次の方法で共有

クイックスタート: ネットワーク セキュリティ境界を作成する - Azure portal

Azure portal を使用して Azure Key Vault のネットワーク セキュリティ境界を作成して、ネットワーク セキュリティ境界の使用を開始します。 ネットワーク セキュリティ境界を使用すると、Azure PaaS (PaaS) リソースが明示的に信頼された境界内で通信できるようになります。 次に、ネットワーク セキュリティ境界プロファイルで PaaS リソースの関連付けを作成して更新します。 その後、ネットワーク セキュリティ境界アクセス規則を作成して更新します。 完了したら、このクイックスタートで作成したすべてのリソースを削除します。

重要

ネットワーク セキュリティ境界はパブリック プレビュー段階であり、すべての Azure パブリック クラウド リージョンで利用できます。 このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。

前提条件

作業を開始する前に、次の準備ができていることを確認します。

  • アクティブなサブスクリプションが含まれる Azure アカウントと Azure portal へのアクセス。 Azure アカウントをまだ持っていない場合は、無料でアカウントを作成します

Azure ポータル

Azure アカウントで Azure Portal にサインインします。

リソース グループとキー コンテナーを作成する

ネットワーク セキュリティ境界を作成する前に、ネットワーク セキュリティ境界によって保護されるすべてのリソースとキー コンテナーを保持するリソース グループを作成します。

Azure キー コンテナーには一意の名前が必要です。 名前が既に使用されているというエラーが表示された場合は、別の名前を試してください。 この例では、名前に年 (YYYY)、月 (MM)、日付 (DD) を追加して、一意の名前 key-vault-YYYYDDMM を使用します。

  1. ポータルの上部にある検索ボックスに、「キー コンテナー」と入力します。 検索結果で「キー コンテナー」を選択します。

  2. 表示されるキー コンテナー アカウント ウィンドウで、[+ 作成] を選択します。

  3. [キー コンテナーの作成] ページで、次の情報を入力します。

    設定 価値
    サブスクリプション このキー コンテナーに使用するサブスクリプションを選択します。
    リソース グループ [新規作成] を選択し、名前として「resource-group」と入力します。
    キー コンテナー名 key-vault-<RandomNameInformation>」と入力します。
    リージョン キー コンテナーを作成するリージョンを選択します。 このクイックスタートでは、[(米国) 米国中西部] を使用します。

  4. その他の項目は既定の設定のままにして、[確認および作成]>[作成] を選択します。

ネットワーク セキュリティ境界を作成する

キー コンテナーを作成したら、ネットワーク セキュリティ境界の作成に進むことができます。

組織と情報の安全性を確保するため、ネットワーク セキュリティ境界の規則やその他のネットワーク セキュリティ境界の構成には、個人を特定できるデータや機密データを含めないことをお勧めします。

  1. Azure portal の検索ボックスに「ネットワーク セキュリティ境界」と入力します。 検索結果から "ネットワーク セキュリティ境界" を選択します。

  2. [ネットワーク セキュリティ境界] ウィンドウで、[+ 作成] を選択します。

  3. [ネットワーク セキュリティ境界の作成] ウィンドウで、次の情報を入力します。

    設定 価値
    サブスクリプション このネットワーク セキュリティ境界に使用するサブスクリプションを選択します。
    リソース グループ [resource-group] を選択します。
    名前 network-security-perimeter」と入力します。
    リージョン ネットワーク セキュリティ境界を作成するリージョンを選択します。 このクイックスタートでは、[(米国) 米国中西部] を使用します。
    [プロファイル名] profile-1」と入力します。

  4. [リソース] タブまたは [次へ] を選択して次の手順に進みます。

  5. [リソース] タブで [+ 追加] を選択します。

  6. [リソースの選択] ウィンドウで、key-vault-YYYYDDMM を確認し、[選択] を選択します。

  7. [受信アクセス規則] を選択し、[+ 追加] を選択します。

  8. [受信アクセス規則の追加] ウィンドウで次の情報を入力し、[追加] を選択します。

    [設定] 価値
    規則の名前 inbound-rule」と入力します。
    変換元の型 [IP アドレス範囲] を選択します。
    許可されるソース 受信トラフィックを許可するパブリック IP アドレス範囲を入力します。

  9. [送信アクセス規則] を選択し、[+ 追加] を選択します。

  10. [送信アクセス規則の追加] ウィンドウで次の情報を入力し、[追加] を選択します。

    [設定] 価値
    規則の名前 outbound-rule」と入力します。
    変換先の型 [FQDN] を選びます。
    許可される宛先 許可する宛先の FQDN を入力します。 たとえば、www.contoso.com のようにします。

  11. [確認および作成][作成] の順に選択します。

  12. [リソースに移動] を選択して、新しく作成されたネットワーク セキュリティ境界を表示します。

マネージド ID が、それをサポートするリソースに割り当てられない場合、同じ境界内の他のリソースへの送信アクセスは拒否されます。 このリソースからのアクセスを許可することを目的としたサブスクリプション ベースの受信規則は有効になりません。

ネットワーク セキュリティ境界を削除する

ネットワーク セキュリティ境界と関連リソースが不要になったら、ネットワーク セキュリティ境界とすべての関連リソースを含むリソース グループを削除できます。 このアクションにより、ネットワーク セキュリティ境界とその中のすべてのリソースが削除されます。

  1. Azure portal で、左側のメニューから [リソース グループ ] を選択します。
  2. リソース グループの一覧からリソース グループを選択します。
  3. リソース グループ ウィンドウで、アクション バーから [リソース グループの削除] を選択します。
  4. [ リソース グループの削除 ] ウィンドウで、削除を確認するリソース グループの名前を入力します。
  5. [ 削除] を選択して、リソース グループとその中のすべてのリソースを削除します。
  6. リソース グループが [リソース グループ] ウィンドウ に表示されなくなったかどうかを確認します。

ネットワーク セキュリティ境界からリソースの関連付けを削除すると、アクセス制御が既存のリソース ファイアウォール構成にフォールバックされます。 これにより、リソース ファイアウォール構成に従ってアクセスが許可または拒否される可能性があります。 PublicNetworkAccess が SecuredByPerimeter に設定されていて、関連付けが削除されている場合、リソースはロックダウン状態になります。 詳細については、Azure でのネットワーク セキュリティ境界への変換に関するページを参照してください。

次のステップ

Azure ネットワーク セキュリティ境界の診断ログ