存] を選択して変更を保存します。