AvePoint エージェント サーバーによるストレージ アカウントへのアクセスの許可

自分のストレージ デバイスを使用する、または使用予定がある場合、このセクションの説明をよく読んで、必要に応じて設定を完了してください。そうでない場合、このセクションをスキップしてください。

自分のストレージ デバイスを使用している場合、セキュリティの観点から、信頼済みクライアントのみを許可するストレージ ファイアウォールを設定している場合があります。AvePoint クラウド製品がお使いのストレージにアクセスできるように、以下の条件で要求される設定を完了してください。

*注意: 試用版サブスクリプションを使用しており、試用版で使用するストレージ アカウントにファイアウォールが有効になっている場合、以下の条件を参照して、構成を完了してください。

    Microsoft Azure ストレージを使用している場合、以下を参照してください。

ストレージ アカウントが AvePoint Online Services のサインアップに使用しているデータ センターと同じデータ センターに存在する場合、またはストレージ アカウントが ペアリング済み地域 に存在する場合AvePoint サーバーが実行されている Azure Resource Manager (ARM) VNet サブネットをストレージ ネットワークに追加する必要があります。その他の詳細については、Microsoft 記事 仮想ネットワークからアクセスの許可 を参照してください。ARM Vnet ID のダウンロード からデータ センターの AvePoint クラウド製品のサブネット ID を取得できます。詳細については、以下の ARM 仮想ネットワークの追加 セクションを参照してください。

上記条件以外の場合、すべての予約された IP アドレスを Azure ストレージ ファイアフォールに追加する必要があります。詳細については、以下の Azure ストレージ ファイアフォールへの予約された IP アドレスの追加 セクションを参照してください。

    東南アジア (シンガポール) のデータ センターで Amazon S3 を使用している場合、バケット ポリシーにすべての予約された IP アドレスと特定の VPC ID を追加する必要があります。詳細については、以下の Amazon S3 バケットポリシーへの予約された IP アドレスと VPC ID の追加 セクションを参照してください。

    Microsoft Azure ストレージおよび Amazon S3 以外のストレージ タイプを使用している場合は、ストレージ ファイアウォールに予約された IP アドレスを追加する必要があります。予約された IP アドレスのリストを取得するには、予約された IP アドレスのリストのダウンロード を参照してください。

Azure ストレージ ファイアウォールへの予約された IP アドレスの追加

予約された IP アドレスを追加するには、以下の説明を参照してください。

1.   AvePoint Online Services インターフェイス > システム管理 > セキュリティ に移動します。

2.   予約された IP アドレス タイルの横にある [ダウンロード] をクリックして、AvePoint Online Services の予約された IP アドレスの一覧をダウンロードします。詳細については、予約された IP アドレスのリストのダウンロード を参照してください。

3.   保護するストレージ アカウントに移動します。

4.   メニューで ネットワーク を選択します。

5.   選択した仮想ネットワークと IP アドレスから有効 が選択されていることを確認します。

6.   ファイアウォール > アドレス範囲 IP アドレスまたはアドレス範囲を入力します。

7.   [保存] を選択して変更を保存します。

Amazon S3 バケットポリシーへの予約された IP アドレスと VPC ID の追加

東南アジア (シンガポール) データ センターで Amazon S3 ストレージを使用する場合、すべての予約された IP アドレスと AvePoint AWS VPC ID をバケット ポリシーに追加する必要があります。

以下のバケット ポリシー テンプレートの説明を参照してください。

{

    "Version": "2012-10-17", // Specifies the language syntax rules that are to be used to process a policy.2012-10-17 is the latest version.

    "Statement": [

        {

            "Sid": "S3_IPAllow", // An optional identifier used as a description for the policy statement.

            "Effect": "Deny", // You must set the Effect element to Deny here, which indicates that the access to the resources will be denied if the IP Address is not listed in aws:SourceIP and the VPC is not listed in aws:SourceVpc.

            "Principal": {

                "AWS": "*" // Specifies the IAM users who have access to the resources.

            },

            "Action":[

                "s3:GetObject",

                "s3:DeleteObject",

                "s3:PutObject",

                "s3:DeleteObjectVersion",

                "s3:ListBucket"

            ],

            "Resource": [

                "XXXXXXXXXXXXXXXXX", // Specifies the resources that this S3 bucket policy applies to.

                "XXXXXXXXXXXXXXXXX"

            ],

            "Condition": {

                "NotIpAddress": {

                    "aws:SourceIp": [

                        "XXXXXXXXXXXXXXXXX", // Specifies the IP addresses.Add the AvePoint reserved IP addresses to the list.To get a list of AvePoint reserved IP addresses, refer to Download a List of Reserved IP Addresses.

                        "XXXXXXXXXXXXXXXXX" //

                    ]

                },

                "StringNotEquals": {

                    "aws:SourceVpc": "vpc-04c390b29bb119f8f" // The AvePoint AWS VPC ID of Southeast Asia (Singapore) data center.

                }

            }

        }

    ]

}

ARM 仮想ネットワークの追加

別のテナントに所属している仮想ネットワークのサブネットにアクセス権を付与するには、PowerShellCLI または REST API を使用します。

## Get the AvePoint Cloud products network subnet resource ID

$SUBNETID=/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-yyyyyyyyyyyy/resourceGroups/ResrouceGroupName/providers/Microsoft.Network/virtualNetworks/VirtualNetworkName/subnets/SubnetName

 

$DESTRG=customer_resource_group_name

$DESTSTA=customer_storage_accont_name

 

####

##    Use the Azure cli tool (https://docs.microsoft.com/ja-jp/cli/azure/install-azure-cli?view=azure-cli-latest)

##

## Add the firewall virtual network rule to grant access to AvePoint Cloud products

az storage account network-rule add -resource-group $DESTRG -account-name $DESTSTA -subnet $SUBNETID

az storage account network-rule list -resource-group $DESTRG -account-name $DESTSTA -query virtualNetworkRules

## (Optional) Disable the public access to storage account

az storage account update -resource-group $DESTRG -name $DESTSTA -default-action Deny

az storage account show -resource-group $DESTRG -name $DESTSTA -query networkRuleSet.defaultAction

 

####

##    Use the Azure Az PowerShell (https://docs.microsoft.com/ja-jp/powershell/azure/install-az-ps?view=azps-5.1.0)

##

Add-AzStorageAccountNetworkRule -ResourceGroupName $DESTRG -Name $DESTSTA -VirtualNetworkResourceId $SUBNETID

Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $DESTRG -AccountName $DESTSTA

 

以下のスクリーンショットに表示するように、Azure ポータルに仮想ネットワーク ルールが表示されます。また、"アクセス許可が不十分です..." という内容の警告メッセージが表示されることがあります。これは、サブネットがサブスクリプションに含まれていないことに起因します。このメッセージを無視しても問題ありません。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明