Sanal ağ ve güvenlik duvarının arkasındaki depolama hesabına denetim yazma

Şunlar için geçerlidir: Azure SQL Veritabanı Azure Synapse Analytics

Azure SQL Veritabanı ve Azure Synapse Analytics denetimi, sanal ağ ve güvenlik duvarının arkasındaki bir Azure Depolama hesabına veritabanı olayları yazmayı destekler.

Bu makalede, bu seçenek için Azure SQL Veritabanı ve Azure depolama hesabını yapılandırmanın iki yolu açıklanmaktadır. birincisi Azure portal, ikincisi REST kullanır.

Arka Plan

Azure Sanal Ağ (VNet), Azure'daki özel ağınız için temel yapı taşıdır. Sanal ağ, Azure Sanal Makineler (VM) gibi birçok Azure kaynağı türünün birbiriyle, İnternet'le ve şirket içi ağlarla güvenli bir şekilde iletişim kurmasını sağlar. Sanal ağ, kendi veri merkezinizdeki geleneksel bir ağa benzer, ancak azure altyapısının ölçek, kullanılabilirlik ve yalıtım gibi ek avantajlarını da beraberinde getirir.

Sanal ağ kavramları, En iyi uygulamalar ve daha fazlası hakkında daha fazla bilgi edinmek için bkz. Azure Sanal Ağ nedir?

Sanal ağ oluşturma hakkında daha fazla bilgi edinmek için bkz. Hızlı Başlangıç: Azure portal kullanarak sanal ağ oluşturma.

Önkoşullar

Denetimin bir sanal ağın veya güvenlik duvarının arkasındaki bir depolama hesabına yazabilmek için aşağıdaki önkoşullar gereklidir:

  • Genel amaçlı v2 depolama hesabı. Genel amaçlı v1 veya blob depolama hesabınız varsa, genel amaçlı v2 depolama hesabına yükseltin. Daha fazla bilgi için bkz. Depolama hesabı türleri.
  • BlockBlobStorage ile premium depolama desteklenir
  • Depolama hesabı, mantıksal SQL sunucusuyla aynı kiracıda ve aynı konumda olmalıdır (farklı aboneliklerde olmak normaldir).
  • Azure Depolama hesabı gerektirir Allow trusted Microsoft services to access this storage account. Bunu Depolama Hesabı Güvenlik Duvarları ve Sanal ağlarda ayarlayın.
  • Seçili depolama hesabı üzerinde izniniz olmalıdır Microsoft.Authorization/roleAssignments/write . Daha fazla bilgi için bkz. Azure yerleşik rolleri.
  • Güvenlik duvarının arkasındaki depolamada denetimi etkinleştirmeye yönelik kullanıcı tarafından yönetilen kimlik kimlik doğrulama türü şu anda desteklenmiyor.

Not

Bir sunucuda / db'de hesap denetimi zaten etkinleştirildiğinde ve hedef depolama hesabı bir güvenlik duvarının arkasına taşınırsa depolama hesabına yazma erişimini kaybederiz ve denetim günlükleri buna yazılmayı durdurur. Denetim çalışması yapmak için denetim ayarlarını portaldan yeniden kaydetmemiz gerekir.

Azure portalında yapılandırma

Aboneliğinizle Azure portal bağlanın. Kaynak grubuna ve sunucuya gidin.

  1. Güvenlik başlığı altında Denetim'e tıklayın. Açık'ı seçin.

  2. Depolama’yı seçin. Günlüklerin kaydedileceği depolama hesabını seçin. Depolama hesabının Önkoşullar bölümünde listelenen gereksinimlere uyması gerekir.

  3. Depolama ayrıntılarını açma

Not

Seçili Depolama hesabı sanal ağın arkasındaysa aşağıdaki iletiyi görürsünüz:

You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.

Bu iletiyi görmüyorsanız depolama hesabı bir sanal ağın arkasında değildir.

  1. Bekletme dönemi için gün sayısını seçin. Daha sonra, Tamam'a tıklayın. Saklama süresinden eski günlükler silinir.

  2. Denetim ayarlarınızda Kaydet'i seçin.

Denetimi bir sanal ağın veya güvenlik duvarının arkasındaki bir depolama hesabına yazacak şekilde başarıyla yapılandırmışsınız.

REST komutları ile yapılandırma

Azure portal kullanmaya alternatif olarak, rest komutlarını kullanarak denetimi bir sanal ağ ve güvenlik duvarının arkasındaki depolama hesabına veritabanı olayları yazacak şekilde yapılandırabilirsiniz.

Bu bölümdeki örnek betikler çalıştırmadan önce betiği güncelleştirmenizi gerektirir. Betiklerde aşağıdaki değerleri değiştirin:

Örnek değer Örnek açıklama
<subscriptionId> Azure abonelik kimliği
<resource group> Kaynak grubu
<logical SQL Server> Sunucu adı
<administrator login> Yönetici hesabı
<complex password> Yönetici hesabı için karmaşık parola

SQL Denetimini bir sanal ağın veya Güvenlik Duvarı'nın arkasındaki depolama hesabına olay yazacak şekilde yapılandırmak için:

  1. Sunucunuzu Azure Active Directory'ye (Azure AD) kaydedin. PowerShell veya REST API kullanın.

    PowerShell

    Connect-AzAccount
    Select-AzSubscription -SubscriptionId <subscriptionId>
    Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
    

    REST API:

    Örnek istek

    PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
    

    İstek gövdesi

    {
    "identity": {
               "type": "SystemAssigned",
               },
    "properties": {
      "fullyQualifiedDomainName": "<azure server name>.database.windows.net",
      "administratorLogin": "<administrator login>",
      "administratorLoginPassword": "<complex password>",
      "version": "12.0",
      "state": "Ready"
      }
    }
    
  2. Depolama Blob Verileri Katkıda Bulunanı rolünü, önceki adımda Azure Active Directory'ye (Azure AD) kaydettiğiniz veritabanını barındıran sunucuya atayın.

    Ayrıntılı adımlar için bkz. Azure portal kullanarak Azure rolleri atama.

    Not

    Bu adımı yalnızca Sahip ayrıcalığına sahip üyeler gerçekleştirebilir. Çeşitli Azure yerleşik rolleri için bkz. Azure yerleşik rolleri.

  3. StorageAccountAccessKey belirtmeden sunucunun blob denetim ilkesini yapılandırın:

    Örnek istek

      PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
    

    İstek gövdesi

    {
      "properties": {
       "state": "Enabled",
       "storageEndpoint": "https://<storage account>.blob.core.windows.net"
      }
    }
    

Azure PowerShell’i kullanma

Azure Resource Manager şablonu kullanma

Denetimi, aşağıdaki örnekte gösterildiği gibi Azure Resource Manager şablonunu kullanarak sanal ağ ve güvenlik duvarının arkasındaki bir depolama hesabında veritabanı olayları yazacak şekilde yapılandırabilirsiniz:

Önemli

Depolama hesabını sanal ağ ve güvenlik duvarı arkasında kullanmak için isStorageBehindVnet parametresini true olarak ayarlamanız gerekir

Not

Bağlantılı örnek bir dış genel depodadır ve garanti olmadan 'olduğu gibi' sağlanır ve herhangi bir Microsoft destek programı/hizmeti altında desteklenmez.

Sonraki adımlar