Azure Cosmos DB の IP ファイアウォールIP firewall in Azure Cosmos DB

アカウントに保存されているデータを保護するために、Azure Cosmos DB では、強固なハッシュベースのメッセージ認証コード (HMAC) を利用したシークレット ベースの承認モデルをサポートしています。To secure data stored in your account, Azure Cosmos DB supports a secret based authorization model that utilizes a strong Hash-based Message Authentication Code (HMAC). さらに、Azure Cosmos DB では、受信ファイアウォールをサポートするための IP ベースのアクセス制御に対応しています。Additionally, Azure Cosmos DB supports IP-based access controls for inbound firewall support. このモデルは、従来型データベース システムのファイアウォール規則に似ていますが、アカウントのセキュリティ水準がさらに高くなっています。This model is similar to the firewall rules of a traditional database system and provides an additional level of security to your account. ファイアウォールを利用して、承認されているコンピューターのグループやクラウド サービスからのみアクセスできるように Azure Cosmos アカウントを構成することができます。With firewalls, you can configure your Azure Cosmos account to be accessible only from an approved set of machines and/or cloud services. ただし、承認されているコンピューターのグループやサービスから Azure Cosmos データベースに格納されているデータにアクセスするためには、呼び出し側が有効な承認トークンを提示する必要がある点は変わりません。Access to data stored in your Azure Cosmos database from these approved sets of machines and services will still require the caller to present a valid authorization token.

IP アクセス制御の概要IP access control overview

既定では、有効な承認トークンと共に要求が送信されれば、Azure Cosmos アカウントにインターネットからアクセスすることができます。By default, your Azure Cosmos account is accessible from internet, as long as the request is accompanied by a valid authorization token. IP ポリシー ベースのアクセス制御を構成するためには、特定の Azure Cosmos アカウントにアクセスするクライアント IP の許可リストとして追加する一連の IP アドレスまたは IP アドレス範囲を CIDR (Classless Inter-Domain Routing) 形式でユーザーが指定する必要があります。To configure IP policy-based access control, the user must provide the set of IP addresses or IP address ranges in CIDR (Classless Inter-Domain Routing) form to be included as the allowed list of client IPs to access a given Azure Cosmos account. この構成を適用すると、この許可リストにないマシンを発信元とするすべての要求で、403 (禁止) 応答が受信されます。Once this configuration is applied, any requests originating from machines outside this allowed list receive 403 (Forbidden) response. IP ファイアウォールを使用している場合は、Azure portal からアカウントへのアクセスを許可することをお勧めします。When using IP firewall, it is recommended to allow Azure portal to access your account. データ エクスプローラーの使用を許可するため、また、Azure portal に表示されるアカウントのメトリックを取得するために、アクセスが必要になります。Access is required to allow use of data explorer as well as to retrieve metrics for your account that show up on the Azure portal. データ エクスプローラーを使用する場合は、Azure portal にアカウントへのアクセスを許可するだけでなく、ファイアウォール規則に現在の IP アドレスを追加するようファイアウォール設定を更新する必要もあります。When using data explorer, in addition to allowing Azure portal to access your account, you also need to update your firewall settings to add your current IP address to the firewall rules. ファイアウォールの変更が反映されるまでに最大 15 分かかる場合があります。Note that firewall changes may take up to 15min to propagate.

IP ベースのファイアウォールと、サブネットおよび VNET のアクセス制御を組み合わせることができます。You can combine IP-based firewall with subnet and VNET access control. これらを組み合わせることで、パブリック IP を保持する任意のソースへのアクセスや、VNET 内の特定のサブネットからのアクセスを制限できます。By combining them, you can limit access to any source that has a public IP and/or from a specific subnet within VNET. サブネットおよび VNET ベースのアクセス制御に関する詳細については、仮想ネットワークから Azure Cosmos DB リソースへのアクセスに関するページを参照してください。To learn more about using subnet and VNET-based access control see Access Azure Cosmos DB resources from virtual networks.

端的に言えば、Azure Cosmos アカウントにアクセスするには、常に認証トークンが必要になります。To summarize, authorization token is always required to access an Azure Cosmos account. IP ファイアウォールおよび VNET アクセス制御リスト (ACL) が設定されていない場合は、認証トークンで Azure Cosmos アカウントにアクセスできます。If IP firewall and VNET Access Control List (ACLs) are not set up, the Azure Cosmos account can be accessed with the authorization token. IP ファイアウォールまたは VNET ACL、あるいはその両方が Azure Cosmos アカウントに設定された後は、指定したソースから送信された要求 (認証トークンを備えている) のみが、有効な応答を取得します。After the IP firewall or VNET ACLs or both are set up on the Azure Cosmos account, only requests originating from the sources you have specified (and with the authorization token) get valid responses.

次のステップNext steps

次に、以下のドキュメントを使用して、アカウントの IP ファイアウォールまたは VNET サービス エンドポイントを構成できます。Next you can configure IP firewall or VNET service endpoint for your account by using the following docs: