Creare e associare criteri degli endpoint di servizio

I criteri degli endpoint di servizio consentono di filtrare il traffico della rete virtuale a specifiche risorse di Azure, tramite gli endpoint di servizio. Se non si ha familiarità con i criteri degli endpoint di servizio, vedere Panoramica dei criteri degli endpoint di servizio per altre informazioni.

In questa esercitazione apprenderai a:

• Crea una rete virtuale.
• Aggiungere una subnet e abilitare un endpoint di servizio per Archiviazione di Azure.
• Creare due account di Archiviazione di Azure e consentire l'accesso alla rete dalla subnet nella rete virtuale.
• Creare un criterio dell'endpoint di servizio per consentire l'accesso solo a uno degli account di archiviazione.
• Distribuire una macchina virtuale (VM) in ogni subnet.
• Confermare l'accesso all'account di archiviazione consentito dalla subnet.
• Confermare che l'accesso all'account di archiviazione non consentito dalla subnet.

Prerequisiti

Portale

• Un account Azure con una sottoscrizione attiva. È possibile creare un account gratuitamente.

PowerShell

• Un account Azure con una sottoscrizione attiva. È possibile creare un account gratuitamente.

Azure Cloud Shell

Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare strumenti nell'ambiente locale.

Per avviare Azure Cloud Shell:

Opzione	Esempio/Collegamento
Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell.
Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser.
Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure.

Per usare Azure Cloud Shell:

1. Avviare Cloud Shell.

2. Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.

3. Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux o selezionando CMD+MAIUSC+V in macOS.

4. Selezionare Invio per eseguire il codice o il comando.

Se si sceglie di installare e usare PowerShell in locale, per questo articolo è necessario il modulo Azure PowerShell 1.0.0 o versione successiva. Eseguire Get-Module -ListAvailable Az per trovare la versione installata. Se è necessario eseguire l'aggiornamento, vedere Installare e configurare Azure PowerShell. Se si esegue PowerShell in locale, è anche necessario eseguire Connect-AzAccount per creare una connessione con Azure.

CLI

Se non si ha una sottoscrizione di Azure, creare un account Azure gratuito prima di iniziare.

• Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.

  

• Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.

  • Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.

  • Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.

  • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

• Questo articolo richiede l'interfaccia della riga di comando di Azure versione 2.0.28 o successiva. Se si usa Azure Cloud Shell, la versione più recente è già installata.

Creare una rete virtuale e abilitare l'endpoint servizio

Creare una rete virtuale che contenga le risorse create in questa esercitazione.

Portale

1. Nella casella di ricerca del portale immettere Reti virtuali. Selezionare Reti virtuali nei risultati della ricerca.

2. Selezionare + Crea per creare una nuova rete virtuale.

3. Nella scheda Dati principali di Crea rete virtuale immettere o selezionare le informazioni seguenti.

   Impostazione	Valore
   Dettagli di progetto
   Subscription	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare Crea nuovo. Immettere test-rg in Nome. Selezionare OK.
   Nome	Immettere vnet-1.
   Paese	Selezionare Stati Uniti occidentali 2.

4. Selezionare Avanti.

5. Selezionare Avanti.

6. Nella scheda Indirizzi IP, in Subnet selezionare la subnet predefinita.

7. In Modifica subnet immettere o selezionare le informazioni seguenti.

   Impostazione	valore
   Nome	Immettere subnet-1.
   Endpoint di servizio
   Servizi
   Nel menu a discesa selezionare Microsoft.Storage.

