Vytvoření a přidružení zásad koncového bodu služby

Článek
09/26/2024

Zásady koncového bodu služby umožňují filtrovat provoz virtuální sítě na konkrétní prostředky Azure přes koncové body služby. Pokud nejste obeznámeni se zásadami koncového bodu služby, přečtěte si další informace v přehledu zásad koncových bodů služby.

V tomto kurzu se naučíte:

Vytvořte virtuální síť.
Přidejte podsíť a povolte koncový bod služby pro Azure Storage.
Vytvořte dva účty Azure Storage a povolte k němu síťový přístup z podsítě ve virtuální síti.
Vytvořte zásadu koncového bodu služby, která povolí přístup jenom k jednomu z účtů úložiště.
Nasaďte virtuální počítač do podsítě.
Ověřte přístup k povolenému účtu úložiště z podsítě.
Ověřte, že přístup z podsítě je odepřený k účtu úložiště, který není povolený.

Požadavky

Účet Azure s aktivním předplatným. Účet si můžete vytvořit zdarma.

Účet Azure s aktivním předplatným. Účet si můžete vytvořit zdarma.

Azure Cloud Shell

Azure hostí interaktivní prostředí Azure Cloud Shell, které můžete používat v prohlížeči. Pro práci se službami Azure můžete v prostředí Cloud Shell použít buď Bash, nebo PowerShell. Předinstalované příkazy Cloud Shellu můžete použít ke spuštění kódu v tomto článku, aniž byste museli instalovat cokoli do místního prostředí.

Spuštění služby Azure Cloud Shell:

Možnost	Příklad nebo odkaz
Vyberte Vyzkoušet v pravém horním rohu bloku kódu nebo příkazu. Výběrem možnosti Vyzkoušet se kód ani příkaz automaticky nekopíruje do Cloud Shellu.
Přejděte na adresu https://shell.azure.com nebo výběrem tlačítka Spustit Cloud Shell otevřete Cloud Shell v prohlížeči.
Zvolte tlačítko Cloud Shell v pruhu nabídky v pravém horním rohu webu Azure Portal.

Použití Azure Cloud Shellu:

Spusťte Cloud Shell.
Výběrem tlačítka Kopírovat v bloku kódu (nebo bloku příkazů) zkopírujte kód nebo příkaz.
Vložte kód nebo příkaz do relace Cloud Shellu tak, že ve Windows a Linuxu vyberete ctrl+Shift+V nebo vyberete Cmd+Shift+V v macOS.
Stisknutím klávesy Enter spusťte kód nebo příkaz.

Pokud se rozhodnete nainstalovat a používat PowerShell místně, tento článek vyžaduje modul Azure PowerShell verze 1.0.0 nebo novější. Nainstalovanou verzi zjistíte spuštěním příkazu Get-Module -ListAvailable Az. Pokud potřebujete upgrade, přečtěte si téma Instalace modulu Azure PowerShell. Pokud používáte PowerShell místně, musíte také spustit Connect-AzAccount , abyste vytvořili připojení k Azure.

Vytvoření virtuální sítě a povolení koncového bodu služby

Vytvořte virtuální síť, která bude obsahovat prostředky, které vytvoříte v tomto kurzu.

Do vyhledávacího pole na portálu zadejte virtuální sítě. Ve výsledcích hledání vyberte virtuální sítě .
Vyberte + Vytvořit a vytvořte novou virtuální síť.

Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace.

Nastavení	Hodnota
Podrobnosti projektu
Předplatné	Vyberte své předplatné.
Skupina prostředků	Vyberte, že chcete vytvořit novou IP adresu. Do pole Název zadejte test-rg. Vyberte OK.
Název	Zadejte vnet-1.
Oblast	Vyberte USA – západ 2.

Vyberte Další.
Vyberte Další.
Na kartě IP adresy v podsítích vyberte výchozí podsíť.
Zadejte nebo vyberte následující informace v podsíti Upravit.

Nastavení Hodnota

Name Zadejte podsíť-1.

Koncové body služby

Služby

V rozevírací nabídce vyberte Microsoft.Storage.
Zvolte Uložit.
Vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.

