次の方法で共有

データ アクセス戦略

適用対象: Azure Data Factory Azure Synapse Analytics

ヒント

企業向けのオールインワン分析ソリューション、Microsoft Fabric の Data Factory をお試しください。 Microsoft Fabric は、データ移動からデータ サイエンス、リアルタイム分析、ビジネス インテリジェンス、レポートまで、あらゆるものをカバーしています。 無料で新しい試用版を開始する方法について説明します。

組織の重要なセキュリティ目標は、そのデータ ストア (それがオンプレミスやクラウドまたは SaaS データ ストアであっても) をインターネット経由のランダム アクセスから保護することです。

通常、クラウド データ ストアでは、次のメカニズムを使用してアクセスを制御します。

  • 仮想ネットワークからプライベート エンドポイントへの Private Link が有効なデータ ソース
  • IP アドレスによって接続を制限するファイアウォール規則
  • ユーザーに ID の証明を求める認証メカニズム
  • ユーザーによる特定のアクションとデータを制限する認証メカニズム

ヒント

静的 IP アドレス範囲の導入により、クラウド データ ストア内のすべての Azure IP アドレスを許可する必要がないように、特定の Azure 統合ランタイム リージョンの IP 範囲を許可リストできるようになりました。 これにより、データ ストアへのアクセスが許可されている IP アドレスを制限できます。

IP アドレス範囲は Azure Integration Runtime でブロックされ、現在はデータ移動、パイプライン、および外部アクティビティにのみ使用されます。 マネージド仮想ネットワークを有効にするデータフローと Azure Integration Runtime では、これらの IP 範囲は使用されません。

これは多くのシナリオで機能するはずです。統合ランタイムごとに一意の静的 IP アドレスが望ましいことは理解していますが、現時点では、サーバーレスである Azure Integration Runtime を使用してこれを行うことはできません。 必要に応じて、いつでもセルフホステッド統合ランタイムを設定して、それで静的 IP を使用することができます。

Azure Data Factory によるデータ アクセス戦略

  • Private Link - Azure Data Factory マネージド仮想ネットワーク内に Azure Integration Runtime を作成でき、プライベート エンドポイントを利用して、サポートされているデータ ストアに安全に接続します。 マネージド仮想ネットワークとデータ ソース間のトラフィックは、Microsoft バックボーン ネットワークを移動し、パブリック ネットワークに公開されません。
  • 信頼されたサービス - Azure Storage (BLOB、ADLS Gen2) と Azure Key Vault は、選択した信頼された Azure プラットフォーム サービスに安全にアクセスできるようにするためのファイアウォール構成をサポートしています。 信頼できるサービスでは、マネージド ID の認証が適用されます。このため、マネージド ID を使用して承認されていない限り、他のデータ ファクトリはこのストレージに接続できません。

次のシナリオは、信頼できるサービスの一覧に含まれません。

  1. セルフホステッド統合ランタイムまたは SSIS 統合ランタイムの使用
  2. 次のいずれかのアクティビティの種類の使用: > - Webhook > - カスタム > - Azure 関数
  3. 次のいずれかのコネクタの使用: > - AzureBatch > - AzureFunction > - AzureFile > - OData
  • 一意の静的 IP - Data Factory コネクタの静的 IP を取得するには、セルフホステッド統合ランタイムを設定する必要があります。 このメカニズムにより、他のすべての IP アドレスからのアクセスを確実にブロックできるようになります。
  • 静的 IP 範囲 - Azure Integration Runtime の IP アドレスを使用して、ストレージ (S3やSalesforceなど) でアクセスを許可する設定が可能です。 これにより、データ ストアに接続できる IP アドレスが確実に制限されますが、認証規則や承認規則にも依存します。
  • サービス タグ - 指定された Azure サービス (Azure Data Factory など) からの IP アドレス プレフィックスのグループを表します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。これにより、ネットワーク セキュリティ規則に対する頻繁な更新の複雑さを最小限に抑えられます。 これは、Virtual Network で IaaS でホストされているデータ ストアのデータ アクセスをフィルター処理する場合に便利です。
  • Azure サービスを許可する - 一部のサービスでは、このオプションを選択すると、すべての Azure サービスに接続することを許可できます。

Azure Integration Runtime とセルフホステッド統合ランタイムのデータ ストアでサポートされているネットワーク セキュリティ メカニズムの詳細については、次の 2 つの表を参照してください。

  • Azure Integration Runtime

    データ ストア データ ストアでサポートされているネットワーク セキュリティ メカニズム 専用リンク 信頼できるサービス 静的 IP 範囲 サービス タグ Azure サービスの許可
    Azure PaaS データ ストア Azure Cosmos DB (アジュール コスモス データベース) はい - はい - はい
    Azure Data Explorer(アジュール・データ・エクスプローラー) - - はい* はい* -
    Azure Data Lake Gen1 - - はい - はい
    Azure Database for MariaDB、MySQL、PostgreSQL - - はい - はい
    Azure Files はい - はい -
    Azure Blob Storage と ADLS Gen2 はい はい (MSI 認証のみ) はい -
    Azure SQL DB、Azure Synapse Analytics)、SQL Ml はい (Azure SQL DB/DW のみ) - はい - はい
    Azure Key Vault (シークレットまたは接続文字列をフェッチするため) はい はい はい - -
    その他の PaaS/SaaS データ ストア AWS S3、SalesForce、Google Cloud Storage など - - はい - -
    雪の結晶 はい - はい - -
    Azure IaaS SQL Server、Oracle など - - はい はい -
    オンプレミス、IaaS SQL Server、Oracle など - - はい - -

    * Azure Data Explorer が仮想ネットワークに挿入され、IP 範囲を NSG またはファイアウォールに適用できる場合にのみ適用されます。

  • セルフホステッド統合ランタイム (Vnet またはオンプレミスで)

    データ ストア データ ストアでサポートされているネットワーク セキュリティ メカニズム 静的 IP 信頼されたサービス
    Azure PaaS データ ストア Azure Cosmos DB (アジュール コスモス データベース) はい -
    Azure Data Explorer(アジュール・データ・エクスプローラー) - -
    Azure Data Lake Gen1 はい -
    Azure Database for MariaDB、MySQL、PostgreSQL はい -
    Azure Files はい -
    Azure Blob Storage と ADLS Gen2 はい -
    Azure SQL DB、Azure Synapse Analytics)、SQL Ml はい -
    Azure Key Vault (シークレットまたは接続文字列をフェッチするため) はい -
    その他の PaaS/SaaS データ ストア AWS S3、SalesForce、Google Cloud Storage など はい -
    Azure の laaS SQL Server、Oracle など はい -
    オンプレミス型IaaS SQL Server、Oracle など はい -

関連するコンテンツ

詳細については、次の関連記事を参照してください。