Konfigurera tjänstslutpunktsprinciper (förhandsversion) för Azure SQL Managed Instance

Gäller för:Azure SQL Managed Instance

Med azure storage-slutpunktsprinciper för virtuellt nätverk (VNet) kan du filtrera utgående trafik för virtuella nätverk till Azure Storage, vilket begränsar dataöverföringar till specifika lagringskonton.

Möjligheten att konfigurera slutpunktsprinciper och koppla dem till din SQL Managed Instance är för närvarande i förhandsversion.

Viktiga fördelar

Om du konfigurerar azure storage-tjänstslutpunktsprinciper för virtuellt nätverk för din Azure SQL Managed Instance får du följande fördelar:

• Förbättrad säkerhet för din Azure SQL Managed Instance-trafik till Azure Storage: Slutpunktsprinciper upprättar en säkerhetskontroll som förhindrar felaktig eller skadlig exfiltrering av affärskritiska data. Trafiken kan begränsas till endast de lagringskonton som är kompatibla med dina datastyrningskrav.

• Detaljerad kontroll över vilka lagringskonton som kan nås: Tjänstslutpunktsprinciper kan tillåta trafik till lagringskonton på prenumerations-, resursgrupps- och individuell lagringskontonivå. Administratörer kan använda tjänstslutpunktsprinciper för att framtvinga efterlevnad av organisationens datasäkerhetsarkitektur i Azure.

• Systemtrafiken påverkas inte: Tjänstslutpunktsprinciper hindrar aldrig åtkomst till lagring som krävs för att Azure SQL Managed Instance ska fungera. Detta omfattar lagring av säkerhetskopior, datafiler, transaktionsloggfiler och andra tillgångar.

Viktigt!

Tjänstslutpunktsprinciper styr endast trafik som kommer från SQL Managed Instance-undernätet och avslutas i Azure Storage. Principerna påverkar till exempel inte export av databasen till en lokal BACPAC-fil, Azure Data Factory-integrering, insamling av diagnostikinformation via Azure Diagnostic Settings eller andra mekanismer för dataextrahering som inte direkt riktar sig mot Azure Storage.

Begränsningar

Aktivering av tjänstslutpunktsprinciper för din Azure SQL Managed Instance har följande begränsningar:

• I förhandsversionen påverkar placering av en tjänstslutpunktsprincip i ett undernät möjligheten för instanser i det undernätet att utföra återställningar till tidpunkt (PITR) från en instans i ett annat undernät. En tjänstslutpunktsprincip hindrar dock inte instanser i andra undernät från att återställa säkerhetskopior från det undernätet.
• I förhandsversionen är den här funktionen tillgänglig i alla Azure-regioner där SQL Managed Instance stöds förutom Kina, östra 2, Kina, norra 2, USA, centrala EUAP, USA, östra 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Virginia och USA, västra centrala.
• Funktionen är bara tillgänglig för virtuella nätverk som distribuerats med Azure Resource Manager-distributionsmodellen.
• Funktionen är endast tillgänglig i undernät som har tjänstslutpunkter för Azure Storage aktiverat.
• När du tilldelar en tjänstslutpunktsprincip till en tjänstslutpunkt uppgraderas slutpunkten från regionalt till globalt omfång. Med andra ord går all trafik till Azure Storage via tjänstslutpunkten oavsett i vilken region lagringskontot finns.
• Om du tillåter ett lagringskonto tillåts automatiskt åtkomst till dess RA-GRS sekundära.

Förbereda lagringslager

Innan du börjar konfigurera tjänstslutpunktsprinciper i ett undernät skapar du en lista över lagringskonton som den hanterade instansen ska ha åtkomst till i undernätet.

Följande är en lista över arbetsflöden som kan kontakta Azure Storage:

• Granskning till Azure Storage.
• Utföra en säkerhetskopiering med endast kopiering till Azure Storage.
• Återställa en databas från Azure Storage.
• Importerar data med BULK INSERT eller OPENROWSET(BULK ...).
• Logga utökade händelser till ett händelsefilmål i Azure Storage.
• Offlinemigrering av Azure DMS till Azure SQL Managed Instance.
• Log Replay Service-migrering till Azure SQL Managed Instance.
• Synkronisera tabeller med transaktionsreplikering.

Observera kontonamnet, resursgruppen och prenumerationen för alla lagringskonton som deltar i dessa eller andra arbetsflöden som har åtkomst till lagring.

