Bicep リソース定義
workspaces/sqlPools/extendedAuditingSettings リソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings リソースを作成するには、次の Bicep をテンプレートに追加します。
resource symbolicname 'Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings@2021-06-01' = {
parent: resourceSymbolicName
name: 'default'
properties: {
auditActionsAndGroups: [
'string'
]
isAzureMonitorTargetEnabled: bool
isStorageSecondaryKeyInUse: bool
predicateExpression: 'string'
queueDelayMs: int
retentionDays: int
state: 'string'
storageAccountAccessKey: 'string'
storageAccountSubscriptionId: 'string'
storageEndpoint: 'string'
}
}
プロパティ値
Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings
| 名前 | 形容 | 価値 |
|---|---|---|
| 名前 | リソース名 | 'default' (必須) |
| 親 | Bicep では、子リソースの親リソースを指定できます。 このプロパティを追加する必要があるのは、子リソースが親リソースの外部で宣言されている場合のみです。 詳細については、「親リソースの外部 |
種類のリソースのシンボリック名: workspaces/sqlPools |
| プロパティ | リソースのプロパティ。 | ExtendedSqlPoolBlobAuditingPolicyProperties の |
ExtendedSqlPoolBlobAuditingPolicyProperties (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| auditActionsAndGroups (監査アクションとグループ) | 監査する Actions-Groups とアクションを指定します。 使用する推奨されるアクション グループのセットは次の組み合わせです。これにより、データベースに対して実行されたすべてのクエリとストアド プロシージャ、および成功したログインと失敗したログインが監査されます。 BATCH_COMPLETED_GROUP、 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、 FAILED_DATABASE_AUTHENTICATION_GROUP。 上記の組み合わせも、Azure portal から監査を有効にするときに既定で構成されるセットです。 監査でサポートされているアクション グループは次のとおりです (注: 監査のニーズに対応する特定のグループのみを選択してください)。不要なグループを使用すると、非常に大量の監査レコードが発生する可能性があります。 アプリケーションの役割パスワード変更グループ バックアップ_リストア_グループ データベース_ログアウト_グループ データベース_オブジェクト_変更_グループ データベースオブジェクト所有権変更グループ データベースオブジェクト権限変更グループ データベース操作グループ データベース権限変更グループ データベース主体変更グループ DATABASE_PRINCIPAL_IMPERSONATION_GROUP データベースロールメンバー変更グループ データベース認証グループの認証失敗 スキーマ_オブジェクト_アクセス_グループ SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP スキーマオブジェクト権限変更グループ データベース認証成功グループ ユーザーのパスワード変更グループ BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP これらは、データベースに対して実行されるすべての SQL ステートメントとストアド プロシージャを対象とするグループであり、監査ログが重複するため、他のグループと組み合わせて使用しないでください。 詳細については、「Database-Level 監査アクション グループの」を参照してください。 データベース監査ポリシーでは、特定のアクションを指定することもできます (サーバー監査ポリシーにはアクションを指定できないことに注意してください)。 監査でサポートされるアクションは次のとおりです。 選ぶ 更新 挿入する 削除 実行する 受ける 参照 監査するアクションを定義するための一般的な形式は次のとおりです。 {action}ON {object} BY {principal} 上記 <形式で> オブジェクトは、テーブル、ビュー、ストアド プロシージャなどのオブジェクト、またはデータベースまたはスキーマ全体を参照できることに注意してください。 後者の場合は、それぞれ DATABASE::{db_name} と SCHEMA::{schema_name} という形式が使用されます。 例えば: dbo.myTable の SELECT by public SELECT on DATABASE::myDatabase by public SCHEMA : mySchemaでSELECT公開 詳細については、「Database-Level 監査アクションの」を参照してください。 |