Nastavení	Hodnota
Name	Zadejte podsíť-1.
Koncové body služby
Služby
V rozevírací nabídce vyberte Microsoft.Storage.

Před vytvořením virtuální sítě musíte vytvořit skupinu prostředků pro virtuální síť a všechny ostatní prostředky vytvořené v tomto článku. Vytvořte skupinu prostředků pomocí rutiny New-AzResourceGroup. Následující příklad vytvoří skupinu prostředků s názvem test-rg:

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}
New-AzResourceGroup @rg

Vytvořte virtuální síť pomocí rutiny New-AzVirtualNetwork. Následující příklad vytvoří virtuální síť s názvem vnet-1 s předponou adresy 10.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Vytvořte konfiguraci podsítě pomocí rutiny New-AzVirtualNetworkSubnetConfig a pak zapište konfiguraci podsítě do virtuální sítě pomocí rutiny Set-AzVirtualNetwork. Následující příklad přidá podsíť s názvem subnet-1 do virtuální sítě a vytvoří koncový bod služby pro Microsoft.Storage.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

Před vytvořením virtuální sítě musíte vytvořit skupinu prostředků pro virtuální síť a všechny ostatní prostředky vytvořené v tomto článku. Vytvořte skupinu prostředků pomocí příkazu az group create. Následující příklad vytvoří skupinu prostředků s názvem test-rg v umístění westus2 .

az group create \
  --name test-rg \
  --location westus2

Vytvořte virtuální síť s jednou podsítí pomocí příkazu az network vnet create.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefix 10.0.0.0/16 \
  --subnet-name subnet-1 \
  --subnet-prefix 10.0.0.0/24

V tomto příkladu se vytvoří koncový bod služby pro Microsoft.Storage podsíť podsíť 1:

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24 \
  --service-endpoints Microsoft.Storage

Omezení síťového přístupu pro podsíť

Vytvořte skupinu zabezpečení sítě a pravidla, která omezují síťový přístup pro podsíť.

Vytvoření skupiny zabezpečení sítě

Do vyhledávacího pole na portálu zadejte skupiny zabezpečení sítě. Ve výsledcích hledání vyberte skupiny zabezpečení sítě.
Vyberte + Vytvořit a vytvořte novou skupinu zabezpečení sítě.
Na kartě Základy vytvořte skupinu zabezpečení sítě, zadejte nebo vyberte následující informace.

Nastavení Hodnota

Podrobnosti projektu

Předplatné Vyberte své předplatné.

Skupina prostředků Vyberte test-rg.

Název Zadejte nsg-1.

Oblast Vyberte USA – západ 2.
Vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.

Vytvoření pravidel skupiny zabezpečení sítě

Do vyhledávacího pole na portálu zadejte skupiny zabezpečení sítě. Ve výsledcích hledání vyberte skupiny zabezpečení sítě.
Vyberte nsg-1.
Rozbalte Nastavení. Vyberte Odchozí pravidla zabezpečení.
Vyberte + Přidat a přidejte nové odchozí pravidlo zabezpečení.

V části Přidat odchozí pravidlo zabezpečení zadejte nebo vyberte následující informace.

Nastavení	Hodnota
Source	Vyberte značku služby.
Značka zdrojové služby	Vyberte VirtualNetwork.
Rozsahy zdrojových portů	Zadejte *.
Cíl	Vyberte značku služby.
Značka cílové služby	Vyberte Úložiště.
Služba	Vyberte Vlastní.
Rozsahy cílových portů	Zadejte *.
Protokol	Vyberte libovolnou položku.
Akce	Vyberte Povolit.
Priorita	Zadejte 100.
Název	Zadejte allow-storage-all.

Vyberte Přidat.
Vyberte + Přidat a přidejte další odchozí pravidlo zabezpečení.

V části Přidat odchozí pravidlo zabezpečení zadejte nebo vyberte následující informace.

Nastavení	Hodnota
Source	Vyberte značku služby.
Značka zdrojové služby	Vyberte VirtualNetwork.
Rozsahy zdrojových portů	Zadejte *.
Cíl	Vyberte značku služby.
Značka cílové služby	Vyberte Internet.
Služba	Vyberte Vlastní.
Rozsahy cílových portů	Zadejte *.
Protokol	Vyberte libovolnou položku.
Akce	Vyberte Odepřít.
Priorita	Zadejte 110.
Název	Zadejte odepřít-internet-all.