Konfigurera principer

Du måste först skapa din tjänstslutpunktsprincip och sedan associera principen med SQL Managed Instance-undernätet. Ändra arbetsflödet i det här avsnittet så att det passar dina affärsbehov.

Kommentar

• SQL Managed Instance-undernät kräver att principer innehåller tjänstaliaset /Services/Azure/ManagedInstance (se steg 5).
• Hanterade instanser som distribueras till ett undernät som redan innehåller tjänstslutpunktsprinciper uppgraderas automatiskt servicealiaset /Services/Azure/ManagedInstance.

Skapa en tjänstslutpunktsprincip

Följ dessa steg för att skapa en tjänstslutpunktsprincip:

1. Logga in på Azure-portalen.

2. Välj + Skapa en resurs.

3. I sökfönstret anger du tjänstslutpunktsprincip, väljer Tjänstslutpunktsprincip och väljer sedan Skapa.

   

4. Fyll i följande värden på sidan Grundläggande :

   • Prenumeration: Välj prenumerationen för principen i listrutan.
   • Resursgrupp: Välj den resursgrupp där den hanterade instansen finns eller välj Skapa ny och fyll i namnet på en ny resursgrupp.
   • Namn: Ange ett namn för din princip, till exempel mySEP.
   • Plats: Välj region för det virtuella nätverk som är värd för den hanterade instansen.

   

5. I Principdefinitioner väljer du Lägg till ett alias och anger följande information i fönstret Lägg till ett alias :

   • Tjänstalias: Välj /Services/Azure/ManagedInstance.
   • Välj Lägg till för att slutföra tillägg av tjänstaliaset.

   

6. I Principdefinitioner väljer du + Lägg till under Resurser och anger eller väljer följande information i fönstret Lägg till en resurs :

   • Tjänst: Välj Microsoft.Storage.
   • Omfång: Välj Alla konton i prenumerationen.
   • Prenumeration: Välj en prenumeration som innehåller de lagringskonton som ska tillåtas. Se din inventering av Azure Storage-konton som skapades tidigare.
   • Välj Lägg till för att slutföra tillägg av resursen.
   • Upprepa det här steget om du vill lägga till ytterligare prenumerationer.

   

7. Valfritt: du kan konfigurera taggar för tjänstslutpunktsprincipen under Taggar.

8. Välj Granska + Skapa. Verifiera informationen och välj Skapa. Om du vill göra ytterligare ändringar väljer du Föregående.

Dricks

Konfigurera först principer för att tillåta åtkomst till hela prenumerationer. Verifiera konfigurationen genom att se till att alla arbetsflöden fungerar som de ska. Du kan också konfigurera om principer för att tillåta enskilda lagringskonton eller konton i en resursgrupp. Om du vill göra det väljer du Enskilt konto eller Alla konton i resursgruppen i fältet Omfång: i stället och fyller i de andra fälten i enlighet med detta.

Associera princip med undernät

När din tjänstslutpunktsprincip har skapats associerar du principen med ditt SQL Managed Instance-undernät.

Följ dessa steg för att associera principen:

1. I rutan Alla tjänster i Azure-portalen söker du efter virtuella nätverk. Välj Virtuella nätverk.

2. Leta upp och välj det virtuella nätverk som är värd för din hanterade instans.

3. Välj Undernät och välj det undernät som är dedikerat till din hanterade instans. Ange följande information i undernätsfönstret:

   • Tjänster: Välj Microsoft.Storage. Om det här fältet är tomt måste du konfigurera tjänstslutpunkten för Azure Storage i det här undernätet.
   • Tjänstslutpunktsprinciper: Välj alla tjänstslutpunktsprinciper som du vill tillämpa på SQL Managed Instance-undernätet.

   

4. Välj Spara för att slutföra konfigurationen av det virtuella nätverket.

Varning

Om principerna i det här undernätet inte har aliaset /Services/Azure/ManagedInstance kan du se följande fel: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions Lös detta genom att uppdatera alla principer i undernätet så att aliaset inkluderas /Services/Azure/ManagedInstance .

Nästa steg

• Läs mer om hur du skyddar dina Azure Storage-konton.
• Läs mer om säkerhetsfunktionerna för SQL Managed Instance.
• Utforska anslutningsarkitekturen för SQL Managed Instance.