Azure AI Search 用の IP ファイアウォールの構成

Azure AI Search では、Azure 仮想ネットワーク セキュリティ グループで見つかった IP 規則と同様に、ファイアウォール経由の受信アクセスの IP 規則がサポートされています。 IP ルールを適用することで、承認されたデバイスとクラウド サービスのセットへのサービス アクセスを制限できます。 IP ルールでは、要求の通過のみが許可されます。 データと操作にアクセスするには、呼び出し元が有効な承認トークンを提示する必要があります。

この記事で説明するように Azure portal で IP 規則を設定するか、Management REST API、Azure PowerShell、または Azure CLI を使用できます。

Note

ポータルを介して IP ファイアウォールによって保護された検索サービスにアクセスするには、特定のクライアントとポータル IP アドレスからのアクセスを許可します。

前提条件

• Basic レベル以上の検索サービス

Azure portal で IP 範囲を設定する

1. Azure portal にサインインし、Azure AI Search サービス ページに移動します。

2. 左側のナビゲーション ペインで [ネットワーク] を選択します。

3. [パブリック ネットワーク アクセス] を [選択したネットワーク] に設定します。 接続が [無効] に設定されている場合は、プライベート エンドポイント経由でのみ検索サービスにアクセスできます。

   

   Azure portal では、CIDR 形式の IP アドレスと IP アドレス範囲がサポートされています。 CIDR 表記の例として、8.8.8.0/24 があります。これは、8.8.8.0 から 8.8.8.255 の範囲の IP を表しています。

4. [ファイアウォール] で [クライアント IP アドレス を追加する] を選択して、システムの IP アドレスの受信規則を作成します。

5. 検索サービスに要求を送信する他のマシン、デバイス、サービス用の他のクライアント IP アドレスを追加します。

Azure AI Search サービスに対して IP アクセス制御ポリシーを有効にした後は、許可された IP アドレス範囲リストに含まれていないマシンからのデータ プレーンへの要求はすべて拒否されます。

拒否された要求

許可リストに含まれていない IP アドレスから要求が送信された場合は、他の詳細を含まない汎用的な 403 Forbidden 応答が返されます。

Azure portal IP アドレスからのアクセスを許可する

IP 規則が構成されている場合は、Azure portal の一部の機能が無効になります。 サービス レベルの情報を表示および管理できますが、インデックス、インデクサー、およびその他の最上位リソースへのポータル アクセスは制限されます。 ポータル IP アドレスとクライアント IP アドレスからのアクセスを許可することで、ポータルからすべての検索サービス操作へのアクセスを復元できます。

ポータルの IP アドレスを取得するには、stamp2.ext.search.windows.net (トラフィック マネージャーのドメイン) で nslookup (または ping) を実行します。 nslookup の場合、IP アドレスは応答の "権限のない回答" 部分に表示されます。

次の例では、コピーする必要がある IP アドレスは 52.252.175.48.

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

サービスが異なるリージョンで実行されている場合は、異なるトラフィック マネージャーに接続します。 ドメイン名に関係なく、ping から返された IP アドレスは正しいもので、リージョン内の Azure portal で受信ファイアウォール規則を定義するときに使用します。

ping の場合、要求はタイムアウトしますが、IP アドレスは応答に表示されます。 たとえば、メッセージ "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"内の IP アドレスは 52.252.175.48.

クライアントの IP アドレスを指定した場合、要求が完全に拒否されることはありませんが、コンテンツや操作に正常にアクセスするには、認可も必要になります。 次のいずれかの方法を使用して要求を認証します。

• キーベースの認証。要求に対して管理またはクエリ API キーが提供されます
• ロールベースの認可。呼び出し元は検索サービスのセキュリティ ロールのメンバーであり、登録されたアプリで Microsoft Entra ID から取得した OAuth トークンを提示します。

次のステップ

クライアント アプリケーションが Azure 上の静的 Web アプリである場合は、検索サービスの IP ファイアウォール規則に含める IP 範囲を決定する方法を確認します。

Azure App Service における受信 IP アドレスと送信 IP アドレス