Udostępnij za pośrednictwem


Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage

Usługa Azure Storage zapewnia warstwowy model zabezpieczeń. Ten model umożliwia kontrolę poziomu dostępu do kont magazynowania używanych przez aplikacje i środowiska przedsiębiorstw na podstawie typu i podzbioru używanych sieci lub zasobów.

Podczas konfigurowania reguł sieci tylko aplikacje żądające danych za pośrednictwem określonego zestawu sieci lub za pośrednictwem określonego zestawu zasobów platformy Azure mogą uzyskiwać dostęp do konta magazynu. Dostęp do konta magazynu można ograniczyć do żądań pochodzących z określonych adresów IP, zakresów adresów IP, podsieci w sieci wirtualnej platformy Azure lub wystąpień zasobów niektórych usług platformy Azure.

Konta magazynu mają publiczny punkt końcowy dostępny za pośrednictwem Internetu. Możesz również utworzyć prywatne punkty końcowe dla konta magazynu. Tworzenie prywatnych punktów końcowych przypisuje prywatny adres IP z sieci wirtualnej do konta magazynu. Pomaga zabezpieczyć ruch między siecią wirtualną a kontem magazynu za pośrednictwem łącza prywatnego.

Zapora usługi Azure Storage zapewnia kontrolę dostępu dla publicznego punktu końcowego konta magazynu. Zapora umożliwia również zablokowanie całego dostępu za pośrednictwem publicznego punktu końcowego podczas korzystania z prywatnych punktów końcowych. Konfiguracja zapory umożliwia również zaufanym usługom platformy Azure dostęp do konta magazynu.

Aplikacja, która uzyskuje dostęp do konta magazynu, gdy reguły sieciowe są w mocy, nadal wymagają odpowiedniej autoryzacji dla żądania. Autoryzacja jest obsługiwana przy użyciu poświadczeń entra firmy Microsoft dla obiektów blob, tabel, udziałów plików i kolejek, z prawidłowym kluczem dostępu do konta lub tokenem sygnatury dostępu współdzielonego (SAS). Podczas konfigurowania kontenera obiektów blob na potrzeby dostępu anonimowego żądania odczytu danych w tym kontenerze nie muszą być autoryzowane. Reguły zapory pozostaną w mocy i zablokują ruch anonimowy.

Włączenie reguł zapory dla konta magazynu domyślnie blokuje przychodzące żądania dotyczące danych, chyba że żądania pochodzą z usługi działającej w sieci wirtualnej platformy Azure lub z dozwolonych publicznych adresów IP. Żądania, które są zablokowane, obejmują te z innych usług platformy Azure, z witryny Azure Portal oraz z usług rejestrowania i metryk.

Dostęp do usług platformy Azure działających z poziomu sieci wirtualnej można udzielić, zezwalając na ruch z podsieci hostujących wystąpienie usługi. Można również włączyć ograniczoną liczbę scenariuszy za pomocą mechanizmu wyjątków opisanego w tym artykule. Aby uzyskać dostęp do danych z konta magazynu za pośrednictwem witryny Azure Portal, musisz znajdować się na maszynie w ramach skonfigurowanej zaufanej granicy (adresu IP lub sieci wirtualnej).

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Scenariusze

Aby zabezpieczyć konto magazynu, należy najpierw skonfigurować regułę w celu odmowy dostępu do ruchu ze wszystkich sieci (w tym ruchu internetowego) w publicznym punkcie końcowym domyślnie. Następnie należy skonfigurować reguły, które udzielają dostępu do ruchu z określonych sieci wirtualnych. Można również skonfigurować reguły udzielania dostępu do ruchu z wybranych zakresów publicznych adresów IP internetowych, umożliwiając połączenia z określonych klientów internetowych lub lokalnych. Ta konfiguracja ułatwia tworzenie bezpiecznej granicy sieci dla aplikacji.

Możesz połączyć reguły zapory, które zezwalają na dostęp z określonych sieci wirtualnych i z zakresów publicznych adresów IP na tym samym koncie magazynu. Reguły zapory magazynu można stosować do istniejących kont magazynu lub podczas tworzenia nowych kont magazynu.

Reguły zapory magazynu dotyczą publicznego punktu końcowego konta magazynu. Nie potrzebujesz żadnych reguł dostępu do zapory, aby zezwolić na ruch dla prywatnych punktów końcowych konta magazynu. Proces zatwierdzania tworzenia prywatnego punktu końcowego udziela niejawnego dostępu do ruchu z podsieci, która hostuje prywatny punkt końcowy.

Ważne

Reguły zapory usługi Azure Storage dotyczą tylko operacji płaszczyzny danych. Operacje płaszczyzny sterowania nie podlegają ograniczeniom określonym w regułach zapory.

Niektóre operacje, takie jak operacje kontenera obiektów blob, można wykonywać zarówno za pośrednictwem płaszczyzny sterowania, jak i płaszczyzny danych. Dlatego jeśli spróbujesz wykonać operację, taką jak wyświetlanie listy kontenerów z witryny Azure Portal, operacja powiedzie się, chyba że zostanie ona zablokowana przez inny mechanizm. Próby uzyskania dostępu do danych obiektów blob z aplikacji, takiej jak Eksplorator usługi Azure Storage, są kontrolowane przez ograniczenia zapory.

Aby uzyskać listę operacji płaszczyzny danych, zobacz Dokumentację interfejsu API REST usługi Azure Storage. Aby uzyskać listę operacji płaszczyzny sterowania, zobacz Dokumentację interfejsu API REST dostawcy zasobów usługi Azure Storage.

Konfigurowanie dostępu sieciowego do usługi Azure Storage

Dostęp do danych na koncie magazynu można kontrolować za pośrednictwem punktów końcowych sieci lub za pośrednictwem zaufanych usług lub zasobów w dowolnej kombinacji, w tym:

Informacje o punktach końcowych sieci wirtualnej

Istnieją dwa typy punktów końcowych sieci wirtualnej dla kont magazynu:

Punkty końcowe usługi sieci wirtualnej są publiczne i dostępne za pośrednictwem Internetu. Zapora usługi Azure Storage zapewnia możliwość kontrolowania dostępu do konta magazynu za pośrednictwem takich publicznych punktów końcowych. Po włączeniu dostępu do sieci publicznej do konta magazynu wszystkie przychodzące żądania dotyczące danych są domyślnie blokowane. Tylko aplikacje, które żądają danych z dozwolonych źródeł skonfigurowanych w ustawieniach zapory konta magazynu, będą mogły uzyskiwać dostęp do danych. Źródła mogą obejmować źródłowy adres IP lub podsieć sieci wirtualnej klienta albo usługę platformy Azure lub wystąpienie zasobu, za pośrednictwem którego klienci lub usługi uzyskują dostęp do danych. Żądania, które są zablokowane, obejmują te z innych usług platformy Azure, z witryny Azure Portal oraz z usług rejestrowania i metryk, chyba że jawnie zezwolisz na dostęp w konfiguracji zapory.

Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej do uzyskiwania dostępu do konta magazynu za pośrednictwem sieci szkieletowej firmy Microsoft. W przypadku prywatnego punktu końcowego ruch między siecią wirtualną a kontem magazynu jest zabezpieczony za pośrednictwem łącza prywatnego. Reguły zapory magazynu dotyczą tylko publicznych punktów końcowych konta magazynu, a nie prywatnych punktów końcowych. Proces zatwierdzania tworzenia prywatnego punktu końcowego udziela niejawnego dostępu do ruchu z podsieci, która hostuje prywatny punkt końcowy. Zasady sieciowe umożliwiają kontrolowanie ruchu za pośrednictwem prywatnych punktów końcowych, jeśli chcesz uściślić reguły dostępu. Jeśli chcesz używać wyłącznie prywatnych punktów końcowych, możesz użyć zapory, aby zablokować cały dostęp za pośrednictwem publicznego punktu końcowego.

Aby ułatwić podjęcie decyzji, kiedy używać każdego typu punktu końcowego w danym środowisku, zobacz Porównanie prywatnych punktów końcowych i punktów końcowych usługi.

Jak podejść do zabezpieczeń sieci dla konta magazynu

Aby zabezpieczyć konto magazynu i utworzyć bezpieczną granicę sieci dla aplikacji:

  1. Zacznij od wyłączenia dostępu do całej sieci publicznej dla konta magazynu w ustawieniach Dostęp do sieci publicznej w zaporze konta magazynu.

  2. Jeśli to możliwe, skonfiguruj prywatne linki do konta magazynu z prywatnych punktów końcowych w podsieciach sieci wirtualnej, w których znajdują się klienci, którzy wymagają dostępu do danych.

  3. Jeśli aplikacje klienckie wymagają dostępu za pośrednictwem publicznych punktów końcowych, zmień ustawienie Dostęp do sieci publicznej na Włączone z wybranych sieci wirtualnych i adresów IP. Następnie, zgodnie z potrzebami:

    1. Określ podsieci sieci wirtualnej, z których chcesz zezwolić na dostęp.
    2. Określ zakresy publicznych adresów IP klientów, z których chcesz zezwolić na dostęp, takich jak te w sieciach lokalnych.
    3. Zezwalaj na dostęp z wybranych wystąpień zasobów platformy Azure.
    4. Dodaj wyjątki umożliwiające dostęp z zaufanych usług wymaganych do wykonywania operacji, takich jak tworzenie kopii zapasowych danych.
    5. Dodaj wyjątki dotyczące rejestrowania i metryk.

Po zastosowaniu reguł sieci są wymuszane dla wszystkich żądań. Tokeny SAS, które udzielają dostępu do określonego adresu IP, służą do ograniczania dostępu właściciela tokenu, ale nie udzielają nowego dostępu poza skonfigurowanymi regułami sieciowymi.

Obwód zabezpieczeń sieci (wersja zapoznawcza)

Obwód zabezpieczeń sieci (wersja zapoznawcza) umożliwia organizacjom zdefiniowanie granicy izolacji sieci logicznej dla zasobów PaaS (na przykład usługi Azure Blob Storage i usługi SQL Database), które są wdrażane poza sieciami wirtualnymi. Funkcja ogranicza dostęp do sieci publicznej do zasobów PaaS poza obwodem. Można jednak wykluczyć dostęp przy użyciu jawnych reguł dostępu dla publicznego ruchu przychodzącego i wychodzącego. Zgodnie z projektem dostęp do konta magazynu z poziomu obwodu zabezpieczeń sieci ma najwyższy priorytet przed innymi ograniczeniami dostępu do sieci.

Obecnie obwód zabezpieczeń sieci jest w publicznej wersji zapoznawczej dla obiektów blob platformy Azure, usługi Azure Files (REST), tabel platformy Azure i kolejek platformy Azure. Zobacz Przejście do obwodu zabezpieczeń sieci.

Ważne

Ruch prywatnego punktu końcowego jest uważany za wysoce bezpieczny i dlatego nie podlega regułom obwodowym zabezpieczeń sieci. Cały inny ruch, w tym zaufane usługi, będzie podlegać regułom obwodowym zabezpieczeń sieci, jeśli konto magazynu jest skojarzone z obwodem.

Ograniczenia

Ta wersja zapoznawcza nie obsługuje następujących usług, operacji i protokołów na koncie magazynu:

Zalecamy, aby nie włączać obwodu zabezpieczeń sieci, jeśli musisz użyć dowolnego z tych usług, operacji lub protokołów. Ma to na celu zapobieganie potencjalnej utracie danych lub ryzyku eksfiltracji danych.

Ostrzeżenie

W przypadku kont magazynu skojarzonych z obwodem zabezpieczeń sieci, aby scenariusze kluczy zarządzanych przez klienta działały, upewnij się, że usługa Azure Key Vault jest dostępna z poziomu obwodu, z którym zostało skojarzone konto magazynu.

Kojarzenie obwodu zabezpieczeń sieci z kontem magazynu

Aby skojarzyć obwód zabezpieczeń sieci z kontem magazynu, postępuj zgodnie z tymi typowymi instrukcjami dotyczącymi wszystkich zasobów PaaS.

Ograniczenia i zagadnienia

Przed zaimplementowaniem zabezpieczeń sieci dla kont magazynu zapoznaj się z ważnymi ograniczeniami i zagadnieniami omówionymi w tej sekcji.

  • Reguły zapory usługi Azure Storage dotyczą tylko operacji płaszczyzny danych. Operacje płaszczyzny sterowania nie podlegają ograniczeniom określonym w regułach zapory.
  • Przejrzyj ograniczenia dotyczące reguł sieci ip.
  • Aby uzyskać dostęp do danych przy użyciu narzędzi, takich jak witryna Azure Portal, Eksplorator usługi Azure Storage i narzędzie AzCopy, musisz znajdować się na maszynie w ramach zaufanej granicy ustanowionej podczas konfigurowania reguł zabezpieczeń sieci.
  • Reguły sieci są wymuszane na wszystkich protokołach sieciowych dla usługi Azure Storage, w tym rest i SMB.
  • Reguły sieciowe nie wpływają na ruch dyskowy maszyny wirtualnej, w tym operacje instalacji i odinstalowywanie operacji oraz we/wy dysku, ale pomagają chronić dostęp REST do stronicowych obiektów blob.
  • Dyski niezarządzane można używać na kontach magazynu z regułami sieci stosowanymi do tworzenia kopii zapasowych i przywracania maszyn wirtualnych, tworząc wyjątek. Wyjątki zapory nie mają zastosowania do dysków zarządzanych, ponieważ platforma Azure już nimi zarządza.
  • Klasyczne konta magazynu nie obsługują zapór i sieci wirtualnych.
  • Jeśli usuniesz podsieć zawartą w regule sieci wirtualnej, zostanie ona usunięta z reguł sieci dla konta magazynu. Jeśli utworzysz nową podsieć o tej samej nazwie, nie będzie ona miała dostępu do konta magazynu. Aby zezwolić na dostęp, musisz jawnie autoryzować nową podsieć w regułach sieci dla konta magazynu.
  • W przypadku odwoływania się do punktu końcowego usługi w aplikacji klienckiej zaleca się unikanie zależności od buforowanego adresu IP. Adres IP konta magazynu może ulec zmianie, a poleganie na buforowanym adresie IP może spowodować nieoczekiwane zachowanie. Ponadto zaleca się honorowanie czasu wygaśnięcia (TTL) rekordu DNS i unikanie zastępowania go. Zastąpienie czasu wygaśnięcia DNS może spowodować nieoczekiwane zachowanie.
  • Zgodnie z projektem dostęp do konta magazynu z zaufanych usług ma pierwszeństwo przed innymi ograniczeniami dostępu do sieci. Jeśli ustawisz opcję Dostęp do sieci publicznej na Wyłączone po wcześniejszym ustawieniu go na Włączone z wybranych sieci wirtualnych i adresów IP, wszystkie wystąpienia zasobów i wyjątki , które zostały wcześniej skonfigurowane, w tym Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu, pozostaną w mocy. W związku z tym te zasoby i usługi mogą nadal mieć dostęp do konta magazynu.

Autoryzacja

Klienci, którym udzielono dostępu za pośrednictwem reguł sieci, muszą nadal spełniać wymagania autoryzacji konta magazynu w celu uzyskania dostępu do danych. Autoryzacja jest obsługiwana przy użyciu poświadczeń entra firmy Microsoft dla obiektów blob i kolejek, z prawidłowym kluczem dostępu do konta lub tokenem sygnatury dostępu współdzielonego (SAS).

Podczas konfigurowania kontenera obiektów blob na potrzeby anonimowego dostępu publicznego żądania odczytu danych w tym kontenerze nie muszą być autoryzowane, ale reguły zapory pozostaną w mocy i zablokują ruch anonimowy.

Zmienianie domyślnej reguły dostępu do sieci

Domyślnie konta magazynu akceptują połączenia od klientów w dowolnej sieci. Możesz ograniczyć dostęp do wybranych sieci lub uniemożliwić ruch ze wszystkich sieci i zezwolić na dostęp tylko za pośrednictwem prywatnego punktu końcowego.

Należy ustawić regułę domyślną na odmowę lub reguły sieciowe nie mają wpływu. Jednak zmiana tego ustawienia może mieć wpływ na możliwość łączenia aplikacji z usługą Azure Storage. Przed zmianą tego ustawienia pamiętaj, aby udzielić dostępu do dowolnych dozwolonych sieci lub skonfigurować dostęp za pośrednictwem prywatnego punktu końcowego.

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

  1. Przejdź do konta magazynu, które chcesz zabezpieczyć.

  2. W menu usługi w obszarze Zabezpieczenia i sieć wybierz pozycję Sieć.

  3. Wybierz, jaki dostęp sieciowy jest włączony za pośrednictwem publicznego punktu końcowego konta magazynu:

    • Wybierz pozycję Włączone ze wszystkich sieci lub Włączone z wybranych sieci wirtualnych i adresów IP. Jeśli wybierzesz drugą opcję, zostanie wyświetlony monit o dodanie sieci wirtualnych i zakresów adresów IP.

    • Aby ograniczyć dostęp przychodzący podczas zezwalania na dostęp wychodzący, wybierz pozycję Wyłączone.

  4. Wybierz pozycję Zapisz, aby zastosować zmiany.

Udzielanie dostępu z sieci wirtualnej

Konta magazynu można skonfigurować tak, aby zezwalały na dostęp tylko z określonych podsieci. Dozwolone podsieci mogą należeć do sieci wirtualnej w tej samej subskrypcji lub innej subskrypcji, w tym do innej dzierżawy firmy Microsoft Entra. W przypadku punktów końcowych usługi między regionami dozwolone podsieci mogą również znajdować się w różnych regionach niż konto magazynu.

Punkt końcowy usługi dla usługi Azure Storage można włączyć w sieci wirtualnej. Punkt końcowy usługi kieruje ruch z sieci wirtualnej przez optymalną ścieżkę do usługi Azure Storage. Tożsamości podsieci i sieci wirtualnej są również przesyłane z każdym żądaniem. Administratorzy mogą następnie skonfigurować reguły sieci dla konta magazynu, które zezwalają na odbieranie żądań z określonych podsieci w sieci wirtualnej. Klienci, którym udzielono dostępu za pośrednictwem tych reguł sieciowych, muszą nadal spełniać wymagania autoryzacji konta magazynu w celu uzyskania dostępu do danych.

Każde konto magazynu obsługuje maksymalnie 400 reguł sieci wirtualnej. Te reguły można połączyć z regułami sieci ip.

Ważne

W przypadku odwoływania się do punktu końcowego usługi w aplikacji klienckiej zaleca się unikanie zależności od buforowanego adresu IP. Adres IP konta magazynu może ulec zmianie, a poleganie na buforowanym adresie IP może spowodować nieoczekiwane zachowanie.

Ponadto zaleca się honorowanie czasu wygaśnięcia (TTL) rekordu DNS i unikanie zastępowania go. Zastąpienie czasu wygaśnięcia DNS może spowodować nieoczekiwane zachowanie.

Wymagane uprawnienia

Aby zastosować regułę sieci wirtualnej do konta magazynu, użytkownik musi mieć odpowiednie uprawnienia dla dodawanych podsieci. Współautor konta magazynu lub użytkownik mający uprawnienia do Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action operacji dostawcy zasobów platformy Azure może zastosować regułę przy użyciu niestandardowej roli platformy Azure.

Konto magazynu i sieci wirtualne, które uzyskują dostęp, mogą znajdować się w różnych subskrypcjach, w tym subskrypcjach należących do innej dzierżawy firmy Microsoft Entra.

Konfiguracja reguł, które udzielają dostępu do podsieci w sieciach wirtualnych, które są częścią innej dzierżawy firmy Microsoft Entra, są obecnie obsługiwane tylko za pośrednictwem programu PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsów API REST. Nie można skonfigurować takich reguł za pośrednictwem witryny Azure Portal, ale można je wyświetlić w portalu.

Punkty końcowe usługi Azure Storage między regionami

Punkty końcowe usługi między regionami dla usługi Azure Storage stały się ogólnie dostępne w kwietniu 2023 r. Działają one między sieciami wirtualnymi i wystąpieniami usługi magazynu w dowolnym regionie. W przypadku punktów końcowych usługi między regionami podsieci nie używają już publicznego adresu IP do komunikowania się z żadnym kontem magazynu, w tym z tymi w innym regionie. Zamiast tego cały ruch z podsieci do kont magazynu używa prywatnego adresu IP jako źródłowego adresu IP. W związku z tym wszystkie konta magazynu korzystające z reguł sieci IP zezwalają na ruch z tych podsieci, nie mają już wpływu.

Konfigurowanie punktów końcowych usługi między sieciami wirtualnymi i wystąpieniami usług w sparowanym regionie może być ważną częścią planu odzyskiwania po awarii. Punkty końcowe usługi umożliwiają ciągłość pracy w trybie failover w regionie i dostęp do wystąpień magazynu geograficznie nadmiarowego tylko do odczytu (RA-GRS). Reguły sieci, które udzielają dostępu z sieci wirtualnej do konta magazynu, również udzielają dostępu do dowolnego wystąpienia RA-GRS.

Jeśli planujesz odzyskiwanie po awarii podczas awarii regionalnej, utwórz sieci wirtualne w sparowanym regionie z wyprzedzeniem. Włącz punkty końcowe usługi dla usługi Azure Storage, a reguły sieci udzielają dostępu z tych alternatywnych sieci wirtualnych. Następnie zastosuj te reguły do kont magazynu geograficznie nadmiarowego.

Punkty końcowe usługi lokalnej i między regionami nie mogą współistnieć w tej samej podsieci. Aby zamienić istniejące punkty końcowe usługi na punkty końcowe między regionami, usuń istniejące Microsoft.Storage punkty końcowe i utwórz je ponownie jako punkty końcowe między regionami (Microsoft.Storage.Global).

Zarządzanie siecią wirtualną i regułami dostępu

Reguły dostępu i sieci wirtualnej dla kont magazynu można zarządzać za pośrednictwem witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure w wersji 2.

Jeśli chcesz włączyć dostęp do konta magazynu z sieci wirtualnej lub podsieci w innej dzierżawie firmy Microsoft Entra, musisz użyć programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Witryna Azure Portal nie wyświetla podsieci w innych dzierżawach firmy Microsoft Entra.

  1. Przejdź do konta magazynu, dla którego chcesz skonfigurować sieć wirtualną i reguły dostępu.

  2. W menu usługi w obszarze Zabezpieczenia i sieć wybierz pozycję Sieć.

  3. Sprawdź, czy wybrano opcję włączenia dostępu do sieci publicznej z wybranych sieci wirtualnych i adresów IP.

  4. Aby udzielić dostępu do sieci wirtualnej przy użyciu nowej reguły sieci, w obszarze Sieci wirtualne wybierz pozycję Dodaj istniejącą sieć wirtualną. Wybierz opcje Sieci wirtualne i podsieci, a następnie wybierz pozycję Dodaj. Aby utworzyć nową sieć wirtualną i przyznać jej dostęp, wybierz pozycję Dodaj nową sieć wirtualną. Podaj niezbędne informacje, aby utworzyć nową sieć wirtualną, a następnie wybierz pozycję Utwórz. Obecnie podczas tworzenia reguły są wyświetlane tylko sieci wirtualne należące do tej samej dzierżawy firmy Microsoft Entra. Aby udzielić dostępu do podsieci w sieci wirtualnej należącej do innej dzierżawy, użyj programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

  5. Aby usunąć regułę sieci wirtualnej lub podsieci, wybierz wielokropek (...), aby otworzyć menu kontekstowe dla sieci wirtualnej lub podsieci, a następnie wybierz pozycję Usuń.

  6. Wybierz pozycję Zapisz, aby zastosować zmiany.

Ważne

Usunięcie podsieci uwzględnionej w regule sieciowej spowoduje usunięcie jej z reguł sieci dla konta magazynu. Jeśli utworzysz nową podsieć o tej samej nazwie, nie będzie ona miała dostępu do konta magazynu. Aby zezwolić na dostęp, musisz jawnie autoryzować nową podsieć w regułach sieci dla konta magazynu.

Udzielanie dostępu z zakresu internetowych adresów IP

Reguły sieci IP umożliwiają dostęp z określonych zakresów publicznych adresów IP, tworząc reguły sieci IP. Każde konto magazynu obsługuje maksymalnie 400 reguł. Te reguły zapewniają dostęp do określonych usług internetowych i sieci lokalnych oraz blokują ogólny ruch internetowy.

Ograniczenia dotyczące reguł sieci ip

Następujące ograniczenia dotyczą zakresów adresów IP:

  • Reguły sieci IP są dozwolone tylko dla publicznych internetowych adresów IP.

    Zakresy adresów IP zarezerwowane dla sieci prywatnych (zgodnie z definicją w dokumencie RFC 1918) nie są dozwolone w regułach adresów IP. Sieci prywatne obejmują adresy rozpoczynające się od 10, 172.16 do 172.31 i 192.168.

  • Należy podać dozwolone zakresy adresów internetowych przy użyciu notacji CIDR w postaci 16.17.18.0/24 lub jako pojedyncze adresy IP, takie jak 16.17.18.19.

  • Małe zakresy adresów używające /31 lub /32 rozmiarów prefiksów nie są obsługiwane. Skonfiguruj te zakresy przy użyciu poszczególnych reguł adresów IP.

  • Tylko adresy IPv4 są obsługiwane w przypadku konfiguracji reguł zapory magazynu.

Ważne

W następujących przypadkach nie można używać reguł sieci ip:

  • Aby ograniczyć dostęp do klientów w tym samym regionie świadczenia usługi Azure co konto magazynu. Reguły sieci IP nie mają wpływu na żądania pochodzące z tego samego regionu świadczenia usługi Azure co konto magazynu. Użyj reguł sieci wirtualnej, aby zezwolić na żądania w tym samym regionie.
  • Aby ograniczyć dostęp do klientów w sparowanym regionie , które znajdują się w sieci wirtualnej, która ma punkt końcowy usługi.
  • Aby ograniczyć dostęp do usług platformy Azure wdrożonych w tym samym regionie co konto magazynu. Usługi wdrożone w tym samym regionie co konto magazynu używają prywatnych adresów IP platformy Azure do komunikacji. Dlatego nie można ograniczyć dostępu do określonych usług platformy Azure na podstawie ich publicznego zakresu adresów IP ruchu wychodzącego.

Konfigurowanie dostępu z sieci lokalnych

Aby udzielić dostępu z sieci lokalnych do konta magazynu przy użyciu reguły sieci IP, należy zidentyfikować adresy IP używane przez Sieć internetową. Skontaktuj się z administratorem sieci, aby uzyskać pomoc.

Jeśli używasz usługi Azure ExpressRoute ze środowiska lokalnego, musisz zidentyfikować adresy IP translatora adresów sieciowych używane na potrzeby komunikacji równorzędnej firmy Microsoft. Dostawca usług lub klient udostępnia adresy IP translatora adresów sieciowych.

Aby zezwolić na dostęp do zasobów usługi, należy zezwolić na te publiczne adresy IP w ustawieniu zapory dla adresów IP zasobów.

Zarządzanie regułami sieci IP

Reguły sieci ip dla kont magazynu można zarządzać za pośrednictwem witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure w wersji 2.

  1. Przejdź do konta magazynu, dla którego chcesz zarządzać regułami sieci IP.

  2. W menu usługi w obszarze Zabezpieczenia i sieć wybierz pozycję Sieć.

  3. Sprawdź, czy wybrano opcję włączenia dostępu do sieci publicznej z wybranych sieci wirtualnych i adresów IP.

  4. Aby udzielić dostępu do zakresu internetowych adresów IP, wprowadź adres IP lub zakres adresów (w formacie CIDR) w obszarze Zakres adresów zapory>.

  5. Aby usunąć regułę sieci IP, wybierz ikonę usuwania ( ) obok zakresu adresów.

  6. Wybierz pozycję Zapisz, aby zastosować zmiany.

Udzielanie dostępu z wystąpień zasobów platformy Azure

W niektórych przypadkach aplikacja może zależeć od zasobów platformy Azure, których nie można odizolować za pośrednictwem sieci wirtualnej lub reguły adresu IP. Nadal jednak chcesz zabezpieczyć i ograniczyć dostęp konta magazynu tylko do zasobów platformy Azure aplikacji. Możesz skonfigurować konta magazynu, aby zezwolić na dostęp do określonych wystąpień zasobów zaufanych usług platformy Azure, tworząc regułę wystąpienia zasobu.

Przypisania ról platformy Azure wystąpienia zasobu określają typy operacji, które wystąpienie zasobu może wykonywać na danych konta magazynu. Wystąpienia zasobów muszą należeć do tej samej dzierżawy co konto magazynu, ale mogą należeć do dowolnej subskrypcji w dzierżawie.

Reguły sieci zasobów można dodawać lub usuwać w witrynie Azure Portal:

  1. Zaloguj się w witrynie Azure Portal.

  2. Znajdź konto magazynu i wyświetl omówienie konta.

  3. W menu usługi w obszarze Zabezpieczenia i sieć wybierz pozycję Sieć.

  4. Sprawdź, czy wybrano opcję włączenia dostępu do sieci publicznej z wybranych sieci wirtualnych i adresów IP.

  5. Przewiń w dół, aby znaleźć wystąpienia zasobów. Z listy rozwijanej Typ zasobu wybierz typ zasobu wystąpienia zasobu.

  6. Z listy rozwijanej Nazwa wystąpienia wybierz wystąpienie zasobu. Możesz również uwzględnić wszystkie wystąpienia zasobów w bieżącej dzierżawie, subskrypcji lub grupie zasobów.

  7. Wybierz pozycję Zapisz, aby zastosować zmiany. Wystąpienie zasobu jest wyświetlane w sekcji Wystąpienia zasobów strony ustawień sieciowych.

Aby usunąć wystąpienie zasobu, wybierz ikonę usuwania ( ) obok wystąpienia zasobu.

Udzielanie dostępu do zaufanych usług platformy Azure

Niektóre usługi platformy Azure działają z sieci, których nie można uwzględnić w regułach sieci. Przy zachowaniu reguł sieci dla innych aplikacji można udzielić podzestawu takich zaufanych usług platformy Azure. Te zaufane usługi będą następnie używać silnego uwierzytelniania w celu nawiązania połączenia z kontem magazynu.

Dostęp do zaufanych usług platformy Azure można udzielić, tworząc wyjątek reguły sieci. Sekcja Zarządzanie wyjątkami w tym artykule zawiera szczegółowe wskazówki.

Zaufany dostęp do zasobów zarejestrowanych w dzierżawie usługi Microsoft Entra

Zasoby niektórych usług mogą uzyskiwać dostęp do konta magazynu dla wybranych operacji, takich jak zapisywanie dzienników lub uruchamianie kopii zapasowych. Te usługi muszą być zarejestrowane w subskrypcji, która znajduje się w tej samej dzierżawie firmy Microsoft co konto magazynu. W poniższej tabeli opisano każdą usługę i dozwolone operacje.

Usługa Nazwa dostawcy zasobów Dozwolone operacje
Azure Backup Microsoft.RecoveryServices Uruchamianie kopii zapasowych i przywracania dysków niezarządzanych na maszynach wirtualnych infrastruktury jako usługi (IaaS) (nie jest to wymagane w przypadku dysków zarządzanych). Dowiedz się więcej.
Azure Data Box Microsoft.DataBox Importowanie danych na platformę Azure. Dowiedz się więcej.
Azure DevTest Labs Microsoft.DevTestLab Tworzenie niestandardowych obrazów i instalowanie artefaktów. Dowiedz się więcej.
Azure Event Grid Microsoft.EventGrid Włącz publikowanie zdarzeń usługi Azure Blob Storage i zezwalaj na publikowanie w kolejkach magazynu.
Azure Event Hubs Microsoft.EventHub Archiwizowanie danych przy użyciu funkcji przechwytywania usługi Event Hubs. Dowiedz się więcej.
Azure File Sync Microsoft.StorageSync Przekształć lokalny serwer plików w pamięć podręczną udziałów plików platformy Azure. Ta funkcja umożliwia synchronizację wielu lokacji, szybkie odzyskiwanie po awarii i tworzenie kopii zapasowych po stronie chmury. Dowiedz się więcej.
Azure HDInsight Microsoft.HDInsight Aprowizuj początkową zawartość domyślnego systemu plików dla nowego klastra usługi HDInsight. Dowiedz się więcej.
Usługa Azure Import/Export Microsoft.ImportExport Zaimportuj dane do usługi Azure Storage lub wyeksportuj dane z usługi Azure Storage. Dowiedz się więcej.
Azure Monitor Microsoft.Insights Zapisuj dane monitorowania na zabezpieczonym koncie magazynu, w tym dzienniki zasobów, dane Ochrona punktu końcowego w usłudze Microsoft Defender, dzienniki logowania i inspekcji firmy Microsoft Entra oraz dzienniki usługi Microsoft Intune. Dowiedz się więcej.
Usługi sieciowe platformy Azure Microsoft.Network Przechowywanie i analizowanie dzienników ruchu sieciowego, w tym za pośrednictwem usług Azure Network Watcher i Azure Traffic Manager. Dowiedz się więcej.
Azure Site Recovery Microsoft.SiteRecovery Włącz replikację na potrzeby odzyskiwania po awarii maszyn wirtualnych IaaS platformy Azure, gdy używasz pamięci podręcznej z włączoną zaporą, źródłowych lub docelowych kont magazynu. Dowiedz się więcej.

Zaufany dostęp na podstawie tożsamości zarządzanej

W poniższej tabeli wymieniono usługi, które mogą uzyskiwać dostęp do danych konta magazynu, jeśli wystąpienia zasobów tych usług mają odpowiednie uprawnienia.

Usługa Nazwa dostawcy zasobów Purpose
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats Umożliwia dostęp do kont magazynu.
Usługa Azure API Management Microsoft.ApiManagement/service Umożliwia dostęp do kont magazynu za zaporami za pośrednictwem zasad. Dowiedz się więcej.
Systemy autonomiczne firmy Microsoft Microsoft.AutonomousSystems/workspaces Umożliwia dostęp do kont magazynu.
Azure Cache for Redis Microsoft.Cache/Redis Umożliwia dostęp do kont magazynu. Dowiedz się więcej.
Wyszukiwanie AI platformy Azure Microsoft.Search/searchServices Umożliwia dostęp do kont magazynu na potrzeby indeksowania, przetwarzania i wykonywania zapytań.
Usługi platformy Azure AI Microsoft.CognitiveService/accounts Umożliwia dostęp do kont magazynu. Dowiedz się więcej.
Azure Container Registry Microsoft.ContainerRegistry/registries Za pośrednictwem zestawu funkcji usługi ACR Tasks umożliwia dostęp do kont magazynu podczas tworzenia obrazów kontenerów.
Microsoft Cost Management Microsoft.CostManagementExports Umożliwia eksportowanie do kont magazynu za zaporą. Dowiedz się więcej.
Azure Databricks Microsoft.Databricks/accessConnectors Umożliwia dostęp do kont magazynu.
Azure Data Factory Microsoft.DataFactory/factories Umożliwia dostęp do kont magazynu za pośrednictwem środowiska uruchomieniowego usługi Data Factory.
Magazyn kopii zapasowych Azure Microsoft.DataProtection/BackupVaults Umożliwia dostęp do kont magazynu.
Azure Data Share Microsoft.DataShare/accounts Umożliwia dostęp do kont magazynu.
Azure Database for PostgreSQL Microsoft.DBForPostgreSQL Umożliwia dostęp do kont magazynu.
Azure IoT Hub Microsoft.Devices/IotHubs Umożliwia zapisywanie danych z centrum IoT w usłudze Blob Storage. Dowiedz się więcej.
Azure DevTest Labs Microsoft.DevTestLab/labs Umożliwia dostęp do kont magazynu.
Azure Event Grid Microsoft.EventGrid/domains Umożliwia dostęp do kont magazynu.
Azure Event Grid Microsoft.EventGrid/partnerTopics Umożliwia dostęp do kont magazynu.
Azure Event Grid Microsoft.EventGrid/systemTopics Umożliwia dostęp do kont magazynu.
Azure Event Grid Microsoft.EventGrid/topics Umożliwia dostęp do kont magazynu.
Microsoft Fabric Microsoft.Fabric Umożliwia dostęp do kont magazynu.
Azure Healthcare APIs Microsoft.HealthcareApis/services Umożliwia dostęp do kont magazynu.
Azure Healthcare APIs Microsoft.HealthcareApis/workspaces Umożliwia dostęp do kont magazynu.
Azure IoT Central Microsoft.IoTCentral/IoTApps Umożliwia dostęp do kont magazynu.
Zarządzany moduł HSM usługi Azure Key Vault Microsoft.keyvault/managedHSMs Umożliwia dostęp do kont magazynu.
Azure Logic Apps Microsoft.Logic/integrationAccounts Umożliwia aplikacjom logiki dostęp do kont magazynu. Dowiedz się więcej.
Azure Logic Apps Microsoft.Logic/workflows Umożliwia aplikacjom logiki dostęp do kont magazynu. Dowiedz się więcej.
Azure Machine Learning Studio Microsoft.MachineLearning/registries Umożliwia autoryzowanym obszarom roboczym usługi Azure Machine Learning zapisywanie danych wyjściowych eksperymentów, modeli i dzienników w usłudze Blob Storage oraz odczytywanie danych. Dowiedz się więcej.
Azure Machine Learning Microsoft.MachineLearningServices Umożliwia autoryzowanym obszarom roboczym usługi Azure Machine Learning zapisywanie danych wyjściowych eksperymentów, modeli i dzienników w usłudze Blob Storage oraz odczytywanie danych. Dowiedz się więcej.
Azure Machine Learning Microsoft.MachineLearningServices/workspaces Umożliwia autoryzowanym obszarom roboczym usługi Azure Machine Learning zapisywanie danych wyjściowych eksperymentów, modeli i dzienników w usłudze Blob Storage oraz odczytywanie danych. Dowiedz się więcej.
Azure Media Services Microsoft.Media/mediaservices Umożliwia dostęp do kont magazynu.
Azure Migrate Microsoft.Migrate/migrateprojects Umożliwia dostęp do kont magazynu.
Azure Spatial Anchors Microsoft.MixedReality/remoteRenderingAccounts Umożliwia dostęp do kont magazynu.
Azure ExpressRoute Microsoft.Network/expressRoutePorts Umożliwia dostęp do kont magazynu.
Microsoft Power Platform Microsoft.PowerPlatform/enterprisePolicies Umożliwia dostęp do kont magazynu.
Microsoft Project Arcadia Microsoft.ProjectArcadia/workspaces Umożliwia dostęp do kont magazynu.
Azure Data Catalog Microsoft.ProjectBabylon/accounts Umożliwia dostęp do kont magazynu.
Microsoft Purview Microsoft.Purview/accounts Umożliwia dostęp do kont magazynu.
Azure Site Recovery Microsoft.RecoveryServices/vaults Umożliwia dostęp do kont magazynu.
Security Center Microsoft.Security/dataScanners Umożliwia dostęp do kont magazynu.
Osobliwość Microsoft.Singularity/accounts Umożliwia dostęp do kont magazynu.
Azure SQL Database Microsoft.Sql Umożliwia zapisywanie danych inspekcji na kontach magazynu za zaporą.
Serwery Azure SQL Server Microsoft.Sql/servers Umożliwia zapisywanie danych inspekcji na kontach magazynu za zaporą.
Azure Synapse Analytics Microsoft.Sql Umożliwia importowanie i eksportowanie danych z określonych baz danych SQL za pośrednictwem COPY instrukcji lub technologii PolyBase (w dedykowanej puli) lub openrowset funkcji i tabel zewnętrznych w puli bezserwerowej. Dowiedz się więcej.
Azure Stream Analytics Microsoft.StreamAnalytics Umożliwia zapisywanie danych z zadania przesyłania strumieniowego do usługi Blob Storage. Dowiedz się więcej.
Azure Stream Analytics Microsoft.StreamAnalytics/streamingjobs Umożliwia zapisywanie danych z zadania przesyłania strumieniowego do usługi Blob Storage. Dowiedz się więcej.
Azure Synapse Analytics Microsoft.Synapse/workspaces Umożliwia dostęp do danych w usłudze Azure Storage.
Azure Video Indexer Microsoft.VideoIndexer/Accounts Umożliwia dostęp do kont magazynu.

Jeśli twoje konto nie ma włączonej funkcji hierarchicznej przestrzeni nazw, możesz udzielić uprawnień, jawnie przypisując rolę platformy Azure do tożsamości zarządzanej dla każdego wystąpienia zasobu. W takim przypadku zakres dostępu dla wystąpienia odpowiada roli platformy Azure przypisanej do tożsamości zarządzanej.

Możesz użyć tej samej techniki dla konta, które ma włączoną funkcję hierarchicznej przestrzeni nazw. Nie musisz jednak przypisywać roli platformy Azure, jeśli dodasz tożsamość zarządzaną do listy kontroli dostępu (ACL) dowolnego katalogu lub obiektu blob, który zawiera konto magazynu. W takim przypadku zakres dostępu dla wystąpienia odpowiada katalogowi lub plikowi, do którego ma dostęp tożsamość zarządzana.

Możesz również połączyć role platformy Azure i listy ACL w celu udzielenia dostępu. Aby dowiedzieć się więcej, zobacz Model kontroli dostępu w usłudze Azure Data Lake Storage.

Zalecamy używanie reguł wystąpień zasobów w celu udzielenia dostępu do określonych zasobów.

Zarządzanie wyjątkami

W niektórych przypadkach, takich jak analiza magazynu, dostęp do odczytu dzienników zasobów i metryk jest wymagany spoza granicy sieci. Podczas konfigurowania zaufanych usług w celu uzyskania dostępu do konta magazynu można zezwolić na dostęp do odczytu dla plików dziennika, tabel metryk lub obu tych usług, tworząc wyjątek reguły sieciowej. Wyjątki reguł sieci można zarządzać za pomocą witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure w wersji 2.

Aby dowiedzieć się więcej na temat pracy z analizą magazynu, zobacz Używanie analizy usługi Azure Storage do zbierania dzienników i danych metryk.

  1. Przejdź do konta magazynu, dla którego chcesz zarządzać wyjątkami.

  2. W menu usługi w obszarze Zabezpieczenia i sieć wybierz pozycję Sieć.

  3. Sprawdź, czy wybrano opcję włączenia dostępu do sieci publicznej z wybranych sieci wirtualnych i adresów IP.

  4. W obszarze Wyjątki wybierz wyjątki, które chcesz udzielić.

  5. Wybierz pozycję Zapisz, aby zastosować zmiany.

Następne kroki