Freigeben über


Erstellen und Zuordnen von Dienstendpunktrichtlinien

Mithilfe von Dienstendpunktrichtlinien können Sie über Dienstendpunkte den Datenverkehr eines virtuellen Netzwerks auf bestimmte Azure-Ressourcen filtern. Wenn Sie nicht mit Dienstendpunktrichtlinien vertraut sind, lesen Sie Dienstendpunktrichtlinien für virtuelle Netzwerke (Vorschau), um mehr zu erfahren.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen Sie ein virtuelles Netzwerk.
  • Fügen Sie ein Subnetz hinzu, und aktivieren Sie einen Dienstendpunkt für Azure Storage.
  • Erstellen Sie zwei Azure Storage-Konten, und lassen Sie den Netzwerkzugriff auf diese Konten aus dem Subnetz im virtuellen Netzwerk zu.
  • Erstellen einer Dienstendpunkt-Richtlinie zum Zulassen des Zugriffs nur auf eines der Speicherkonten
  • Bereitstellen eines virtuellen Computers im Subnetz
  • Bestätigen des Zugriffs auf das zulässige Speicherkonto aus dem Subnetz
  • Vergewissern Sie sich, dass der Zugriff auf das unzulässige Speicherkonto aus dem Subnetz verweigert wird.

Voraussetzungen

Erstellen eines virtuellen Netzwerks und Aktivieren des Dienstendpunkts

Erstellen Sie ein virtuelles Netzwerk für die Ressourcen, die Sie in diesem Tutorial erstellen.

  1. Geben Sie im Portal in das Suchfeld virtuelle Netzwerke ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

  2. Wählen Sie + Erstellen aus, um ein neues virtuelles Netzwerk zu erstellen.

  3. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie Neu erstellen.
    Geben Sie test-rg für Name ein.
    Wählen Sie OK aus.
    Name Geben Sie vnet-1 ein.
    Region Wählen Sie USA, Westen 2 aus.
  4. Wählen Sie Weiter aus.

  5. Wählen Sie Weiter aus.

  6. Wählen Sie auf der Registerkarte IP-Adressen in Subnetze das Subnetz default aus.

  7. Geben Sie unter Subnetz bearbeiten die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellung Wert
    Name Geben Sie subnet-1 ein.
    Dienstendpunkte
    Services
    Wählen Sie im Pulldownmenü Microsoft.Storage aus.
  8. Wählen Sie Speichern.

  9. Klicken Sie auf Überprüfen + erstellen.

  10. Klicken Sie auf Erstellen.

Einschränken des Netzwerkzugriffs für das Subnetz

Erstellen Sie eine Netzwerksicherheitsgruppe und Regeln, die den Netzwerkzugriff für das Subnetz einschränken.

Erstellen einer Netzwerksicherheitsgruppe

  1. Geben Sie im Portal in das Suchfeld Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

  2. Wählen Sie + Erstellen aus, um eine neue Netzwerksicherheitsgruppe zu erstellen.

  3. Geben Sie auf der Registerkarte Grundlagen von Netzwerksicherheitsgruppe erstellen die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie test-rg aus.
    Name Geben Sie nsg-1 ein.
    Region Wählen Sie USA, Westen 2 aus.
  4. Klicken Sie auf Überprüfen + erstellen.

