サービス タグを使用して、Azure Web PubSub トラフィックを識別できます。 サービス タグは、IP アドレスのプレフィックスのグループを表します。 Web PubSub は、受信トラフィックと送信トラフィックの両方に対して AzureWebPubSub というサービス タグを管理します。
サービス タグを使用して、ネットワーク セキュリティ グループを構成できます。 または、Service Tag Discovery API を使用して IP アドレス プレフィックスのクエリを実行することもできます。
送信トラフィック
Web PubSub リソースのエンドポイントは、サービス タグ AzureWebPubSub の IP 範囲内であることが保証されます。
仮想ネットワークから Web PubSub リソースにアクセスする
新しい送信ネットワーク セキュリティ規則を追加することで、自身のネットワークから Web PubSub への送信トラフィックを許可できます。
ポータルで、ネットワーク セキュリティ グループに移動します。
左側のメニューで [送信セキュリティ規則] を選択します。
[追加] を選択します。
[宛先] を選択してから、[サービス タグ] を選択します。
[宛先サービス タグ] を選択してから、[AzureWebPubSub] を選択します。
[宛先ポート範囲] に「443」と入力します。
必要に応じて他のフィールドを更新し、[追加] を選択します。
受信トラフィック
Azure Web PubSub では、サービス タグを使用してリソースへのネットワーク トラフィックを生成できます。 トラフィックの送信元は、確実に AzureWebPubSub サービス タグで定義された IP 範囲内に限定されます。
次の場合、サービス タグを使用して Web PubSub リソースへのアクセスを制御できます。
- イベント ハンドラーを使用する.。
- イベント リスナーを使用している。
- URL テンプレート設定で Key Vault シークレット参照を使用している。
- カスタム証明書を使用している。
仮想ネットワーク内のイベント ハンドラー エンドポイント
仮想ネットワークへの受信トラフィックを許可するようにネットワーク セキュリティ グループを構成できます。
Azure portal でネットワーク セキュリティ グループに移動します。
左側のメニューで [受信セキュリティ規則] を選択します。
[追加] を選択します。
[ソース] を選択してから、[サービス タグ] を選択します。
[ソース サービス タグ] を選択してから [AzureWebPubSub] を選択します。
[ソース ポート範囲] に「*」と入力します。
必要に応じて、その他の設定を更新します。
[追加] を選択します。
Note
Azure Web PubSub は共有サービスです。 サービス タグ AzureWebPubSub またはその関連する IP アドレス プレフィックスを許可することで、他の顧客に属している場合でも他のリソースからのトラフィックを許可します。 エンドポイントに適切な認証を実装していることを確認します。
Azure Functions のイベント ハンドラー エンドポイント
Azure Functions アプリの場合、サービス タグベースの規則を使用して、イベント ハンドラー エンドポイントをセキュリティで保護された方法で管理できます。
または、セキュリティを強化するために共有プライベート エンドポイントを使用することもできます。 共有プライベート エンドポイントは、リソース専用です。 他のリソースからのトラフィックではエンドポイントにアクセスできません。
Azure Event Hubs と Azure Key Vault のアクセス
Azure Event Hubs および Azure Key Vault リソースの場合は、最高レベルのセキュリティを維持できるように、共有プライベート エンドポイントを使用することをお勧めします。