AvePoint エージェント サーバーによるストレージ アカウントへのアクセスの許可

自分のストレージ デバイスを使用する、または使用予定がある場合、このセクションの説明をよく読んで、必要に応じて設定を完了してください。そうでない場合、このセクションをスキップしてください。

自分のストレージ デバイスを使用している場合、セキュリティの観点から、信頼済みクライアントのみを許可するストレージ ファイアウォールを設定している場合があります。AvePoint クラウド製品がお使いのストレージにアクセスできるように、以下の条件で要求される設定を完了してください。

*注意: 試用版サブスクリプションを使用しており、試用版で使用するストレージ アカウントにファイアウォールが有効になっている場合、以下の条件を参照して、構成を完了してください。

    Microsoft Azure ストレージを使用している場合、以下を参照してください。

ストレージ アカウントが AvePoint Online Services のサインアップに使用しているデータ センターと同じデータ センターに存在する場合、またはストレージ アカウントが ペアリング済み地域 に存在する場合AvePoint サーバーが実行されている Azure Resource Manager (ARM) VNet サブネットをストレージ ネットワークに追加する必要があります。その他の詳細については、Microsoft 記事 仮想ネットワークからアクセスの許可 を参照してください。ARM Vnet ID のダウンロード からデータ センターの AvePoint クラウド製品のサブネット ID を取得できます。詳細については、以下の ARM 仮想ネットワークの追加 セクションを参照してください。

上記条件以外の場合、すべての予約された IP アドレスを Azure ストレージ ファイアフォールに追加する必要があります。詳細については、以下の Azure ストレージ ファイアフォールへの予約された IP アドレスの追加 セクションを参照してください。

    東南アジア (シンガポール) のデータ センターで Amazon S3 を使用している場合、バケット ポリシーにすべての予約された IP アドレスと特定の VPC ID を追加する必要があります。詳細については、以下の Amazon S3 バケットポリシーへの予約された IP アドレスと VPC ID の追加 セクションを参照してください。

    Microsoft Azure ストレージおよび Amazon S3 以外のストレージ タイプを使用している場合は、ストレージ ファイアウォールに予約された IP アドレスを追加する必要があります。予約された IP アドレスのリストを取得するには、予約された IP アドレスのリストのダウンロード を参照してください。

Azure ストレージ ファイアウォールへの予約された IP アドレスの追加

以下の説明を参照してください。

1.   AvePoint Online Services インターフェイス > システム管理 > セキュリティ に移動します。

2.   予約された IP アドレス タイルの横にある [ダウンロード] をクリックして、AvePoint Online Services の予約された IP アドレスの一覧をダウンロードします。詳細については、予約された IP アドレスのリストのダウンロード を参照してください。

3.   保護するストレージ アカウントに移動します。

4.   メニューで ネットワーク を選択します。

5.   選択した仮想ネットワークと IP アドレスから有効 が選択されていることを確認します。

6.   ファイアウォール > アドレス範囲 IP アドレスまたはアドレス範囲を入力します。

7.   [保存] を選択して変更を保存します。

Amazon S3 バケットポリシーへの予約された IP アドレスと VPC ID の追加

東南アジア (シンガポール) データ センターで Amazon S3 ストレージを使用する場合、すべての予約された IP アドレスと AvePoint AWS VPC ID をバケット ポリシーに追加する必要があります。

以下のバケット ポリシー テンプレートの説明を参照してください。

{

    "Version": "2012-10-17", // Specifies the language syntax rules that are to be used to process a policy.2012-10-17 is the latest version.

    "Statement": [

        {

            "Sid": "S3_IPAllow", // An optional identifier used as a description for the policy statement.

            "Effect": "Deny", // You must set the Effect element to Deny here, which indicates that the access to the resources will be denied if the IP Address is not listed in aws:SourceIP and the VPC is not listed in aws:SourceVpc.

            "Principal": {

                "AWS": "*" // Specifies the IAM users who have access to the resources.

            },

            "Action":[

                "s3:GetObject",

                "s3:DeleteObject",

                "s3:PutObject",

                "s3:DeleteObjectVersion",

                "s3:ListBucket"

            ],

            "Resource": [

                "XXXXXXXXXXXXXXXXX", // Specifies the resources that this S3 bucket policy applies to.

                "XXXXXXXXXXXXXXXXX"

            ],

            "Condition": {

                "NotIpAddress": {

                    "aws:SourceIp": [

                        "XXXXXXXXXXXXXXXXX", // Specifies the IP addresses.Add the AvePoint reserved IP addresses to the list.To get a list of AvePoint reserved IP addresses, refer to Download a List of Reserved IP Addresses.