  5. Klicken Sie auf Erstellen.

Erstellen von Netzwerksicherheitsgruppen-Regeln

  1. Geben Sie im Portal in das Suchfeld Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

  2. Wählen Sie nsg-1 aus.

  3. Erweitern Sie Einstellungen. Wählen Sie Sicherheitsregeln für ausgehenden Datenverkehr aus.

  4. Wählen Sie + Hinzufügen aus, um eine neue Sicherheitsregel für ausgehenden Datenverkehr hinzuzufügen.

  5. Geben Sie unter Ausgangssicherheitsregel hinzufügen die folgenden Informationen ein, bzw. wählen Sie sie aus:

    Einstellung Wert
    Quelle Wählen Sie Diensttag aus.
    Quelldiensttag Wählen Sie VirtualNetwork aus.
    Quellportbereiche Geben Sie * ein.
    Destination Wählen Sie Diensttag aus.
    Zieldiensttag Wählen Sie Speicher aus.
    Dienst Wählen Sie Benutzerdefiniert aus.
    Zielportbereiche Geben Sie * ein.
    Protocol Wählen Sie Alle aus.
    Aktion Wählen Sie Zulassen aus.
    Priorität Geben Sie 100 ein.
    Name Geben Sie allow-storage-all ein.
  6. Wählen Sie Hinzufügen.

  7. Wählen Sie + Hinzufügen aus, um eine weitere Sicherheitsregel für ausgehenden Datenverkehr hinzuzufügen.

  8. Geben Sie unter Ausgangssicherheitsregel hinzufügen die folgenden Informationen ein, bzw. wählen Sie sie aus:

    Einstellung Wert
    Quelle Wählen Sie Diensttag aus.
    Quelldiensttag Wählen Sie VirtualNetwork aus.
    Quellportbereiche Geben Sie * ein.
    Destination Wählen Sie Diensttag aus.
    Zieldiensttag Wählen Sie Internet aus.
    Dienst Wählen Sie Benutzerdefiniert aus.
    Zielportbereiche Geben Sie * ein.
    Protocol Wählen Sie Alle aus.
    Aktion Wählen Sie Ablehnen aus.
    Priorität Geben Sie 110 ein.
    Name Geben Sie deny-internet-all ein.
  9. Wählen Sie Hinzufügen.

  10. Erweitern Sie Einstellungen. Wählen Sie Subnetze aus.

  11. Wählen Sie Zuordnen aus.

  12. Geben Sie unter Subnetz zuordnen die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellung Wert
    Virtuelles Netzwerk Wählen Sie vnet-1 (test-rg) aus.
    Subnet Wählen Sie subnet-1 aus.
  13. Wählen Sie OK aus.

Einschränken des Netzwerkzugriffs auf Azure Storage-Konten

Die Schritte, die erforderlich sind, um den Netzwerkzugriff auf Ressourcen einzuschränken, die durch Azure-Dienste erstellt und für Dienstendpunkte aktiviert wurden, sind je nach Dienst unterschiedlich. Informationen zu den Schritten für einzelne Dienste finden Sie in der Dokumentation des jeweiligen Diensts. Der Rest dieses Artikels enthält als Beispiel Schritte zum Einschränken des Netzwerkzugriffs für ein Azure Storage-Konto.

Erstellen von zwei Speicherkonten

  1. Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.

  2. Wählen Sie + Erstellen aus, um ein Speicherkonto zu erstellen.

  3. Geben Sie unter Speicherkonto erstellen die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie test-rg aus.
    Instanzendetails
    Speicherkontoname Geben Sie allowedaccount(Zufallszahl) ein.
    Hinweis: Der Name des Speicherkontos muss eindeutig sein. Fügen Sie am Ende des Namens allowedaccount eine Zufallszahl an.
    Region Wählen Sie USA, Westen 2 aus.
    Leistung Wählen Sie Standard aus.
    Redundanz Wählen Sie Lokal redundanter Speicher (LRS) aus.
  4. Wählen Sie Weiter aus, bis die Registerkarte Datenschutz angezeigt wird.

  5. Deaktivieren Sie unter Wiederherstellung alle Optionen.

  6. Klicken Sie auf Überprüfen + erstellen.

  7. Klicken Sie auf Erstellen.

  8. Wiederholen Sie die vorherigen Schritte, um ein weiteres Speicherkonto mit den folgenden Informationen zu erstellen.

    Einstellung Wert
    Speicherkontoname Geben Sie deniedaccount(Zufallszahl) ein.

