Konfigurace bran firewall Azure Storage a virtuálních sítí
Azure Storage poskytuje vrstvený model zabezpečení. Tento model vám umožňuje řídit úroveň přístupu k vašim účtům úložiště, kterou vaše aplikace a podniková prostředí vyžadují, na základě typu a podmnožiny vámi používaných sítí nebo zdrojů.
Při konfiguraci pravidel sítě můžou k účtu úložiště přistupovat jenom aplikace, které požadují data přes zadanou sadu sítí nebo prostřednictvím zadané sady prostředků Azure. Přístup k účtu úložiště můžete omezit na požadavky, které pocházejí ze zadaných IP adres, rozsahů IP adres, podsítí ve virtuální síti Azure nebo instancí prostředků některých služeb Azure.
Účty úložiště mají veřejný koncový bod, který je přístupný přes internet. Pro svůj účet úložiště můžete také vytvořit privátní koncové body. Vytvoření privátních koncových bodů přiřadí k účtu úložiště privátní IP adresu z vaší virtuální sítě. Pomáhá zabezpečit provoz mezi vaší virtuální sítí a účtem úložiště přes privátní propojení.
Brána firewall služby Azure Storage poskytuje řízení přístupu pro veřejný koncový bod vašeho účtu úložiště. Bránu firewall můžete také použít k blokování veškerého přístupu přes veřejný koncový bod, když používáte privátní koncové body. Konfigurace brány firewall také umožňuje důvěryhodným službám platformy Azure přístup k účtu úložiště.
Aplikace, která přistupuje k účtu úložiště, když jsou platná pravidla sítě, stále vyžaduje správnou autorizaci pro požadavek. Autorizace se podporuje pomocí přihlašovacích údajů Microsoft Entra pro objekty blob, tabulky, sdílené složky a fronty, s platným přístupovým klíčem účtu nebo pomocí tokenu sdíleného přístupového podpisu (SAS). Při konfiguraci kontejneru objektů blob pro anonymní přístup nemusí být požadavky na čtení dat v daném kontejneru autorizované. Pravidla brány firewall zůstávají v platnosti a budou blokovat anonymní provoz.
Zapnutí pravidel brány firewall pro váš účet úložiště ve výchozím nastavení blokuje příchozí požadavky na data, pokud požadavky nepocházejí ze služby, která funguje ve virtuální síti Azure nebo z povolených veřejných IP adres. Mezi blokované požadavky patří ty z jiných služeb Azure, z webu Azure Portal a z protokolování a služeb metrik.
Přístup ke službám Azure, které pracují ve virtuální síti, můžete udělit povolením provozu z podsítě, která hostuje instanci služby. Prostřednictvím mechanismu výjimek, který popisuje tento článek, můžete také povolit omezený počet scénářů. Pokud chcete získat přístup k datům z účtu úložiště prostřednictvím webu Azure Portal, musíte být na počítači v rámci důvěryhodné hranice (IP nebo virtuální sítě), kterou jste nastavili.
Poznámka:
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Scénáře
Pokud chcete zabezpečit účet úložiště, měli byste nejprve nakonfigurovat pravidlo pro odepření přístupu k provozu ze všech sítí (včetně internetového provozu) ve výchozím nastavení na veřejném koncovém bodu. Pak byste měli nakonfigurovat pravidla, která udělují přístup k provozu z konkrétních virtuálních sítí. Můžete také nakonfigurovat pravidla pro udělení přístupu k provozu z vybraných rozsahů veřejných internetových IP adres, což umožňuje připojení z konkrétního internetu nebo místních klientů. Tato konfigurace vám pomůže vytvořit zabezpečenou hranici sítě pro vaše aplikace.
Můžete kombinovat pravidla brány firewall, která umožňují přístup z konkrétních virtuálních sítí a z rozsahů veřejných IP adres ve stejném účtu úložiště. Pravidla brány firewall úložiště můžete použít pro existující účty úložiště nebo při vytváření nových účtů úložiště.
Pravidla brány firewall úložiště platí pro veřejný koncový bod účtu úložiště. K povolení provozu privátních koncových bodů účtu úložiště nepotřebujete žádná pravidla přístupu brány firewall. Proces schvalování vytvoření privátního koncového bodu uděluje implicitní přístup k provozu z podsítě, která je hostitelem privátního koncového bodu.
Důležité
Pravidla brány firewall služby Azure Storage se vztahují pouze na operace roviny dat. Operace řídicí roviny podléhají omezením stanoveným v pravidlech brány firewall.
Některé operace, například operace kontejneru objektů blob, je možné provádět prostřednictvím řídicí roviny i roviny dat. Pokud se tedy pokusíte provést operaci, jako je výpis kontejnerů z webu Azure Portal, operace bude úspěšná, pokud ji neblokuje jiný mechanismus. Pokusy o přístup k datům objektů blob z aplikace, jako je například Průzkumník služby Azure Storage, se řídí omezeními brány firewall.
Seznam operací roviny dat najdete v referenčních informacích k rozhraní REST API služby Azure Storage. Seznam operací řídicí roviny najdete v referenčních informacích k rozhraní REST API poskytovatele prostředků služby Azure Storage.