Vyberte Přidat.
Rozbalte Nastavení. Vyberte podsítě.
Vyberte Přidružit.
V části Přidružit podsíť zadejte nebo vyberte následující informace.

Nastavení Hodnota

Virtuální síť Vyberte vnet-1 (test-rg).

Podsíť Vyberte podsíť 1.
Vyberte OK.

Nastavení	Hodnota
Virtuální síť	Vyberte vnet-1 (test-rg).
Podsíť	Vyberte podsíť 1.

Vytvořte pravidla zabezpečení skupiny zabezpečení sítě pomocí rutiny New-AzNetworkSecurityRuleConfig. Následující pravidlo umožňuje odchozí přístup k veřejným IP adresům přiřazeným ke službě Azure Storage:

$r1 = @{
    Name = "Allow-Storage-All"
    Access = "Allow"
    DestinationAddressPrefix = "Storage"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 100
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule1 = New-AzNetworkSecurityRuleConfig @r1

Následující pravidlo odmítne přístup ke všem veřejným IP adresám. Předchozí pravidlo toto pravidlo přepíše kvůli vyšší prioritě, což umožňuje přístup k veřejným IP adresám služby Azure Storage.

$r2 = @{
    Name = "Deny-Internet-All"
    Access = "Deny"
    DestinationAddressPrefix = "Internet"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 110
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule2 = New-AzNetworkSecurityRuleConfig @r2

Vytvořte skupinu zabezpečení sítě pomocí rutiny New-AzNetworkSecurityGroup. Následující příklad vytvoří skupinu zabezpečení sítě s názvem nsg-1.

$securityRules = @($rule1, $rule2)

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
    SecurityRules = $securityRules
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Přidružte skupinu zabezpečení sítě k podsíti podsítě-1 k podsíti Set-AzVirtualNetworkSubnetConfig a pak zapište konfiguraci podsítě do virtuální sítě. Následující příklad přidruží skupinu zabezpečení sítě nsg-1 k podsíti podsíť 1 :

$subnetConfig = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
    NetworkSecurityGroup = $nsg
}
Set-AzVirtualNetworkSubnetConfig @subnetConfig

$virtualNetwork | Set-AzVirtualNetwork

Vytvořte skupinu zabezpečení sítě pomocí příkazu az network nsg create. Následující příklad vytvoří skupinu zabezpečení sítě s názvem nsg-1.

az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Přidružte skupinu zabezpečení sítě k podsíti podsítě-1 pomocí příkazu az network vnet subnet update. Následující příklad přidruží skupinu zabezpečení sítě nsg-1 k podsíti podsíť 1 :

az network vnet subnet update \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --resource-group test-rg \
  --network-security-group nsg-1

Vytvořte pravidla zabezpečení pomocí příkazu az network nsg rule create. Následující pravidlo umožňuje odchozí přístup k veřejným IP adresům přiřazeným ke službě Azure Storage:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Storage-All \
  --access Allow \
  --protocol "*" \
  --direction Outbound \
  --priority 100 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Storage" \
  --destination-port-range "*"

Každá skupina zabezpečení sítě obsahuje několik výchozích pravidel zabezpečení. Následující pravidlo přepíše výchozí pravidlo zabezpečení, které umožňuje odchozí přístup ke všem veřejným IP adresám. Tato destination-address-prefix "Internet" možnost odepře odchozí přístup ke všem veřejným IP adresám. Předchozí pravidlo toto pravidlo přepíše kvůli vyšší prioritě, což umožňuje přístup k veřejným IP adresám služby Azure Storage.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Deny-Internet-All \
  --access Deny \
  --protocol "*" \
  --direction Outbound \
  --priority 110 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Internet" \
  --destination-port-range "*"

Omezení síťového přístupu k účtům Azure Storage

Kroky potřebné k omezení síťového přístupu k prostředkům vytvořeným prostřednictvím služeb Azure povolených v koncových bodech se u jednotlivých služeb liší. Konkrétní kroky pro jednotlivé služby najdete v dokumentaci příslušné služby. Zbývající část tohoto článku obsahuje postup omezení síťového přístupu pro účet Azure Storage, například.

