ネットワーク セキュリティ境界は、Azure PaaS (サービスとしてのプラットフォーム) リソースへのパブリック トラフィックと、それらの PaaS リソース間のトラフィックを管理するために作成されたフレームワークです。 基本的な構成要素は、互いに自由に通信できる PaaS リソースのグループである境界です。 境界は、各リソース間の暗黙のトラスト アクセスを使用した境界を定義します。 この境界には、受信アクセスと送信アクセスの規則のセットを含めることができます。
この記事では、ネットワーク セキュリティ境界を Event Grid トピックまたはドメインに関連付ける方法を示します。
注
ネットワーク セキュリティ境界の構成は現在、[ネットワーク] 設定のトピックとドメインでのみ使用できます。
前提条件
次の手順は、次の Azure リソースがあることを前提としています。
- Event Grid トピックまたはドメイン
- イベント ハブを含むイベント ハブ名前空間。 この例では、イベント ハブがイベント ハンドラーとして使用されています。
ネットワーク セキュリティ境界を作成する
まず、ネットワーク セキュリティ境界を作成し、Event Grid ドメインと Event Hubs 名前空間リソースを追加します。
Azure portal で [ネットワーク セキュリティ境界] ページを検索して移動し、ツール バーの [作成] またはページで [ネットワーク セキュリティ境界を作成する] を選択します。
![[作成] ボタンを選択した [ネットワーク セキュリティ境界] ページを示すスクリーンショット。](media/configure-network-security-perimeter/create-network-security-perimeter-button.png)
[ネットワークセキュリティ境界を作成する] ウィザードで、次の手順に従います。
ネットワーク セキュリティ境界を作成する Azure サブスクリプション、リソース グループ、リージョンを選択します。
境界の名前を入力します。
プロファイル名に既定のプロファイルの名前を入力します。
ページの下部にある次へ を選択します。
![[ネットワーク セキュリティ境界を作成する] ページを示すスクリーンショット。](media/configure-network-security-perimeter/create-network-security-perimeter-page.png)
[リソース] ページで、[追加] を選択します。 次に、[リソースの選択] ページで、境界に必要なリソースを選択します。 たとえば、Azure Event Grid ドメインと、イベント ハンドラーまたは宛先として使用される Azure Event Hubs 名前空間を追加できます。 次に、 [次へ] を選択します。
![[リソースの選択] ページを示すスクリーンショット。](media/configure-network-security-perimeter/perimeter-resources.png)
[受信アクセス規則] ページで、[受信アクセス規則の追加] を選択します。
[受信アクセス規則の追加] ページで、ソースの種類を選択します。 この設定を使用して、特定の IP アドレス範囲またはサブスクリプションへの受信アクセスを許可できます。 完了したら、ページの下部にある [次へ] を選択します。
![[受信アクセス規則の追加] を示すスクリーンショット。](media/configure-network-security-perimeter/add-inbound-access-rule.png)
[送信アクセス規則] ページで、エグレス アクセスを許可する場合 は、[送信アクセス規則の追加] を選択します。
[送信アクセス規則の追加] ページで、完全修飾ドメイン (FQDN) の宛先を選択します。
![[送信アクセス規則の追加] を示すスクリーンショット。](media/configure-network-security-perimeter/add-outbound-access-rule.png)
[次へ] を選択して [タグ] に移動し、[次へ] をもう一度選択して [確認と作成] ページに移動します。
[確認と作成] ページで、構成を確認し、[作成] を選択してセキュリティ境界を作成します。
![[確認 + 作成] ページを示すスクリーンショット。](media/configure-network-security-perimeter/review-create-page.png)
ネットワーク セキュリティ境界リソースが作成されると、指定したリソース グループで見つかります。
![ネットワーク セキュリティ境界リソースを含む [リソース グループ] ページを示すスクリーンショット。](media/configure-network-security-perimeter/resource-group-page.png)
![[作成] ボタンを選択した [ネットワーク セキュリティ境界] ページを示すスクリーンショット。](media/configure-network-security-perimeter/create-network-security-perimeter-button.png#lightbox)
![[ネットワーク セキュリティ境界を作成する] ページを示すスクリーンショット。](media/configure-network-security-perimeter/create-network-security-perimeter-page.png#lightbox)
![[リソースの選択] ページを示すスクリーンショット。](media/configure-network-security-perimeter/perimeter-resources.png#lightbox)
![[受信アクセス規則の追加] を示すスクリーンショット。](media/configure-network-security-perimeter/add-inbound-access-rule.png#lightbox)
