去年の年末くらいにPreviewになった機能なのですが2月1日にGAしたので試した内容を記しておきます。この機能を利用すればAzureStorageを仮想ネットワークーク内で扱うことができ外部からのアクセスをコントロールすることができます。
・GAアナウンス
・サービスエンドポイントの概要
※本記事は2018年2月11日時点の情報となります。
設定方法
まずは仮想ネットワークを作成します。作成時にサービスエンドポイントを有効にしましょう。有効にしたら利用するサービスを選択します。ここではStorageにチェックを付けます。
次にストレージアカウントの作成を行います。ストレージアカウント作成するときに仮想ネットワークを有効にします。先に作っておいた仮想ネットワークを選択してサブネットも選択して作成します。これで準備は完了です。
基本的に仮想ネットワーク内にストレージが配置されているので外部のネットワークからアクセスできなくなります。それはAzurePortalも例外ではなくPortalからコンテナを確認しようとするとアクセス権がありませんと表示されます。
仮想ネットワーク外の端末からAzureStorageExploreで見に行っても権限がないためエラーになります。
AzureStorageのファイヤウォールと仮想ネットワークの項目で設定を変更することが可能です。仮想ネットワーク内にある場合は下記のように表示されます。例外として「信頼されたMicroSoftサービス(SotrageExplore等)」によるアクセスと「ストレージに出力されるログ情報」と「診断メトリック」に対するアクセスに許可を施すことができます。また、ファイヤーウォールの設定でアクセスIPの許可を施すこともできます。
同じ仮想ネットワーク内に含まれている仮想マシンからAzureStorageExploreでアクセスすると問題なくアクセスしてオペレーションすることが出来ます。
今までは接続文字列やSAS等を利用してアクセス制限を行ってきましたが、ネットワークレイヤーでアクセス制限を実施する事が出来るためセキュリティレベルは上がったと思います。画像を見て気づいたかもといると思いますがSQLServerも同様にサービスエンドポイントによるアクセス制限が出来るようになりました。そちらはまた別途記事にしたいと思います。
コメント