Sanal ağ ve güvenlik duvarının arkasındaki depolama hesabına denetim yazma
Şunlar için geçerlidir:
Azure Synapse Analytics Azure SQL Veritabanı
Azure SQL Veritabanı ve Azure Synapse Analytics için denetim, sanal ağ ve güvenlik duvarının arkasındaki bir Azure Depolama hesabına veritabanı olayları yazmayı destekler.
Bu makalede, bu seçenek için Azure SQL Veritabanı ve Azure depolama hesabını yapılandırmanın iki yolu açıklanmaktadır. Birincisi Azure portalını, ikincisi REST'i kullanır.
Background
Azure Sanal Ağ (VNet), Azure'daki özel ağınız için temel yapı taşıdır. Sanal ağ, Azure Sanal Makineler (VM) gibi birçok azure kaynağının birbiriyle, İnternet'le ve şirket içi ağlarla güvenli bir şekilde iletişim kurmasını sağlar. Sanal ağ, kendi veri merkezinizdeki geleneksel bir ağa benzer, ancak azure altyapısının ölçek, kullanılabilirlik ve yalıtım gibi ek avantajlarını da beraberinde getirir.
Sanal ağ kavramları, En iyi yöntemler ve daha fazlası hakkında daha fazla bilgi edinmek için bkz. Azure Sanal Ağ nedir?
Sanal ağ oluşturma hakkında daha fazla bilgi edinmek için bkz . Hızlı Başlangıç: Azure portalını kullanarak sanal ağ oluşturma.
Önkoşullar
Denetimin bir sanal ağın veya güvenlik duvarının arkasındaki bir depolama hesabına yazabilmek için aşağıdaki önkoşullar gereklidir:
- Genel amaçlı v2 depolama hesabı. Genel amaçlı v1 veya blob depolama hesabınız varsa, genel amaçlı v2 depolama hesabına yükseltin. Daha fazla bilgi için bkz . Depolama hesabı türleri.
- BlockBlobStorage ile premium depolama desteklenir
- Depolama hesabının mantıksal SQL sunucusuyla aynı kiracıda ve aynı konumda olması gerekir (farklı aboneliklerde olmak sorun değildir).
- Azure Depolama hesabı için gerekir
Allow trusted Microsoft services to access this storage account. Bunu Depolama Hesabı Güvenlik Duvarları ve Sanal ağlarda ayarlayın. - Seçili depolama hesabı üzerinde izniniz olmalıdır
Microsoft.Authorization/roleAssignments/write. Daha fazla bilgi için bkz. Azure yerleşik rolleri.
Not
Depolama hesabına yönelik denetim bir sunucuda / db'de zaten etkinleştirildiğinde ve hedef depolama hesabı bir güvenlik duvarının arkasına taşınırsa depolama hesabına yazma erişimini kaybederiz ve denetim günlükleri buna yazılmayı durdurur. Denetim çalışması yapmak için denetim ayarlarını portaldan yeniden kaydetmemiz gerekir.
Azure portalında yapılandırma
Aboneliğinizle Azure portalına bağlanın. Kaynak grubuna ve sunucuya gidin.
Güvenlik başlığı altında Denetim'e tıklayın. Açık'ı seçin.
Depolama’yı seçin. Günlüklerin kaydedileceği depolama hesabını seçin. Depolama hesabının Önkoşullar bölümünde listelenen gereksinimlere uyması gerekir.
Depolama ayrıntılarını açma
Not
Seçilen Depolama hesabı sanal ağın arkasındaysa aşağıdaki iletiyi görürsünüz:
You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.
Bu iletiyi görmüyorsanız depolama hesabı bir sanal ağın arkasında değildir.
Bekletme dönemi için gün sayısını seçin. Daha sonra, Tamam'a tıklayın. Saklama süresinden eski günlükler silinir.
Denetim ayarlarınızda Kaydet'i seçin.
Denetimi, bir sanal ağın veya güvenlik duvarının arkasındaki bir depolama hesabına yazacak şekilde başarıyla yapılandırmışsınız.
REST komutları ile yapılandırma
Azure portalını kullanmaya alternatif olarak, rest komutlarını kullanarak denetimi sanal ağ ve güvenlik duvarının arkasındaki bir depolama hesabında veritabanı olayları yazacak şekilde yapılandırabilirsiniz.
Bu bölümdeki örnek betikler çalıştırmadan önce betiği güncelleştirmenizi gerektirir. Betiklerde aşağıdaki değerleri değiştirin:
| Örnek değer | Örnek açıklama |
|---|---|
<subscriptionId> |
Azure abonelik kimliği |
<resource group> |
Kaynak grubu |
<logical SQL Server> |
Sunucu adı |
<administrator login> |
Yönetici hesabı |
<complex password> |
Yönetici hesabı için karmaşık parola |
SQL Denetimi'nin sanal ağın veya Güvenlik Duvarı'nın arkasındaki depolama hesabına olay yazacak şekilde yapılandırılması için:
Sunucunuzu Microsoft Entra Id (eski adıyla Azure Active Directory) ile kaydedin. PowerShell veya REST API kullanın.
PowerShell
Connect-AzAccount Select-AzSubscription -SubscriptionId <subscriptionId> Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentityÖrnek isteği
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-previewRequest body
{ "identity": { "type": "SystemAssigned", }, "properties": { "fullyQualifiedDomainName": "<azure server name>.database.windows.net", "administratorLogin": "<administrator login>", "administratorLoginPassword": "<complex password>", "version": "12.0", "state": "Ready" } }Önceki adımda Microsoft Entra Id'ye kaydettiğiniz veritabanını barındıran sunucuya Depolama Blob Verileri Katkıda Bulunanı rolünü atayın.
Ayrıntılı adımlar için bkz. Azure portalı kullanarak Azure rolleri atama.
Not
Bu adımı yalnızca Sahip ayrıcalığına sahip üyeler gerçekleştirebilir. Çeşitli Azure yerleşik rolleri için bkz . Azure yerleşik rolleri.
StorageAccountAccessKey belirtmeden sunucunun blob denetim ilkesini yapılandırın:
Örnek isteği
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-previewRequest body
{ "properties": { "state": "Enabled", "storageEndpoint": "https://<storage account>.blob.core.windows.net" } }
Azure PowerShell’i kullanma
- Veritabanı Denetim İlkesi Oluşturma veya Güncelleştirme (Set-AzSqlDatabaseAudit)
- Sunucu Denetim İlkesi Oluşturma veya Güncelleştirme (Set-AzSqlServerAudit)
Azure Resource Manager şablonu kullanma
Denetimi, aşağıdaki örnekte gösterildiği gibi Azure Resource Manager şablonunu kullanarak sanal ağ ve güvenlik duvarının arkasındaki bir depolama hesabında veritabanı olayları yazacak şekilde yapılandırabilirsiniz:
Önemli
Depolama hesabını sanal ağ ve güvenlik duvarının arkasında kullanmak için isStorageBehindVnet parametresini true olarak ayarlamanız gerekir
Not
Bağlantılı örnek bir dış genel depodadır ve garanti olmadan 'olduğu gibi' sağlanır ve herhangi bir Microsoft destek programı/hizmeti altında desteklenmez.