![[送信アクセス規則の追加] を示すスクリーンショット。](media/configure-network-security-perimeter/add-outbound-access-rule.png#lightbox)
![[確認 + 作成] ページを示すスクリーンショット。](media/configure-network-security-perimeter/review-create-page.png#lightbox)
![ネットワーク セキュリティ境界リソースを含む [リソース グループ] ページを示すスクリーンショット。](media/configure-network-security-perimeter/resource-group-page.png#lightbox)
ネットワーク セキュリティ境界を構成する
この手順では、前の手順で作成したネットワーク セキュリティ境界を Event Grid ドメインに関連付けます。 トピックまたはドメインのネットワーク セキュリティ境界を構成するには、[Event Grid トピック] ページまたは [Event Grid ドメイン] ページの [ネットワーク] タブを使用します。
[Event Grid システム トピック] ページまたは [Event Grid ドメイン] ページで、左側のナビゲーション メニューの [設定] で [ネットワーク] を選択します。 この記事のスクリーンショットと手順では、Azure Event Grid ドメインの例を使用しています。 トピックの手順は同じです。
[ネットワーク] ページで、[管理] を選択します。
![[管理] ボタンが選択された、[ネットワーク] ページを示すスクリーンショット。](media/configure-network-security-perimeter/networking-page-manage-button.png)
[パブリック ネットワーク アクセス] ページで、[境界によって保護 (最も制限あり)] を選択し、[保存] を選択します。
![[境界によって保護] 設定の選択を示すスクリーンショット。](media/configure-network-security-perimeter/secured-by-perimeter-setting.png)
ネットワーク セキュリティ境界は、Azure Event Grid リソースを保護するために最大レベルの受信アクセスと送信アクセスを制限します。
次に、[ネットワーク] 設定で、[関連付け] を選択して、ネットワーク セキュリティ境界を Azure Event Grid ドメインまたはトピックに関連付けます。
![[関連付け] ボタンが選択された、[ネットワーク] ページを示すスクリーンショット。](media/configure-network-security-perimeter/associate-button.png)
[ネットワーク セキュリティ境界の関連付け] ページで、[ネットワーク セキュリティ境界の選択] を選択します。
![[ネットワーク セキュリティ境界の選択] が選択された [ネットワーク セキュリティ境界の関連付け] ページを示すスクリーンショット。](media/configure-network-security-perimeter/select-perimeter-link.png)
ネットワーク セキュリティ境界リソースを検索し、リソースを選択します。
![[ネットワーク セキュリティ境界の選択] ページを示すスクリーンショット。](media/configure-network-security-perimeter/select-perimeter.png)
[ネットワーク セキュリティ境界の関連付け] ページで、[プロファイル] を選択し、[関連付け] を選択します。
![プロファイルが選択された、[ネットワーク セキュリティ境界の選択] ページを示すスクリーンショット。](media/configure-network-security-perimeter/select-profile.png)
これで、Azure Event Grid ドメインまたはトピック リソースに関連するネットワーク セキュリティ境界が表示されます。
![境界が選択された、[ネットワーク] ページを示すスクリーンショット。](media/configure-network-security-perimeter/network-security-perimeter-filled.png)
![[管理] ボタンが選択された、[ネットワーク] ページを示すスクリーンショット。](media/configure-network-security-perimeter/networking-page-manage-button.png#lightbox)
![[境界によって保護] 設定の選択を示すスクリーンショット。](media/configure-network-security-perimeter/secured-by-perimeter-setting.png#lightbox)
![[関連付け] ボタンが選択された、[ネットワーク] ページを示すスクリーンショット。](media/configure-network-security-perimeter/associate-button.png#lightbox)
![境界が選択された、[ネットワーク] ページを示すスクリーンショット。](media/configure-network-security-perimeter/network-security-perimeter-filled.png#lightbox)
ネットワーク セキュリティ境界を使用する場合の考慮事項
この記事では、Azure Event Grid ドメインと Azure Event Hub を宛先に含めるシナリオについて説明します。 このシナリオでは、Azure Event Grid ドメインのマネージド ID を有効にし、Event Hubs 名前空間で ID に Event Hubs Data 送信者ロールを割り当てます。 詳細については、「イベント配信、マネージド サービス ID、およびプライベート リンク」を参照してください。