Azure Resource Manager サービス タグの使用方法について理解する

AzureResourceManager サービス タグを使用すると、個々の IP アドレスを指定せずに、Azure Resource Manager サービスのネットワーク アクセスを定義できます。 サービス タグは、セキュリティ規則の作成の複雑さを最小限に抑えるために使用する、IP アドレス プレフィックスのグループです。 サービス タグを使用すると、サービスの IP アドレスが変更されたときに Azure によって自動的に更新されます。 ただし、サービス タグはセキュリティ制御メカニズムではありません。 サービス タグは単なる IP アドレスの一覧です。

いつ使用するか

サービス タグを使用して、次のネットワーク アクセス制御を定義します。

  • ネットワーク セキュリティ グループ (NSG)
  • Azure Firewall 規則
  • ユーザー定義のルーティング (UDR)

これらのシナリオに加えて、AzureResourceManager サービス タグを使用して次を行います。

  • ARM テンプレートのデプロイ内で参照されるリンクされたテンプレートへのアクセスを制限します。
  • Bicep 拡張性を介してアクセスされる Kubernetes コントロール プレーンへのアクセスを制限します。

セキュリティに関する考慮事項

Azure Resource Manager サービス タグは、ネットワーク アクセスの定義に役立ちますが、適切なネットワーク セキュリティ対策の代わりと見なすべきではありません。 特に、Azure Resource Manager サービス タグは次のとおりです。

  • 個々の IP アドレスをきめ細かく制御することはできません。
  • ネットワークをセキュリティで保護する唯一の方法として依存しないでください。

監視と自動化

インフラストラクチャを監視する場合は、Azure ネットワーク スタックのサービス タグに関連付けられている特定の IP アドレス プレフィックスを使用します。

デプロイの自動化と監視のために、サービスのタグ付けされた範囲のパブリック IP のみが、サービスの顧客向けの部分で使用されていることを確認します。

次のステップ

サービス タグについて詳しくは、「仮想ネットワークのサービス タグ」を参照してください。