Konfigurace síťového přístupu ke službě Azure Storage
Přístup k datům v účtu úložiště můžete řídit přes koncové body sítě nebo prostřednictvím důvěryhodných služeb nebo prostředků v libovolné kombinaci, včetně:
- Povolte přístup z vybraných podsítí virtuální sítě pomocí privátních koncových bodů.
- Povolte přístup z vybraných podsítí virtuální sítě pomocí koncových bodů služby.
- Povolte přístup z konkrétních veřejných IP adres nebo rozsahů.
- Povolte přístup z vybraných instancí prostředků Azure.
- Povolit přístup z důvěryhodných služeb Azure (pomocí správy výjimek)
- Nakonfigurujte výjimky pro služby protokolování a metrik.
Informace o koncových bodech virtuální sítě
Pro účty úložiště existují dva typy koncových bodů virtuální sítě:
Koncové body služby virtuální sítě jsou veřejné a přístupné přes internet. Brána firewall služby Azure Storage umožňuje řídit přístup k vašemu účtu úložiště přes tyto veřejné koncové body. Když povolíte přístup k účtu úložiště ve veřejné síti, všechny příchozí požadavky na data se ve výchozím nastavení zablokují. K datům budou mít přístup jenom aplikace, které požadují data z povolených zdrojů, které konfigurujete v nastavení brány firewall účtu úložiště. Zdroje můžou zahrnovat zdrojovou IP adresu nebo podsíť virtuální sítě klienta nebo instanci služby Nebo prostředku Azure, prostřednictvím kterých klienti nebo služby přistupují k vašim datům. Mezi blokované požadavky patří ty z jiných služeb Azure, z webu Azure Portal a služby protokolování a metrik, pokud explicitně nepovolíte přístup v konfiguraci brány firewall.
Privátní koncový bod používá privátní IP adresu z vaší virtuální sítě pro přístup k účtu úložiště přes páteřní síť Microsoftu. U privátního koncového bodu jsou přenosy mezi vaší virtuální sítí a účtem úložiště zabezpečené přes privátní propojení. Pravidla brány firewall úložiště se vztahují jenom na veřejné koncové body účtu úložiště, nikoli na privátní koncové body. Proces schvalování vytvoření privátního koncového bodu uděluje implicitní přístup k provozu z podsítě, která je hostitelem privátního koncového bodu. Pokud chcete upřesnit pravidla přístupu, můžete použít zásady sítě k řízení provozu přes privátní koncové body. Pokud chcete používat výhradně privátní koncové body, můžete pomocí brány firewall blokovat veškerý přístup prostřednictvím veřejného koncového bodu.
Pokud chcete pomoct s rozhodováním, kdy použít každý typ koncového bodu ve vašem prostředí, přečtěte si téma Porovnání privátních koncových bodů a koncových bodů služby.
Postup přístupu k zabezpečení sítě pro účet úložiště
Zabezpečení účtu úložiště a vytvoření zabezpečené hranice sítě pro vaše aplikace:
Začněte zakázáním veškerého přístupu k veřejné síti pro účet úložiště v nastavení přístupu k veřejné síti v bráně firewall účtu úložiště.
Pokud je to možné, nakonfigurujte privátní propojení k vašemu účtu úložiště z privátních koncových bodů v podsítích virtuální sítě, ve kterých se nacházejí klienti, kteří vyžadují přístup k vašim datům.
Pokud klientské aplikace vyžadují přístup přes veřejné koncové body, změňte nastavení přístupu k veřejné síti na Povoleno z vybraných virtuálních sítí a IP adres. Potom podle potřeby:
- Zadejte podsítě virtuální sítě, ze kterých chcete povolit přístup.
- Zadejte rozsahy veřejných IP adres klientů, ze kterých chcete povolit přístup, jako jsou například místní sítě.
- Povolte přístup z vybraných instancí prostředků Azure.
- Přidejte výjimky pro povolení přístupu z důvěryhodných služeb požadovaných pro operace, jako je zálohování dat.
- Přidání výjimek pro protokolování a metriky
Po použití pravidel sítě se vynucují pro všechny požadavky. Tokeny SAS, které udělují přístup ke konkrétní IP adrese, slouží k omezení přístupu držitele tokenu, ale neudělují nový přístup nad rámec nakonfigurovaných pravidel sítě.
hraniční síť (Preview)
Hraniční síť ( Preview) umožňuje organizacím definovat hranici izolace logické sítě pro prostředky PaaS (například Azure Blob Storage a SQL Database), které jsou nasazené mimo jejich virtuální sítě. Tato funkce omezuje přístup veřejné sítě k prostředkům PaaS mimo hraniční síť. Přístup ale můžete vyloučit pomocí explicitních pravidel přístupu pro veřejný příchozí a odchozí provoz. Přístup k účtu úložiště z hraniční sítě má záměrně nejvyšší prioritu před jinými omezeními přístupu k síti.
