ネットワーク アクセス制御の管理

要求の種類と使用されるネットワークのサブセットに基づいて、サービス エンドポイントへのアクセス レベルをセキュリティで保護し、制御するように Azure Web PubSub を構成できます。 ネットワーク ルールを構成すると、指定したネットワークのセットを経由してデータを要求しているアプリケーションのみが、Web PubSub リソースにアクセスできます。

Azure Web PubSub には、インターネット経由でアクセスできるパブリック エンドポイントがあります。 Web PubSub リソースのプライベート エンドポイントを作成することもできます。 プライベート エンドポイントは、仮想ネットワークから Web PubSub リソースを割り当てます。 また、プライベート リンクを介して仮想ネットワークと Web PubSub リソース間のすべてのトラフィックをセキュリティで保護します。 Web PubSub のネットワーク アクセス制御は、パブリック エンドポイントとプライベート エンドポイントの両方に対するアクセス制御を提供します。

必要に応じて、パブリック エンドポイントと各プライベート エンドポイントに対する特定の種類の要求を許可するか拒否するかを選択できます。

ネットワーク アクセス制御ルールが有効なときに Web PubSub リソースにアクセスするアプリケーションでは、依然として要求に対する適切な認可が必要です。

次のセクションでは、Web PubSub リソースへのアクセスを制御するための 2 つのオプションについて説明します。

• パブリック エンドポイントで生成されたすべての要求を拒否する。
• パブリック ネットワークからのクライアント接続のみを許可する。

すべてのパブリック トラフィックを拒否する

すべてのパブリック トラフィックを完全に拒否するには、まず要求の種類を許可しないようにパブリック ネットワーク ルールを構成します。 次に、特定の仮想ネットワークからのトラフィックにアクセスを許可するルールを構成します。 この構成では、アプリケーションに対してセキュリティで保護されたネットワーク境界を構築することができます。

パブリック ネットワークからのクライアント接続のみを許可する

このシナリオでは、パブリック ネットワークからのクライアント接続のみを許可するようにパブリック ネットワーク ルールを構成します。 その後、特定の仮想ネットワークから送信された他の種類の要求を許可するように、プライベート ネットワーク ルールを構成できます。 この構成では、パブリック ネットワーク上でアプリ サーバーが非表示になり、アプリ サーバーと Azure Web PubSub 間にセキュリティで保護された接続が確立されます。

Azure portal でネットワーク アクセス制御を管理する

Azure portal を使用して、Azure Web PubSub のネットワーク アクセス制御を管理できます。

1. Azure portal で、セキュリティ保護する Web PubSub サービスに移動します。

2. 左側のメニューの [設定] で、[ネットワーク アクセス制御] を選択します。

3. 既定のアクションを編集するには、[既定のアクション] を選択します。

   ヒント

   既定のアクションは、アクセス制御リスト (ACL) ルールが一致しない場合に実行されるアクションです。 たとえば、既定のアクションが [拒否] の場合、明示的に承認されていない種類の要求は拒否されます。

   

4. パブリック ネットワーク ルールを編集するには、[パブリック ネットワーク] で、許可する要求の種類を選択します。

   

5. プライベート エンドポイント ネットワーク ルールを編集するには、[プライベート エンドポイント 接続] の下の各行で許可された種類の要求を選択します。

6. [保存] を選択して変更を保存します。