Erstellen und Zuordnen von Dienstendpunktrichtlinien
Artikel
Mithilfe von Dienstendpunktrichtlinien können Sie über Dienstendpunkte den Datenverkehr eines virtuellen Netzwerks auf bestimmte Azure-Ressourcen filtern. Wenn Sie nicht mit Dienstendpunktrichtlinien vertraut sind, lesen Sie Dienstendpunktrichtlinien für virtuelle Netzwerke (Vorschau), um mehr zu erfahren.
In diesem Tutorial lernen Sie Folgendes:
Erstellen Sie ein virtuelles Netzwerk.
Fügen Sie ein Subnetz hinzu, und aktivieren Sie einen Dienstendpunkt für Azure Storage.
Erstellen Sie zwei Azure Storage-Konten, und lassen Sie den Netzwerkzugriff auf diese Konten aus dem Subnetz im virtuellen Netzwerk zu.
Erstellen einer Dienstendpunkt-Richtlinie zum Zulassen des Zugriffs nur auf eines der Speicherkonten
Bereitstellen eines virtuellen Computers im Subnetz
Bestätigen des Zugriffs auf das zulässige Speicherkonto aus dem Subnetz
Vergewissern Sie sich, dass der Zugriff auf das unzulässige Speicherkonto aus dem Subnetz verweigert wird.
Azure hostet Azure Cloud Shell, eine interaktive Shell-Umgebung, die Sie über Ihren Browser nutzen können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure-Diensten zu arbeiten. Sie können die vorinstallierten Befehle von Cloud Shell verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.
Starten von Azure Cloud Shell:
Option
Beispiel/Link
Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Durch die Auswahl von Ausprobieren wird der Code oder Befehl nicht automatisch in Cloud Shell kopiert.
Rufen Sie https://shell.azure.com auf, oder klicken Sie auf die Schaltfläche Cloud Shell starten, um Cloud Shell im Browser zu öffnen.
Wählen Sie im Azure-Portal rechts oben im Menü die Schaltfläche Cloud Shell aus.
So verwenden Sie Azure Cloud Shell:
Starten Sie Cloud Shell.
Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.
Fügen Sie den Code oder Befehl mit STRG+UMSCHALT+V unter Windows und Linux oder CMD+UMSCHALT+V unter macOS in die Cloud Shell-Sitzung ein.
Drücken Sie die EINGABETASTE, um den Code oder Befehl auszuführen.
Wenn Sie PowerShell lokal installieren und verwenden möchten, müssen Sie für diesen Artikel mindestens Version 1.0.0 des Azure PowerShell-Moduls verwenden. Führen Sie Get-Module -ListAvailable Az aus, um die installierte Version zu ermitteln. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu. Wenn Sie PowerShell lokal ausführen, müssen Sie auch Connect-AzAccount ausführen, um eine Verbindung mit Azure herzustellen.
Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.
Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.
Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.
Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.
Für diesen Artikel ist mindestens Version 2.0.28 der Azure CLI erforderlich. Bei Verwendung von Azure Cloud Shell ist die aktuelle Version bereits installiert.
Erstellen eines virtuellen Netzwerks und Aktivieren des Dienstendpunkts
Erstellen Sie ein virtuelles Netzwerk für die Ressourcen, die Sie in diesem Tutorial erstellen.
Geben Sie im Portal in das Suchfeld virtuelle Netzwerke ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.
Wählen Sie + Erstellen aus, um ein neues virtuelles Netzwerk zu erstellen.
Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus.
Einstellung
Wert
Projektdetails
Subscription
Wählen Sie Ihr Abonnement aus.
Resource group
Wählen Sie Neu erstellen. Geben Sie test-rg für Name ein. Wählen Sie OK aus.
Name
Geben Sie vnet-1 ein.
Region
Wählen Sie USA, Westen 2 aus.
Wählen Sie Weiter aus.
Wählen Sie Weiter aus.
Wählen Sie auf der Registerkarte IP-Adressen in Subnetze das Subnetz default aus.
Geben Sie unter Subnetz bearbeiten die folgenden Informationen ein, oder wählen Sie sie aus.
Einstellung
Wert
Name
Geben Sie subnet-1 ein.
Dienstendpunkte
Services
Wählen Sie im Pulldownmenü Microsoft.Storage aus.
Wählen Sie Speichern.
Klicken Sie auf Überprüfen + erstellen.
Klicken Sie auf Erstellen.
