ポイントを速習！「Azureの基礎（AZ900）」をみんなで学ぶ 第10回

リソースへのネットワークアクセスを正しく制限してセキュリティを守る基礎を学ぶ

Azureの基本的なネットワークサービスを理解する【後編】

Azureサービスエンドポイントの作成

　前回記事でも説明したとおり、Azureサービスエンドポイントは外部公開できるサービスに対し、インターネットからの接続を禁止して特定サブネットからの接続のみを許可する機能です。

　まずは、今回作成したストレージアカウントの設定ページを開き、「ファイアウォールと仮想ネットワーク」の項目を編集していきます。「許可するアクセス元」を「選択されたネットワーク」に変更したうえで、「例外」の項目で「信頼されたMicrosoftサービスによるストレージアカウントに対するアクセスを許可します」にチェックを入れます。

　このファイアウォールの設定によって、このストレージアカウントにはあらかじめ許可されたネットワークからのみ接続できるよう制限されました。ただし「許可するネットワーク」を設定していませんから、すべてのネットワークからのアクセスが拒否されます。先ほどは画像ファイルにアクセスできた手元PCのブラウザ、Azure上の仮想マシンのブラウザからも、さらにはAzureポータル上からもアクセスできなくなります。

　続いて、Subnet1からのアクセスを許可するためのサービスエンドポイントの設定を行います。VNet1の設定画面を開き、1.サービスエンドポイントを選択し、2.追加をクリックして、接続先サービスの3.Microsoft.Storageと、アクセスを許可するサブネットの4.Subnet1を選択します。最後に「追加」をクリックすれば、新しいサービスエンドポイントが追加されます。

　サービスエンドポイントの設定はこれだけで完了です。あらためて手元PCのブラウザ、VM1のブラウザから画像ファイルのURLを叩いてみるとどうでしょうか。インターネット経由でアクセスしている手元PCでは画像が表示できませんが、Subnet1から接続しているVM1のブラウザでは表示できるようになりました。つまり次の図のような状態です。

　ファイアウォールの設定というと、一般的にはIPアドレス範囲で許可／拒否する接続元を指定しなければならないことが多く面倒です。「Subnet1」というサブネット名で簡単に指定できるのは、SDN（Software-Defined Network）ならではの便利さですね。

＊　＊　＊

　以上で今回のハンズオンは終了です。仮想マシン上にIIS（Webサーバー）をインストールしてWebページやAPIをデプロイすれば、よりアプリケーションっぽくなりますので、ぜひトライしてみてください。なお冒頭にも書きましたが、今回のハンズオンで使用したVMやストレージアカウントは課金が発生しますので、使い終わったリソースは忘れずに削除しておきましょう。