8. Seleziona Salva.

9. Selezionare Rivedi e crea.

10. Seleziona Crea.

PowerShell

Prima di creare una rete virtuale, è necessario creare un gruppo di risorse per la rete virtuale e tutte le altre risorse create in questo articolo. Creare un gruppo di risorse con New-AzResourceGroup. Nell'esempio seguente viene creato il gruppo di risorse denominato test-rg:

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}
New-AzResourceGroup @rg

Creare una rete virtuale con New-AzVirtualNetwork. Nell'esempio seguente viene creata una rete virtuale denominata vnet-1 con il prefisso dell'indirizzo 10.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Creare una configurazione di una subnet con New-AzVirtualNetworkSubnetConfig e quindi scrivere la configurazione della subnet nella rete virtuale con Set-AzVirtualNetwork. Nell'esempio seguente viene aggiunta una subnet denominata subnet-1 alla rete virtuale e viene creato l'endpoint servizio per Microsoft.Storage.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

CLI

Prima di creare una rete virtuale, è necessario creare un gruppo di risorse per la rete virtuale e tutte le altre risorse create in questo articolo. Come prima cosa creare un gruppo di risorse con az group create. Nell'esempio seguente viene creato un gruppo di risorse denominato test-rg al percorso westus2.

az group create \
  --name test-rg \
  --location westus2

Creare una rete virtuale con una subnet con az network vnet create.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefix 10.0.0.0/16 \
  --subnet-name subnet-1 \
  --subnet-prefix 10.0.0.0/24

In questo esempio viene creato un endpoint servizio per Microsoft.Storage per la subnet subnet-1:

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24 \
  --service-endpoints Microsoft.Storage

Limitare l'accesso di rete alla subnet

Creare un gruppo di sicurezza di rete e delle regole che limitano l'accesso alla rete per la subnet.

Creare un gruppo di sicurezza di rete

Portale

1. Nella casella di ricerca del portale immettere Gruppi di sicurezza di rete. Selezionare Gruppi di sicurezza di rete nei risultati della ricerca.

2. Selezionare + Crea per creare un nuovo gruppo di sicurezza di rete.

3. Nella scheda Informazioni di base della pagina Crea gruppo di sicurezza di rete, immettere o selezionare le informazioni seguenti.

   Impostazione	Valore
   Dettagli di progetto
   Subscription	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Nome	Immettere nsg-1.
   Paese	Selezionare Stati Uniti occidentali 2.

4. Selezionare Rivedi e crea.

5. Seleziona Crea.

Creare regole del gruppo di sicurezza di rete

1. Nella casella di ricerca del portale immettere Gruppi di sicurezza di rete. Selezionare Gruppi di sicurezza di rete nei risultati della ricerca.

2. Selezionare nsg-1.

3. Espandi Impostazioni. Selezionare regole di sicurezza in uscita.

4. Selezionare + Aggiungi per aggiungere una nuova regola di sicurezza in uscita.

5. In Aggiungi regola di sicurezza in uscita immettere o selezionare le informazioni seguenti.

   Impostazione	Valore
   Origine	selezionare Tag del servizio.
   Tag del servizio di origine	Seleziona VirtualNetwork.
   Intervalli porte di origine	Immetti *.
   Destinazione	selezionare Tag del servizio.
   Tag del servizio di destinazione	Selezionare Archiviazione.
   Service	Seleziona Personalizza.
   Intervalli porte di destinazione	Immetti *.
   Protocollo	selezionare Tutti.
   Azione	Seleziona Consenti.
   Priorità	Immettere 100.
   Nome	Immettere allow-storage-all.

6. Selezionare Aggiungi.

7. Selezionare + Aggiungi per aggiungere un'altra regola di sicurezza in uscita.

8. In Aggiungi regola di sicurezza in uscita immettere o selezionare le informazioni seguenti.

   Impostazione	Valore
   Origine	selezionare Tag del servizio.
   Tag del servizio di origine	Seleziona VirtualNetwork.
   Intervalli porte di origine	Immetti *.
   Destinazione	selezionare Tag del servizio.
   Tag del servizio di destinazione	selezionare Internet.
   Service	Seleziona Personalizza.
   Intervalli porte di destinazione	Immetti *.
   Protocollo	selezionare Tutti.
   Azione	Seleziona Nega.
   Priorità	Immettere 110.
   Nome	Immettere deny-internet-all.

