Dela via

Konfigurera tjänstslutpunktsprinciper för Azure SQL Managed Instance

Applies to:Azure SQL Managed Instance

Genom att använda tjänstslutpunktsprinciper för Azure Storage tjänstslutpunkter i ett virtuellt nätverksundernät (VNet) kan du filtrera utgående trafik för virtuella nätverk för att Azure Storage och begränsa dataöverföringar till specifika lagringskonton.

Viktiga fördelar

Att konfigurera Virtual Network Azure Storage tjänstslutpunktsprinciper för din Azure SQL Managed Instance ger följande fördelar:

  • Förbättrad säkerhet för din Azure SQL Managed Instance trafik till Azure Storage: Slutpunktsprinciper upprättar en säkerhetskontroll som förhindrar felaktig eller skadlig exfiltrering av affärskritiska data. Du kan begränsa trafiken till endast de lagringskonton som är kompatibla med dina datastyrningskrav.

  • detaljerad kontroll över vilka lagringskonton som kan nås: Tjänstslutpunktsprinciper kan tillåta trafik till lagringskonton på prenumerations-, resursgrupps- och individuell lagringskontonivå. Administratörer kan använda tjänstslutpunktsprinciper för att framtvinga efterlevnad av organisationens datasäkerhetsarkitektur i Azure.

  • Systemtrafik påverkas inte: Tjänstslutpunktsprinciper hindrar aldrig åtkomst till lagring som krävs för att Azure SQL Managed Instance ska fungera. Den här lagringen omfattar säkerhetskopior, datafiler, transaktionsloggfiler och andra tillgångar.

Tjänstslutpunktsprinciper styr endast trafik som kommer från SQL Managed Instance undernät och avslutas i Azure Storage. De påverkar inte andra metoder för utgående data. De påverkar till exempel inte export av databasen till en lokal BACPAC-fil, Azure Data Factory integrering, dataexfiltrering till andra molnleverantörer eller andra mekanismer för dataextrahering som inte direkt riktar sig mot Azure Storage. Du kan skydda dessa vägar med hjälp av andra trafikkontroller, till exempel användardefinierade vägar, nätverkssäkerhetsgrupper och Azure Firewall.

Begränsningar

Tjänstslutpunktsprinciper för Azure SQL Managed Instance har följande begränsningar:

  • Tjänstslutpunktsprinciper för Azure Storage i hanterade instansundernät är tillgängliga i alla Azure regioner där SQL Managed Instance stöds förutom de som anges i Service endpoint policy regional tillgänglighet.
  • Du kan bara använda den här funktionen med virtuella nätverk som distribueras via Azure Resource Manager distributionsmodellen.
  • Du kan bara använda den här funktionen i undernät som har tjänstslutpunkter för Azure Storage aktiverat.
  • När du tilldelar en tjänstslutpunktsprincip till en tjänstslutpunkt uppgraderas slutpunkten från att vara regional till att ha global omfattning. Med andra ord går all trafik till Azure Storage via tjänstslutpunkten oavsett i vilken region lagringskontot finns.
  • Att tillåta ett lagringskonto ger dig automatiskt åtkomst till dess sekundära RA-GRS, om det finns.

Förbereda lagringslager

Innan du konfigurerar tjänstslutpunktsprinciper i ett undernät skapar du en lista över lagringskonton som den hanterade instansen behöver åtkomst till i undernätet.

Följande arbetsflöden kan kontakta Azure Storage:

Observera kontonamnet, resursgruppen och prenumerationen för alla lagringskonton som deltar i dessa eller andra arbetsflöden som har åtkomst till lagring.

Konfigurera principer

Skapa först din tjänstslutspunktsprincip och associera den sedan med SQL Managed Instance-subnätet. Ändra arbetsflödet i det här avsnittet så att det passar dina affärsbehov.

Anteckning

  • SQL Managed Instance undernät kräver att principer innehåller tjänstaliaset /Services/Azure/ManagedInstance (se steg 5).