Erstellen von Dateifreigaben

  1. Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.

  2. Wählen Sie allowedaccount(Zufallszahl) aus.

  3. Erweitern Sie den Abschnitt Datenspeicher, und wählen Sie Dateifreigaben aus.

  4. Klicken Sie auf + Dateifreigabe.

  5. Geben Sie in Neue Dateifreigabe die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellung Wert
    Name Geben Sie file-share ein.
  6. Behalten Sie für die restlichen Einstellungen die Standardwerte bei, und wählen Sie Überprüfen + erstellen aus.

  7. Klicken Sie auf Erstellen.

  8. Wiederholen Sie die vorherigen Schritte, um eine Dateifreigabe in deniedaccount(Zufallszahl) zu erstellen.

Verweigern des gesamten Netzwerkzugriffs auf Speicherkonten

Standardmäßig akzeptieren Speicherkonten Netzwerkverbindungen von Clients in allen Netzwerken. Um den Netzwerkzugriff auf die Speicherkonten einzuschränken, können Sie sie so konfigurieren, dass nur Verbindungen von bestimmten Netzwerken akzeptiert werden. In diesem Beispiel konfigurieren Sie das Speicherkonto so, dass nur Verbindungen vom zuvor erstellten Subnetz des virtuellen Netzwerks akzeptiert werden.

  1. Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.

  2. Wählen Sie allowedaccount(Zufallszahl) aus.

  3. Erweitern Sie Sicherheit + Netzwerk, und wählen Sie Netzwerk aus.

  4. Wählen Sie auf der Registerkarte Firewalls und virtuelle Netzwerke in Öffentlicher Netzwerkzugriff die Option Aktiviert von ausgewählten virtuellen Netzwerken und IP-Adressen aus.

  5. Wählen Sie unter Virtuelle Netzwerke die Option + Vorhandenes virtuelles Netzwerk hinzufügen aus.

  6. Geben Sie unter Netzwerke hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellung Wert
    Subscription Wählen Sie Ihr Abonnement aus.
    Virtuelle Netzwerke Wählen Sie vnet-1 aus.
    Subnetze Wählen Sie subnet-1 aus.
  7. Wählen Sie Hinzufügen.

  8. Wählen Sie Speichern aus.

  9. Wiederholen Sie die vorherigen Schritte, um den Netzwerkzugriff auf deniedaccount(Zufallszahl) zu verweigern.

Anwenden der Richtlinie, um den Zugriff auf ein gültiges Speicherkonto zuzulassen

Sie können eine Dienstendpunktrichtlinie erstellen. Die Richtlinie stellt sicher, dass Benutzer im virtuellen Netzwerk nur auf sichere und zulässige Azure Storage-Konten zugreifen können. Diese Richtlinie enthält eine Liste der zulässigen Speicherkonten, die auf das Subnetz des virtuellen Netzwerks angewandt wird, das über Dienstendpunkte mit Storage verbunden ist.

Erstellen einer Dienstendpunktrichtlinie

In diesem Abschnitt wird die Richtliniendefinition mit der Liste der zulässigen Ressourcen für Zugriff über den Dienstendpunkt erstellt.

  1. Geben Sie im Portal in das Suchfeld Dienstendpunktrichtlinie ein. Wählen Sie in den Suchergebnissen Dienstendpunktrichtlinien aus.

  2. Wählen Sie + Erstellen aus, um eine neue Dienstendpunktrichtlinie zu erstellen.

  3. Geben Sie auf der Registerkarte Grundlagen von Dienstendpunktrichtlinie erstellen die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie test-rg aus.
    Instanzendetails
    Name Geben Sie service-endpoint-policy ein.
    Location Wählen Sie USA, Westen 2 aus.
  4. Wählen Sie Weiter: Richtliniendefinitionen aus.

  5. Wählen Sie unter Ressourcen die Option + Ressource hinzufügen aus.

  6. Geben Sie unter Ressource hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Dienst Wählen Sie Microsoft.Storage aus.
    `Scope` Wählen Sie Einzelnes Konto aus.
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie test-rg aus.
    Resource Wählen Sie allowedaccount(Zufallszahl) aus.
  7. Wählen Sie Hinzufügen.

  8. Klicken Sie auf Überprüfen + erstellen.

  9. Klicken Sie auf Erstellen.

Zuordnen einer Dienstendpunktrichtlinie zu einem Subnetz

Nachdem Sie die Dienstendpunktrichtlinie erstellt haben, verknüpfen Sie sie mit dem Zielsubnetz mit der Dienstendpunktkonfiguration für Azure Storage.

  1. Geben Sie im Portal in das Suchfeld Dienstendpunktrichtlinie ein. Wählen Sie in den Suchergebnissen Dienstendpunktrichtlinien aus.

  2. Wählen Sie service-endpoint-policy aus.

  3. Erweitern Sie Einstellungen, und wählen Sie Zugeordnete Subnetze aus.

  4. Wählen Sie + Subnetzzuordnung bearbeiten aus.

  5. Wählen Sie in Subnetzzuordnung bearbeiten die Optionen vnet-1 und subnet-1 aus.

  6. Wählen Sie Übernehmen.

Warnung

Stellen Sie sicher, dass alle Ressourcen, auf die über das Subnetz zugegriffen wird, der Richtliniendefinition hinzugefügt wurden, bevor Sie die Richtlinie dem angegebenen Subnetz zuordnen. Sobald die Richtlinie zugeordnet wurde, wird nur der Zugriff auf die in der Zulassungsliste aufgeführten Ressourcen über Dienstendpunkte gestattet.

Stellen Sie sicher, dass in dem der Dienstendpunktrichtlinie zugeordneten Subnetz keine verwalteten Azure-Dienste vorhanden sind.

Der Zugriff auf Azure Storage-Ressourcen in allen Regionen wird gemäß der Dienstendpunktrichtlinie (Service Endpoint Policy, SEP) aus diesem Subnetz eingeschränkt.

Überprüfen der Zugriffsbeschränkung auf Azure Storage-Konten

Zum Testen des Netzwerkzugriffs auf ein Speicherkonto stellen Sie einen virtuellen Computer im Subnetz bereit.

Bereitstellen des virtuellen Computers

  1. Geben Sie im Portal in das Suchfeld Virtual Machines ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

  2. Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, bzw. wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie test-rg aus.
    Instanzendetails
    Name des virtuellen Computers Geben Sie vm-1 ein.
    Region Wählen Sie USA, Westen 2 aus.
    Verfügbarkeitsoptionen Wählen Sie die Option Keine Infrastrukturredundanz erforderlich aus.
    Sicherheitstyp Wählen Sie Standard aus.
    Image Wählen Sie Windows Server 2022 Datacenter – x64 Gen2 aus.
    Size Wählen Sie eine Größe aus.
    Administratorkonto
    Username Geben Sie einen Benutzernamen ein.
    Kennwort Geben Sie ein Kennwort ein.
    Kennwort bestätigen Geben Sie das Kennwort erneut ein.
    Regeln für eingehende Ports
  3. Wählen Sie Weiter: Datenträger und dann Weiter: Netzwerk aus.

  4. Geben Sie auf der Registerkarte Netzwerk die folgenden Informationen ein, bzw. wählen Sie sie aus.

    Einstellung Wert
    Netzwerkschnittstelle
    Virtuelles Netzwerk Wählen Sie vnet-1 aus.
    Subnet Wählen Sie Subnetz-1 (10.0.0.0/24) aus.
    Öffentliche IP-Adresse Wählen Sie Keine aus.
    NIC-Netzwerksicherheitsgruppe Wählen Sie Keine.
  5. Behalten Sie für die restlichen Einstellungen die Standardwerte bei, und wählen Sie Überprüfen + erstellen aus.

  6. Klicken Sie auf Erstellen.

Warten Sie, bis die Bereitstellung des virtuellen Computers abgeschlossen ist, bevor Sie mit den nächsten Schritten fortfahren.

Bestätigen des Zugriffs auf das zulässige Speicherkonto

  1. Melden Sie sich beim Azure-Portalan.

  2. Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.

  3. Wählen Sie allowedaccount(Zufallszahl) aus.

  4. Erweitern Sie Sicherheit + Netzwerk, und wählen Sie Zugriffsschlüssel aus.

  5. Kopieren Sie den Wert von key1. Sie verwenden diesen Schlüssel, um dem Speicherkonto ein Laufwerk von der zuvor erstellten VM zuzuordnen.

  6. Geben Sie im Portal in das Suchfeld Virtual Machines ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

  7. Wählen Sie vm-1 aus.

  8. Erweitern Sie Vorgänge. Wählen Sie Befehl ausführen aus.

  9. Wählen Sie RunPowerShellScript aus.

  10. Fügen Sie das folgende Skript in Befehlsskript ausführen ein.

    ## Enter the storage account key for the allowed storage account that you recorded earlier.
    $storageAcctKey1 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential
    
  11. Klicken Sie auf Run (Ausführen).

  12. Wenn die Laufwerkzuordnung erfolgreich ist, sieht die Ausgabe im Feld Ausgabe ähnlich wie im folgenden Beispiel aus:

    Name           Used (GB)     Free (GB) Provider      Root
    ----           ---------     --------- --------      ----
    Z                                      FileSystem    \\allowedaccount.file.core.windows.net\fil..
    

Bestätigen der Verweigerung des Zugriffs auf das verweigerte Speicherkonto

  1. Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.

  2. Wählen Sie deniedaccount(Zufallszahl) aus.

  3. Erweitern Sie Sicherheit + Netzwerk, und wählen Sie Zugriffsschlüssel aus.

  4. Kopieren Sie den Wert von key1. Sie verwenden diesen Schlüssel, um dem Speicherkonto ein Laufwerk von der zuvor erstellten VM zuzuordnen.

  5. Geben Sie im Portal in das Suchfeld Virtual Machines ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

  6. Wählen Sie vm-1 aus.

  7. Erweitern Sie Vorgänge. Wählen Sie Befehl ausführen aus.

  8. Wählen Sie RunPowerShellScript aus.

  9. Fügen Sie das folgende Skript in Befehlsskript ausführen ein.

    ## Enter the storage account key for the denied storage account that you recorded earlier.
    $storageAcctKey2 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential
    
  10. Klicken Sie auf Run (Ausführen).

  11. Im Feld Ausgabe wird die folgende Fehlermeldung angezeigt:

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
    + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    
  12. Die Laufwerkzuordnung wird aufgrund der Dienstendpunktrichtlinie verweigert, die den Zugriff auf das Speicherkonto einschränkt.

Wenn Sie mit der Verwendung der von Ihnen erstellten Ressourcen fertig sind, können Sie die Ressourcengruppe und alle zugehörigen Ressourcen löschen.

  1. Suchen Sie im Azure-Portal nach Ressourcengruppen, und wählen Sie die entsprechende Option aus.

  2. Wählen Sie auf der Seite Ressourcengruppen die Ressourcengruppe test-rg aus.

  3. Wählen Sie auf der Seite test-rg die Option Ressourcengruppe löschen aus.

  4. Geben Sie test-rg unter Ressourcengruppennamen eingeben, um die Löschung zu bestätigen und wählen Sie dann Löschen aus.

Nächste Schritte

In diesem Tutorial haben Sie eine Dienstendpunktrichtlinie erstellt und einem Subnetz zugeordnet. Um mehr über Dienstendpunktrichtlinien zu erfahren, lesen Sie Dienstendpunktrichtlinien für virtuelle Netzwerke (Vorschau).