Vytvoření dvou účtů úložiště

Do vyhledávacího pole na portálu zadejte účty úložiště. Vevýsledcíchch
Vyberte + Vytvořit a vytvořte nový účet úložiště.

V části Vytvořit účet úložiště zadejte nebo vyberte následující informace.

Nastavení	Hodnota
Podrobnosti projektu
Předplatné	Vyberte své předplatné.
Skupina prostředků	Vyberte test-rg.
Podrobnosti o instanci
Název účtu úložiště	Zadejte allowedaccount(random-number). Poznámka: Název účtu úložiště musí být jedinečný. Na konec názvu `allowedaccount`přidejte náhodné číslo .
Oblast	Vyberte USA – západ 2.
Výkon	Vyberte položku Standardní.
Redundance	Vyberte místně redundantní úložiště (LRS).

Vyberte Další , dokud se nedostanete na kartu Ochrana dat.
V části Obnovení zrušte výběr všech možností.
Vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.
Opakujte předchozí kroky a vytvořte další účet úložiště s následujícími informacemi.

Nastavení Hodnota

Název účtu úložiště Zadejte deniedaccount(random-number).

Nastavení	Hodnota
Název účtu úložiště	Zadejte deniedaccount(random-number).

Vytvořte povolený účet úložiště Azure pomocí rutiny New-AzStorageAccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'allowedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Pomocí stejného příkazu vytvořte odepřený účet úložiště Azure, ale změňte název na deniedaccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'deniedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Vytvořte dva účty úložiště Azure pomocí příkazu az storage account create.

storageAcctName1="allowedaccount"

az storage account create \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Pomocí stejného příkazu vytvořte odepřený účet úložiště Azure, ale změňte název na deniedaccount.

storageAcctName2="deniedaccount"

az storage account create \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Vytvoření sdílených složek

Do vyhledávacího pole na portálu zadejte účty úložiště. Vevýsledcíchch
Vyberte allowedaccount(random-number).
Rozbalte část Úložiště dat a vyberte Sdílené složky.
Vyberte + Sdílená složka.
V nové sdílené složce zadejte nebo vyberte následující informace.

Nastavení Hodnota

Name Zadejte sdílenou složku.
Ponechte zbývající nastavení jako výchozí a vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.
Opakováním předchozích kroků vytvořte sdílenou složku v deniedaccount(random-number).</a0>

Nastavení	Hodnota
Name	Zadejte sdílenou složku.

Pomocí rutiny Get-AzStorageAccountKey získejte klíč účtu úložiště pro povolený účet úložiště. Tento klíč použijete v dalším kroku k vytvoření sdílené složky v povoleném účtu úložiště.

$storageAcctName1 = "allowedaccount"
$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName1
}
$storageAcctKey1 = (Get-AzStorageAccountKey @storageAcctParams1).Value[0]

Vytvořte kontext pro účet úložiště a klíč pomocí New-AzStorageContext. Kontext obsahuje název účtu úložiště a klíč účtu.

$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1

Vytvořte sdílenou složku pomocí New-AzStorageShare.

$share1 = New-AzStorageShare file-share -Context $storageContext1

Pomocí rutiny Get-AzStorageAccountKey získejte klíč účtu úložiště pro povolený účet úložiště. Tento klíč použijete v dalším kroku k vytvoření sdílené složky v odepřeném účtu úložiště.

$storageAcctName2 = "deniedaccount"
$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName2
}
$storageAcctKey2 = (Get-AzStorageAccountKey @storageAcctParams2).Value[0]

Vytvořte kontext pro účet úložiště a klíč pomocí New-AzStorageContext. Kontext obsahuje název účtu úložiště a klíč účtu.

$storageContext2= New-AzStorageContext $storageAcctName2 $storageAcctKey2

Vytvořte sdílenou složku pomocí New-AzStorageShare.