                        "XXXXXXXXXXXXXXXXX" //

                    ]

                },

                "StringNotEquals": {

                    "aws:SourceVpc": "vpc-04c390b29bb119f8f" // The AvePoint AWS VPC ID of Southeast Asia (Singapore) data center.

                }

            }

        }

    ]

}

ARM 仮想ネットワークの追加

ARM 仮想ネットワークを追加するには、2 つの方法があります。

    Azure CLI ツールの使用 (https://docs.microsoft.com/en-us/cli/azure/install-azure-cli?view=azure-cli-latest)

## Use the Azure CLI tool

 

# Step 1 (Optional): If you have multiple Azure subscriptions, please switch to the correct subscription

# This command sets the active subscription to the specified subscription ID.

az account set --subscription xxxxxxxx-xxxx-xxxx-xxxx-yyyyyyyyyyyy

 

# Step 2 (Optional): Confirm whether the subscription switch is correct

# This command displays the current subscription information in a table format.

az account show --output table

 

# Step 3: Get the AvePoint Online Services network subnet resource ID

# This variable stores the resource ID of the subnet in the virtual network.

# Replace with the Azure Resource Manager (ARM) VNet ID downloaded from your AvePoint Online Services tenant.

$SUBNETID="/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-yyyyyyyyyyyy/resourceGroups/ResourceGroupName/providers/Microsoft.Network/virtualNetworks/VirtualNetworkName/subnets/SubnetName"

 

# Step 4: Set your resource group name

# This variable stores the name of the resource group where your storage account is located.

$DESTRG="customer_resource_group_name"

 

# Step 5: Set your storage account name

# This variable stores the name of the storage account to which you want to add the network rule.

$DESTSTA="customer_storage_account_name"

 

# Step 6: Add the firewall virtual network rule to grant access to AvePoint Online Services

# This command adds a network rule to the specified storage account, allowing access from the specified subnet.

az storage account network-rule add --resource-group $DESTRG --account-name $DESTSTA --subnet $SUBNETID

 

# Step 7: List the current network rules for the storage account to verify the addition

# This command lists the virtual network rules for the specified storage account.

az storage account network-rule list --resource-group $DESTRG --account-name $DESTSTA --query virtualNetworkRules

 

# Step 8 (Optional): Disable the public access to storage account

# This command updates the storage account to deny public network access.

az storage account update --resource-group $DESTRG --name $DESTSTA --default-action Deny

 

# Step 9 (Optional): Verify that the default action for network rules is set to Deny

# This command shows the network rule set for the specified storage account, including the default action.

az storage account show --resource-group $DESTRG --name $DESTSTA --query networkRuleSet.defaultAction

    Azure Az PowerShell の使用 (https://docs.microsoft.com/en-us/powershell/azure/install-az-ps?view=azps-5.1.0)

## Use the Azure Az PowerShell

 

# Step 1 (Optional): If you have multiple Azure subscriptions, please switch to the correct subscription

# This command sets the active subscription to the specified subscription ID.

Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-yyyyyyyyyyyy"

 

# Step 2 (Optional): Confirm whether the subscription switch is correct

# This command retrieves the current subscription ID to verify the switch.

(Get-AzContext).Subscription.Id

 

# Step 3: Get the AvePoint Online Services network subnet resource ID

# This variable stores the resource ID of the subnet in the virtual network.

# Replace with the Azure Resource Manager (ARM) VNet ID downloaded from your AvePoint Online Services tenant.

$SUBNETID="/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-yyyyyyyyyyyy/resourceGroups/ResourceGroupName/providers/Microsoft.Network/virtualNetworks/VirtualNetworkName/subnets/SubnetName"

 

# Step 4: Set resource group name

# This variable stores the name of the resource group where your storage account is located.

$DESTRG="customer_resource_group_name"

 

# Step 5: Set storage account name

# This variable stores the name of the storage account to which you want to add the network rule.

$DESTSTA="customer_storage_account_name"

 

# Step 6: Add the firewall virtual network rule to grant access to AvePoint Online Services

# This cmdlet adds a network rule to the specified storage account, allowing access from the specified subnet.

Add-AzStorageAccountNetworkRule -ResourceGroupName $DESTRG -Name $DESTSTA -VirtualNetworkResourceId $SUBNETID

 

# Step 7: List the current network rules for the storage account to verify the addition

# This cmdlet retrieves the network rule set for the specified storage account.

Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $DESTRG -AccountName

以下のスクリーンショットに表示するように、Azure ポータルに仮想ネットワーク ルールが表示されます。また、"アクセス許可が不十分です" という内容の警告メッセージが表示されることがあります。これは、サブネットがサブスクリプションに含まれていないことに起因します。このメッセージを無視しても問題ありません。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明