Skapa en tjänsteslutpunktspolicy

Följ dessa steg för att skapa en tjänstslutpunktsprincip:

  1. Logga in på Azure-portalen.

  2. Välj + Skapa en resurs.

  3. I sökfönstret anger du tjänstslutpunktsprincip, väljer tjänstslutpunktsprincipoch väljer sedan Skapa.

    Skärmbild som visar hur du skapar en slutpunktsprincip för tjänster.

  4. Fyll i följande värden på sidan Grundläggande:

    • Prenumeration: Välj prenumerationen för policyn i listrutan.
    • Resursgrupp: Välj resursgruppen där den hanterade instansen finns eller välj Skapa ny och fyll i namnet på en ny resursgrupp.
    • Namn: Ange ett namn för din princip, till exempel mySEP-.
    • Plats: Välj region för det virtuella nätverk som är värd för den hanterade instansen.

    Skärmbild som visar fliken Grundläggande för att skapa en policy för tjänstslutpunkt.

  5. I principdefinitionerväljer du Lägg till ett alias och anger följande information i fönstret Lägg till ett alias:

    • Tjänstalias: Välj /Services/Azure/ManagedInstance.
    • Välj Lägg till för att slutföra tillägg av tjänstaliaset.

    Skärmbild som visar att lägga till ett alias i en slutpunktspolicy för tjänster.

  6. I Principdefinitioner väljer du + Lägg till under Resurser och anger eller väljer följande information i fönstret Lägg till en resurs :

    • Tjänst: Välj Microsoft. Lagring.
    • Omfång: Välj Alla konton i prenumerationen.
    • Prenumeration: Välj en prenumeration som innehåller de lagringskonton som ska tillåtas. Konsultera din inventering av Azure-lagringskonton som skapades tidigare.
    • Välj Lägg till för att slutföra tillägg av resursen.
    • Upprepa det här steget om du vill lägga till ytterligare prenumerationer.

    Skärmbild som visar hur du lägger till en resurs i en slutpunktsprincip för tjänster.

  7. (Valfritt) Konfigurera taggar på tjänstslutpunktsprincipen under Taggar.

  8. Välj Granska + Skapa. Verifiera informationen och välj Skapa. Om du vill göra ytterligare ändringar väljer du Föregående.

Tips

Konfigurera först principer för att tillåta åtkomst till hela prenumerationer. Verifiera konfigurationen genom att se till att alla arbetsflöden fungerar som de ska. Du kan också konfigurera om principer för att tillåta enskilda lagringskonton eller konton i en resursgrupp. Om du vill göra det väljer du Enskilt konto eller Alla konton i resursgruppen i fältet Omfång: i stället och fyller i de andra fälten i enlighet med detta.

Associera princip med undernät

När du har skapat din tjänstslutpunktsprincip associerar du principen med ditt SQL Managed Instance undernät.

Följ dessa steg för att koppla din regel:

  1. I rutan Alla tjänster i Azure-portalen söker du efter virtuella nätverk. Välj Virtuella nätverk.

  2. Leta upp och välj det virtuella nätverk som är värd för din hanterade instans.

  3. Välj undernät och välj det undernät som är dedikerat till din hanterade instans. Ange följande information i undernätsfönstret:

    • Tjänster: Välj Microsoft. Lagring. Om det här fältet är tomt måste du konfigurera tjänstslutpunkten för Azure Storage i det här undernätet.
    • Tjänstslutpunktsprinciper: Välj alla tjänstslutpunktsprinciper som du vill tillämpa på SQL Managed Instance undernätet.

    Skärmbild som visar hur du associerar en tjänstslutpunktsprincip med ett undernät.

  4. Välj Spara för att slutföra konfigurationen av det virtuella nätverket.

Varning

Om principerna i det här undernätet inte har aliaset /Services/Azure/ManagedInstance kan följande fel visas: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy. Details: Service endpoint policies on subnet are missing definitions Du kan lösa det här felet genom att uppdatera alla principer i undernätet så att de inkluderar aliaset /Services/Azure/ManagedInstance.

Relaterat innehåll

  • Last updated on