Vor der Erstellung eines virtuellen Netzwerks müssen Sie eine Ressourcengruppe für das virtuelle Netzwerk und alle anderen in diesem Artikel erstellten Ressourcen erstellen. Erstellen Sie mit New-AzResourceGroup eine Ressourcengruppe. Im folgenden Beispiel wird eine Ressourcengruppe mit dem Namen test-rg erstellt.
Erstellen Sie mit New-AzVirtualNetwork ein virtuelles Netzwerk. Im folgenden Beispiel wird ein virtuelles Netzwerk namens vnet-1 mit dem Adresspräfix 10.0.0.0/16 erstellt.
Erstellen Sie mit New-AzVirtualNetworkSubnetConfig eine Subnetzkonfiguration, und schreiben Sie sie anschließend mit Set-AzVirtualNetwork in das virtuelle Netzwerk. Im folgenden Beispiel wird dem virtuellen Netzwerk ein Subnetz mit dem Namen subnet-1 hinzugefügt und der Dienstendpunkt für Microsoft.Storage erstellt.
Vor der Erstellung eines virtuellen Netzwerks müssen Sie eine Ressourcengruppe für das virtuelle Netzwerk und alle anderen in diesem Artikel erstellten Ressourcen erstellen. Erstellen Sie mit az group create eine Ressourcengruppe. Im folgenden Beispiel wird eine Ressourcengruppe mit dem Namen test-rg am Standort westus2 erstellt.
az group create \
--name test-rg \
--location westus2
Geben Sie im Portal in das Suchfeld Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.
Wählen Sie + Erstellen aus, um eine neue Netzwerksicherheitsgruppe zu erstellen.
Geben Sie auf der Registerkarte Grundlagen von Netzwerksicherheitsgruppe erstellen die folgenden Informationen ein, oder wählen Sie sie aus.
Einstellung
Wert
Projektdetails
Subscription
Wählen Sie Ihr Abonnement aus.
Resource group
Wählen Sie test-rg aus.
Name
Geben Sie nsg-1 ein.
Region
Wählen Sie USA, Westen 2 aus.
Klicken Sie auf Überprüfen + erstellen.
Klicken Sie auf Erstellen.
Erstellen von Netzwerksicherheitsgruppen-Regeln
Geben Sie im Portal in das Suchfeld Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.
Wählen Sie nsg-1 aus.
Erweitern Sie Einstellungen. Wählen Sie Sicherheitsregeln für ausgehenden Datenverkehr aus.
Wählen Sie + Hinzufügen aus, um eine neue Sicherheitsregel für ausgehenden Datenverkehr hinzuzufügen.
Geben Sie unter Ausgangssicherheitsregel hinzufügen die folgenden Informationen ein, bzw. wählen Sie sie aus:
Einstellung
Wert
Quelle
Wählen Sie Diensttag aus.
Quelldiensttag
Wählen Sie VirtualNetwork aus.
Quellportbereiche
Geben Sie * ein.
Destination
Wählen Sie Diensttag aus.
Zieldiensttag
Wählen Sie Speicher aus.
Dienst
Wählen Sie Benutzerdefiniert aus.
Zielportbereiche
Geben Sie * ein.
Protocol
Wählen Sie Alle aus.
Aktion
Wählen Sie Zulassen aus.
Priorität
Geben Sie 100 ein.
Name
Geben Sie allow-storage-all ein.
Wählen Sie Hinzufügen.
Wählen Sie + Hinzufügen aus, um eine weitere Sicherheitsregel für ausgehenden Datenverkehr hinzuzufügen.
Geben Sie unter Ausgangssicherheitsregel hinzufügen die folgenden Informationen ein, bzw. wählen Sie sie aus:
Einstellung
Wert
Quelle
Wählen Sie Diensttag aus.
Quelldiensttag
Wählen Sie VirtualNetwork aus.
Quellportbereiche
Geben Sie * ein.
Destination
Wählen Sie Diensttag aus.
Zieldiensttag
Wählen Sie Internet aus.
Dienst
Wählen Sie Benutzerdefiniert aus.
Zielportbereiche
Geben Sie * ein.
Protocol
Wählen Sie Alle aus.
Aktion
Wählen Sie Ablehnen aus.
Priorität
Geben Sie 110 ein.
Name
Geben Sie deny-internet-all ein.
Wählen Sie Hinzufügen.
Erweitern Sie Einstellungen. Wählen Sie Subnetze aus.
Wählen Sie Zuordnen aus.
Geben Sie unter Subnetz zuordnen die folgenden Informationen ein, oder wählen Sie sie aus.
Einstellung
Wert
Virtuelles Netzwerk
Wählen Sie vnet-1 (test-rg) aus.
Subnet
Wählen Sie subnet-1 aus.
Wählen Sie OK aus.
Erstellen Sie mit New-AzNetworkSecurityRuleConfig Netzwerksicherheitsgruppen-Sicherheitsregeln. Die folgende Regel erlaubt den ausgehenden Zugriff auf die öffentlichen IP-Adressen, die dem Azure Storage-Dienst zugewiesen sind:
Die folgende Regel verweigert den Zugriff auf alle öffentlichen IP-Adressen. Die vorherige Regel überschreibt diese Regel. Dies ist auf die höhere Priorität zurückzuführen, die den Zugriff auf die öffentlichen IP-Adressen von Azure Storage zulässt.
Erstellen Sie mit New-AzNetworkSecurityGroup eine Netzwerksicherheitsgruppe. Im folgenden Beispiel wird eine Netzwerksicherheitsgruppe namens nsg-1 erstellt.
Ordnen Sie die Netzwerksicherheitsgruppe mit Set-AzVirtualNetworkSubnetConfig dem Subnetz subnet-1 zu, und schreiben Sie dann die Subnetzkonfiguration in das virtuelle Netzwerk. Im folgenden Beispiel wird die Netzwerksicherheitsgruppe nsg-1 dem Subnetz subnet-1 zugeordnet:
Erstellen Sie mit az network nsg create eine Netzwerksicherheitsgruppe. Im folgenden Beispiel wird eine Netzwerksicherheitsgruppe namens nsg-1 erstellt.
az network nsg create \
--resource-group test-rg \
--name nsg-1
Ordnen Sie die Netzwerksicherheitsgruppe mit az network vnet subnet update dem Subnetz subnet-1 zu. Im folgenden Beispiel wird die Netzwerksicherheitsgruppe nsg-1 dem Subnetz subnet-1 zugeordnet:
Erstellen Sie Sicherheitsregeln mit az network nsg rule create. Die folgende Regel erlaubt den ausgehenden Zugriff auf die öffentlichen IP-Adressen, die dem Azure Storage-Dienst zugewiesen sind:
Jede Netzwerksicherheitsgruppe enthält mehrere Standardsicherheitsregeln. Die folgende Regel überschreibt eine Standardsicherheitsregel, die ausgehenden Zugriff auf alle öffentlichen IP-Adressen zulässt. Die destination-address-prefix "Internet"-Option verweigert den ausgehenden Zugriff auf alle öffentlichen IP-Adressen. Die vorherige Regel überschreibt diese Regel. Dies ist auf die höhere Priorität zurückzuführen, die den Zugriff auf die öffentlichen IP-Adressen von Azure Storage zulässt.
Einschränken des Netzwerkzugriffs auf Azure Storage-Konten
Die Schritte, die erforderlich sind, um den Netzwerkzugriff auf Ressourcen einzuschränken, die durch Azure-Dienste erstellt und für Dienstendpunkte aktiviert wurden, sind je nach Dienst unterschiedlich. Informationen zu den Schritten für einzelne Dienste finden Sie in der Dokumentation des jeweiligen Diensts. Der Rest dieses Artikels enthält als Beispiel Schritte zum Einschränken des Netzwerkzugriffs für ein Azure Storage-Konto.
Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.
Wählen Sie + Erstellen aus, um ein Speicherkonto zu erstellen.
Geben Sie unter Speicherkonto erstellen die folgenden Informationen ein, oder wählen Sie sie aus.
Einstellung
Wert
Projektdetails
Subscription
Wählen Sie Ihr Abonnement aus.
Resource group
Wählen Sie test-rg aus.
Instanzendetails
Speicherkontoname
Geben Sie allowedaccount(Zufallszahl) ein. Hinweis: Der Name des Speicherkontos muss eindeutig sein. Fügen Sie am Ende des Namens allowedaccount eine Zufallszahl an.
Region
Wählen Sie USA, Westen 2 aus.
Leistung
Wählen Sie Standard aus.
Redundanz
Wählen Sie Lokal redundanter Speicher (LRS) aus.
Wählen Sie Weiter aus, bis die Registerkarte Datenschutz angezeigt wird.
Deaktivieren Sie unter Wiederherstellung alle Optionen.
Klicken Sie auf Überprüfen + erstellen.
Klicken Sie auf Erstellen.
Wiederholen Sie die vorherigen Schritte, um ein weiteres Speicherkonto mit den folgenden Informationen zu erstellen.
Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.
Wählen Sie allowedaccount(Zufallszahl) aus.
Erweitern Sie den Abschnitt Datenspeicher, und wählen Sie Dateifreigaben aus.
Klicken Sie auf + Dateifreigabe.
Geben Sie in Neue Dateifreigabe die folgenden Informationen ein, oder wählen Sie sie aus.
Einstellung
Wert
Name
Geben Sie file-share ein.
Behalten Sie für die restlichen Einstellungen die Standardwerte bei, und wählen Sie Überprüfen + erstellen aus.
Klicken Sie auf Erstellen.
Wiederholen Sie die vorherigen Schritte, um eine Dateifreigabe in deniedaccount(Zufallszahl) zu erstellen.
Erstellen einer Dateifreigabe im zulässigen Speicherkonto
Verwenden Sie Get-AzStorageAccountKey, um den Speicherkontoschlüssel für das zulässige Speicherkonto abzurufen. Sie verwenden diesen Schlüssel im nächsten Schritt, um eine Dateifreigabe im zulässigen Speicherkonto zu erstellen.
Erstellen Sie mit New-AzStorageContext einen Kontext für das Speicherkonto und den Speicherschlüssel. Der Kontext kapselt den Speicherkontonamen und den Kontoschlüssel.
Erstellen einer Dateifreigabe im verweigerten Speicherkonto
Verwenden Sie Get-AzStorageAccountKey, um den Speicherkontoschlüssel für das zulässige Speicherkonto abzurufen. Sie verwenden diesen Schlüssel im nächsten Schritt, um eine Dateifreigabe im verweigerten Speicherkonto zu erstellen.
Erstellen Sie mit New-AzStorageContext einen Kontext für das Speicherkonto und den Speicherschlüssel. Der Kontext kapselt den Speicherkontonamen und den Kontoschlüssel.
Erstellen einer Dateifreigabe im zulässigen Speicherkonto
Rufen Sie die Verbindungszeichenfolge für die Speicherkonten mit az storage account show-connection-string in eine Variable ab. Die Verbindungszeichenfolge wird verwendet, um in einem späteren Schritt eine Dateifreigabe zu erstellen.
Erstellen Sie mit az storage share create eine Dateifreigabe im Speicherkonto. In einem späteren Schritt wird diese Dateifreigabe bereitgestellt, um den Netzwerkzugriff darauf zu bestätigen.
Erstellen einer Dateifreigabe im verweigerten Speicherkonto
Rufen Sie die Verbindungszeichenfolge für die Speicherkonten mit az storage account show-connection-string in eine Variable ab. Die Verbindungszeichenfolge wird verwendet, um in einem späteren Schritt eine Dateifreigabe zu erstellen.
Erstellen Sie mit az storage share create eine Dateifreigabe im Speicherkonto. In einem späteren Schritt wird diese Dateifreigabe bereitgestellt, um den Netzwerkzugriff darauf zu bestätigen.
Verweigern des gesamten Netzwerkzugriffs auf Speicherkonten
Standardmäßig akzeptieren Speicherkonten Netzwerkverbindungen von Clients in allen Netzwerken. Um den Netzwerkzugriff auf die Speicherkonten einzuschränken, können Sie sie so konfigurieren, dass nur Verbindungen von bestimmten Netzwerken akzeptiert werden. In diesem Beispiel konfigurieren Sie das Speicherkonto so, dass nur Verbindungen vom zuvor erstellten Subnetz des virtuellen Netzwerks akzeptiert werden.
Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.
Wählen Sie allowedaccount(Zufallszahl) aus.
Erweitern Sie Sicherheit + Netzwerk, und wählen Sie Netzwerk aus.
Wählen Sie auf der Registerkarte Firewalls und virtuelle Netzwerke in Öffentlicher Netzwerkzugriff die Option Aktiviert von ausgewählten virtuellen Netzwerken und IP-Adressen aus.
Wählen Sie unter Virtuelle Netzwerke die Option + Vorhandenes virtuelles Netzwerk hinzufügen aus.
Geben Sie unter Netzwerke hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus.
Einstellung
Wert
Subscription
Wählen Sie Ihr Abonnement aus.
Virtuelle Netzwerke
Wählen Sie vnet-1 aus.
Subnetze
Wählen Sie subnet-1 aus.
Wählen Sie Hinzufügen.
Wählen Sie Speichern aus.
Wiederholen Sie die vorherigen Schritte, um den Netzwerkzugriff auf deniedaccount(Zufallszahl) zu verweigern.
Verwenden Sie Update-AzStorageAccountNetworkRuleSet, um den Zugriff auf die Speicherkonten – mit Ausnahme des virtuellen Netzwerks und des Subnetzes, das Sie zuvor erstellt haben – zu verweigern. Nachdem der Netzwerkzugriff verweigert wurde, kann auf das Speicherkonto aus keinem Netzwerk mehr zugegriffen werden.
Standardmäßig akzeptieren Speicherkonten Netzwerkverbindungen von Clients in allen Netzwerken. Um den Zugriff auf ausgewählte Netzwerke einzuschränken, ändern Sie die Standardaktion mit az storage account update in Deny (Verweigern). Nachdem der Netzwerkzugriff verweigert wurde, kann auf das Speicherkonto aus keinem Netzwerk mehr zugegriffen werden.
Anwenden der Richtlinie, um den Zugriff auf ein gültiges Speicherkonto zuzulassen
Sie können eine Dienstendpunktrichtlinie erstellen. Die Richtlinie stellt sicher, dass Benutzer im virtuellen Netzwerk nur auf sichere und zulässige Azure Storage-Konten zugreifen können. Diese Richtlinie enthält eine Liste der zulässigen Speicherkonten, die auf das Subnetz des virtuellen Netzwerks angewandt wird, das über Dienstendpunkte mit Storage verbunden ist.
Erstellen einer Dienstendpunktrichtlinie
In diesem Abschnitt wird die Richtliniendefinition mit der Liste der zulässigen Ressourcen für Zugriff über den Dienstendpunkt erstellt.
Dienstendpunkt-Richtlinien werden auf Dienstendpunkte angewandt. Sie erstellen zunächst eine Dienstendpunktrichtlinie. Anschließend erstellen Sie die Richtliniendefinitionen unter dieser Richtlinie für Azure Storage-Konten, die für dieses Subnetz genehmigt werden sollen.
Verwenden Sie az storage account show, um die Ressourcen-ID für das zulässige Speicherkonto abzurufen.
serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)
Stellen Sie sicher, dass alle Ressourcen, auf die über das Subnetz zugegriffen wird, der Richtliniendefinition hinzugefügt wurden, bevor Sie die Richtlinie dem angegebenen Subnetz zuordnen. Sobald die Richtlinie zugeordnet wurde, wird nur der Zugriff auf die in der Zulassungsliste aufgeführten Ressourcen über Dienstendpunkte gestattet.
Stellen Sie sicher, dass in dem der Dienstendpunktrichtlinie zugeordneten Subnetz keine verwalteten Azure-Dienste vorhanden sind.
Der Zugriff auf Azure Storage-Ressourcen in allen Regionen wird gemäß der Dienstendpunktrichtlinie (Service Endpoint Policy, SEP) aus diesem Subnetz eingeschränkt.
Überprüfen der Zugriffsbeschränkung auf Azure Storage-Konten
Zum Testen des Netzwerkzugriffs auf ein Speicherkonto stellen Sie einen virtuellen Computer im Subnetz bereit.
Geben Sie im Portal in das Suchfeld Virtual Machines ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.
Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, bzw. wählen Sie sie aus:
Einstellung
Wert
Projektdetails
Subscription
Wählen Sie Ihr Abonnement aus.
Resource group
Wählen Sie test-rg aus.
Instanzendetails
Name des virtuellen Computers
Geben Sie vm-1 ein.
Region
Wählen Sie USA, Westen 2 aus.
Verfügbarkeitsoptionen
Wählen Sie die Option Keine Infrastrukturredundanz erforderlich aus.
Sicherheitstyp
Wählen Sie Standard aus.
Image
Wählen Sie Windows Server 2022 Datacenter – x64 Gen2 aus.
Size
Wählen Sie eine Größe aus.
Administratorkonto
Username
Geben Sie einen Benutzernamen ein.
Kennwort
Geben Sie ein Kennwort ein.
Kennwort bestätigen
Geben Sie das Kennwort erneut ein.
Regeln für eingehende Ports
Wählen Sie Weiter: Datenträger und dann Weiter: Netzwerk aus.
Geben Sie auf der Registerkarte Netzwerk die folgenden Informationen ein, bzw. wählen Sie sie aus.
Einstellung
Wert
Netzwerkschnittstelle
Virtuelles Netzwerk
Wählen Sie vnet-1 aus.
Subnet
Wählen Sie Subnetz-1 (10.0.0.0/24) aus.