V současné době je hraniční síť ve verzi Public Preview pro objekty blob Azure, Azure Files (REST), tabulky Azure a fronty Azure. Viz Přechod na hraniční síť zabezpečení sítě.
Seznam služeb, které jsou připojené k hraniční síti, najdete tady.
Pro služby, které nejsou v tomto seznamu, protože ještě nejsou připojené k hraniční síti zabezpečení sítě, pokud chcete povolit přístup, můžete použít pravidlo založené na předplatném na hraniční síti zabezpečení sítě. Všem prostředkům v rámci daného předplatného se pak udělí přístup k hranici zabezpečení sítě. Další informace o přidání pravidla přístupu na základě předplatného najdete tady.
Důležité
Provoz privátního koncového bodu se považuje za vysoce zabezpečený, a proto se na ně nevztahují pravidla zabezpečení sítě. Všechny ostatní přenosy, včetně důvěryhodných služeb, budou podléhat pravidlům zabezpečení sítě, pokud je účet úložiště přidružený k hraniční síti.
Omezení
Tato verze Preview nepodporuje následující služby, operace a protokoly v účtu úložiště:
- Replikace objektů pro Azure Blob Storage
- Správa životního cyklu pro Azure Blob Storage
- Protokol SSH (File Transfer Protocol) přes Azure Blob Storage
- Protokol NFS (Network File System) se službou Azure Blob Storage a Soubory Azure
- Protokol SMB (Server Message Block) se službou Azure Files lze v tuto chvíli dosáhnout pouze prostřednictvím seznamu povolených IP adres.
- Inventář objektů blob v Azure
Pokud potřebujete použít některou z těchto služeb, operací nebo protokolů, doporučujeme nepovolit hraniční síť. Tím zabráníte potenciální ztrátě dat nebo riziku exfiltrace dat.
Upozorňující
Pro účty úložiště, které jsou přidružené k hraniční síti, aby scénáře klíčů spravovaných zákazníkem (CMK) fungovaly, zajistěte, aby služba Azure Key Vault byla přístupná z hraniční sítě, ke které je přidružený účet úložiště.
Přidružení hraniční sítě k účtu úložiště
Pokud chcete přidružit hraniční síť k účtu úložiště, postupujte podle těchto běžných pokynů pro všechny prostředky PaaS.
Omezení a důležité informace
Před implementací zabezpečení sítě pro účty úložiště si projděte důležitá omezení a důležité aspekty, které jsou popsány v této části.
- Pravidla brány firewall služby Azure Storage se vztahují pouze na operace roviny dat. Operace řídicí roviny podléhají omezením stanoveným v pravidlech brány firewall.
- Projděte si omezení pravidel sítě PROTOKOLU IP.
- Pokud chcete získat přístup k datům pomocí nástrojů, jako je Azure Portal, Průzkumník služby Azure Storage a AzCopy, musíte být na počítači v rámci důvěryhodné hranice, kterou vytvoříte při konfiguraci pravidel zabezpečení sítě.
- Pravidla sítě se vynucují ve všech síťových protokolech pro Azure Storage, včetně REST a SMB.
- Pravidla sítě nemají vliv na diskový provoz virtuálního počítače, včetně operací připojení a odpojení a vstupně-výstupních operací disku, ale pomáhají chránit přístup REST k objektům blob stránky.
- V účtech úložiště můžete použít nespravované disky s pravidly sítě použitými k zálohování a obnovení virtuálních počítačů vytvořením výjimky. Výjimky brány firewall se nevztahují na spravované disky, protože je Azure už spravuje.
- Klasické účty úložiště nepodporují brány firewall a virtuální sítě.
- Pokud odstraníte podsíť, která je součástí pravidla virtuální sítě, odebere se z pravidel sítě pro účet úložiště. Pokud vytvoříte novou podsíť se stejným názvem, nebude mít přístup k účtu úložiště. Pokud chcete povolit přístup, musíte explicitně autorizovat novou podsíť v pravidlech sítě pro účet úložiště.
- Při odkazování na koncový bod služby v klientské aplikaci se doporučuje vyhnout se závislosti na IP adrese uložené v mezipaměti. IP adresa účtu úložiště se může změnit a spoléhat se na IP adresu uloženou v mezipaměti může vést k neočekávanému chování. Kromě toho doporučujeme dodržovat hodnotu TTL (Time to Live) záznamu DNS a vyhnout se jeho přepsání. Přepsání hodnoty TTL DNS může vést k neočekávanému chování.
- Přístup k účtu úložiště z důvěryhodných služeb má záměrně přednost před ostatními omezeními síťového přístupu. Pokud nastavíte přístup k veřejné síti na Zakázáno po předchozím nastavení na Povoleno z vybraných virtuálních sítí a IP adres, všechny instance prostředků a výjimky , které jste dříve nakonfigurovali, včetně povolení služeb Azure v seznamu důvěryhodných služeb pro přístup k tomuto účtu úložiště, zůstanou platné. V důsledku toho můžou mít tyto prostředky a služby stále přístup k účtu úložiště.