9. Selezionare Aggiungi.

10. Espandi Impostazioni. Selezionare subnet.

11. Selezionare Associa.

12. In Associa subnet immettere o selezionare le informazioni seguenti.

    Impostazione	Valore
    Rete virtuale	Selezionare vnet-1 (test-rg).
    Subnet	Selezionare subnet-1.

13. Seleziona OK.

PowerShell

Creare regole di sicurezza per il gruppo di sicurezza di rete con New-AzNetworkSecurityRuleConfig. La regola seguente consente l'accesso in uscita agli indirizzi IP pubblici assegnati al servizio Archiviazione di Azure:

$r1 = @{
    Name = "Allow-Storage-All"
    Access = "Allow"
    DestinationAddressPrefix = "Storage"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 100
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule1 = New-AzNetworkSecurityRuleConfig @r1

La regola seguente rifiuta l'accesso a tutti gli indirizzi IP pubblici. La regola precedente esegue l'override di questa regola, a causa della priorità più alta, che consente l'accesso agli indirizzi IP pubblici di Archiviazione di Azure.

$r2 = @{
    Name = "Deny-Internet-All"
    Access = "Deny"
    DestinationAddressPrefix = "Internet"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 110
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule2 = New-AzNetworkSecurityRuleConfig @r2

Creare un gruppo di sicurezza di rete con New-AzNetworkSecurityGroup. Nell'esempio seguente viene creato un gruppo di sicurezza di rete denominato nsg-1.

$securityRules = @($rule1, $rule2)

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
    SecurityRules = $securityRules
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Aggiungere il gruppo di sicurezza di rete alla subnet subnet-1 con Set-AzVirtualNetworkSubnetConfig e scrivere la configurazione della subnet nella rete virtuale. L'esempio seguente associa il gruppo di sicurezza di rete nsg-1 alla subnet subnet-1:

$subnetConfig = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
    NetworkSecurityGroup = $nsg
}
Set-AzVirtualNetworkSubnetConfig @subnetConfig

$virtualNetwork | Set-AzVirtualNetwork

CLI

Creare un gruppo di sicurezza di rete con il comando az network nsg create. Nell'esempio seguente viene creato un gruppo di sicurezza di rete denominato nsg-1.

az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Associare la subnet del gruppo di sicurezza di rete alla subnet subnet-1 con az network vnet subnet update. L'esempio seguente associa il gruppo di sicurezza di rete nsg-1 alla subnet subnet-1:

az network vnet subnet update \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --resource-group test-rg \
  --network-security-group nsg-1

Creare le regole di sicurezza con az network nsg rule create. La regola che segue consente l'accesso in uscita agli indirizzi IP pubblici assegnati al servizio Archiviazione di Azure:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Storage-All \
  --access Allow \
  --protocol "*" \
  --direction Outbound \
  --priority 100 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Storage" \
  --destination-port-range "*"

Ogni gruppo di sicurezza di rete contiene diverse regole di sicurezza predefinite. Regola che esegue l'override di una regola di sicurezza predefinita che consente l'accesso in uscita a tutti gli indirizzi IP pubblici. L'opzione destination-address-prefix "Internet" nega l'accesso in uscita a tutti gli indirizzi IP pubblici. La regola precedente esegue l'override di questa regola, a causa della priorità più alta, che consente l'accesso agli indirizzi IP pubblici di Archiviazione di Azure.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Deny-Internet-All \
  --access Deny \
  --protocol "*" \
  --direction Outbound \
  --priority 110 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Internet" \
  --destination-port-range "*"

Limitare l'accesso alla rete degli account Archiviazione di Azure

I passaggi necessari per limitare l'accesso di rete alle risorse create tramite i servizi di Azure abilitati per gli endpoint di servizio variano a seconda dei servizi. Vedere la documentazione relativa ai singoli servizi per i passaggi specifici. La parte rimanente di questo articolo include, a titolo di esempio, i passaggi da eseguire per limitare l'accesso di rete per un account di archiviazione di Azure.