Öffentliche IP-Adresse
Wählen Sie Keine aus.
NIC-Netzwerksicherheitsgruppe
Wählen Sie Keine.
Behalten Sie für die restlichen Einstellungen die Standardwerte bei, und wählen Sie Überprüfen + erstellen aus.
Klicken Sie auf Erstellen.
Erstellen Sie mit New-AzVM eine VM im Subnetz subnet-1. Wenn Sie den folgenden Befehl ausführen, werden Sie aufgefordert, Anmeldeinformationen einzugeben. Die eingegebenen Werte werden als Benutzername und Kennwort für den virtuellen Computer konfiguriert.
Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.
Wählen Sie allowedaccount(Zufallszahl) aus.
Erweitern Sie Sicherheit + Netzwerk, und wählen Sie Zugriffsschlüssel aus.
Kopieren Sie den Wert von key1. Sie verwenden diesen Schlüssel, um dem Speicherkonto ein Laufwerk von der zuvor erstellten VM zuzuordnen.
Geben Sie im Portal in das Suchfeld Virtual Machines ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.
Wählen Sie vm-1 aus.
Erweitern Sie Vorgänge. Wählen Sie Befehl ausführen aus.
Wählen Sie RunPowerShellScript aus.
Fügen Sie das folgende Skript in Befehlsskript ausführen ein.
## Enter the storage account key for the allowed storage account that you recorded earlier.
$storageAcctKey1 = (pasted from procedure above)
$acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
## Replace the login account with the name of the storage account you created.
$credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
## Replace the storage account name with the name of the storage account you created.
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential
Klicken Sie auf Run (Ausführen).
Wenn die Laufwerkzuordnung erfolgreich ist, sieht die Ausgabe im Feld Ausgabe ähnlich wie im folgenden Beispiel aus:
Name Used (GB) Free (GB) Provider Root
---- --------- --------- -------- ----
Z FileSystem \\allowedaccount.file.core.windows.net\fil..
Bestätigen der Verweigerung des Zugriffs auf das verweigerte Speicherkonto
Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.
Wählen Sie deniedaccount(Zufallszahl) aus.
Erweitern Sie Sicherheit + Netzwerk, und wählen Sie Zugriffsschlüssel aus.
Kopieren Sie den Wert von key1. Sie verwenden diesen Schlüssel, um dem Speicherkonto ein Laufwerk von der zuvor erstellten VM zuzuordnen.
Geben Sie im Portal in das Suchfeld Virtual Machines ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.
Wählen Sie vm-1 aus.
Erweitern Sie Vorgänge. Wählen Sie Befehl ausführen aus.
Wählen Sie RunPowerShellScript aus.
Fügen Sie das folgende Skript in Befehlsskript ausführen ein.
## Enter the storage account key for the denied storage account that you recorded earlier.
$storageAcctKey2 = (pasted from procedure above)
$acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
## Replace the login account with the name of the storage account you created.
$credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
## Replace the storage account name with the name of the storage account you created.
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential
Klicken Sie auf Run (Ausführen).
Im Feld Ausgabe wird die folgende Fehlermeldung angezeigt:
New-PSDrive : Access is denied
At line:1 char:1
+ New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
+ FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
Die Laufwerkzuordnung wird aufgrund der Dienstendpunktrichtlinie verweigert, die den Zugriff auf das Speicherkonto einschränkt.
Wenn Sie mit der Verwendung der von Ihnen erstellten Ressourcen fertig sind, können Sie die Ressourcengruppe und alle zugehörigen Ressourcen löschen.
Suchen Sie im Azure-Portal nach Ressourcengruppen, und wählen Sie die entsprechende Option aus.
Wählen Sie auf der Seite Ressourcengruppen die Ressourcengruppe test-rg aus.
Wählen Sie auf der Seite test-rg die Option Ressourcengruppe löschen aus.
Geben Sie test-rg unter Ressourcengruppennamen eingeben, um die Löschung zu bestätigen und wählen Sie dann Löschen aus.
Wenn Sie die Ressourcengruppe und alle darin enthaltenen Ressourcen nicht mehr benötigen, können Sie sie mit dem Befehl Remove-AzResourceGroup entfernen:
$params = @{
Name = "test-rg"
Force = $true
}
Remove-AzResourceGroup @params
Wenn die Ressourcengruppe und alle enthaltenen Ressourcen nicht mehr benötigt werden, können Sie sie mit az group delete entfernen.
az group delete \
--name test-rg \
--yes \
--no-wait