Autorizace
Klienti s uděleným přístupem prostřednictvím síťových pravidel musí dál splňovat požadavky na autorizaci účtu úložiště pro přístup k datům. Autorizace se podporuje pomocí přihlašovacích údajů Microsoft Entra pro objekty blob a fronty, s platným přístupovým klíčem účtu nebo pomocí tokenu sdíleného přístupového podpisu (SAS).
Když nakonfigurujete kontejner objektů blob pro anonymní veřejný přístup, požadavky na čtení dat v tomto kontejneru nemusí být autorizované, ale pravidla brány firewall zůstanou v platnosti a budou blokovat anonymní provoz.
Změna výchozího pravidla přístupu k síti
Účty úložiště ve výchozím nastavení přijímají připojení z klientů v jakékoli síti. Můžete omezit přístup k vybraným sítím nebo zakázat provoz ze všech sítí a povolit přístup pouze prostřednictvím privátního koncového bodu.
Výchozí pravidlo je nutné nastavit tak, aby odepřela, nebo pravidla sítě nemají žádný vliv. Změna tohoto nastavení ale může ovlivnit schopnost vaší aplikace připojit se ke službě Azure Storage. Než toto nastavení změníte, nezapomeňte udělit přístup všem povoleným sítím nebo nastavit přístup prostřednictvím privátního koncového bodu.
Poznámka:
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Přejděte do účtu úložiště, který chcete zabezpečit.
V nabídce služby v části Zabezpečení a sítě vyberte Sítě.
Zvolte, jaký síťový přístup je povolený prostřednictvím veřejného koncového bodu účtu úložiště:
Vyberte Možnost Povoleno ze všech sítí nebo Povoleno z vybraných virtuálních sítí a IP adres. Pokud vyberete druhou možnost, zobrazí se výzva k přidání virtuálních sítí a rozsahů IP adres.
Pokud chcete omezit příchozí přístup a povolit odchozí přístup, vyberte Zakázáno.
Výběrem možnosti Uložit se vaše změny uplatní.
Udělení přístupu z virtuální sítě
Účty úložiště můžete nakonfigurovat tak, aby povolily přístup jenom z konkrétních podsítí. Povolené podsítě můžou patřit do virtuální sítě ve stejném předplatném nebo jiném předplatném, včetně těch, které patří do jiného tenanta Microsoft Entra. S koncovými body služby mezi oblastmi můžou být povolené podsítě také v různých oblastech od účtu úložiště.
Můžete povolit koncový bod služby pro Azure Storage v rámci virtuální sítě. Koncový bod služby směruje provoz z virtuální sítě přes optimální cestu ke službě Azure Storage. S každým požadavkem se odesílají také identity podsítě a virtuální sítě. Správci pak můžou nakonfigurovat pravidla sítě pro účet úložiště, která umožňují přijímat požadavky z konkrétních podsítí ve virtuální síti. Klienti udělení přístup prostřednictvím těchto pravidel sítě musí i nadále splňovat požadavky na autorizaci účtu úložiště pro přístup k datům.
Každý účet úložiště podporuje až 400 pravidel virtuální sítě. Tato pravidla můžete kombinovat s pravidly sítě PROTOKOLU IP.
Důležité
Při odkazování na koncový bod služby v klientské aplikaci se doporučuje vyhnout se závislosti na IP adrese uložené v mezipaměti. IP adresa účtu úložiště se může změnit a spoléhat se na IP adresu uloženou v mezipaměti může vést k neočekávanému chování.
Kromě toho doporučujeme dodržovat hodnotu TTL (Time to Live) záznamu DNS a vyhnout se jeho přepsání. Přepsání hodnoty TTL DNS může vést k neočekávanému chování.
Požadována oprávnění
Pokud chcete použít pravidlo virtuální sítě na účet úložiště, musí mít uživatel příslušná oprávnění pro přidávané podsítě. Přispěvatel účtu úložiště nebo uživatel, který má oprávnění k Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action
operaci poskytovatele prostředků Azure, může použít pravidlo pomocí vlastní role Azure.
Účet úložiště a virtuální sítě, které získají přístup, můžou být v různých předplatných, včetně předplatných, která jsou součástí jiného tenanta Microsoft Entra.
Konfigurace pravidel, která udělují přístup k podsítím ve virtuálních sítích, které jsou součástí jiného tenanta Microsoft Entra, se v současné době podporují jenom prostřednictvím PowerShellu, Azure CLI a rozhraní REST API. Taková pravidla nemůžete nakonfigurovat prostřednictvím webu Azure Portal, ale můžete je zobrazit na portálu.
Koncové body služby Azure Storage mezi oblastmi
Koncové body služeb napříč oblastmi pro Azure Storage byly obecně dostupné v dubnu 2023. Fungují mezi virtuálními sítěmi a instancemi služby úložiště v libovolné oblasti. U koncových bodů služeb mezi oblastmi už podsítě nepoužívají veřejnou IP adresu ke komunikaci s žádným účtem úložiště, včetně těch v jiné oblasti. Místo toho veškerý provoz z podsítí do účtů úložiště používá privátní IP adresu jako zdrojovou IP adresu. V důsledku toho se všechny účty úložiště, které používají pravidla sítě PROTOKOLU IP k povolení provozu z těchto podsítí, už nebudou mít žádný vliv.
