Azure Cognitive Search 用に IP ファイアウォールを構成するConfigure IP firewall for Azure Cognitive Search

Azure Cognitive Search では、受信ファイアウォールをサポートするための IP 規則がサポートされています。Azure Cognitive Search supports IP rules for inbound firewall support. このモデルには、Azure 仮想ネットワーク セキュリティ グループにある IP 規則と同様に、検索サービス用の追加のセキュリティ層が用意されています。This model provides an additional layer of security for your search service similar to the IP rules you'll find in an Azure virtual network security group. これらの IP 規則を使用して、承認された一連のマシンやクラウド サービスからのみアクセスできるように検索サービスを構成することができます。With these IP rules, you can configure your search service to be accessible only from an approved set of machines and/or cloud services. ただし、検索サービスに格納されているデータに、これらの承認された一連のマシンやサービスからアクセスするには、呼び出し側が有効な承認トークンを提示する必要がある点は変わりません。Access to data stored in your search service from these approved sets of machines and services will still require the caller to present a valid authorization token.

IP 規則は、この記事で説明されているように Azure portal で設定できます。You can set IP rules in the Azure portal, as described in this article. また、Management REST API バージョン 2020-03-13Azure PowerShell、または Azure CLI を使用することもできます。Alternatively, you can use the Management REST API version 2020-03-13, Azure PowerShell, or Azure CLI.

Azure portal を使用して IP ファイアウォールを構成するConfigure an IP firewall using the Azure portal

Azure portal で IP アクセス制御ポリシーを設定するには、Azure Cognitive Search サービスのページに移動し、ナビゲーション メニューの [ネットワーク] を選択します。To set the IP access control policy in the Azure portal, go to your Azure Cognitive Search service page and select Networking on the navigation menu. エンドポイント ネットワーク接続は [パブリック] である必要があります。Endpoint networking connectivity must be Public. 接続が [プライベート] に設定されている場合は、プライベート エンドポイント経由でのみ検索サービスにアクセスできます。If your connectivity is set to Private, you can only access your search service via a Private Endpoint.

Azure portal で IP ファイアウォールを構成する方法を示すスクリーンショット

Azure portal では、CIDR 形式で IP アドレスと IP アドレス範囲を指定できます。The Azure portal provides the ability to specify IP addresses and IP address ranges in the CIDR format. CIDR 表記の例として、8.8.8.0/24 があります。これは、8.8.8.0 から 8.8.8.255 の範囲の IP を表しています。An example of CIDR notation is 8.8.8.0/24, which represents the IPs that range from 8.8.8.0 to 8.8.8.255.

注意

Azure Cognitive Search サービスに対して IP アクセス制御ポリシーを有効にした後は、許可された IP アドレス範囲リストに含まれていないマシンからのデータ プレーンへの要求はすべて拒否されます。After you enable the IP access control policy for your Azure Cognitive Search service, all requests to the data plane from machines outside the allowed list of IP address ranges are rejected. IP 規則が構成されている場合は、Azure portal の一部の機能が無効になります。When IP rules are configured, some features of the Azure portal are disabled. サービスレベル情報を表示して管理することはできますが、インデックスデータやサービス内のさまざまなコンポーネント (インデックス、インデクサー、スキルセットの定義など) へのポータル アクセスは、セキュリティ上の理由で制限されています。You'll be able to view and manage service level information, but portal access to index data and the various components in the service, such as the index, indexer, and skillset definitions, is restricted for security reasons. ポータルの代わりに、VS Code 拡張機能を使用して、サービス内のさまざまなコンポーネントを操作することもできます。As an alternative to the portal, you can use the VS Code Extension to interact with the various components in the service.

現在ご利用の IP からの要求Requests from your current IP

開発が簡単になるように、Azure portal ではクライアント マシンの IP を識別して許可リストに追加することができます。To simplify development, the Azure portal helps you identify and add the IP of your client machine to the allowed list. それにより、マシンで実行されているアプリは、Azure Cognitive Search サービスにアクセスすることができます。Apps running on your machine can then access your Azure Cognitive Search service.

ポータルでは、クライアントの IP アドレスが自動的に検出されます。The portal automatically detects your client IP address. それは、ご利用のマシンまたはネットワーク ゲートウェイのクライアント IP アドレスの場合があります。It might be the client IP address of your machine or network gateway. 運用環境にご利用のワークロードを移行する前に、この IP アドレスを必ず削除してください。Make sure to remove this IP address before you take your workload to production.

現在の IP を IP リストに追加するには、 [クライアント IP アドレスを追加する] をオンにしてください。To add your current IP to the list of IPs, check Add your client IP address. 次に、 [保存] を選択します。Then select Save.

現在の IP を許可するようにファイアウォール設定を構成する方法を示すスクリーンショット

IP アクセス制御ポリシーに関する問題のトラブルシューティングTroubleshoot issues with an IP access control policy

次のオプションを使用して IP アクセス制御ポリシーに関する問題のトラブルシューティングを行うことができます。You can troubleshoot issues with an IP access control policy by using the following options:

Azure portalAzure portal

Azure Cognitive Search サービスに対して IP アクセス制御ポリシーを有効にすると、Azure portal を含め、許可された IP アドレス範囲リストに含まれていないマシンからの要求はすべてブロックされます。Enabling an IP access control policy for your Azure Cognitive Search service blocks all requests from machines outside the allowed list of IP address ranges, including the Azure portal. サービスレベル情報を表示して管理することはできますが、インデックスデータやサービス内のさまざまなコンポーネント (インデックス、インデクサー、スキルセットの定義など) へのポータル アクセスは、セキュリティ上の理由で制限されています。You'll be able to view and manage service level information, but portal access to index data and the various components in the service, such as the index, indexer, and skillset definitions, is restricted for security reasons.

SDKSDKs

許可リストに含まれていないマシンから SDK を使用して Azure Cognitive Search サービスにアクセスすると、403 Forbidden という一般的な応答が返され、詳しい情報は示されません。When you access Azure Cognitive Search service using the SDK from machines that are not in the allowed list, a generic 403 Forbidden response is returned with no additional details. ご利用のアカウントの許可 IP リストを確認し、検索サービス用に正しい構成が更新されていることを確認してください。Verify the allowed IP list for your account, and make sure that the correct configuration updated for your search service.

次のステップNext steps

Private Link を使用した検索サービスへのアクセスの詳細については、次の記事を参照してください。For more information on accessing your search service via Private Link, see the following article: