Beleid voor service-eindpunten maken en koppelen

Met beleid voor service-eindpunten kunt u verkeer van virtuele netwerken filteren op specifieke Azure-resources, via service-eindpunten. Als u niet bekend bent met beleid voor service-eindpunten, raadpleegt u het overzicht van beleidsregels voor service-eindpunten voor meer informatie.

In deze zelfstudie leert u het volgende:

• Maak een virtueel netwerk.
• Voeg een subnet toe en schakel service-eindpunten in voor Azure Storage.
• Maak twee Azure Storage-accounts en sta netwerktoegang toe vanuit het subnet in het virtuele netwerk.
• Maak een service-eindpuntbeleid om alleen toegang tot een van de opslagaccounts toe te staan.
• Implementeer een virtuele machine (VM) in het subnet.
• Bevestig de toegang tot het toegestane opslagaccount vanuit het subnet.
• Controleer of de toegang wordt geweigerd tot het niet-toegestane opslagaccount vanuit het subnet.

Vereisten

Portal

• Een Azure-account met een actief abonnement. U kunt gratis een account maken.

PowerShell

• Een Azure-account met een actief abonnement. U kunt gratis een account maken.

Azure Cloud Shell

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.

Om Azure Cloud Shell op te starten:

Optie	Voorbeeld/koppeling
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell.
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen.
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal.

Azure Cloud Shell gebruiken:

1. Start Cloud Shell.

2. Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.

3. Plak de code of opdracht in de Cloud Shell-sessie door Ctrl+Shift+V in Windows en Linux te selecteren of door Cmd+Shift+V te selecteren in macOS.

4. Selecteer Enter om de code of opdracht uit te voeren.

Als u PowerShell lokaal wilt installeren en gebruiken, is voor dit artikel versie 1.0.0 of hoger van de Azure PowerShell-module vereist. Voer Get-Module -ListAvailable Az uit om te kijken welke versie is geïnstalleerd. Als u PowerShell wilt upgraden, raadpleegt u De Azure PowerShell-module installeren. Als u PowerShell lokaal uitvoert, moet u ook Connect-AzAccount uitvoeren om verbinding te kunnen maken met Azure.

CLI

Als u geen Azure-abonnement hebt, kunt u een gratis Azure-account maken voordat u begint.

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

• Voor dit artikel is versie 2.0.28 of hoger van Azure CLI vereist. Als u Azure Cloud Shell gebruikt, is de nieuwste versie al geïnstalleerd.

Een virtueel netwerk maken en service-eindpunt inschakelen

Maak een virtueel netwerk dat de resources bevat die u in deze zelfstudie maakt.

Portal

1. Voer virtuele netwerken in het zoekvak in de portal in. Selecteer Virtuele netwerken in de zoekresultaten.

2. Selecteer + Maken om een nieuw virtueel netwerk te maken.

3. Voer de volgende gegevens in of selecteer deze op het tabblad Basisbeginselen van virtueel netwerk maken.

   Instelling	Weergegeven als
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer Nieuw maken. Voer test-rg in Naam in. Selecteer OK.
   Naam	Voer vnet-1 in.
   Regio	Selecteer VS - west 2.

4. Selecteer Volgende.

5. Selecteer Volgende.

6. Selecteer op het tabblad IP-adressen in Subnetten het standaardsubnet .

7. Voer de volgende gegevens in het subnet Bewerken in of selecteer deze.

   Instelling	Weergegeven als
   Naam	Voer subnet-1 in.
   Service-eindpunten
   Services
   Selecteer Microsoft.Storage in het vervolgkeuzemenu.

8. Selecteer Opslaan.

9. Selecteer Controleren + maken.

10. Selecteer Maken.

PowerShell

Voordat u een virtueel netwerk maakt, moet u een resourcegroep maken voor het virtuele netwerk en alle andere resources die in dit artikel zijn gemaakt. Maak een resourcegroep met behulp van de opdracht New-AzResourceGroup. In het volgende voorbeeld wordt een resourcegroep met de naam test-rg gemaakt:

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}
New-AzResourceGroup @rg

Maak een virtueel netwerk met New-AzVirtualNetwork. In het volgende voorbeeld wordt een virtueel netwerk met de naam vnet-1 gemaakt met het adresvoorvoegsel 10.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Maak een subnetconfiguratie met New-AzVirtualNetworkSubnetConfig en schrijf vervolgens de subnetconfiguratie naar het virtuele netwerk met Set-AzVirtualNetwork. In het volgende voorbeeld wordt een subnet met de naam subnet-1 toegevoegd aan het virtuele netwerk en wordt het service-eindpunt voor Microsoft.Storage gemaakt.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

CLI

Voordat u een virtueel netwerk maakt, moet u een resourcegroep maken voor het virtuele netwerk en alle andere resources die in dit artikel zijn gemaakt. Maak een resourcegroep maken met az group create. In het volgende voorbeeld wordt een resourcegroep met de naam test-rg gemaakt op de locatie westus2 .

az group create \
  --name test-rg \
  --location westus2

Maak een virtueel netwerk met één subnet met az network vnet create.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefix 10.0.0.0/16 \
  --subnet-name subnet-1 \
  --subnet-prefix 10.0.0.0/24

In dit voorbeeld wordt een service-eindpunt gemaakt Microsoft.Storage voor het subnetsubnet-1:

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24 \
  --service-endpoints Microsoft.Storage

Netwerktoegang voor het subnet beperken

Maak een netwerkbeveiligingsgroep en -regels waarmee de netwerktoegang voor het subnet wordt beperkt.

Een netwerkbeveiligingsgroep maken

Portal

1. Voer in het zoekvak in de portal netwerkbeveiligingsgroepen in. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer + Maken om een nieuwe netwerkbeveiligingsgroep te maken.

3. Voer op het tabblad Basisbeginselen van netwerkbeveiligingsgroep maken de volgende gegevens in of selecteer deze.

   Instelling	Weergegeven als
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer test-rg.
   Naam	Voer nsg-1 in.
   Regio	Selecteer VS - west 2.

4. Selecteer Controleren + maken.

5. Selecteer Maken.

Regels voor netwerkbeveiligingsgroepen

1. Voer in het zoekvak in de portal netwerkbeveiligingsgroepen in. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer nsg-1.

3. Vouw de Instellingen uit. Selecteer uitgaande beveiligingsregels.

4. Selecteer + Toevoegen om een nieuwe uitgaande beveiligingsregel toe te voegen.

5. Voer in Uitgaande beveiligingsregel toevoegen de volgende gegevens in of selecteer deze.

   Instelling	Waarde
   Bron	selecteer Servicetag.
   Bronservicetag	Selecteer VirtualNetwork.
   Poortbereiken van bron	Voer * in.
   Bestemming	selecteer Servicetag.
   Doelservicetag	Selecteer Opslag.
   Service	Selecteer Aangepast.
   Poortbereiken van doel	Voer * in.
   Protocol	Selecteer Een.
   Actie	Selecteer Toestaan.
   Prioriteit	Voer 100 in.
   Naam	Voer allow-storage-all in.

6. Selecteer Toevoegen.

7. Selecteer + Toevoegen om een andere uitgaande beveiligingsregel toe te voegen.

8. Voer in Uitgaande beveiligingsregel toevoegen de volgende gegevens in of selecteer deze.

   Instelling	Waarde
   Bron	selecteer Servicetag.
   Bronservicetag	Selecteer VirtualNetwork.
   Poortbereiken van bron	Voer * in.
   Bestemming	selecteer Servicetag.
   Doelservicetag	selecteer Internet.
   Service	Selecteer Aangepast.
   Poortbereiken van doel	Voer * in.
   Protocol	Selecteer Een.
   Actie	Selecteer Weigeren.
   Prioriteit	Voer 110 in.
   Naam	Voer deny-internet-all in.

9. Selecteer Toevoegen.

10. Vouw de Instellingen uit. Selecteer Subnetten.

11. Selecteer Koppelen.

12. Voer in het subnet Koppelen de volgende gegevens in of selecteer deze.

    Instelling	Weergegeven als
    Virtueel netwerk	Selecteer vnet-1 (test-rg).
    Subnet	Selecteer subnet-1.

13. Selecteer OK.

PowerShell

Maak beveiligingsregels voor netwerkbeveiligingsgroepen met New-AzNetworkSecurityRuleConfig. De volgende regel staat uitgaande toegang toe tot de openbare IP-adressen die zijn toegewezen aan de Azure Storage-service:

$r1 = @{
    Name = "Allow-Storage-All"
    Access = "Allow"
    DestinationAddressPrefix = "Storage"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 100
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule1 = New-AzNetworkSecurityRuleConfig @r1

Met de volgende regel wordt de toegang tot alle openbare IP-adressen geweigerd. De vorige regel overschrijft deze regel vanwege de hogere prioriteit, waardoor toegang tot de openbare IP-adressen van Azure Storage mogelijk is.

$r2 = @{
    Name = "Deny-Internet-All"
    Access = "Deny"
    DestinationAddressPrefix = "Internet"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 110
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule2 = New-AzNetworkSecurityRuleConfig @r2

Maak een netwerkbeveiligingsgroep met New-AzNetworkSecurityGroup. In het volgende voorbeeld wordt een netwerkbeveiligingsgroep met de naam nsg-1 gemaakt.

$securityRules = @($rule1, $rule2)

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
    SecurityRules = $securityRules
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Koppel de netwerkbeveiligingsgroep aan het subnet-1-subnet met Set-AzVirtualNetworkSubnetConfig en schrijf vervolgens de subnetconfiguratie naar het virtuele netwerk. In het volgende voorbeeld wordt de netwerkbeveiligingsgroep nsg-1 gekoppeld aan het subnet-1-subnet :

$subnetConfig = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
    NetworkSecurityGroup = $nsg
}
Set-AzVirtualNetworkSubnetConfig @subnetConfig

$virtualNetwork | Set-AzVirtualNetwork

CLI

Maak een netwerkbeveiligingsgroep met az network nsg create. In het volgende voorbeeld wordt een netwerkbeveiligingsgroep met de naam nsg-1 gemaakt.

az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Koppel de netwerkbeveiligingsgroep aan het subnet-1-subnet met az network vnet subnet update. In het volgende voorbeeld wordt de netwerkbeveiligingsgroep nsg-1 gekoppeld aan het subnet-1-subnet :

az network vnet subnet update \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --resource-group test-rg \
  --network-security-group nsg-1

Maak beveiligingsregels met az network nsg rule create. De volgende regel staat uitgaande toegang toe tot de openbare IP-adressen die zijn toegewezen aan de Azure Storage-service:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Storage-All \
  --access Allow \
  --protocol "*" \
  --direction Outbound \
  --priority 100 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Storage" \
  --destination-port-range "*"

Elke netwerkbeveiligingsgroep bevat verschillende standaardbeveiligingsregels. De regel die volgt overschrijft een standaardbeveiligingsregel waarmee uitgaande toegang tot alle openbare IP-adressen wordt toegestaan. De destination-address-prefix "Internet" optie weigert uitgaande toegang tot alle openbare IP-adressen. De vorige regel overschrijft deze regel vanwege de hogere prioriteit, waardoor toegang tot de openbare IP-adressen van Azure Storage mogelijk is.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Deny-Internet-All \
  --access Deny \
  --protocol "*" \
  --direction Outbound \
  --priority 110 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Internet" \
  --destination-port-range "*"

Netwerktoegang tot Azure Storage-accounts beperken

De stappen die nodig zijn om netwerktoegang te beperken tot resources die zijn gemaakt met Azure-services waarvoor service-eindpunten zijn ingeschakeld, verschillen per service. Zie de documentatie voor afzonderlijke services voor specifieke stappen voor elke service. De rest van dit artikel bevat stappen voor het beperken van de netwerktoegang voor een Azure Storage-account, bijvoorbeeld.

Twee opslagaccounts maken

Portal

1. Voer opslagaccounts in het zoekvak in de portal in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer + Maken om een nieuw opslagaccount te maken.

3. Voer in Een opslagaccount maken de volgende gegevens in of selecteer deze.

   Instelling	Weergegeven als
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer test-rg.
   Exemplaardetails
   Naam van het opslagaccount	Voer allowedaccount (willekeurig getal) in. Opmerking: de naam van het opslagaccount moet uniek zijn. Voeg een willekeurig getal toe aan het einde van de naam allowedaccount.
   Regio	Selecteer VS - west 2.
   Prestaties	Selecteer Standaard.
   Redundantie	Selecteer Lokaal redundante opslag (LRS).

4. Selecteer Volgende totdat u bij het tabblad Gegevensbeveiliging bent.

5. Schakel in Herstel alle opties uit.

6. Selecteer Controleren + maken.

7. Selecteer Maken.

8. Herhaal de vorige stappen om een ander opslagaccount te maken met de volgende informatie.

   Instelling	Weergegeven als
   Naam van het opslagaccount	Voer deniedaccount (willekeurig getal) in.

PowerShell

Maak het toegestane Azure-opslagaccount met New-AzStorageAccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'allowedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Gebruik dezelfde opdracht om het geweigerde Azure-opslagaccount te maken, maar wijzig de naam in deniedaccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'deniedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

CLI

Maak twee Azure-opslagaccounts met az storage account create.

storageAcctName1="allowedaccount"

az storage account create \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Gebruik dezelfde opdracht om het geweigerde Azure-opslagaccount te maken, maar wijzig de naam in deniedaccount.

storageAcctName2="deniedaccount"

az storage account create \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Bestandsshares maken

Portal

1. Voer opslagaccounts in het zoekvak in de portal in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer allowedaccount(random-number).

3. Vouw de sectie Gegevensopslag uit en selecteer Bestandsshares.

4. Selecteer + Bestandsshare.

5. Voer in de nieuwe bestandsshare de volgende gegevens in of selecteer deze.

   Instelling	Weergegeven als
   Naam	Voer de bestandsshare in.

6. Laat de rest van de instellingen als standaard staan en selecteer Beoordelen en maken.

7. Selecteer Maken.

8. Herhaal de vorige stappen om een bestandsshare te maken in deniedaccount(random-number).

PowerShell

Toegestane opslagaccountbestandsshare maken

Gebruik Get-AzStorageAccountKey om de sleutel van het opslagaccount op te halen voor het toegestane opslagaccount. In de volgende stap gebruikt u deze sleutel om een bestandsshare te maken in het toegestane opslagaccount.

$storageAcctName1 = "allowedaccount"
$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName1
}
$storageAcctKey1 = (Get-AzStorageAccountKey @storageAcctParams1).Value[0]

Maak een context voor uw opslagaccount en sleutel met New-AzStorageContext. De context bestaat uit de naam en accountsleutel van het opslagaccount.

$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1

Maak een bestandsshare met New-AzStorageShare.

$share1 = New-AzStorageShare file-share -Context $storageContext1

De bestandsshare voor het opslagaccount maken

Gebruik Get-AzStorageAccountKey om de sleutel van het opslagaccount op te halen voor het toegestane opslagaccount. U gebruikt deze sleutel in de volgende stap om een bestandsshare te maken in het geweigerde opslagaccount.

$storageAcctName2 = "deniedaccount"
$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName2
}
$storageAcctKey2 = (Get-AzStorageAccountKey @storageAcctParams2).Value[0]

Maak een context voor uw opslagaccount en sleutel met New-AzStorageContext. De context bestaat uit de naam en accountsleutel van het opslagaccount.

$storageContext2= New-AzStorageContext $storageAcctName2 $storageAcctKey2

Maak een bestandsshare met New-AzStorageShare.

$share2 = New-AzStorageShare file-share -Context $storageContext2

CLI

Toegestane opslagaccountbestandsshare maken

Haal de verbindingsreeks voor de opslagaccounts op in een variabele met az storage account show-connection-string. De verbindingsreeks wordt gebruikt om in een latere stap een bestandsshare te maken.

saConnectionString1=$(az storage account show-connection-string \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Maak een bestandsshare in het opslagaccount met az storage share create. In een latere stap wordt deze bestandsshare gekoppeld om de netwerktoegang te bevestigen.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString1 > /dev/null

De bestandsshare voor het opslagaccount maken

Haal de verbindingsreeks voor de opslagaccounts op in een variabele met az storage account show-connection-string. De verbindingsreeks wordt gebruikt om in een latere stap een bestandsshare te maken.

saConnectionString2=$(az storage account show-connection-string \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Maak een bestandsshare in het opslagaccount met az storage share create. In een latere stap wordt deze bestandsshare gekoppeld om de netwerktoegang te bevestigen.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString2 > /dev/null

Alle netwerktoegang tot opslagaccounts weigeren

Standaard accepteren opslagaccounts netwerkverbindingen van clients in ieder netwerk. Als u de netwerktoegang tot de opslagaccounts wilt beperken, kunt u het opslagaccount zo configureren dat alleen verbindingen van specifieke netwerken worden geaccepteerd. In dit voorbeeld configureert u het opslagaccount om alleen verbindingen te accepteren van het subnet van het virtuele netwerk dat u eerder hebt gemaakt.

Portal

1. Voer opslagaccounts in het zoekvak in de portal in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer allowedaccount(random-number).

3. Vouw Beveiliging en netwerken uit en selecteer Netwerken.

4. Selecteer in Firewalls en virtuele netwerken, in openbare netwerktoegang, ingeschakeld in geselecteerde virtuele netwerken en IP-adressen.

5. Selecteer + Bestaand virtueel netwerk toevoegen in virtuele netwerken.

6. Voer in Netwerken toevoegen de volgende gegevens in of selecteer deze.

   Instelling	Weergegeven als
   Abonnement	Selecteer uw abonnement.
   Virtuele netwerken	Selecteer vnet-1.
   Subnetten	Selecteer subnet-1.

7. Selecteer Toevoegen.

8. Selecteer Opslaan.

9. Herhaal de vorige stappen om netwerktoegang tot deniedaccount (willekeurig getal) te weigeren.

PowerShell

Gebruik Update-AzStorageAccountNetworkRuleSet om de toegang tot de opslagaccounts te weigeren, met uitzondering van het virtuele netwerk en het subnet dat u eerder hebt gemaakt. Zodra de netwerktoegang is geweigerd, is het opslagaccount niet toegankelijk vanuit een netwerk.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams1

$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams2

Alleen netwerktoegang inschakelen vanuit het subnet van het virtuele netwerk

Haal het gemaakte virtuele netwerk op met Get-AzVirtualNetwork en haal vervolgens het privésubnetobject op in een variabele met Get-AzVirtualNetworkSubnetConfig:

$privateSubnetParams = @{
    ResourceGroupName = "test-rg"
    Name = "vnet-1"
}
$privateSubnet = Get-AzVirtualNetwork @privateSubnetParams | Get-AzVirtualNetworkSubnetConfig -Name "subnet-1"

Netwerktoegang tot het opslagaccount toestaan vanuit het subnet-1-subnet met Add-AzStorageAccountNetworkRule.

$networkRuleParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams1

$networkRuleParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams2

CLI

Standaard accepteren opslagaccounts netwerkverbindingen van clients in ieder netwerk. Als u de toegang tot geselecteerde netwerken wilt beperken, wijzigt u de standaardactie in Weigeren met az storage account update. Zodra de netwerktoegang is geweigerd, is het opslagaccount niet toegankelijk vanuit een netwerk.

az storage account update \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --default-action Deny

az storage account update \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --default-action Deny

Alleen netwerktoegang inschakelen vanuit het subnet van het virtuele netwerk

Netwerktoegang tot het opslagaccount toestaan vanuit het subnet-1-subnet met az storage account network-rule add.

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName1 \
  --vnet-name vnet-1 \
  --subnet subnet-1

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName2 \
  --vnet-name vnet-1 \
  --subnet subnet-1

Beleid toepassen om toegang tot een geldig opslagaccount toe te staan

U kunt een service-eindpuntbeleid maken. Het beleid zorgt ervoor dat gebruikers in het virtuele netwerk alleen toegang hebben tot veilige en toegestane Azure Storage-accounts. Dit beleid bevat een lijst met toegestane opslagaccounts die zijn toegepast op het subnet van het virtuele netwerk dat is verbonden met opslag via service-eindpunten.

Beleid voor service-eindpunten maken

In deze sectie wordt de beleidsdefinitie gemaakt met de lijst met toegestane resources voor toegang via service-eindpunt.

Portal

1. Voer in het zoekvak in de portal beleid voor service-eindpunten in. Selecteer beleid voor service-eindpunten in de zoekresultaten.

2. Selecteer + Maken om een nieuw beleid voor service-eindpunten te maken.

3. Voer de volgende informatie in of selecteer deze op het tabblad Basis van het beleid voor het maken van een service-eindpunt.

   Instelling	Weergegeven als
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer test-rg.
   Exemplaardetails
   Naam	Voer service-eindpuntbeleid in.
   Locatie	Selecteer VS - west 2.

4. Selecteer Volgende: Beleidsdefinities.

5. Selecteer + Een resource toevoegen in Resources.

6. Voer in Een resource toevoegen de volgende gegevens in of selecteer deze:

   Instelling	Weergegeven als
   Service	Selecteer Microsoft.Storage.
   Bereik	Eén account selecteren
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer test-rg.
   Bron	Select allowedaccount(random-number)

7. Selecteer Toevoegen.

8. Selecteer Controleren + maken.

9. Selecteer Maken.

PowerShell

Gebruik Get-AzStorageAccount om de resource-id voor het eerste (toegestane) opslagaccount op te halen.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
}
$resourceId = (Get-AzStorageAccount @storageAcctParams1).id

Als u de beleidsdefinitie wilt maken om de vorige resource toe te staan, gebruikt u New-AzServiceEndpointPolicyDefinition .

$policyDefinitionParams = @{
    Name = "policy-definition"
    Description = "Service Endpoint Policy Definition"
    Service = "Microsoft.Storage"
    ServiceResource = $resourceId
}
$policyDefinition = New-AzServiceEndpointPolicyDefinition @policyDefinitionParams

Gebruik New-AzServiceEndpointPolicy om het service-eindpuntbeleid te maken met de beleidsdefinitie.

$sepolicyParams = @{
    ResourceGroupName = "test-rg"
    Name = "service-endpoint-policy"
    Location = "westus2"
    ServiceEndpointPolicyDefinition = $policyDefinition
}
$sepolicy = New-AzServiceEndpointPolicy @sepolicyParams

CLI

Beleidsregels voor service-eindpunten worden toegepast op service-eindpunten. Begin met het maken van een service-eindpuntbeleid. Maak vervolgens de beleidsdefinities onder dit beleid voor Azure Storage-accounts die moeten worden goedgekeurd voor dit subnet

Gebruik az storage account show om de resource-id op te halen voor het opslagaccount dat is toegestaan.

serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)

Beleid voor service-eindpunten maken

az network service-endpoint policy create \
  --resource-group test-rg \
  --name service-endpoint-policy \
  --location westus2

Een beleidsdefinitie maken en toevoegen voor het toestaan van het vorige Azure Storage-account aan het service-eindpuntbeleid

az network service-endpoint policy-definition create \
  --resource-group test-rg \
  --policy-name service-endpoint-policy \
  --name policy-definition \
  --service "Microsoft.Storage" \
  --service-resources $serviceResourceId

Een service-eindpuntbeleid koppelen aan een subnet

Nadat u het service-eindpuntbeleid hebt gemaakt, koppelt u het aan het doelsubnet met de configuratie van het service-eindpunt voor Azure Storage.

Portal

1. Voer in het zoekvak in de portal beleid voor service-eindpunten in. Selecteer beleid voor service-eindpunten in de zoekresultaten.

2. Selecteer service-eindpuntbeleid.

3. Vouw Instellingen uit en selecteer Gekoppelde subnetten.

4. Selecteer + Subnetkoppeling bewerken.

5. Selecteer in Subnetkoppeling bewerken vnet-1 en subnet-1.

6. Selecteer Toepassen.

PowerShell

Gebruik Set-AzVirtualNetworkSubnetConfig om het beleid voor service-eindpunten te koppelen aan het subnet.

$subnetConfigParams = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    NetworkSecurityGroup = $nsg
    ServiceEndpoint = "Microsoft.Storage"
    ServiceEndpointPolicy = $sepolicy
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

$virtualNetwork | Set-AzVirtualNetwork

CLI

Gebruik az network vnet subnet update om het service-eindpuntbeleid te koppelen aan het subnet.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --service-endpoints Microsoft.Storage \
  --service-endpoint-policy service-endpoint-policy

Waarschuwing

Zorg ervoor dat alle resources die vanuit het subnet worden geopend, worden toegevoegd aan de beleidsdefinitie voordat u het beleid koppelt aan het opgegeven subnet. Zodra het beleid is gekoppeld, wordt alleen toegang tot de vermelde resources toegestaan via service-eindpunten.

Zorg ervoor dat er geen beheerde Azure-services bestaan in het subnet dat is gekoppeld aan het service-eindpuntbeleid.

Toegang tot Azure Storage-resources in alle regio's wordt beperkt volgens service-eindpuntbeleid vanuit dit subnet.

Toegangsbeperking valideren voor Azure Storage-accounts

Als u de netwerktoegang tot een opslagaccount wilt testen, implementeert u een VIRTUELE machine in het subnet.

De virtuele machine implementeren

Portal

1. Voer virtuele machines in het zoekvak in de portal in. Selecteer Virtuele machines in de zoekresultaten.

2. Voer op het tabblad Basisbeginselen van Een virtuele machine maken de volgende gegevens in of selecteer deze:

   Instelling	Weergegeven als
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer test-rg.
   Exemplaardetails
   Virtual machine name	Voer vm-1 in.
   Regio	Selecteer (US) VS - west 2.
   Beschikbaarheidsopties	Selecteer Geen infrastructuurredundantie vereist.
   Beveiligingstype	Selecteer Standaard.
   Afbeelding	Selecteer Windows Server 2022 Datacenter - x64 Gen2.
   Tekengrootte	Selecteer een grootte.
   Beheerdersaccount
   Username	Voer een gebruikersnaam in.
   Wachtwoord	Voer een wachtwoord in.
   Wachtwoord bevestigen	Voer het wachtwoord nogmaals in.
   Regels voor binnenkomende poort

3. Selecteer Volgende: Schijven en selecteer vervolgens Volgende: Netwerken.

4. Voer op het tabblad Netwerken de volgende gegevens in of selecteer deze.

   Instelling	Weergegeven als
   Netwerkinterface
   Virtueel netwerk	Selecteer vnet-1.
   Subnet	Selecteer subnet-1 (10.0.0.0/24).
   Openbare IP	Selecteer Geen.
   NIC-netwerkbeveiligingsgroep	Selecteer Geen.

5. Laat de rest van de instellingen standaard staan en selecteer Beoordelen en maken.

6. Selecteer Maken.

PowerShell

Maak een virtuele machine in het subnet-1-subnet met New-AzVM. Wanneer u de volgende opdracht uitvoert, wordt u gevraagd om referenties. De waarden die u invoert, worden geconfigureerd als de gebruikersnaam en het wachtwoord voor de virtuele machine.

$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    Name = "vm-1"
}
New-AzVm @vmParams

CLI

Maak een VIRTUELE machine in het subnet-1-subnet met az vm create.

az vm create \
  --resource-group test-rg \
  --name vm-1 \
  --image Win2022Datacenter \
  --admin-username azureuser \
  --vnet-name vnet-1 \
  --subnet subnet-1

Wacht totdat de implementatie van de virtuele machine is voltooid voordat u verdergaat met de volgende stappen.

Toegang tot het toegestane opslagaccount bevestigen

1. Meld u aan bij Azure Portal.

2. Voer opslagaccounts in het zoekvak in de portal in. Selecteer Opslagaccounts in de zoekresultaten.

3. Selecteer allowedaccount(random-number).

4. Vouw Beveiliging en netwerken uit en selecteer Toegangssleutels.

5. Kopieer de sleutel1-waarde . U gebruikt deze sleutel om een station toe te wijzen aan het opslagaccount van de virtuele machine die u eerder hebt gemaakt.

6. Voer virtuele machines in het zoekvak in de portal in. Selecteer Virtuele machines in de zoekresultaten.

7. Selecteer vm-1.

8. Vouw bewerkingen uit. Selecteer De opdracht Uitvoeren.

9. Selecteer RunPowerShellScript.

10. Plak het volgende script in Run Command Script.

    ## Enter the storage account key for the allowed storage account that you recorded earlier.
    $storageAcctKey1 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential
    

11. Selecteer Uitvoeren.

12. Als de stationstoewijzing is geslaagd, ziet de uitvoer in het uitvoervak er ongeveer als volgt uit:

    Name           Used (GB)     Free (GB) Provider      Root
    ----           ---------     --------- --------      ----
    Z                                      FileSystem    \\allowedaccount.file.core.windows.net\fil..
    

Bevestigen dat de toegang tot het geweigerde opslagaccount is geweigerd

1. Voer opslagaccounts in het zoekvak in de portal in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer deniedaccount (willekeurig getal).

3. Vouw Beveiliging en netwerken uit en selecteer Toegangssleutels.

4. Kopieer de sleutel1-waarde . U gebruikt deze sleutel om een station toe te wijzen aan het opslagaccount van de virtuele machine die u eerder hebt gemaakt.

5. Voer virtuele machines in het zoekvak in de portal in. Selecteer Virtuele machines in de zoekresultaten.

6. Selecteer vm-1.

7. Vouw bewerkingen uit. Selecteer De opdracht Uitvoeren.

8. Selecteer RunPowerShellScript.

9. Plak het volgende script in Run Command Script.

   ## Enter the storage account key for the denied storage account that you recorded earlier.
   $storageAcctKey2 = (pasted from procedure above)
   $acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
   ## Replace the login account with the name of the storage account you created.
   $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
   ## Replace the storage account name with the name of the storage account you created.
   New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential
   

10. Selecteer Uitvoeren.

11. U ontvangt het volgende foutbericht in het uitvoervak:

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
    + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    

12. De stationstoewijzing wordt geweigerd vanwege het service-eindpuntbeleid waarmee de toegang tot het opslagaccount wordt beperkt.

Portal

Wanneer u klaar bent met het gebruik van de resources die u hebt gemaakt, kunt u de resourcegroep en alle bijbehorende resources verwijderen.

1. Zoek en selecteer Resourcegroepen in de Azure-portal.

2. Selecteer op de pagina Resourcegroepen de resourcegroep test-rg .

3. Selecteer op de pagina test-rg de optie Resourcegroep verwijderen.

4. Voer test-rg in Voer de naam van de resourcegroep in om het verwijderen te bevestigen en selecteer vervolgens Verwijderen.

PowerShell

U kunt de opdracht Remove-AzResourceGroup gebruiken om de resourcegroep en alle resources die deze bevat te verwijderen, wanneer u deze niet meer nodig hebt:

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

CLI

Wanneer u deze niet meer nodig hebt, gebruikt u az group delete om de resourcegroep en alle resources die deze bevat te verwijderen.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Volgende stappen

In deze zelfstudie hebt u een service-eindpuntbeleid gemaakt en gekoppeld aan een subnet. Zie het overzicht van beleid voor service-eindpunten voor meer informatie over beleid voor service-eindpunten.