「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>Azure]]

* 目次 [#e395f158]
#contents

*概要 [#lc19b0af]
キッティングしてもらったAzure Subscriptionを、~
エンタープライズ・ユースで安全に管理するには?的なトピック。

*詳細 [#f1603591]
以下を活用して、
-アカウントを管理する。
-アクセス権で操作や通信を制限し、
-必要に応じて[[VPN]]接続を利用する。

**[[Azure Resource Manager]] [#oc702ce7]
ロール定義、ロール割り当てで、アクセス権で操作を管理する。

***[[Role Based Access Control (RBAC)]] [#u9cff3c1]
アカウントにロールを関連付ける。

***[[Network Security Group (NSG)]] [#n32844af]
通信を管理する。
>リソースへのネットワーク トラフィックを許可または拒否する一連のセキュリティ規則


**[[VPN Gateway]] [#r9b224ff]
-[[VPN]]接続を利用する。

-Site-to-Site VPN (S2S)
--インバウンドが全体的にNGのとき

-Point-to-Site VPN (P2S)
--インバウンドのRDP/SSHなどのPWD認証では心配な時
--プログラム(脆弱性診断未実施)のインバウンドが心配な時

*構成 [#fbfd8251]
**最小 [#t3ad5b4e]
***アカウント [#oced7087]
管理者アカウント (サブスクリプション レベルでのサービス管理者ロール)1つ。

***ネットワーク [#v770ac8a]
1VNET内に、1サブネット

***VM [#f3f0711e]
使用する数だけ用意する。

***[[NSG>#n32844af]] [#y926d302]
1サブネット向けに1[[NSG>#n32844af]]を作成する。

**拡大 [#o5c28e84]
***アカウント [#da5a0f91]
管理者権限(?)を付与することなく、~
複数のユーザを同じサブスクリプションでの業務に招待できる。 

-共同管理者を追加する。
-作業者を追加する。

***ネットワーク [#fcffca21]
-サブネットの追加
--DMZの構築
--サブネットの分割

-[[VPN]]の構築
--Site-to-Site VPN (S2S)
--Point-to-Site VPN (P2S)
--VNet-to-VNet VPN (V2V)

***VM [#n5c6ba00]
使用する数だけ用意する。

***[[NSG>#n32844af]] [#f5cfa9ef]
追加したサブネット間の通信に関する[[NSG>#n32844af]]を追加し、サブネットに関連付ける。

*[[手順>Azure Subscriptionの管理手順@エンプラ]] [#y5903568]

*参考 [#w8eeb356]

**Microsoft Docs [#ea478db1]
-Azure に移行する企業のためのベスト プラクティス~
https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/resource-manager-subscription-governance

-サブスクリプション ガバナンスのシナリオと例~
https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/resource-manager-subscription-examples

-Azure のネットワーク セキュリティに関するベスト プラクティス~
https://docs.microsoft.com/ja-jp/azure/best-practices-network-security

----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]

トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS