Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Applies to:
Azure SQL Managed Instance
Met behulp van service-eindpuntbeleid voor Azure Storage service-eindpunten op een VNet-subnet (virtueel netwerk), kunt u uitgaand netwerkverkeer filteren op Azure Storage en gegevensoverdracht beperken tot specifieke opslagaccounts.
Belangrijkste voordelen
Het configureren van beleid voor Virtual Network Azure Storage service-eindpunten voor uw Azure SQL Managed Instance biedt de volgende voordelen:
Verbeterde beveiliging voor het verkeer van uw Azure SQL Managed Instance naar Azure Storage: Eindpuntbeleid stelt een beveiligingsmaatregel in om onjuiste of schadelijke exfiltratie van bedrijfskritieke gegevens te voorkomen. U kunt verkeer beperken tot alleen de opslagaccounts die voldoen aan uw vereisten voor gegevensbeheer.
gedetailleerde controle over welke opslagaccounts kunnen worden geopend: beleid voor service-eindpunten kan verkeer naar opslagaccounts op abonnements-, resourcegroep- en afzonderlijk opslagaccountniveau toestaan. Beheerders kunnen beleidsregels voor service-eindpunten gebruiken om naleving van de architectuur voor gegevensbeveiliging van de organisatie in Azure af te dwingen.
Systeemverkeer blijft ongewijzigd: Beleid voor service-eindpunten belemmert nooit de toegang tot opslag die vereist is voor Azure SQL Managed Instance om te kunnen functioneren. Deze opslag omvat back-ups, gegevensbestanden, transactielogboekbestanden en andere assets.
Beleidsregels voor service-eindpunten beheren alleen verkeer dat afkomstig is van het SQL Managed Instance subnet en wordt beëindigd in Azure Storage. Ze hebben geen invloed op andere manieren van uitgaand gegevensverkeer. Ze hebben bijvoorbeeld geen invloed op het exporteren van de database naar een on-premises BACPAC-bestand, Azure Data Factory integratie, gegevensexfiltratie naar andere cloudproviders of andere mechanismen voor gegevensextractie die niet rechtstreeks zijn gericht op Azure Storage. U kunt deze paden beveiligen met behulp van andere manieren van verkeersbeheer, zoals door de gebruiker gedefinieerde routes, netwerkbeveiligingsgroepen en Azure Firewall.
Beperkingen
Beleidsregels voor service-eindpunten van Azure SQL Managed Instance hebben de volgende beperkingen:
- Beleidsregels voor service-eindpunten voor Azure Storage in subnetten van beheerde exemplaren zijn beschikbaar in alle Azure regio's waar SQL Managed Instance wordt ondersteund, behalve de beleidsregels die worden vermeld in Regionale beschikbaarheid van eindpuntbeleid voor services.
- U kunt deze functie alleen gebruiken met virtuele netwerken die zijn geïmplementeerd via het Azure Resource Manager-implementatiemodel.
- U kunt deze functie alleen gebruiken in subnetten met service-eindpunten voor Azure Storage ingeschakeld.
- Als u een service-eindpuntbeleid toewijst aan een service-eindpunt, wordt het eindpunt bijgewerkt van regionaal naar globaal bereik. Met andere woorden, al het verkeer naar Azure Storage gaat via het service-eindpunt, ongeacht de regio waarin het opslagaccount zich bevindt.
- Als een opslagaccount wordt toegestaan, verleent het automatisch toegang tot de RA-GRS secundaire locatie, indien aanwezig.
Opslaginventaris voorbereiden
Voordat u beleid voor service-eindpunten in een subnet configureert, maakt u een lijst met opslagaccounts waartoe het beheerde exemplaar toegang nodig heeft in dat subnet.
De volgende werkstromen kunnen contact opnemen met Azure Storage:
- SQL Server Audit in Azure SQL Managed Instance naar Azure Storage.
- Het uitvoeren van een copy-only back-up naar Azure Storage.
- Herstellen van een database vanuit Azure Storage.
- Gegevens importeren met BULK INSERT of OPENROWSET(BULK ...).
- Het loggen van uitgebreide gebeurtenissen naar een doelbestand op Azure Storage.
- Azure DMS offline migratie naar Azure SQL Managed Instance.
- Migratie van Log Replay Service naar Azure SQL Managed Instance.
- Tabellen synchroniseren met behulp van transactionele replicatie.
