Azure Synapse Analytics （Synapse ワークスペース） 作成時の[ワークスペースのエンドポイントへのパブリック ネットワーク アクセス]設定の話

0. 注意点

2022年3月時点の情報です。最新情報は別途ご確認ください。

1. ワークスペースのエンドポイントへのパブリック ネットワーク アクセス

Azure Synapse Analytics作成時に「マネージド仮想ネットワーク」を[有効にする]を選択すると、「ワークスペースのエンドポイントへのパブリック ネットワーク アクセス」の項目が選択できるようになります。

「ワークスペースのエンドポイントへのパブリック ネットワーク アクセス」を無効にするとAzure Synapse Analyticsへの接続に、プライベートエンドポイント経由の接続のみ許可されるようになります。

この設定が無効になっている場合は、プライベートエンドポイントを使用してワークスペースに接続する必要があります。無効 オプションを選択しても、構成可能なファイアウォール ルールには適用されません。

しかしドキュメントに記載されていませんが、これ以外にもこの設定で差異が発生します。

2. ファイアウォール規則の差異

Azure Synapse Analytics作成時の「ワークスペースのエンドポイントへのパブリック ネットワーク アクセス」の設定によって、Azure Synapse Analyticsのファイアウォール規則に差異が発生します。

2.1 無効

ファイアウォール規則にはなにも追加されていません

2.2 有効

「allowAll」としてすべてのIPv4アドレス（0.0.0.0から255.255.255.255）からの接続を許可するファイアウォール規則が追加されます

意図しないファイアウォール規則が追加されていた、という経験がある方、もしかするとAzure Synapse Analytics作成時の設定が原因かもしれません

3. 所感

こっそりとファイアウォール規則が追加されるので、意外な見落としポイントです。パブリック ネットワーク アクセスを有効にしてもクライアントIPアドレスがファイアウォール規則で許可されていないと接続できないので、無効から有効に変更した場合は忘れずファイアウォール規則の変更を行いましょう。

とはいえ有効から無効に変えることはあっても、無効から有効に変えることは少ないのであまり関係ないかもしれませんが…

記事の内容について何かあればコメントにご記載ください