$share2 = New-AzStorageShare file-share -Context $storageContext2

Načtěte připojovací řetězec účtů úložiště do proměnné pomocí příkazu az storage account show-connection-string. Připojovací řetězec slouží k vytvoření sdílené složky v pozdějším kroku.

saConnectionString1=$(az storage account show-connection-string \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Vytvořte sdílenou složku v účtu úložiště pomocí příkazu az storage share create. V pozdějším kroku se tato sdílená složka připojí k potvrzení síťového přístupu k ní.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString1 > /dev/null

saConnectionString2=$(az storage account show-connection-string \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Vytvořte sdílenou složku v účtu úložiště pomocí příkazu az storage share create. V pozdějším kroku se tato sdílená složka připojí k potvrzení síťového přístupu k ní.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString2 > /dev/null

Odepření veškerého síťového přístupu k účtům úložiště

Účty úložiště ve výchozím nastavení přijímají síťová připojení z klientů v jakékoli síti. Pokud chcete omezit síťový přístup k účtům úložiště, můžete účet úložiště nakonfigurovat tak, aby přijímal připojení jenom z konkrétních sítí. V tomto příkladu nakonfigurujete účet úložiště tak, aby přijímal připojení pouze z podsítě virtuální sítě, kterou jste vytvořili dříve.

Do vyhledávacího pole na portálu zadejte účty úložiště. Vevýsledcíchch
Vyberte allowedaccount(random-number).
Rozbalte položku Zabezpečení a sítě a vyberte Sítě.
V bránách firewall a virtuálních sítích v oblasti Přístup k veřejné síti vyberte Možnost Povoleno z vybraných virtuálních sítí a IP adres.
Ve virtuálních sítích vyberte + Přidat existující virtuální síť.
V části Přidat sítě zadejte nebo vyberte následující informace.

Nastavení Hodnota

Předplatné Vyberte své předplatné.

Virtuální sítě Vyberte vnet-1.

Podsítě Vyberte podsíť 1.
Vyberte přidat.
Zvolte Uložit.
Opakováním předchozích kroků zamítáte síťový přístup k deniedaccount(random-number).

Nastavení	Hodnota
Předplatné	Vyberte své předplatné.
Virtuální sítě	Vyberte vnet-1.
Podsítě	Vyberte podsíť 1.

K odepření přístupu k účtům úložiště s výjimkou virtuální sítě a podsítě, kterou jste vytvořili dříve, použijte Update-AzStorageAccountNetworkRuleSet . Po odepření síťového přístupu není účet úložiště přístupný z žádné sítě.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams1

$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams2

Povolení síťového přístupu pouze z podsítě virtuální sítě

Načtěte vytvořenou virtuální síť pomocí rutiny Get-AzVirtualNetwork a pak načtěte objekt privátní podsítě do proměnné pomocí rutiny Get-AzVirtualNetworkSubnetConfig:

$privateSubnetParams = @{
    ResourceGroupName = "test-rg"
    Name = "vnet-1"
}
$privateSubnet = Get-AzVirtualNetwork @privateSubnetParams | Get-AzVirtualNetworkSubnetConfig -Name "subnet-1"

Povolte síťový přístup k účtu úložiště z podsítě podsítě 1 pomocí rutiny Add-AzStorageAccountNetworkRule.

$networkRuleParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams1

$networkRuleParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams2

Účty úložiště ve výchozím nastavení přijímají síťová připojení z klientů v jakékoli síti. Pokud chcete omezit přístup k vybraným sítím, změňte výchozí akci na Odepřít pomocí příkazu az storage account update. Po odepření síťového přístupu není účet úložiště přístupný z žádné sítě.

az storage account update \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --default-action Deny

az storage account update \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --default-action Deny

Povolení síťového přístupu pouze z podsítě virtuální sítě

Povolte síťový přístup k účtu úložiště z podsítě podsítě 1 pomocí příkazu az storage account network-rule add.

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName1 \
  --vnet-name vnet-1 \
  --subnet subnet-1

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName2 \
  --vnet-name vnet-1 \
  --subnet subnet-1

Použití zásad pro povolení přístupu k platnému účtu úložiště

Můžete vytvořit zásadu koncového bodu služby. Zásady zajišťují, že uživatelé ve virtuální síti budou mít přístup jenom k bezpečným a povoleným účtům Azure Storage. Tato zásada obsahuje seznam povolených účtů úložiště použitých pro podsíť virtuální sítě, která je připojená k úložišti prostřednictvím koncových bodů služby.

Vytvoření zásady koncového bodu služby

Tato část vytvoří definici zásad se seznamem povolených prostředků pro přístup ke koncovému bodu služby.

Do vyhledávacího pole na portálu zadejte zásady koncového bodu služby. Ve výsledcích hledání vyberte zásady koncového bodu služby.
Vyberte + Vytvořit a vytvořte novou zásadu koncového bodu služby.

Na kartě Základy zásad koncového bodu služby zadejte nebo vyberte následující informace.

Nastavení	Hodnota
Podrobnosti projektu
Předplatné	Vyberte své předplatné.
Skupina prostředků	Vyberte test-rg.
Podrobnosti o instanci
Název	Zadejte zásady koncového bodu služby.
Umístění	Vyberte USA – západ 2.

Vyberte Další: Definice zásad.
Vyberte + Přidat prostředek v prostředcích.

V části Přidat prostředek zadejte nebo vyberte následující informace:

Nastavení	Hodnota
Služba	Vyberte Microsoft.Storage.
Obor	Vybrat jeden účet
Předplatné	Vyberte své předplatné.
Skupina prostředků	Vyberte test-rg.
Prostředek	Výběr povoleného účtu (náhodné číslo)

Vyberte Přidat.
Vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.

Pokud chcete načíst ID prostředku pro první (povolený) účet úložiště, použijte rutinu Get-AzStorageAccount.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
}
$resourceId = (Get-AzStorageAccount @storageAcctParams1).id

K vytvoření definice zásady, která povolí předchozí prostředek, použijte New-AzServiceEndpointPolicyDefinition .

$policyDefinitionParams = @{
    Name = "policy-definition"
    Description = "Service Endpoint Policy Definition"
    Service = "Microsoft.Storage"
    ServiceResource = $resourceId
}
$policyDefinition = New-AzServiceEndpointPolicyDefinition @policyDefinitionParams

Pomocí rutiny New-AzServiceEndpointPolicy vytvořte zásadu koncového bodu služby s definicí zásady.

$sepolicyParams = @{
    ResourceGroupName = "test-rg"
    Name = "service-endpoint-policy"
    Location = "westus2"
    ServiceEndpointPolicyDefinition = $policyDefinition
}
$sepolicy = New-AzServiceEndpointPolicy @sepolicyParams

Zásady koncového bodu služby se použijí u koncových bodů služby. Začněte vytvořením zásady koncového bodu služby. Pak vytvořte definice zásad v rámci této zásady pro účty Azure Storage, které se mají schválit pro tuto podsíť.

Pomocí příkazu az storage account show získejte ID prostředku pro účet úložiště, který je povolený.

serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)

Vytvoření zásady koncového bodu služby

az network service-endpoint policy create \
  --resource-group test-rg \
  --name service-endpoint-policy \
  --location westus2

Vytvoření a přidání definice zásady pro povolení předchozího účtu azure Storage do zásad koncového bodu služby

az network service-endpoint policy-definition create \
  --resource-group test-rg \
  --policy-name service-endpoint-policy \
  --name policy-definition \
  --service "Microsoft.Storage" \
  --service-resources $serviceResourceId

Přidružení zásad koncového bodu služby k podsíti

Po vytvoření zásady koncového bodu služby ji přidružíte k cílové podsíti s konfigurací koncového bodu služby pro Azure Storage.

Do vyhledávacího pole na portálu zadejte zásady koncového bodu služby. Ve výsledcích hledání vyberte zásady koncového bodu služby.
Vyberte zásadu koncového bodu služby.
Rozbalte nastavení a vyberte Přidružené podsítě.
Vyberte + Upravit přidružení podsítě.
V možnosti Upravit přidružení podsítě vyberte vnet-1 a podsíť 1.
Vyberte Použít.

K přidružení zásad koncového bodu služby k podsíti použijte Set-AzVirtualNetworkSubnetConfig .

$subnetConfigParams = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    NetworkSecurityGroup = $nsg
    ServiceEndpoint = "Microsoft.Storage"
    ServiceEndpointPolicy = $sepolicy
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

$virtualNetwork | Set-AzVirtualNetwork

Pomocí příkazu az network vnet subnet update přidružte zásady koncového bodu služby k podsíti.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --service-endpoints Microsoft.Storage \
  --service-endpoint-policy service-endpoint-policy

Upozorňující

Před přidružením zásady k dané podsíti se ujistěte, že se do definice zásady přidají všechny prostředky, ke kterým se přistupuje z podsítě. Po přidružení zásady se přes koncové body služby povolí jenom přístup k povoleným prostředkům uvedeným v seznamu .

Ujistěte se, že v podsíti přidružené k zásadám koncového bodu služby neexistují žádné spravované služby Azure.

Přístup k prostředkům Azure Storage ve všech oblastech bude omezený podle zásad koncového bodu služby z této podsítě.

Ověření omezení přístupu k účtům Azure Storage

Pokud chcete otestovat síťový přístup k účtu úložiště, nasaďte virtuální počítač v podsíti.

Nasazení virtuálního počítače

Do vyhledávacího pole na portálu zadejte Virtuální počítače. Ve výsledcích hledání vyberte virtuální počítače .

Na kartě Základy vytvoření virtuálního počítače zadejte nebo vyberte následující informace:

Nastavení	Hodnota
Podrobnosti projektu
Předplatné	Vyberte své předplatné.
Skupina prostředků	Vyberte test-rg.
Podrobnosti o instanci
Virtual machine name	Zadejte vm-1.
Oblast	Vyberte (USA) USA – západ 2.
Možnosti dostupnosti	Vyberte Možnost Bez redundance infrastruktury.
Typ zabezpečení	Vyberte položku Standardní.
Image	Vyberte Windows Server 2022 Datacenter – x64 Gen2.
Velikost	Vyberte velikost.
Účet správce
Username	Zadejte uživatelské jméno.
Heslo	Zadejte heslo.
Potvrdit heslo	Znovu zadejte heslo.
Pravidla portů pro příchozí spojení

Vyberte Další: Disky a pak vyberte Další: Sítě.

Na kartě Sítě zadejte nebo vyberte následující informace.

Nastavení	Hodnota
Síťové rozhraní
Virtuální síť	Vyberte vnet-1.
Podsíť	Vyberte podsíť 1 (10.0.0.0/24).
Veřejná IP adresa	Vyberte Žádná.
Skupina zabezpečení sítě síťových adaptérů	Vyberte Žádná.

Ponechte zbývající nastavení jako výchozí a vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.

Vytvořte virtuální počítač v podsíti podsítě 1 pomocí rutiny New-AzVM. Při spuštění následujícího příkazu se zobrazí výzva k zadání přihlašovacích údajů. Hodnoty, které zadáte, se nakonfigurují jako uživatelské jméno a heslo pro virtuální počítač.

$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    Name = "vm-1"
}
New-AzVm @vmParams

Vytvořte virtuální počítač v podsíti podsíť 1 pomocí příkazu az vm create.

az vm create \
  --resource-group test-rg \
  --name vm-1 \
  --image Win2022Datacenter \
  --admin-username azureuser \
  --vnet-name vnet-1 \
  --subnet subnet-1

Než budete pokračovat k dalším krokům, počkejte na dokončení nasazení virtuálního počítače.

Potvrzení přístupu k povolenému účtu úložiště

Přihlaste se k webu Azure Portal.
Do vyhledávacího pole na portálu zadejte účty úložiště. Vevýsledcíchch
Vyberte allowedaccount(random-number).
Rozbalte položku Zabezpečení a sítě a vyberte Přístupové klíče.
Zkopírujte hodnotu klíče1. Tento klíč použijete k mapování jednotky na účet úložiště z virtuálního počítače, který jste vytvořili dříve.
Do vyhledávacího pole na portálu zadejte Virtuální počítače. Ve výsledcích hledání vyberte virtuální počítače .
Vyberte vm-1.
Rozbalte operace. Vyberte příkaz Spustit.
Vyberte RunPowerShellScript.