Creare due account di archiviazione

Portale

1. Nella casella di ricerca del portale immettere Account di archiviazione. Selezionare Account di archiviazione, nei risultati della ricerca.

2. Selezionare + Crea per creare un nuovo account di archiviazione.

3. In Crea un account di archiviazione immettere o selezionare le informazioni seguenti.

   Impostazione	Valore
   Dettagli di progetto
   Subscription	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Dettagli istanza
   Nome account di archiviazione	Immettere allowedaccount(random-number). Nota: Il nome dell'account di archiviazione deve essere univoco. Aggiungere un numero casuale alla fine del nome allowedaccount.
   Paese	Selezionare Stati Uniti occidentali 2.
   Prestazioni	Selezionare Standard.
   Ridondanza	Selezionare Archiviazione con ridondanza locale.

4. Selezionare Avanti fino a raggiungere la scheda Protezione dati.

5. In Ripristino deselezionare tutte le opzioni.

6. Selezionare Rivedi e crea.

7. Seleziona Crea.

8. Ripetere i passaggi precedenti per creare un altro account di archiviazione con le informazioni seguenti.

   Impostazione	Valore
   Nome account di archiviazione	Immettere deniedaccount(random-number).

PowerShell

Creare l'account di archiviazione di Azure consentito con New-AzStorageAccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'allowedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Usare lo stesso comando per creare l'account di archiviazione di Azure negato, ma modificare il nome in deniedaccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'deniedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

CLI

Creare due account di archiviazione di Azure con az storage account create.

storageAcctName1="allowedaccount"

az storage account create \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Usare lo stesso comando per creare l'account di archiviazione di Azure negato, ma modificare il nome in deniedaccount.

storageAcctName2="deniedaccount"

az storage account create \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Creare condivisioni file

Portale

1. Nella casella di ricerca del portale immettere Account di archiviazione. Selezionare Account di archiviazione, nei risultati della ricerca.

2. Selezionare allowedaccount(random-number).

3. Espandere la sezione Archiviazione dati e selezionare Condivisioni file.

4. Selezionare + Condivisione file.

5. In Nuova condivisione file immettere o selezionare le informazioni seguenti.

   Impostazione	valore
   Nome	Immettere file-share.

6. Lasciare invariate le altre impostazioni predefinite e selezionare Rivedi e crea.

7. Seleziona Crea.

8. Ripetere i passaggi precedenti per creare una condivisione file in deniedaccount(random-number).

PowerShell

Creare una condivisione file dell'account di archiviazione consentito

Usare Get-AzStorageAccountKey per ottenere la chiave dell'account di archiviazione per l'account di archiviazione consentito. Questa chiave verrà usata nel passaggio successivo per creare una condivisione file nell'account di archiviazione consentito.

$storageAcctName1 = "allowedaccount"
$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName1
}
$storageAcctKey1 = (Get-AzStorageAccountKey @storageAcctParams1).Value[0]

Creare un contesto per l'account di archiviazione e la relativa chiave con New-AzStorageContext. Il contesto include il nome dell'account di archiviazione e la chiave dell'account.

$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1

Creare una condivisione file con New-AzStorageShare.

$share1 = New-AzStorageShare file-share -Context $storageContext1

Creare una condivisione file dell'account di archiviazione negato

Usare Get-AzStorageAccountKey per ottenere la chiave dell'account di archiviazione per l'account di archiviazione consentito. Questa chiave verrà usata nel passaggio successivo per creare una condivisione file nell'account di archiviazione negato.

$storageAcctName2 = "deniedaccount"
$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName2
}
$storageAcctKey2 = (Get-AzStorageAccountKey @storageAcctParams2).Value[0]

Creare un contesto per l'account di archiviazione e la relativa chiave con New-AzStorageContext. Il contesto include il nome dell'account di archiviazione e la chiave dell'account.

