Skriva granskning till ett lagringskonto bakom VNet och brandväggen
Gäller för:
Azure SQL DatabaseAzure Synapse Analytics
Granskning för Azure SQL Database och Azure Synapse Analytics stöder skrivning av databashändelser till ett Azure Storage-konto bakom ett virtuellt nätverk och en brandvägg.
I den här artikeln beskrivs två sätt att konfigurera Azure SQL Database och Azure Storage-kontot för det här alternativet. Den första använder Azure-portalen, den andra använder REST.
Bakgrund
Azure Virtual Network (VNet) är den grundläggande byggstenen för ditt privata nätverk i Azure. Med VNet kan många typer av Azure-resurser, till exempel Virtuella Azure-datorer (VM), kommunicera säkert med varandra, Internet och lokala nätverk. VNet liknar ett traditionellt nätverk i ditt eget datacenter, men medför ytterligare fördelar med Azure-infrastruktur som skalning, tillgänglighet och isolering.
Mer information om VNet-begrepp, metodtips och mycket mer finns i Vad är Azure Virtual Network?
Mer information om hur du skapar ett virtuellt nätverk finns i Snabbstart: Skapa ett virtuellt nätverk med Hjälp av Azure-portalen.
Förutsättningar
För granskning för att skriva till ett lagringskonto bakom ett VNet eller en brandvägg krävs följande krav:
- Ett allmänt v2-lagringskonto. Om du har ett v1- eller bloblagringskonto för generell användning uppgraderar du till ett allmänt v2-lagringskonto. Mer information finns i Typer av lagringskonton.
- Premium-lagringen med BlockBlobStorage stöds
- Lagringskontot måste finnas på samma klientorganisation och på samma plats som den logiska SQL-servern (det är OK att ha olika prenumerationer).
- Azure Storage-kontot kräver
Allow trusted Microsoft services to access this storage account. Ange detta i brandväggarna för lagringskontot och virtuella nätverk. - Du måste ha
Microsoft.Authorization/roleAssignments/writebehörighet för det valda lagringskontot. Mer information finns i Inbyggda roller i Azure.
Kommentar
När Granskning till lagringskonto redan är aktiverat på en server/databas, och om mållagringskontot flyttas bakom en brandvägg, förlorar vi skrivåtkomsten till lagringskontot och granskningsloggarna slutar skrivas till det. För att granskning ska fungera måste vi spara om granskningsinställningarna från portalen.
Konfigurera i Azure Portal
Anslut till Azure-portalen med din prenumeration. Gå till resursgruppen och servern.
Klicka på Granskning under rubriken Säkerhet. Välj På.
Välj Storage. Välj det lagringskonto där loggarna ska sparas. Lagringskontot måste uppfylla kraven som anges i Krav.
Öppna lagringsinformation
Kommentar
Om det valda lagringskontot ligger bakom det virtuella nätverket visas följande meddelande:
You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.
Om du inte ser det här meddelandet ligger lagringskontot inte bakom ett virtuellt nätverk.
Välj antalet dagar för kvarhållningsperioden. Klicka sedan på OK. Loggar som är äldre än kvarhållningsperioden tas bort.
Välj Spara i granskningsinställningarna.
Du har konfigurerat granskning för att skriva till ett lagringskonto bakom ett virtuellt nätverk eller en brandvägg.
Konfigurera med REST-kommandon
Som ett alternativ till att använda Azure-portalen kan du använda REST-kommandon för att konfigurera granskning för att skriva databashändelser på ett lagringskonto bakom ett virtuellt nätverk och en brandvägg.
Exempelskripten i det här avsnittet kräver att du uppdaterar skriptet innan du kör dem. Ersätt följande värden i skripten:
| Exempelvärde | Exempelbeskrivning |
|---|---|
<subscriptionId> |
Azure-prenumerations-ID |
<resource group> |
Resursgrupp |
<logical SQL Server> |
Servernamn |
<administrator login> |
Administratörskonto |
<complex password> |
Komplext lösenord för administratörskontot |
Så här konfigurerar du SQL Audit för att skriva händelser till ett lagringskonto bakom ett virtuellt nätverk eller en brandvägg:
Registrera servern med Microsoft Entra-ID (tidigare Azure Active Directory). Använd antingen PowerShell eller REST API.
PowerShell
Connect-AzAccount Select-AzSubscription -SubscriptionId <subscriptionId> Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentityExempelbegäran
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-previewBegärandetext
{ "identity": { "type": "SystemAssigned", }, "properties": { "fullyQualifiedDomainName": "<azure server name>.database.windows.net", "administratorLogin": "<administrator login>", "administratorLoginPassword": "<complex password>", "version": "12.0", "state": "Ready" } }Tilldela rollen Storage Blob Data Contributor till servern som är värd för databasen som du registrerade med Microsoft Entra-ID i föregående steg.
Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.
Kommentar
Endast medlemmar med ägarbehörighet kan utföra det här steget. För olika inbyggda Azure-roller kan du läsa inbyggda Azure-roller.
Konfigurera serverns blobgranskningsprincip utan att ange en storageAccountAccessKey:
Exempelbegäran
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-previewBegärandetext
{ "properties": { "state": "Enabled", "storageEndpoint": "https://<storage account>.blob.core.windows.net" } }
Använda Azure PowerShell
- Skapa eller uppdatera databasgranskningsprincip (Set-AzSqlDatabaseAudit)
- Skapa eller uppdatera servergranskningsprincip (Set-AzSqlServerAudit)
Använda Azure Resource Manager-mall
Du kan konfigurera granskning för att skriva databashändelser på ett lagringskonto bakom det virtuella nätverket och brandväggen med hjälp av Azure Resource Manager-mallen , som du ser i följande exempel:
Viktigt!
För att kunna använda lagringskontot bakom det virtuella nätverket och brandväggen måste du ange parametern isStorageBehindVnet till true
Kommentar
Det länkade exemplet finns på en extern offentlig lagringsplats och tillhandahålls i befintligt fall, utan garanti, och stöds inte under microsofts supportprogram/-tjänster.