Skriva granskning till ett lagringskonto bakom VNet och brandväggen

Gäller för:Azure SQL DatabaseAzure Synapse Analytics

Granskning för Azure SQL Database och Azure Synapse Analytics stöder skrivning av databashändelser till ett Azure Storage-konto bakom ett virtuellt nätverk och en brandvägg.

I den här artikeln beskrivs två sätt att konfigurera Azure SQL Database och Azure Storage-kontot för det här alternativet. Den första använder Azure-portalen, den andra använder REST.

Bakgrund

Azure Virtual Network (VNet) är den grundläggande byggstenen för ditt privata nätverk i Azure. Med VNet kan många typer av Azure-resurser, till exempel Virtuella Azure-datorer (VM), kommunicera säkert med varandra, Internet och lokala nätverk. VNet liknar ett traditionellt nätverk i ditt eget datacenter, men medför ytterligare fördelar med Azure-infrastruktur som skalning, tillgänglighet och isolering.

Mer information om VNet-begrepp, metodtips och mycket mer finns i Vad är Azure Virtual Network?

Mer information om hur du skapar ett virtuellt nätverk finns i Snabbstart: Skapa ett virtuellt nätverk med Hjälp av Azure-portalen.

Förutsättningar

För granskning för att skriva till ett lagringskonto bakom ett VNet eller en brandvägg krävs följande krav:

• Ett allmänt v2-lagringskonto. Om du har ett v1- eller bloblagringskonto för generell användning uppgraderar du till ett allmänt v2-lagringskonto. Mer information finns i Typer av lagringskonton.
• Premium-lagringen med BlockBlobStorage stöds
• Lagringskontot måste finnas på samma klientorganisation och på samma plats som den logiska SQL-servern (det är OK att ha olika prenumerationer).
• Azure Storage-kontot kräver Allow trusted Microsoft services to access this storage account. Ange detta i brandväggarna för lagringskontot och virtuella nätverk.
• Du måste ha Microsoft.Authorization/roleAssignments/write behörighet för det valda lagringskontot. Mer information finns i Inbyggda roller i Azure.

Kommentar

När Granskning till lagringskonto redan är aktiverat på en server/databas, och om mållagringskontot flyttas bakom en brandvägg, förlorar vi skrivåtkomsten till lagringskontot och granskningsloggarna slutar skrivas till det. För att granskning ska fungera måste vi spara om granskningsinställningarna från portalen.

Konfigurera i Azure Portal

Anslut till Azure-portalen med din prenumeration. Gå till resursgruppen och servern.

1. Klicka på Granskning under rubriken Säkerhet. Välj På.

2. Välj Storage. Välj det lagringskonto där loggarna ska sparas. Lagringskontot måste uppfylla kraven som anges i Krav.

3. Öppna lagringsinformation

Kommentar

Om det valda lagringskontot ligger bakom det virtuella nätverket visas följande meddelande:

You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.

Om du inte ser det här meddelandet ligger lagringskontot inte bakom ett virtuellt nätverk.

4. Välj antalet dagar för kvarhållningsperioden. Klicka sedan på OK. Loggar som är äldre än kvarhållningsperioden tas bort.

5. Välj Spara i granskningsinställningarna.

Du har konfigurerat granskning för att skriva till ett lagringskonto bakom ett virtuellt nätverk eller en brandvägg.

Konfigurera med REST-kommandon

Som ett alternativ till att använda Azure-portalen kan du använda REST-kommandon för att konfigurera granskning för att skriva databashändelser på ett lagringskonto bakom ett virtuellt nätverk och en brandvägg.

Exempelskripten i det här avsnittet kräver att du uppdaterar skriptet innan du kör dem. Ersätt följande värden i skripten:

Exempelvärde	Exempelbeskrivning
<subscriptionId>	Azure-prenumerations-ID
<resource group>	Resursgrupp
<logical SQL Server>	Servernamn
<administrator login>	Administratörskonto
<complex password>	Komplext lösenord för administratörskontot

Så här konfigurerar du SQL Audit för att skriva händelser till ett lagringskonto bakom ett virtuellt nätverk eller en brandvägg:

1. Registrera servern med Microsoft Entra-ID (tidigare Azure Active Directory). Använd antingen PowerShell eller REST API.

   PowerShell

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId <subscriptionId>
   Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
   

   REST-API:

   Exempelbegäran

   PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
   

   Begärandetext

   {
   "identity": {
              "type": "SystemAssigned",
              },
   "properties": {
     "fullyQualifiedDomainName": "<azure server name>.database.windows.net",
     "administratorLogin": "<administrator login>",
     "administratorLoginPassword": "<complex password>",
     "version": "12.0",
     "state": "Ready"
     }
   }
   

2. Tilldela rollen Storage Blob Data Contributor till servern som är värd för databasen som du registrerade med Microsoft Entra-ID i föregående steg.

   Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.

   Kommentar

   Endast medlemmar med ägarbehörighet kan utföra det här steget. För olika inbyggda Azure-roller kan du läsa inbyggda Azure-roller.

3. Konfigurera serverns blobgranskningsprincip utan att ange en storageAccountAccessKey:

   Exempelbegäran

     PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
   

   Begärandetext

   {
     "properties": {
      "state": "Enabled",
      "storageEndpoint": "https://<storage account>.blob.core.windows.net"
     }
   }
   

Använda Azure PowerShell

• Skapa eller uppdatera databasgranskningsprincip (Set-AzSqlDatabaseAudit)
• Skapa eller uppdatera servergranskningsprincip (Set-AzSqlServerAudit)

Använda Azure Resource Manager-mall

Du kan konfigurera granskning för att skriva databashändelser på ett lagringskonto bakom det virtuella nätverket och brandväggen med hjälp av Azure Resource Manager-mallen , som du ser i följande exempel:

Viktigt!

För att kunna använda lagringskontot bakom det virtuella nätverket och brandväggen måste du ange parametern isStorageBehindVnet till true

• Distribuera en Azure SQL Server med granskning aktiverat för att skriva granskningsloggar till en bloblagring

Kommentar

Det länkade exemplet finns på en extern offentlig lagringsplats och tillhandahålls i befintligt fall, utan garanti, och stöds inte under microsofts supportprogram/-tjänster.

Nästa steg

• Använd PowerShell för att skapa en tjänstslutpunkt för virtuellt nätverk och sedan en regel för virtuellt nätverk för Azure SQL Database.
• Regler för virtuellt nätverk: Åtgärder med REST-API:er
• Använda tjänstslutpunkter och regler för virtuella nätverk för servrar