$storageContext2= New-AzStorageContext $storageAcctName2 $storageAcctKey2

Creare una condivisione file con New-AzStorageShare.

$share2 = New-AzStorageShare file-share -Context $storageContext2

CLI

Creare una condivisione file dell'account di archiviazione consentito

Recuperare la stringa di connessione per gli account di archiviazione in una variabile con az storage account show-connection-string. La stringa di connessione viene usata per creare una condivisione file in un passaggio successivo.

saConnectionString1=$(az storage account show-connection-string \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Creare una condivisione file nell'account di archiviazione con az storage share create. In un passaggio successivo questa condivisione file verrà montata per verificare l'accesso di rete.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString1 > /dev/null

Creare una condivisione file dell'account di archiviazione negato

Recuperare la stringa di connessione per gli account di archiviazione in una variabile con az storage account show-connection-string. La stringa di connessione viene usata per creare una condivisione file in un passaggio successivo.

saConnectionString2=$(az storage account show-connection-string \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Creare una condivisione file nell'account di archiviazione con az storage share create. In un passaggio successivo questa condivisione file verrà montata per verificare l'accesso di rete.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString2 > /dev/null

Rifiutare l'accesso di rete agli account di archiviazione

Per impostazione predefinita, gli account di archiviazione accettano connessioni di rete dai client in qualsiasi rete. Per limitare l'accesso di rete agli account di archiviazione, è possibile configurare l'account di archiviazione in modo che accetti solo connessioni da reti specifiche. In questo esempio viene configurato l'account di archiviazione in modo che accetti solo connessioni dalla subnet di rete virtuale creata in precedenza.

Portale

1. Nella casella di ricerca del portale immettere Account di archiviazione. Selezionare Account di archiviazione, nei risultati della ricerca.

2. Selezionare allowedaccount(random-number).

3. Espandere Sicurezza e rete e selezionare Rete.

4. In Firewall e reti virtuali, in Accesso reti pubbliche selezionare Abilitato da reti virtuali e indirizzi IP selezionati.

5. In Reti virtuali, selezionare + Aggiungi rete virtuale esistente.

6. In Aggiungi reti, immettere o selezionare le informazioni seguenti.

   Impostazione	Valore
   Subscription	Selezionare la propria sottoscrizione.
   Reti virtuali	Selezionare vnet-1.
   Subnet	Selezionare subnet-1.

7. Selezionare Aggiungi.

8. Seleziona Salva.

9. Ripetere i passaggi precedenti per negare l'accesso alla rete a deniedaccount(random-number).

PowerShell

Usare Update-AzStorageAccountNetworkRuleSet per negare l'accesso agli account di archiviazione, ad eccezione della rete virtuale e della subnet create in precedenza. Dopo che l'accesso di rete è stato rifiutato, l'account di archiviazione non sarà accessibile da nessuna rete.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams1

$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams2

Abilitare l'accesso alla rete solo dalla subnet della rete virtuale

Recuperare la rete virtuale creata con Get-AzVirtualNetwork e quindi recuperare l'oggetto subnet privato in una variabile con Get-AzVirtualNetworkSubnetConfig:

$privateSubnetParams = @{
    ResourceGroupName = "test-rg"
    Name = "vnet-1"
}
$privateSubnet = Get-AzVirtualNetwork @privateSubnetParams | Get-AzVirtualNetworkSubnetConfig -Name "subnet-1"

Consentire l'accesso di rete all'account di archiviazione dalla subnet subnet-1 con Add-AzStorageAccountNetworkRule.

$networkRuleParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams1

$networkRuleParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams2

CLI

Per impostazione predefinita, gli account di archiviazione accettano connessioni di rete dai client in qualsiasi rete. Per limitare l'accesso alle reti selezionate, modificare l'azione predefinita impostandola su Deny con az storage account update. Dopo che l'accesso di rete è stato rifiutato, l'account di archiviazione non sarà accessibile da nessuna rete.

az storage account update \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --default-action Deny

az storage account update \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --default-action Deny

Abilitare l'accesso alla rete solo dalla subnet della rete virtuale

Consentire l'accesso di rete all'account di archiviazione dalla subnet subnet-1 con az storage account network-rule add.

