SitecoreデプロイメントのMicrosoft Azureリソースの保護
このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。
Sitecoreデプロイで使用されるすべてのMicrosoft Azure® リソースには、何らかの形式のセキュリティ制御があり、それぞれにさまざまなレベルの粒度があります。
Microsoft Azureポータルでのアクセス
Microsoft Azureポータルでのアクセス
Sitecore環境では、AzureポータルとAzure Resource Manager REST APIを使用して、すべてのリソースに対して管理操作を実行します。これには、リソースの作成と削除、リソースのプロパティの取得と設定、可用性のスケーリングと監視が含まれます。どのリソースに対して誰が管理操作を実行できるかを制御するには、Owner、Contributor、Readerなどのロールベースのアクセス制御 (RBAC) ロールを使用します。各ロールでは、権限のレベルが下がっています。
-
Ownerロールには、リソースに対する完全なアクセス許可があります。
-
Contributorロールには完全なアクセス許可がありますが、リソースへのアクセスを許可または取り消すことも、セキュリティ ポリシーとカスタム ロールを管理することもできません。
-
Readerロールは、リソースの状態と基本プロパティのみを読み取ることができます。
Azureポータルでロールベースのアクセス制御を使用する方法の詳細については、Microsoft Azureのドキュメントを参照してください。
安全なWebアプリ
安全なWebアプリ
Sitecoreは、Microsoft Azure Web Apps®を使用して、Content Management (CM)、Content Delivery (CD)、Processing、ReportingなどのWebフロントエンドをホストしています。環境へのアクセスをロックダウンするために、Web AppsはIPホワイトリストを提供します。
IPホワイトリスト は、WebアプリにアクセスできるIPアドレスを制限し、主にCM、Processing、およびReportingロールへのアクセスを制御するのに役立ちます。IPホワイトリストは、新しいSitecoreデプロイで実行する最初のタスクの1つにします。 送信Microsoft Azure App Service® のIPアドレスを見つける方法の詳細については、Microsoft Azureのドキュメントを参照してください。
Sitecore Webアプリのみにアクセスを制限することはできないため、Webアプリが共有する4つの送信IPアドレスにロックダウンする必要があります。これにより、Webアプリにアクセスできるユーザーの数が減ります。
データセンター内の他のWeb Appsユーザーのサブセットが共有する4つの送信IPアドレスは、時間の経過とともに変更される可能性があることに注意してください。したがって、これらのIPアドレスを使用する場合は、注意して使用してください。
Azure SQLデータベースをセキュリティで保護する
Azure SQLデータベースをセキュリティで保護する
Sitecoreは、多くのセキュリティ機能も備えているため、Microsoft Azure SQL®を使用してすべてのデータベースをホストしています。
新しくプロビジョニングされたSitecore環境では、アクセスする必要があるロールとデータベースごとに異なるユーザーも作成されます。たとえば、CMコア ユーザーとCMマスター ユーザーがいるとします。このレベルの粒度により、誰が何にアクセスできるかを正確に制御する柔軟性が大幅に向上します。これらのユーザーのパスワードと権限は、 SQLデータベース・ログインを管理することで変更できます。
デフォルトでは、Azure SQLインスタンスにはAzure環境内からのみアクセスできます。企業環境などの外部IPへのアクセスを拡張するには、次のドキュメントの手順に従います。