Konfigurace koncových bodů služby mezi virtuálními sítěmi a instancemi služby ve spárované oblasti může být důležitou součástí vašeho plánu zotavení po havárii. Koncové body služby umožňují kontinuitu během regionálního převzetí služeb při selhání a přístup k instancím geograficky redundantního úložiště jen pro čtení (RA-GRS). Pravidla sítě, která udělují přístup z virtuální sítě k účtu úložiště, také udělují přístup k jakékoli instanci RA-GRS.
Při plánování zotavení po havárii během regionálního výpadku vytvořte virtuální sítě v spárované oblasti předem. Povolte koncové body služby pro Azure Storage s pravidly sítě, která udělují přístup z těchto alternativních virtuálních sítí. Pak tato pravidla použijte pro vaše geograficky redundantní účty úložiště.
Koncové body místní služby a mezi oblastmi nemůžou existovat ve stejné podsíti. Pokud chcete existující koncové body služby nahradit koncovými body napříč oblastmi, odstraňte stávající Microsoft.Storage
koncové body a znovu je vytvořte jako koncové body mezi oblastmi (Microsoft.Storage.Global
).
Správa pravidel virtuální sítě a přístupu
Pravidla virtuální sítě a přístupu pro účty úložiště můžete spravovat prostřednictvím webu Azure Portal, PowerShellu nebo Azure CLI v2.
Pokud chcete povolit přístup k účtu úložiště z virtuální sítě nebo podsítě v jiném tenantovi Microsoft Entra, musíte použít PowerShell nebo Azure CLI. Azure Portal nezobrazuje podsítě v jiných tenantech Microsoft Entra.
Přejděte do účtu úložiště, pro který chcete nakonfigurovat pravidla virtuální sítě a přístupu.
V nabídce služby v části Zabezpečení a sítě vyberte Sítě.
Zkontrolujte, že jste se rozhodli povolit přístup k veřejné síti z vybraných virtuálních sítí a IP adres.
Pokud chcete udělit přístup k virtuální síti pomocí nového pravidla sítě, vyberte v části Virtuální sítě možnost Přidat existující virtuální síť. Vyberte možnosti Virtuální sítě a podsítě a pak vyberte Přidat. Pokud chcete vytvořit novou virtuální síť a udělit jí přístup, vyberte Přidat novou virtuální síť. Zadejte potřebné informace k vytvoření nové virtuální sítě a pak vyberte Vytvořit. V současné době se během vytváření pravidla zobrazí pouze virtuální sítě, které patří do stejného tenanta Microsoft Entra. Pokud chcete udělit přístup k podsíti ve virtuální síti, která patří do jiného tenanta, použijte PowerShell, Azure CLI nebo rozhraní REST API.
Pokud chcete odebrat virtuální síť nebo pravidlo podsítě, výběrem tří teček (...) otevřete místní nabídku pro virtuální síť nebo podsíť a pak vyberte Odebrat.
Výběrem možnosti Uložit se vaše změny uplatní.
Důležité
Pokud odstraníte podsíť, která je součástí pravidla sítě, odebere se z pravidel sítě pro účet úložiště. Pokud vytvoříte novou podsíť se stejným názvem, nebude mít přístup k účtu úložiště. Pokud chcete povolit přístup, musíte explicitně autorizovat novou podsíť v pravidlech sítě pro účet úložiště.
Udělení přístupu z rozsahu internetových IP adres
Pravidla sítě IP můžete použít k povolení přístupu z konkrétních rozsahů veřejných internetových IP adres vytvořením pravidel sítě IP. Každý účet úložiště podporuje až 400 pravidel. Tato pravidla udělují přístup ke konkrétním internetovým službám a místním sítím a blokují obecný internetový provoz.
Omezení pravidel sítě PROTOKOLU IP
Pro rozsahy IP adres platí následující omezení:
Pravidla sítě IP jsou povolená jenom pro veřejné internetové IP adresy.
Rozsahy IP adres vyhrazené pro privátní sítě (jak je definováno v dokumentu RFC 1918) nejsou v pravidlech IP adres povolené. Privátní sítě zahrnují adresy začínající 10, 172.16 až 172.31 a 192.168.
Povolené rozsahy internetových adres musíte zadat pomocí zápisu CIDR ve formátu 16.17.18.0/24 nebo jako jednotlivé IP adresy, jako je 16.17.18.19.
Malé rozsahy adres, které používají velikost předpon /31 nebo /32, nejsou podporovány. Nakonfigurujte tyto rozsahy pomocí jednotlivých pravidel IP adres.
Konfigurace pravidel brány firewall úložiště podporuje jenom adresy IPv4.
Důležité
Pravidla sítě PROTOKOLU IP nemůžete použít v následujících případech:
- Pokud chcete omezit přístup k klientům ve stejné oblasti Azure jako účet úložiště. Pravidla sítě IP nemají žádný vliv na požadavky, které pocházejí ze stejné oblasti Azure jako účet úložiště. Pravidla virtuální sítě slouží k povolení požadavků stejné oblasti.
- Pokud chcete omezit přístup k klientům ve spárované oblasti , které jsou ve virtuální síti s koncovým bodem služby.
- Pokud chcete omezit přístup ke službám Azure nasazenými ve stejné oblasti jako účet úložiště. Služby nasazené ve stejném regionu jako účet úložiště používají pro komunikaci soukromé adresy IP Azure. Nemůžete tedy omezit přístup ke konkrétním službám Azure na základě jejich rozsahu veřejných odchozích IP adres.
Konfigurace přístupu z místních sítí
Pokud chcete udělit přístup z místních sítí k vašemu účtu úložiště pomocí pravidla sítě IP, musíte identifikovat internetové IP adresy, které vaše síť používá. Požádejte o pomoc správce sítě.
Pokud používáte Azure ExpressRoute z místního prostředí, musíte identifikovat IP adresy PŘEKLADU adres používané pro partnerský vztah Microsoftu. Poskytovatel služeb nebo zákazník poskytuje IP adresy NAT.
Pokud chcete povolit přístup k prostředkům služby, musíte tyto veřejné IP adresy povolit v nastavení brány firewall pro IP adresy prostředků.
Správa pravidel sítě IP
Pravidla sítě IP pro účty úložiště můžete spravovat prostřednictvím webu Azure Portal, PowerShellu nebo Azure CLI v2.
Přejděte na účet úložiště, pro který chcete spravovat pravidla sítě IP.
V nabídce služby v části Zabezpečení a sítě vyberte Sítě.
Zkontrolujte, že jste se rozhodli povolit přístup k veřejné síti z vybraných virtuálních sítí a IP adres.
Pokud chcete udělit přístup k rozsahu INTERNETOVÝCH IP adres, zadejte IP adresu nebo rozsah adres (ve formátu CIDR) v části Rozsah adres brány firewall>.
Pokud chcete odebrat pravidlo sítě PROTOKOLU IP, vyberte ikonu odstranění ( ) vedle rozsahu adres.
Výběrem možnosti Uložit se vaše změny uplatní.
Udělení přístupu z instancí prostředků Azure
V některých případech může aplikace záviset na prostředcích Azure, které není možné izolovat prostřednictvím virtuální sítě nebo pravidla IP adresy. Přesto ale chcete zabezpečit a omezit přístup k účtu úložiště jenom na prostředky Azure vaší aplikace. Účty úložiště můžete nakonfigurovat tak, aby umožňovaly přístup ke konkrétním instancím prostředků důvěryhodných služeb Azure vytvořením pravidla instance prostředku.
Přiřazení rolí Azure instance prostředku určují typy operací, které může instance prostředku provádět s daty účtu úložiště. Instance prostředků musí být ze stejného tenanta jako váš účet úložiště, ale můžou patřit do libovolného předplatného v tenantovi.
Pravidla sítě prostředků můžete přidat nebo odebrat na webu Azure Portal:
Přihlaste se k portálu Azure.
Vyhledejte svůj účet úložiště a zobrazte přehled účtu.
V nabídce služby v části Zabezpečení a sítě vyberte Sítě.
Zkontrolujte, že jste se rozhodli povolit přístup k veřejné síti z vybraných virtuálních sítí a IP adres.
Posuňte se dolů a vyhledejte instance prostředků. V rozevíracím seznamu Typ prostředku vyberte typ prostředku vaší instance prostředku.
V rozevíracím seznamu Název instance vyberte instanci prostředku. Můžete se také rozhodnout zahrnout všechny instance prostředků do aktuálního tenanta, předplatného nebo skupiny prostředků.
Výběrem možnosti Uložit se vaše změny uplatní. Instance prostředku se zobrazí v části Instance prostředků na stránce nastavení sítě.
Pokud chcete odebrat instanci prostředku, vyberte ikonu odstranění ( ) vedle instance prostředku.
Udělení přístupu k důvěryhodným službám Azure
Některé služby Azure fungují ze sítí, které nemůžete zahrnout do pravidel sítě. K účtu úložiště můžete udělit podmnožinu takových důvěryhodných služeb Azure a přitom zachovat pravidla sítě pro jiné aplikace. Tyto důvěryhodné služby pak budou používat silné ověřování pro připojení k vašemu účtu úložiště.
Přístup k důvěryhodným službám Azure můžete udělit vytvořením výjimky pravidla sítě. Část Spravovat výjimky v tomto článku obsahuje podrobné pokyny.
Důvěryhodný přístup k prostředkům zaregistrovaným v tenantovi Microsoft Entra
Prostředky některých služeb mají přístup k vašemu účtu úložiště pro vybrané operace, jako jsou zápis protokolů nebo spouštění záloh. Tyto služby musí být zaregistrované v předplatném, které se nachází ve stejném tenantovi Microsoft Entra jako váš účet úložiště. Následující tabulka popisuje jednotlivé služby a povolené operace.