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName1 \
  --vnet-name vnet-1 \
  --subnet subnet-1

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName2 \
  --vnet-name vnet-1 \
  --subnet subnet-1

Applicare i criteri per consentire l'accesso all'account di archiviazione valido

È possibile creare un criterio di endpoint di servizio Il criterio garantisce che gli utenti della rete virtuale possano accedere solo agli account di archiviazione di Azure sicuri e consentiti. Questo criterio contiene un elenco degli account di archiviazione consentiti applicato alla subnet della rete virtuale connessa all'archiviazione tramite endpoint servizio.

Creare un criterio di endpoint di servizio

Questa sezione crea la definizione dei criteri con l'elenco delle risorse consentite per l'accesso tramite l'endpoint di servizio.

Portale

1. Nella casella di ricerca del portale immettere Criteri endpoint servizio. Selezionare Criteri endpoint servizio nei risultati della ricerca.

2. Selezionare + Crea per creare un nuovo criterio endpoint di servizio.

3. Nella scheda Informazioni di base di Crea un criterio endpoint servizio, immettere o selezionare le informazioni seguenti.

   Impostazione	Valore
   Dettagli di progetto
   Subscription	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Dettagli istanza
   Nome	Immettere service-endpoint-policy.
   Ufficio	Selezionare Stati Uniti occidentali 2.

4. Selezionare Avanti: Definizioni dei criteri.

5. Selezionare + Aggiungi una risorsa in Risorse.

6. In Aggiungi una risorsa immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Service	Selezionare Microsoft.Storage.
   Ambito	Selezionare Account singolo
   Abbonamento	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Conto risorse	Selezionare allowedaccount(random-number)

7. Selezionare Aggiungi.

8. Selezionare Rivedi e crea.

9. Seleziona Crea.

PowerShell

Per recuperare l'ID risorsa del primo account di archiviazione (consentito), usare Get-AzStorageAccount.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
}
$resourceId = (Get-AzStorageAccount @storageAcctParams1).id

Per creare la definizione dei criteri per consentire la risorsa precedente, usare New-AzServiceEndpointPolicyDefinition .

$policyDefinitionParams = @{
    Name = "policy-definition"
    Description = "Service Endpoint Policy Definition"
    Service = "Microsoft.Storage"
    ServiceResource = $resourceId
}
$policyDefinition = New-AzServiceEndpointPolicyDefinition @policyDefinitionParams

Usare New-AzServiceEndpointPolicy per creare i criteri dell'endpoint servizio con la definizione dei criteri.

$sepolicyParams = @{
    ResourceGroupName = "test-rg"
    Name = "service-endpoint-policy"
    Location = "westus2"
    ServiceEndpointPolicyDefinition = $policyDefinition
}
$sepolicy = New-AzServiceEndpointPolicy @sepolicyParams

CLI

I criteri degli endpoint servizio vengono applicati agli endpoint servizio. Per iniziare, creare un criterio dell'endpoint servizio. Creare quindi le definizioni dei criteri in questo criterio per gli account di archiviazione di Azure da approvare per questa subnet

Usare az storage account show per ottenere l'ID risorsa dell'account di archiviazione consentito.

serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)

Creare un criterio di endpoint di servizio

az network service-endpoint policy create \
  --resource-group test-rg \
  --name service-endpoint-policy \
  --location westus2

Creare e aggiungere una definizione di criteri per consentire l'account di archiviazione di Azure precedente ai criteri dell'endpoint di servizio

az network service-endpoint policy-definition create \
  --resource-group test-rg \
  --policy-name service-endpoint-policy \
  --name policy-definition \
  --service "Microsoft.Storage" \
  --service-resources $serviceResourceId

Associare un criterio di endpoint di servizio a una subnet

Dopo aver creato i criteri dell'endpoint di servizio, verrà associato alla subnet di destinazione con la configurazione dell'endpoint di servizio per Archiviazione di Azure.

Portale

1. Nella casella di ricerca del portale immettere Criteri endpoint servizio. Selezionare Criteri endpoint servizio nei risultati della ricerca.

2. Selezionare service-endpoint-policy.

3. Espandere Impostazioni e selezionare Subnet associate.

4. Selezionare + Modifica associazione subnet.

5. In Modifica associazione subnet selezionare vnet-1 e subnet-1.

6. Selezionare Applica.

PowerShell

Usare Set-AzVirtualNetworkSubnetConfig per associare i criteri dell'endpoint servizio alla subnet.

$subnetConfigParams = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    NetworkSecurityGroup = $nsg
    ServiceEndpoint = "Microsoft.Storage"
    ServiceEndpointPolicy = $sepolicy
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

$virtualNetwork | Set-AzVirtualNetwork

CLI

Usare az network vnet subnet update per associare i criteri dell'endpoint servizio alla subnet.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --service-endpoints Microsoft.Storage \
  --service-endpoint-policy service-endpoint-policy

Avviso

Assicurarsi che tutte le risorse a cui si accede dalla subnet vengano aggiunte alla definizione dei criteri prima di associare i criteri alla subnet specificata. Dopo aver associato i criteri, l'accesso alle risorse consentite elencate sarà permesso solo sugli endpoint servizio.

Assicurarsi che non esistano servizi di Azure gestiti nella subnet associata ai criteri dell'endpoint servizio.

L'accesso alle risorse di Archiviazione di Azure in tutte le aree verrà limitato in base ai criteri degli endpoint servizio di questa subnet.

Convalidare la restrizione di accesso agli account di Archiviazione di Azure

Per testare l'accesso di rete a un account di archiviazione, distribuire una VM nella subnet.

Distribuire la macchina virtuale

Portale

1. Nella casella di ricerca nel portale di Azure immettere Macchine virtuali. Selezionare Macchine virtuali nei risultati della ricerca.

2. Nella scheda Informazioni di base della pagina Crea una macchina virtuale immettere o selezionare le informazioni seguenti:

   Impostazione	Valore
   Dettagli di progetto
   Subscription	Selezionare la propria sottoscrizione.
   Gruppo di risorse	Selezionare test-rg.
   Dettagli istanza
   Virtual machine name	Immettere vm-1.
   Paese	Selezionare (Stati Uniti) Stati Uniti occidentali 2.
   Opzioni di disponibilità	Selezionare La ridondanza dell'infrastruttura non è richiesta.
   Tipo di sicurezza	Selezionare Standard.
   Image	Selezionare Windows Server 2022 Datacenter - x64 Gen2.
   Dimensione	Selezionare una dimensione.
   Account amministratore
   Username	Immettere un nome utente.
   Password	Immettere una password.
   Conferma password	Immettere di nuovo la password.
   Regole porta in ingresso

3. Selezionare Avanti: Dischi, quindi Avanti: Rete.

4. Nella scheda Rete immettere o selezionare le informazioni seguenti.

   Impostazione	Valore
   Interfaccia di rete
   Rete virtuale	Selezionare vnet-1.
   Subnet	Selezionare subnet-1 (10.0.0.0/24).
   IP pubblico	Selezionare Nessuno.
   Gruppo di sicurezza di rete della scheda di interfaccia di rete	Selezionare Nessuno.

5. Lasciare invariate le altre impostazioni predefinite e selezionare Rivedi e crea.

6. Seleziona Crea.

PowerShell

Creare una macchina virtuale nella subnet subnet-1 con New-AzVM. Quando si esegue il comando seguente, vengono chieste le credenziali. I valori immessi sono configurati come nome utente e password per la VM.

