この記事では、Azure Synapse ワークスペースからセキュリティで保護された Azure ストレージ アカウントに接続する方法について説明します。 ワークスペースを作成するときに、Azure ストレージ アカウントを Synapse ワークスペースにリンクすることができます。 ワークスペースを作成した後で、さらに多くのストレージ アカウントをリンクすることができます。
セキュリティで保護された Azure ストレージ アカウント
Azure ストレージには、ストレージ アカウントへのアクセスをセキュリティで保護して制御できる階層型セキュリティ モデルが用意されています。 IP ファイアウォール規則を構成して、選択したパブリック IP アドレス範囲からのトラフィックに、ストレージ アカウントへのアクセスを許可することができます。 また、ネットワーク規則を構成して、選択した仮想ネットワークからのトラフィックに、ストレージ アカウントへのアクセスを許可することができます。 選択した IP アドレス範囲からのアクセスを許可する IP ファイアウォール規則と、同じストレージ アカウント上の選択した仮想ネットワークからのアクセスを許可するネットワーク規則を組み合わせることができます。
これらの規則は、ストレージ アカウントのパブリック エンドポイントに適用されます。 ワークスペースで作成されたマネージド プライベート エンドポイントからストレージ アカウントへのトラフィックを許可するためのアクセス規則は必要ありません。 ストレージ ファイアウォール規則は、既存のストレージ アカウントに、または新しいストレージ アカウントの作成時にそれらに適用できます。 ストレージ アカウントのセキュリティ保護の詳細については、「Azure Storage ファイアウォールおよび仮想ネットワークを構成する」を参照してください。
Synapse ワークスペースと仮想ネットワーク
Synapse ワークスペースを作成するときは、そこにマネージド仮想ネットワークを関連付けできるようにすることを選択できます。
ワークスペースを作成するとき、それに対してマネージド仮想ネットワークを有効に "しなかった" 場合、そのワークスペースは、マネージド仮想ネットワークが関連付けられていない他の Synapse ワークスペースと共に共有仮想ネットワーク内に存在します。
ワークスペースを作成するときにマネージド仮想ネットワークを有効に "した" 場合、そのワークスペースは、Azure Synapse によって管理される専用仮想ネットワークに関連付けられます。 これらの仮想ネットワークは、顧客サブスクリプション内には作成されません。 そのため、前に説明したネットワーク規則を使用して、これらの仮想ネットワークからのトラフィックにセキュリティで保護されたストレージ アカウントへのアクセス権を付与することはできません。
セキュリティで保護されたストレージ アカウントにアクセスする
Synapse は、ネットワーク規則に含めることはできないネットワークから動作します。 ワークスペースからセキュリティで保護されたストレージ アカウントへのアクセスを有効にするには、次の手順を使用します。
マネージド仮想ネットワークが関連付けられた Azure Synapse ワークスペースを作成し、そこからセキュリティで保護されたストレージ アカウントへのマネージド プライベート エンドポイントを作成します。 Azure portal を使用してワークスペースを作成する場合は、[ネットワーク] タブで [マネージド仮想ネットワーク] を有効にすることができます。
![[ネットワーク] タブの [マネージド仮想ネットワーク] オプションを示すスクリーンショット。](media/connect-to-a-secure-storage-account/enable-managed-virtual-network-managed-private-endpoint.png)
[マネージド仮想ネットワーク] を有効にした場合、または Synapse でプライマリ ストレージ アカウントがセキュリティで保護されたストレージ アカウントであることを確認した場合は、示されているように、[プライマリ ストレージ アカウントへのマネージド プライベート エンドポイントを作成する] オプションを選択できます。 ストレージ アカウント所有者は、プライベート リンクを確立するための接続要求を承認する必要があります。 あるいは、ワークスペース内に Apache Spark プールを作成しているユーザーに接続要求を承認するための十分な特権がある場合は、Synapse でこの接続要求を承認します。
Azure Synapse ワークスペースに、セキュリティで保護されたストレージ アカウントへの、信頼された Azure サービスとしてのアクセスを許可します。 Azure Synapse では次に、信頼されたサービスとして、強力な認証を使用してストレージ アカウントに安全に接続します。
マネージド仮想ネットワークで Synapse ワークスペースを作成し、ストレージ アカウントへのマネージド プライベート エンドポイントを作成します
マネージド仮想ネットワークが関連付けられた Synapse ワークスペースを作成するには、Azure Synapse Analytics のマネージド仮想ネットワークに関するページを参照してください。
マネージド仮想ネットワークが関連付けられたワークスペースが作成されたら、セキュリティで保護されたストレージ アカウントへのマネージド プライベート エンドポイントを作成できます。 その方法については、「データ ソースへのマネージド プライベート エンドポイントを作成する」を参照してください。
Azure Synapse ワークスペースに、セキュリティで保護されたストレージ アカウントへの、信頼された Azure サービスとしてのアクセスを許可します
専用 SQL プールやサーバーレス SQL プールなどの分析機能では、マネージド仮想ネットワークにはデプロイされないマルチテナント インフラストラクチャを使用します。 これらの機能からのトラフィックがセキュリティで保護されたストレージ アカウントにアクセスできるようにするには、次の手順に従って、ワークスペースのシステム割り当てマネージド ID に基づいてそのストレージ アカウントへのアクセスを構成する必要があります。
Azure portal で、セキュリティで保護されたストレージ アカウントに移動し、左側のナビゲーション ウィンドウから [ネットワーク] を選択します。
[リソース インスタンス] セクションで、 [リソースの種類] として Microsoft.Synapse/workspaces を選択し、 [インスタンス名] にワークスペース名を入力します。 [保存] を選択します。
これで、ワークスペースからセキュリティで保護されたストレージ アカウントにアクセスできるようになります。