文字列[] |
| isAzureMonitorTargetEnabled (英語) | 監査イベントを Azure Monitor に送信するかどうかを指定します。 Azure Monitor にイベントを送信するには、'state' を 'Enabled' に、'isAzureMonitorTargetEnabled' を true に指定します。 REST API を使用して監査を構成する場合は、データベースに "SQLSecurityAuditEvents" 診断ログ カテゴリを含む診断設定も作成する必要があります。 サーバー レベルの監査では、'master' データベースを {databaseName} として使用する必要があることに注意してください。 診断設定 URI 形式: 置く https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview詳細については、「診断設定 REST API または 診断設定 PowerShell |
ブール (bool) |
| isStorageSecondaryKeyInUse (英語) | storageAccountAccessKey 値がストレージのセカンダリ キーかどうかを指定します。 | ブール (bool) |
| 述語式 | 監査の作成時に where 句の条件を指定します。 | 糸 |
| キュー遅延MS | 監査アクションが強制的に処理されるまでの時間をミリ秒単位で指定します。 既定値は 1000 (1 秒) です。 最大値は 2,147,483,647 です。 |
整数 (int) |
| retentionDays (保持日数) | ストレージ アカウントの監査ログに保持する日数を指定します。 | 整数 (int) |
| 状態 | ポリシーの状態を指定します。 状態が有効の場合、storageEndpoint または isAzureMonitorTargetEnabled が必要です。 | 「無効」 'Enabled' (必須) |
| storageAccountAccessKey (ストレージアカウントアクセスキー) | 監査ストレージ アカウントの識別子キーを指定します。 状態が Enabled で storageEndpoint が指定されている場合、storageAccountAccessKey を指定しないと、SQL サーバーのシステム割り当てマネージド ID を使用してストレージにアクセスします。 マネージド ID 認証を使用するための前提条件: 1. AZURE Active Directory (AAD) で SQL Server にシステム割り当てマネージド ID を割り当てます。 2. サーバー ID に "ストレージ BLOB データ共同作成者" RBAC ロールを追加して、SQL Server ID にストレージ アカウントへのアクセス権を付与します。 詳細については、「マネージド ID 認証 を使用したストレージへの監査の |
糸 |
| storageAccountサブスクリプションID | BLOB ストレージサブスクリプション ID を指定します。 | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| ストレージエンドポイント | BLOB ストレージ エンドポイント (例: https://MyAccount.blob.core.windows.net) を指定します。 状態が有効の場合、storageEndpoint または isAzureMonitorTargetEnabled が必要です。 |
糸 |
ARM テンプレート リソース定義
workspaces/sqlPools/extendedAuditingSettings リソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの - リソース グループのデプロイ コマンド 参照
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings リソースを作成するには、次の JSON をテンプレートに追加します。
{
"type": "Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings",
"apiVersion": "2021-06-01",
"name": "string",
"properties": {
"auditActionsAndGroups": [ "string" ],
"isAzureMonitorTargetEnabled": "bool",
"isStorageSecondaryKeyInUse": "bool",
"predicateExpression": "string",
"queueDelayMs": "int",
"retentionDays": "int",
"state": "string",
"storageAccountAccessKey": "string",
"storageAccountSubscriptionId": "string",
"storageEndpoint": "string"
}
}
プロパティ値
Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings
| 名前 | 形容 | 価値 |
|---|---|---|
| apiVersion (英語) | API のバージョン | '2021-06-01' |
| 名前 | リソース名 | 'default' (必須) |
| プロパティ | リソースのプロパティ。 | ExtendedSqlPoolBlobAuditingPolicyProperties の |