$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    Name = "vm-1"
}
New-AzVm @vmParams

CLI

Creare una macchina virtuale nella subnet subnet-1 con az vm create.

az vm create \
  --resource-group test-rg \
  --name vm-1 \
  --image Win2022Datacenter \
  --admin-username azureuser \
  --vnet-name vnet-1 \
  --subnet subnet-1

Prima di proseguire con i passaggi successivi, attendere il completamento della distribuzione della macchina virtuale.

Confermare l'accesso all'account di archiviazione consentito

1. Accedere al portale di Azure.

2. Nella casella di ricerca del portale immettere Account di archiviazione. Selezionare Account di archiviazione, nei risultati della ricerca.

3. Selezionare allowedaccount(random-number).

4. Espandere Sicurezza e rete e selezionare Chiavi di accesso.

5. Copiare il valore key1. Usare questa chiave per eseguire il mapping di un'unità all'account di archiviazione della macchina virtuale creata in precedenza.

6. Nella casella di ricerca nel portale di Azure immettere Macchine virtuali. Selezionare Macchine virtuali nei risultati della ricerca.

7. Selezionare vm-1.

8. Espandere Operazioni. Selezionare Esegui comando.

9. Selezionare RunPowerShellScript.

10. Incollare lo script seguente in Esegui script comando.

    ## Enter the storage account key for the allowed storage account that you recorded earlier.
    $storageAcctKey1 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential
    

11. Selezionare Esegui.

12. Se la mappa delle unità ha esito positivo, l'output nella casella Output è simile all'esempio seguente:

    Name           Used (GB)     Free (GB) Provider      Root
    ----           ---------     --------- --------      ----
    Z                                      FileSystem    \\allowedaccount.file.core.windows.net\fil..
    

Verificare che l'accesso venga negato all'account di archiviazione negato

1. Nella casella di ricerca del portale immettere Account di archiviazione. Selezionare Account di archiviazione, nei risultati della ricerca.

2. Selezionare deniedaccount(random-number).

3. Espandere Sicurezza e rete e selezionare Chiavi di accesso.

4. Copiare il valore key1. Usare questa chiave per eseguire il mapping di un'unità all'account di archiviazione della macchina virtuale creata in precedenza.

5. Nella casella di ricerca nel portale di Azure immettere Macchine virtuali. Selezionare Macchine virtuali nei risultati della ricerca.

6. Selezionare vm-1.

7. Espandere Operazioni. Selezionare Esegui comando.

8. Selezionare RunPowerShellScript.

9. Incollare lo script seguente in Esegui script comando.

   ## Enter the storage account key for the denied storage account that you recorded earlier.
   $storageAcctKey2 = (pasted from procedure above)
   $acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
   ## Replace the login account with the name of the storage account you created.
   $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
   ## Replace the storage account name with the name of the storage account you created.
   New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential
   

10. Selezionare Esegui.

11. Nella casella Output viene visualizzato il messaggio di errore seguente:

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
    + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    

12. La mappa delle unità viene negata a causa dei criteri dell'endpoint servizio che limitano l'accesso all'account di archiviazione.

Portale

Quando le risorse create non sono più necessarie, è possibile eliminare il gruppo di risorse e tutte le risorse al suo interno.

1. Accedere al portale di Azure e selezionare Gruppi di risorse.

2. Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.

3. Nella pagina test-rg selezionare Elimina gruppo di risorse.

4. Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.

PowerShell

Quando il gruppo di risorse e tutte le risorse in esso contenute non sono più necessari, è possibile usare Remove-AzResourceGroup per rimuoverli:

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

CLI

Quando il gruppo di risorse e tutte le risorse in esso contenute non sono più necessari, usare az group delete per rimuoverli.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Passaggi successivi

In questa esercitazione è stato creato un criterio di endpoint di servizio per poi associarlo a una subnet. Per altre informazioni sui criteri degli endpoint di servizio, vedere Panoramica dei criteri degli endpoint di servizio.