Sanal ağ ve güvenlik duvarının arkasındaki depolama hesabına denetim yazma

Şunlar için geçerlidir:Azure SQL Veritabanı Azure Synapse Analytics

Azure SQL Veritabanı ve Azure Synapse Analytics denetimi, sanal ağ ve güvenlik duvarının arkasındaki bir Azure Depolama hesabına veritabanı olayları yazmayı destekler.

Bu makalede, bu seçenek için Azure SQL Veritabanı ve Azure depolama hesabını yapılandırmanın iki yolu açıklanmaktadır. Birincisi Azure portalını, ikincisi REST'i kullanır.

Background

Azure Sanal Ağ (VNet), Azure'daki özel ağınız için temel yapı taşıdır. Sanal ağ, Azure Sanal Makineler (VM) gibi birçok azure kaynağının birbiriyle, İnternet'le ve şirket içi ağlarla güvenli bir şekilde iletişim kurmasını sağlar. Sanal ağ, kendi veri merkezinizdeki geleneksel bir ağa benzer, ancak azure altyapısının ölçek, kullanılabilirlik ve yalıtım gibi ek avantajlarını da beraberinde getirir.

Sanal ağ kavramları, En iyi yöntemler ve daha fazlası hakkında daha fazla bilgi edinmek için bkz. Azure Sanal Ağ nedir?

Sanal ağ oluşturma hakkında daha fazla bilgi edinmek için bkz . Hızlı Başlangıç: Azure portalını kullanarak sanal ağ oluşturma.

Önkoşullar

Denetimin bir sanal ağın veya güvenlik duvarının arkasındaki bir depolama hesabına yazabilmek için aşağıdaki önkoşullar gereklidir:

• Genel amaçlı v2 depolama hesabı. Genel amaçlı v1 veya blob depolama hesabınız varsa, genel amaçlı v2 depolama hesabına yükseltin. Daha fazla bilgi için bkz . Depolama hesabı türleri.
• BlockBlob Depolama ile premium depolama desteklenir
• Depolama hesabının mantıksal SQL sunucusuyla aynı kiracıda ve aynı konumda olması gerekir (farklı aboneliklerde olmak sorun değildir).
• Azure Depolama hesabı gerektirirAllow trusted Microsoft services to access this storage account. Bunu Depolama Hesap Güvenlik Duvarları ve Sanal ağlarda ayarlayın.
• Seçili depolama hesabı üzerinde izniniz olmalıdır Microsoft.Authorization/roleAssignments/write . Daha fazla bilgi için bkz. Azure yerleşik rolleri.

Dekont

Depolama hesabına yönelik denetim bir sunucuda / db'de zaten etkinleştirildiğinde ve hedef depolama hesabı bir güvenlik duvarının arkasına taşınırsa depolama hesabına yazma erişimini kaybederiz ve denetim günlükleri buna yazılmayı durdurur. Denetim çalışması yapmak için denetim ayarlarını portaldan yeniden kaydetmemiz gerekir.

Azure portalında yapılandırma

BağlanAboneliğinizle Azure portalı. Kaynak grubuna ve sunucuya gidin.

1. Güvenlik başlığı altında Denetim'e tıklayın. Açık'ı seçin.

2. Depolama’yı seçin. Günlüklerin kaydedileceği depolama hesabını seçin. Depolama hesabının Önkoşullar bölümünde listelenen gereksinimlere uyması gerekir.

3. Depolama ayrıntılarını açma

Dekont

Seçilen Depolama hesabı sanal ağın arkasındaysa aşağıdaki iletiyi görürsünüz:

You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.

Bu iletiyi görmüyorsanız depolama hesabı bir sanal ağın arkasında değildir.

4. Bekletme dönemi için gün sayısını seçin. Daha sonra, Tamam'a tıklayın. Saklama süresinden eski günlükler silinir.

5. Denetim ayarlarınızda Kaydet'i seçin.

Denetimi, bir sanal ağın veya güvenlik duvarının arkasındaki bir depolama hesabına yazacak şekilde başarıyla yapılandırmışsınız.