| 種類 | リソースの種類 | 'Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings' |
ExtendedSqlPoolBlobAuditingPolicyProperties (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| auditActionsAndGroups (監査アクションとグループ) | 監査する Actions-Groups とアクションを指定します。 使用する推奨されるアクション グループのセットは次の組み合わせです。これにより、データベースに対して実行されたすべてのクエリとストアド プロシージャ、および成功したログインと失敗したログインが監査されます。 BATCH_COMPLETED_GROUP、 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、 FAILED_DATABASE_AUTHENTICATION_GROUP。 上記の組み合わせも、Azure portal から監査を有効にするときに既定で構成されるセットです。 監査でサポートされているアクション グループは次のとおりです (注: 監査のニーズに対応する特定のグループのみを選択してください)。不要なグループを使用すると、非常に大量の監査レコードが発生する可能性があります。 アプリケーションの役割パスワード変更グループ バックアップ_リストア_グループ データベース_ログアウト_グループ データベース_オブジェクト_変更_グループ データベースオブジェクト所有権変更グループ データベースオブジェクト権限変更グループ データベース操作グループ データベース権限変更グループ データベース主体変更グループ DATABASE_PRINCIPAL_IMPERSONATION_GROUP データベースロールメンバー変更グループ データベース認証グループの認証失敗 スキーマ_オブジェクト_アクセス_グループ SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP スキーマオブジェクト権限変更グループ データベース認証成功グループ ユーザーのパスワード変更グループ BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP これらは、データベースに対して実行されるすべての SQL ステートメントとストアド プロシージャを対象とするグループであり、監査ログが重複するため、他のグループと組み合わせて使用しないでください。 詳細については、「Database-Level 監査アクション グループの」を参照してください。 データベース監査ポリシーでは、特定のアクションを指定することもできます (サーバー監査ポリシーにはアクションを指定できないことに注意してください)。 監査でサポートされるアクションは次のとおりです。 選ぶ 更新 挿入する 削除 実行する 受ける 参照 監査するアクションを定義するための一般的な形式は次のとおりです。 {action}ON {object} BY {principal} 上記 <形式で> オブジェクトは、テーブル、ビュー、ストアド プロシージャなどのオブジェクト、またはデータベースまたはスキーマ全体を参照できることに注意してください。 後者の場合は、それぞれ DATABASE::{db_name} と SCHEMA::{schema_name} という形式が使用されます。 例えば: dbo.myTable の SELECT by public SELECT on DATABASE::myDatabase by public SCHEMA : mySchemaでSELECT公開 詳細については、「Database-Level 監査アクションの」を参照してください。 |
文字列[] |
| isAzureMonitorTargetEnabled (英語) | 監査イベントを Azure Monitor に送信するかどうかを指定します。 Azure Monitor にイベントを送信するには、'state' を 'Enabled' に、'isAzureMonitorTargetEnabled' を true に指定します。 REST API を使用して監査を構成する場合は、データベースに "SQLSecurityAuditEvents" 診断ログ カテゴリを含む診断設定も作成する必要があります。 サーバー レベルの監査では、'master' データベースを {databaseName} として使用する必要があることに注意してください。 診断設定 URI 形式: 置く https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview詳細については、「診断設定 REST API または 診断設定 PowerShell |
ブール (bool) |
| isStorageSecondaryKeyInUse (英語) | storageAccountAccessKey 値がストレージのセカンダリ キーかどうかを指定します。 | ブール (bool) |
| 述語式 | 監査の作成時に where 句の条件を指定します。 | 糸 |
| キュー遅延MS | 監査アクションが強制的に処理されるまでの時間をミリ秒単位で指定します。 既定値は 1000 (1 秒) です。 最大値は 2,147,483,647 です。 |
整数 (int) |
| retentionDays (保持日数) | ストレージ アカウントの監査ログに保持する日数を指定します。 | 整数 (int) |
| 状態 | ポリシーの状態を指定します。 状態が有効の場合、storageEndpoint または isAzureMonitorTargetEnabled が必要です。 | 「無効」 'Enabled' (必須) |