Noteer de accountnaam, resourcegroep en het abonnement voor elk opslagaccount dat deelneemt aan deze of andere werkstromen die toegang hebben tot opslag.
Beleid configureren
Maak eerst het service-eindpuntbeleid en koppel het aan het SQL Managed Instance subnet. Wijzig de werkstroom in deze sectie zodat deze aan uw zakelijke behoeften voldoet.
Notitie
- SQL Managed Instance subnetten moeten beleidsregels bevatten die de alias /Services/Azure/ManagedInstance-service bevatten (zie stap 5).
Beleid voor service-eindpunten maken
Voer de volgende stappen uit om beleid voor service-eindpunten te maken:
Meld u aan bij de Azure-portal.
Selecteer + Maak een resource aan.
Voer in het zoekvenster beleid voor service-eindpunten in, selecteer beleid voor service-eindpuntenen selecteer vervolgens maken.
Vul de volgende waarden in op de pagina Basisinformatie:
- Abonnement: Selecteer het abonnement voor uw beleid in de vervolgkeuzelijst.
- Resourcegroep: Selecteer de resourcegroep waarin uw beheerde exemplaar zich bevindt of selecteer Nieuwe maken en vul de naam in voor een nieuwe resourcegroep.
- Naam: Geef een naam op voor uw beleid, zoals mySEP-.
- Locatie: Selecteer de regio van het virtuele netwerk dat als host fungeert voor het beheerde exemplaar.
Selecteer in BeleidsdefinitiesEen alias toevoegen en voer de volgende informatie in het deelvenster Een alias toevoegen in:
- Servicealias: selecteer /Services/Azure/ManagedInstance.
- Selecteer Toevoegen om het toevoegen van de servicealias te voltooien.
Selecteer + Toevoegen onder Resources in beleidsdefinities en voer de volgende informatie in het deelvenster Een resource toevoegen in of selecteer deze:
- Service: selecteer Microsoft. Opslag.
- Bereik: selecteer Alle accounts in het abonnement.
- Abonnement: Selecteer een abonnement met de opslagaccounts die u wilt toestaan. Raadpleeg uw overzicht van Azure storageaccounts die u eerder heeft aangemaakt.
- Selecteer Toevoegen om het toevoegen van de resource te voltooien.
- Herhaal deze stap om extra abonnementen toe te voegen.
(Optioneel) Configureer tags in het beleid voor service-eindpunten onder Tags.
Selecteer Controleren enmaken. Valideer de gegevens en selecteer Creëer. Als u verdere wijzigingen wilt aanbrengen, selecteert u Vorige.
Aanbeveling
Configureer eerst beleidsregels om toegang tot volledige abonnementen toe te staan. Valideer de configuratie door ervoor te zorgen dat alle werkstromen normaal werken. Herconfigureer eventueel beleidsregels om afzonderlijke opslagaccounts of accounts in een resourcegroep toe te staan. Selecteer hiervoor Enkele account of Alle accounts in de resource-groep in het Bereik: veld en vul de andere velden dienovereenkomstig in.
Beleid koppelen aan subnet
Nadat u het service-eindpuntbeleid hebt gemaakt, koppelt u het beleid aan uw SQL Managed Instance subnet.
Voer de volgende stappen uit om uw beleid te koppelen:
Zoek in het vak All services in de Azure-portal naar virtuele netwerken. Selecteer virtuele netwerken.
Zoek en selecteer het virtuele netwerk dat als host fungeert voor uw beheerde exemplaar.
Selecteer Subnetten en kies het subnet dat is toegewezen aan uw beheerde exemplaar. Voer de volgende informatie in het subnetvenster in:
- Services: selecteer Microsoft. Opslag. Als dit veld leeg is, moet u het service-eindpunt configureren voor Azure Storage op dit subnet.
- Beleid voor service-eindpunten: selecteer beleidsregels voor service-eindpunten die u wilt toepassen op het SQL Managed Instance subnet.
Selecteer Opslaan om het virtuele netwerk te configureren.
Waarschuwing
Als het beleid voor dit subnet niet beschikt over de alias /Services/Azure/ManagedInstance, ziet u mogelijk de volgende fout:
Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.
Details: Service endpoint policies on subnet are missing definitions U kunt deze fout oplossen door alle beleidsregels op het subnet bij te werken om de alias /Services/Azure/ManagedInstance op te nemen.