• 閉域接続は必要か
  • アドレス空間は確保できるか
  • 強制トンネリングを利用しているか
  • オンプレミスからの接続を行うか
• 何を閉域にする必要があるか
  • ワークスペースへのアクセス

Synapse の機能で閉域に出来る範囲

1. Studio へのアクセス
   • プライベートリンクハブとプライベートエンドポイントを作る
   • Microsoft.Synapse/privateLinkHubsのリソースタイプでプライベートリンクハブへのプライベートリンクを作る
   • 
   • https://learn.microsoft.com/ja-jp/azure/synapse-analytics/security/synapse-private-link-hubs
2. Synapse 内のDB、Pipeline へのアクセス
   • Microsoft.Synapse/workspaces のリソースタイプでプライベートリンクを作る
   • Sql/SqlOnDemand/dev の3種類のリソースがある
   • dev
     • パイプライン等のアクセス
   • 
   • https://learn.microsoft.com/ja-jp/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links
3. Synapse から利用されるストレージ アカウント等へのアクセス
   • 個々のリソースでマネージドプライベートエンドポイントを作る
   • https://learn.microsoft.com/ja-jp/azure/synapse-analytics/security/how-to-create-managed-private-endpoints
4. 外部ネットワーク(インターネットや Azure) へのアクセス
   • マネージド仮想ネットワークからのアウトバウンドをブロックする
     • パイプラインの Web で http://ifconfig.me 等を実行しようとしてもエラーになる
     • 
   • 新規作成時のみ設定可能
   • 
   • https://learn.microsoft.com/ja-jp/azure/synapse-analytics/security/workspace-data-exfiltration-protection