Do skriptu spustit příkaz vložte následující skript.

## Enter the storage account key for the allowed storage account that you recorded earlier.
$storageAcctKey1 = (pasted from procedure above)
$acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
## Replace the login account with the name of the storage account you created.
$credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
## Replace the storage account name with the name of the storage account you created.
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential

Vyberte Spustit.

Pokud je mapa jednotky úspěšná, výstup v poli Výstup vypadá podobně jako v následujícím příkladu:

Name           Used (GB)     Free (GB) Provider      Root
----           ---------     --------- --------      ----
Z                                      FileSystem    \\allowedaccount.file.core.windows.net\fil..

Potvrzení odepření přístupu k odepření účtu úložiště

Do vyhledávacího pole na portálu zadejte účty úložiště. Vevýsledcíchch
Vyberte deniedaccount(random-number).
Rozbalte položku Zabezpečení a sítě a vyberte Přístupové klíče.
Zkopírujte hodnotu klíče1. Tento klíč použijete k mapování jednotky na účet úložiště z virtuálního počítače, který jste vytvořili dříve.
Do vyhledávacího pole na portálu zadejte Virtuální počítače. Ve výsledcích hledání vyberte virtuální počítače .
Vyberte vm-1.
Rozbalte operace. Vyberte příkaz Spustit.
Vyberte RunPowerShellScript.

Do skriptu spustit příkaz vložte následující skript.

## Enter the storage account key for the denied storage account that you recorded earlier.
$storageAcctKey2 = (pasted from procedure above)
$acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
## Replace the login account with the name of the storage account you created.
$credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
## Replace the storage account name with the name of the storage account you created.
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential

Vyberte Spustit.

V poli Výstup se zobrazí následující chybová zpráva:

New-PSDrive : Access is denied
At line:1 char:1
+ New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
+ FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand

Mapa jednotek je odepřena kvůli zásadám koncového bodu služby, které omezují přístup k účtu úložiště.

Po dokončení používání vytvořených prostředků můžete odstranit skupinu prostředků a všechny její prostředky.

Na webu Azure Portal vyhledejte a vyberte skupiny prostředků.
Na stránce Skupiny prostředků vyberte skupinu prostředků test-rg.
Na stránce test-rg vyberte Odstranit skupinu prostředků.
Zadáním příkazu test-rg do pole Zadejte název skupiny prostředků potvrďte odstranění a pak vyberte Odstranit.

Pokud už ji nepotřebujete, můžete k odebrání skupiny prostředků a všech prostředků, které obsahuje, použít Remove-AzResourceGroup :

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

Pokud už ji nepotřebujete, pomocí příkazu az group delete odeberte skupinu prostředků a všechny prostředky, které obsahuje.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Další kroky

V tomto kurzu jste vytvořili zásadu koncového bodu služby a přidružte ji k podsíti. Další informace o zásadách koncových bodů služby najdete v přehledu zásad koncového bodu služby.

Sdílet prostřednictvím

Vytvoření a přidružení zásad koncového bodu služby

Požadavky

Azure Cloud Shell

Vytvoření virtuální sítě a povolení koncového bodu služby

Omezení síťového přístupu pro podsíť

Vytvoření skupiny zabezpečení sítě

Vytvoření pravidel skupiny zabezpečení sítě

Omezení síťového přístupu k účtům Azure Storage

Vytvoření dvou účtů úložiště

Vytvoření sdílených složek

Odepření veškerého síťového přístupu k účtům úložiště

Povolení síťového přístupu pouze z podsítě virtuální sítě

Povolení síťového přístupu pouze z podsítě virtuální sítě

Použití zásad pro povolení přístupu k platnému účtu úložiště

Vytvoření zásady koncového bodu služby

Přidružení zásad koncového bodu služby k podsíti

Ověření omezení přístupu k účtům Azure Storage

Nasazení virtuálního počítače

Potvrzení přístupu k povolenému účtu úložiště

Potvrzení odepření přístupu k odepření účtu úložiště

Další kroky

Váš názor

Další materiály