REST komutları ile yapılandırma

Azure portalını kullanmaya alternatif olarak, rest komutlarını kullanarak denetimi sanal ağ ve güvenlik duvarının arkasındaki bir depolama hesabında veritabanı olayları yazacak şekilde yapılandırabilirsiniz.

Bu bölümdeki örnek betikler çalıştırmadan önce betiği güncelleştirmenizi gerektirir. Betiklerde aşağıdaki değerleri değiştirin:

Örnek değer	Örnek açıklama
<subscriptionId>	Azure abonelik kimliği
<resource group>	Kaynak grubu
<logical SQL Server>	Sunucu adı
<administrator login>	Yönetici hesabı
<complex password>	Yönetici hesabı için karmaşık parola

SQL Denetimi'nin sanal ağın veya Güvenlik Duvarı'nın arkasındaki depolama hesabına olay yazacak şekilde yapılandırılması için:

1. Sunucunuzu Microsoft Entra Id (eski adıyla Azure Active Directory) ile kaydedin. PowerShell veya REST API kullanın.

   PowerShell

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId <subscriptionId>
   Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
   

   REST API:

   Örnek isteği

   PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
   

   Request body

   {
   "identity": {
              "type": "SystemAssigned",
              },
   "properties": {
     "fullyQualifiedDomainName": "<azure server name>.database.windows.net",
     "administratorLogin": "<administrator login>",
     "administratorLoginPassword": "<complex password>",
     "version": "12.0",
     "state": "Ready"
     }
   }
   

2. Önceki adımda Microsoft Entra Id ile kaydettiğiniz veritabanını barındıran sunucuya Depolama Blob Veri Katkıda Bulunanı rolünü atayın.

   Ayrıntılı adımlar için bkz. Azure portalı kullanarak Azure rolleri atama.

   Dekont

   Bu adımı yalnızca Sahip ayrıcalığına sahip üyeler gerçekleştirebilir. Çeşitli Azure yerleşik rolleri için bkz . Azure yerleşik rolleri.

3. StorageAccountAccessKey belirtmeden sunucunun blob denetim ilkesini yapılandırın:

   Örnek isteği

     PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
   

   Request body

   {
     "properties": {
      "state": "Enabled",
      "storageEndpoint": "https://<storage account>.blob.core.windows.net"
     }
   }
   

Azure PowerShell’i kullanma

• Veritabanı Denetim İlkesi Oluşturma veya Güncelleştirme (Set-AzSqlDatabaseAudit)
• Sunucu Denetim İlkesi Oluşturma veya Güncelleştirme (Set-AzSqlServerAudit)

Azure Resource Manager şablonu kullanma

Denetimi, aşağıdaki örnekte gösterildiği gibi Azure Resource Manager şablonunu kullanarak sanal ağ ve güvenlik duvarının arkasındaki bir depolama hesabında veritabanı olayları yazacak şekilde yapılandırabilirsiniz:

Önemli

Depolama hesabını sanal ağ ve güvenlik duvarının arkasında kullanmak için is Depolama BehindVnet parametresini true olarak ayarlamanız gerekir

• Bir blob depolama alanına denetim günlükleri yazmak için Denetim etkinleştirilmiş bir Azure SQL Server dağıtma

Dekont

Bağlantılı örnek bir dış genel depodadır ve garanti olmadan 'olduğu gibi' sağlanır ve herhangi bir Microsoft destek programı/hizmeti altında desteklenmez.

Sonraki adımlar

• PowerShell kullanarak bir sanal ağ hizmet uç noktası ve ardından Azure SQL Veritabanı için bir sanal ağ kuralı oluşturun.
• Sanal Ağ Kuralları: REST API'leri ile işlemler
• Sunucular için sanal ağ hizmet uç noktalarını ve kurallarını kullanma