次の方法で共有


クイックスタート: ネットワーク セキュリティ境界を作成する - Azure CLI

Azure CLI を使用して Azure Key Vault のネットワーク セキュリティ境界を作成して、ネットワーク セキュリティ境界の使用を開始します。 ネットワーク セキュリティ境界を使用すると、Azure PaaS (PaaS) リソースが明示的に信頼された境界内で通信できるようになります。 次に、ネットワーク セキュリティ境界プロファイルで PaaS リソースの関連付けを作成して更新します。 その後、ネットワーク セキュリティ境界アクセス規則を作成して更新します。 完了したら、このクイックスタートで作成したすべてのリソースを削除します。

重要

ネットワーク セキュリティ境界はパブリック プレビュー段階であり、すべての Azure パブリック クラウド リージョンで利用できます。 このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。

前提条件

  • アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます
  • 最新の Azure CLI。またはポータルで Azure Cloud Shell を使用することもできます。
    • この記事では、Azure CLI のバージョン 2.38.0 以降が必要です。 Azure Cloud Shell を使用している場合は、最新バージョンが既にインストールされています。
  • 最新バージョンの Azure CLI にアップグレードした後、az extension add --name nsp を使用してネットワーク セキュリティ境界コマンドをインポートします。

Azure アカウントにサインインしてサブスクリプションを選択する

開始するには、Azure Cloud Shell に接続するかローカル CLI 環境を使用します。

  1. Azure Cloud Shell を使用している場合は、サインインしてお使いのサブスクリプションを選択します。

  2. CLI をローカルにインストールした場合は、次のコマンドを使用してサインインします。

    # Sign in to your Azure account
    az login 
    
  3. シェルで、次のコマンドを使用してアクティブなサブスクリプションをローカルで選択します。

    # List all subscriptions
    az account set --subscription <Azure Subscription>
    
    # Re-register the Microsoft.Network resource provider
    az provider register --namespace Microsoft.Network    
    

リソース グループとキー コンテナーを作成する

ネットワーク セキュリティ境界を作成する前に、az group createaz keyvault create を使用して、リソース グループとキー コンテナー リソースを作成する必要があります。
この例では、WestCentralUS の場所に resource-group という名前のリソース グループを作成し、次のコマンドを使用してリソース グループに key-vault-YYYYDDMM という名前のキー コンテナーを作成します。

az group create \
    --name resource-group \
    --location westcentralus

# Create a key vault using a datetime value to ensure a unique name

key_vault_name="key-vault-$(date +%s)"
az keyvault create \
    --name $key_vault_name \
    --resource-group resource-group \
    --location westcentralus \
    --query 'id' \
    --output tsv

ネットワーク セキュリティ境界を作成する

この手順では、az network perimeter create コマンドを使用してネットワーク セキュリティ境界を作成します。

注記

ネットワーク セキュリティ境界規則またはその他のネットワーク セキュリティ境界構成には、個人を特定できるデータや機密データを配置しないでください。

az network perimeter create\
    --name network-security-perimeter \
    --resource-group resource-group \
    -l westcentralus

PaaS リソースの関連付けを新しいプロファイルに作成して更新する

この手順では、az network perimeter profile createaz network perimeter association create コマンドを使用して、新しいプロファイルを作成し、PaaS リソースである Azure Key Vault をプロファイルに関連付けます。

注記

--private-link-resource--profile パラメーターの値については、<PaaSArmId><networkSecurityPerimeterProfileId> をそれぞれキー コンテナーの値とプロファイル ID に置き換えます。

  1. 次のコマンドを使用して、ネットワーク セキュリティ境界の新しいプロファイルを作成します。

    # Create a new profile
    az network perimeter profile create \
        --name network-perimeter-profile \
        --resource-group resource-group \
        --perimeter-name network-security-perimeter
    
    
  2. 次のコマンドを使用して、Azure Key Vault (PaaS リソース) をネットワーク セキュリティ境界プロファイルに関連付けます。

    
    # Get key vault id
    az keyvault show \
        --name $key_vault_name \
        --resource-group resource-group \
        --query 'id'
    
    # Get the profile id
    az network perimeter profile show \
        --name network-perimeter-profile \
        --resource-group resource-group \
        --perimeter-name network-security-perimeter
    
    # Associate the Azure Key Vault with the network security perimeter profile
    # Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile
    az network perimeter association create \
        --name network-perimeter-association \
        --perimeter-name network-security-perimeter \
        --resource-group resource-group \
        --access-mode Learning  \
        --private-link-resource "{id:<PaaSArmId>}" \
        --profile "{id:<networkSecurityPerimeterProfileId>}"
    
    
  3. 次のように、az network perimeter association create コマンドを使用してアクセス モードを enforced に変更し、関連付けを更新します。

    az network perimeter association create \
        --name network-perimeter-association \
        --perimeter-name network-security-perimeter \
        --resource-group resource-group \
        --access-mode Enforced  \
        --private-link-resource "{id:<PaaSArmId>}" \
        --profile "{id:<networkSecurityPerimeterProfileId>}"
    

ネットワーク セキュリティ境界アクセス規則を管理する

この手順では、az network perimeter profile access-rule create コマンドを使用して、パブリック IP プレフィックスを持つネットワーク セキュリティ境界アクセス規則を作成、更新、削除します。

  1. 次のコマンドを使用して作成されたプロファイルのパブリック IP プレフィックスを持つ受信アクセス規則を作成します。

    
    # Create an inbound access rule
    az network perimeter profile access-rule create \
        --name access-rule \
        --profile-name network-perimeter-profile \
        --perimeter-name network-security-perimeter \
        --resource-group resource-group \
        --address-prefixes "[192.0.2.0/24]"
    
    
  2. 次のコマンドを使用して、受信アクセス規則を別のパブリック IP プレフィックスで更新します。

    
    # Update the inbound access rule
    az network perimeter profile access-rule create\
        --name access-rule \
        --profile-name network-perimeter-profile \
        --perimeter-name network-security-perimeter \
        --resource-group resource-group \
        --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"
    
    
  3. アクセス規則を削除する必要がある場合は、az network perimeter profile access-rule delete コマンドを使用します。

    # Delete the access rule
    az network perimeter profile access-rule delete \
        --Name network-perimeter-association \
        --profile-name network-perimeter-profile \
        --perimeter-name network-security-perimeter \
        --resource-group resource-group
    
    

注記

マネージド ID が、それをサポートするリソースに割り当てられない場合、同じ境界内の他のリソースへの送信アクセスは拒否されます。 このリソースからのアクセスを許可することを目的としたサブスクリプション ベースの受信規則は有効になりません。

すべてのリソースの削除

このクイック スタートでネットワーク セキュリティ境界とその他のリソースを削除するには、次の az network perimeter コマンドを使用します。


    # Delete the network security perimeter association
    az network perimeter association delete \
        --name network-perimeter-association \
        --resource-group resource-group \
        --perimeter-name network-security-perimeter

    # Delete the network security perimeter
    az network perimeter delete \
        --resource-group resource-group \
        --name network-security-perimeter --yes
    
    # Delete the key vault
    az keyvault delete \
        --name $key_vault_name \
        --resource-group resource-group
    
    # Delete the resource group
    az group delete \
        --name resource-group \
        --yes \
        --no-wait

注記

ネットワーク セキュリティ境界からリソースの関連付けを削除すると、アクセス制御が既存のリソース ファイアウォール構成にフォールバックされます。 これにより、リソース ファイアウォール構成に従ってアクセスが許可または拒否される可能性があります。 PublicNetworkAccess が SecuredByPerimeter に設定されていて、関連付けが削除されている場合、リソースはロックダウン状態になります。 詳細については、Azure でのネットワーク セキュリティ境界への変換に関するページを参照してください。

次のステップ