| storageAccountAccessKey (ストレージアカウントアクセスキー) | 監査ストレージ アカウントの識別子キーを指定します。 状態が Enabled で storageEndpoint が指定されている場合、storageAccountAccessKey を指定しないと、SQL サーバーのシステム割り当てマネージド ID を使用してストレージにアクセスします。 マネージド ID 認証を使用するための前提条件: 1. AZURE Active Directory (AAD) で SQL Server にシステム割り当てマネージド ID を割り当てます。 2. サーバー ID に "ストレージ BLOB データ共同作成者" RBAC ロールを追加して、SQL Server ID にストレージ アカウントへのアクセス権を付与します。 詳細については、「マネージド ID 認証 を使用したストレージへの監査の |
糸 |
| storageAccountサブスクリプションID | BLOB ストレージサブスクリプション ID を指定します。 | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| ストレージエンドポイント | BLOB ストレージ エンドポイント (例: https://MyAccount.blob.core.windows.net) を指定します。 状態が有効の場合、storageEndpoint または isAzureMonitorTargetEnabled が必要です。 |
糸 |
使用例
Terraform (AzAPI プロバイダー) リソース定義
workspaces/sqlPools/extendedAuditingSettings リソースの種類は、次をターゲットとする操作でデプロイできます。
- リソース グループの
各 API バージョンで変更されたプロパティの一覧については、変更ログの
リソースの形式
Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings リソースを作成するには、次の Terraform をテンプレートに追加します。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings@2021-06-01"
name = "string"
parent_id = "string"
body = {
properties = {
auditActionsAndGroups = [
"string"
]
isAzureMonitorTargetEnabled = bool
isStorageSecondaryKeyInUse = bool
predicateExpression = "string"
queueDelayMs = int
retentionDays = int
state = "string"
storageAccountAccessKey = "string"
storageAccountSubscriptionId = "string"
storageEndpoint = "string"
}
}
}
プロパティ値
Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings
| 名前 | 形容 | 価値 |
|---|---|---|
| 名前 | リソース名 | 'default' (必須) |
| parent_id | このリソースの親であるリソースの ID。 | 種類のリソースの ID: workspaces/sqlPools |
| プロパティ | リソースのプロパティ。 | ExtendedSqlPoolBlobAuditingPolicyProperties の |
| 種類 | リソースの種類 | 「Microsoft.Synapse/workspaces/sqlPools/extendedAuditingSettings@2021-06-01」 |
ExtendedSqlPoolBlobAuditingPolicyProperties (英語)
| 名前 | 形容 | 価値 |
|---|---|---|
| auditActionsAndGroups (監査アクションとグループ) | 監査する Actions-Groups とアクションを指定します。 使用する推奨されるアクション グループのセットは次の組み合わせです。これにより、データベースに対して実行されたすべてのクエリとストアド プロシージャ、および成功したログインと失敗したログインが監査されます。 BATCH_COMPLETED_GROUP、 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、 FAILED_DATABASE_AUTHENTICATION_GROUP。 上記の組み合わせも、Azure portal から監査を有効にするときに既定で構成されるセットです。 監査でサポートされているアクション グループは次のとおりです (注: 監査のニーズに対応する特定のグループのみを選択してください)。不要なグループを使用すると、非常に大量の監査レコードが発生する可能性があります。 アプリケーションの役割パスワード変更グループ バックアップ_リストア_グループ データベース_ログアウト_グループ データベース_オブジェクト_変更_グループ データベースオブジェクト所有権変更グループ データベースオブジェクト権限変更グループ データベース操作グループ データベース権限変更グループ データベース主体変更グループ DATABASE_PRINCIPAL_IMPERSONATION_GROUP データベースロールメンバー変更グループ データベース認証グループの認証失敗 スキーマ_オブジェクト_アクセス_グループ SCHEMA_OBJECT_CHANGE_GROUP SCHEMA_OBJECT_OWNERSHIP_CHANGE_GROUP スキーマオブジェクト権限変更グループ データベース認証成功グループ ユーザーのパスワード変更グループ BATCH_STARTED_GROUP BATCH_COMPLETED_GROUP これらは、データベースに対して実行されるすべての SQL ステートメントとストアド プロシージャを対象とするグループであり、監査ログが重複するため、他のグループと組み合わせて使用しないでください。 