Služba | Název poskytovatele prostředků | Povolené operace |
---|---|---|
Azure Backup | Microsoft.RecoveryServices |
Spouštění záloh a obnovení nespravovaných disků ve virtuálních počítačích infrastruktury jako služby (IaaS) (nevyžaduje se pro spravované disky). Další informace. |
Azure Data Box | Microsoft.DataBox |
Import dat do Azure Další informace. |
Azure DevTest Labs | Microsoft.DevTestLab |
Vytváření vlastních imagí a instalace artefaktů Další informace. |
Azure Event Grid | Microsoft.EventGrid |
Povolte publikování událostí služby Azure Blob Storage a povolte publikování do front úložiště. |
Azure Event Hubs | Microsoft.EventHub |
Archivace dat pomocí funkce Event Hubs Capture Další informace |
Synchronizace souborů Azure | Microsoft.StorageSync |
Transformujte místní souborový server na mezipaměť sdílených složek Azure. Tato funkce umožňuje synchronizaci více lokalit, rychlé zotavení po havárii a zálohování na straně cloudu. Další informace. |
Azure HDInsight | Microsoft.HDInsight |
Zřiďte počáteční obsah výchozího systému souborů pro nový cluster HDInsight. Další informace. |
Azure Import/Export | Microsoft.ImportExport |
Importujte data do Služby Azure Storage nebo exportujte data ze služby Azure Storage. Další informace. |
Azure Monitor | Microsoft.Insights |
Zapisujte data monitorování do zabezpečeného účtu úložiště, včetně protokolů prostředků, dat Microsoft Defenderu for Endpoint, protokolů přihlášení a auditu Microsoft Entra a protokolů Microsoft Intune. Další informace. |
Síťové služby Azure | Microsoft.Network |
Protokoly síťového provozu můžete ukládat a analyzovat, včetně služeb Azure Network Watcher a Azure Traffic Manageru. Další informace. |
Azure Site Recovery | Microsoft.SiteRecovery |
Povolte replikaci pro zotavení po havárii virtuálních počítačů Azure IaaS, když používáte mezipaměť, zdroj nebo cílové účty úložiště s podporou brány firewall. Další informace. |
Důvěryhodný přístup založený na spravované identitě
Následující tabulka uvádí služby, které mají přístup k datům účtu úložiště, pokud mají instance prostředků těchto služeb odpovídající oprávnění.
Služba | Název poskytovatele prostředků | Účel |
---|---|---|
Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Umožňuje přístup k účtům úložiště. |
Azure API Management | Microsoft.ApiManagement/service |
Umožňuje přístup k účtům úložiště za branami firewall prostřednictvím zásad. Další informace. |
Autonomní systémy Microsoftu | Microsoft.AutonomousSystems/workspaces |
Umožňuje přístup k účtům úložiště. |
Azure Cache for Redis | Microsoft.Cache/Redis |
Umožňuje přístup k účtům úložiště. Další informace. |
Azure AI Vyhledávač | Microsoft.Search/searchServices |
Umožňuje přístup k účtům úložiště pro indexování, zpracování a dotazování. |
Služby Azure AI | Microsoft.CognitiveService/accounts |
Umožňuje přístup k účtům úložiště. Další informace. |
Azure Container Registry | Microsoft.ContainerRegistry/registries |
Prostřednictvím sady funkcí ACR Tasks umožňuje přístup k účtům úložiště při vytváření imagí kontejnerů. |
Microsoft Cost Management | Microsoft.CostManagementExports |
Umožňuje exportovat do účtů úložiště za bránou firewall. Další informace. |
Azure Databricks | Microsoft.Databricks/accessConnectors |
Umožňuje přístup k účtům úložiště. |
Azure Data Factory | Microsoft.DataFactory/factories |
Umožňuje přístup k účtům úložiště prostřednictvím modulu runtime služby Data Factory. |
Azure Backup Vault | Microsoft.DataProtection/BackupVaults |
Umožňuje přístup k účtům úložiště. |
Azure Data Share | Microsoft.DataShare/accounts |
Umožňuje přístup k účtům úložiště. |
Azure Database for PostgreSQL | Microsoft.DBForPostgreSQL |
Umožňuje přístup k účtům úložiště. |
Azure IoT Hub | Microsoft.Devices/IotHubs |
Umožňuje zápis dat ze služby IoT Hub do služby Blob Storage. Další informace. |
Azure DevTest Labs | Microsoft.DevTestLab/labs |
Umožňuje přístup k účtům úložiště. |
Azure Event Grid | Microsoft.EventGrid/domains |
Umožňuje přístup k účtům úložiště. |
Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Umožňuje přístup k účtům úložiště. |
Azure Event Grid | Microsoft.EventGrid/systemTopics |
Umožňuje přístup k účtům úložiště. |
Azure Event Grid | Microsoft.EventGrid/topics |
Umožňuje přístup k účtům úložiště. |
Microsoft Fabric | Microsoft.Fabric |
Umožňuje přístup k účtům úložiště. |
Azure Healthcare APIs | Microsoft.HealthcareApis/services |
Umožňuje přístup k účtům úložiště. |
Azure Healthcare APIs | Microsoft.HealthcareApis/workspaces |
Umožňuje přístup k účtům úložiště. |
Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Umožňuje přístup k účtům úložiště. |
Managed HSM služby Azure Key Vault | Microsoft.keyvault/managedHSMs |
Umožňuje přístup k účtům úložiště. |
Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Umožňuje aplikacím logiky přístup k účtům úložiště. Další informace. |
Azure Logic Apps | Microsoft.Logic/workflows |
Umožňuje aplikacím logiky přístup k účtům úložiště. Další informace. |
Studio Azure Machine Learning | Microsoft.MachineLearning/registries |
Umožňuje autorizovaným pracovním prostorům Azure Machine Learning psát výstup experimentu, modely a protokoly do služby Blob Storage a číst data. Další informace. |
Azure Machine Learning | Microsoft.MachineLearningServices |
Umožňuje autorizovaným pracovním prostorům Azure Machine Learning psát výstup experimentu, modely a protokoly do služby Blob Storage a číst data. Další informace. |
Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Umožňuje autorizovaným pracovním prostorům Azure Machine Learning psát výstup experimentu, modely a protokoly do služby Blob Storage a číst data. Další informace. |
Azure Media Services | Microsoft.Media/mediaservices |
Umožňuje přístup k účtům úložiště. |
Azure Migrate | Microsoft.Migrate/migrateprojects |
Umožňuje přístup k účtům úložiště. |
Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Umožňuje přístup k účtům úložiště. |
Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Umožňuje přístup k účtům úložiště. |
Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Umožňuje přístup k účtům úložiště. |
Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Umožňuje přístup k účtům úložiště. |
Microsoft Purview | Microsoft.Purview/accounts |
Umožňuje přístup k účtům úložiště. |
Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Umožňuje přístup k účtům úložiště. |
Security Center | Microsoft.Security/dataScanners |
Umožňuje přístup k účtům úložiště. |
Singularita | Microsoft.Singularity/accounts |
Umožňuje přístup k účtům úložiště. |
Azure SQL Database | Microsoft.Sql |
Umožňuje zápis dat auditu do účtů úložiště za bránou firewall. |
Servery Azure SQL | Microsoft.Sql/servers |
Umožňuje zápis dat auditu do účtů úložiště za bránou firewall. |
Azure Synapse Analytics | Microsoft.Sql |
Umožňuje importovat a exportovat data z konkrétních databází SQL prostřednictvím COPY příkazu nebo PolyBase (ve vyhrazeném fondu) nebo openrowset funkce a externí tabulky v bezserverovém fondu. Další informace. |
Azure Stream Analytics | Microsoft.StreamAnalytics |
Umožňuje zápis dat z úlohy streamování do služby Blob Storage. Další informace. |
Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Umožňuje zápis dat z úlohy streamování do služby Blob Storage. Další informace. |
Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Umožňuje přístup k datům ve službě Azure Storage. |
Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Umožňuje přístup k účtům úložiště. |
Pokud pro váš účet není povolená funkce hierarchického oboru názvů, můžete udělit oprávnění explicitním přiřazením role Azure ke spravované identitě pro každou instanci prostředku. V tomto případě rozsah přístupu pro instanci odpovídá roli Azure, která je přiřazená spravované identitě.
Stejnou techniku můžete použít pro účet s povolenou funkcí hierarchického oboru názvů. Pokud ale přidáte spravovanou identitu do seznamu řízení přístupu (ACL) libovolného adresáře nebo objektu blob, který účet úložiště obsahuje, nemusíte přiřazovat roli Azure. V takovém případě rozsah přístupu instance odpovídá adresáři nebo souboru, ke kterému má spravovaná identita přístup.
Pokud chcete udělit přístup, můžete také zkombinovat role Azure a seznamy ACL. Další informace najdete v tématu Model řízení přístupu ve službě Azure Data Lake Storage.
K udělení přístupu ke konkrétním prostředkům doporučujeme použít pravidla instance prostředků.
Správa výjimek
V některých případech, jako je analýza úložiště, se vyžaduje přístup ke čtení protokolů prostředků a metrik mimo hranice sítě. Když nakonfigurujete důvěryhodné služby pro přístup k účtu úložiště, můžete povolit přístup pro čtení pro soubory protokolů, tabulky metrik nebo obojí vytvořením výjimky pravidla sítě. Výjimky pravidel sítě můžete spravovat prostřednictvím webu Azure Portal, PowerShellu nebo Azure CLI v2.
Další informace o práci s analýzou úložiště najdete v tématu Použití analýz služby Azure Storage ke shromažďování protokolů a dat metrik.
Přejděte do účtu úložiště, pro který chcete spravovat výjimky.
V nabídce služby v části Zabezpečení a sítě vyberte Sítě.
Zkontrolujte, že jste se rozhodli povolit přístup k veřejné síti z vybraných virtuálních sítí a IP adres.
V části Výjimky vyberte výjimky, které chcete udělit.
Výběrem možnosti Uložit se vaše změny uplatní.
Další kroky
- Přečtěte si další informace o koncových bodech síťových služeb Azure.
- Podrobnější informace o doporučeních zabezpečení pro úložiště objektů blob v Azure