詳細については、「Database-Level 監査アクション グループの」を参照してください。 データベース監査ポリシーでは、特定のアクションを指定することもできます (サーバー監査ポリシーにはアクションを指定できないことに注意してください)。 監査でサポートされるアクションは次のとおりです。 選ぶ 更新 挿入する 削除 実行する 受ける 参照 監査するアクションを定義するための一般的な形式は次のとおりです。 {action}ON {object} BY {principal} 上記 <形式で> オブジェクトは、テーブル、ビュー、ストアド プロシージャなどのオブジェクト、またはデータベースまたはスキーマ全体を参照できることに注意してください。 後者の場合は、それぞれ DATABASE::{db_name} と SCHEMA::{schema_name} という形式が使用されます。 例えば: dbo.myTable の SELECT by public SELECT on DATABASE::myDatabase by public SCHEMA : mySchemaでSELECT公開 詳細については、「Database-Level 監査アクションの」を参照してください。 |
文字列[] |
| isAzureMonitorTargetEnabled (英語) | 監査イベントを Azure Monitor に送信するかどうかを指定します。 Azure Monitor にイベントを送信するには、'state' を 'Enabled' に、'isAzureMonitorTargetEnabled' を true に指定します。 REST API を使用して監査を構成する場合は、データベースに "SQLSecurityAuditEvents" 診断ログ カテゴリを含む診断設定も作成する必要があります。 サーバー レベルの監査では、'master' データベースを {databaseName} として使用する必要があることに注意してください。 診断設定 URI 形式: 置く https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Sql/servers/{serverName}/databases/{databaseName}/providers/microsoft.insights/diagnosticSettings/{settingsName}?api-version=2017-05-01-preview詳細については、「診断設定 REST API または 診断設定 PowerShell |
ブール (bool) |
| isStorageSecondaryKeyInUse (英語) | storageAccountAccessKey 値がストレージのセカンダリ キーかどうかを指定します。 | ブール (bool) |
| 述語式 | 監査の作成時に where 句の条件を指定します。 | 糸 |
| キュー遅延MS | 監査アクションが強制的に処理されるまでの時間をミリ秒単位で指定します。 既定値は 1000 (1 秒) です。 最大値は 2,147,483,647 です。 |
整数 (int) |
| retentionDays (保持日数) | ストレージ アカウントの監査ログに保持する日数を指定します。 | 整数 (int) |
| 状態 | ポリシーの状態を指定します。 状態が有効の場合、storageEndpoint または isAzureMonitorTargetEnabled が必要です。 | 「無効」 'Enabled' (必須) |
| storageAccountAccessKey (ストレージアカウントアクセスキー) | 監査ストレージ アカウントの識別子キーを指定します。 状態が Enabled で storageEndpoint が指定されている場合、storageAccountAccessKey を指定しないと、SQL サーバーのシステム割り当てマネージド ID を使用してストレージにアクセスします。 マネージド ID 認証を使用するための前提条件: 1. AZURE Active Directory (AAD) で SQL Server にシステム割り当てマネージド ID を割り当てます。 2. サーバー ID に "ストレージ BLOB データ共同作成者" RBAC ロールを追加して、SQL Server ID にストレージ アカウントへのアクセス権を付与します。 詳細については、「マネージド ID 認証 を使用したストレージへの監査の |
糸 |
| storageAccountサブスクリプションID | BLOB ストレージサブスクリプション ID を指定します。 | 糸 制約: 最小長 = 36 最大長 = 36 パターン = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| ストレージエンドポイント | BLOB ストレージ エンドポイント (例: https://MyAccount.blob.core.windows.net) を指定します。 状態が有効の場合、storageEndpoint または isAzureMonitorTargetEnabled が必要です。 |
糸 |