Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Storage zapewnia warstwowy model zabezpieczeń. Ten model umożliwia kontrolę poziomu dostępu do kont magazynowania używanych przez aplikacje i środowiska przedsiębiorstw na podstawie typu i podzbioru używanych sieci lub zasobów.
Podczas konfigurowania reguł sieci tylko aplikacje żądające danych za pośrednictwem określonego zestawu sieci lub za pośrednictwem określonego zestawu zasobów platformy Azure mogą uzyskiwać dostęp do konta magazynu. Dostęp do konta magazynu można ograniczyć do żądań pochodzących z określonych adresów IP, zakresów adresów IP, podsieci w wirtualnej sieci Azure lub instancji zasobów niektórych usług Azure.
Konta magazynowe mają publiczny punkt końcowy dostępny za pośrednictwem internetu. Możesz również utworzyć prywatne punkty końcowe dla konta przechowywania. Tworzenie prywatnych punktów końcowych powoduje przypisanie prywatnego adresu IP z sieci wirtualnej do konta magazynowego. Pomaga zabezpieczyć ruch między siecią wirtualną a kontem magazynowym za pośrednictwem łącza prywatnego.
Zapora usługi Azure Storage umożliwia kontrolę dostępu do publicznego punktu końcowego Twojego konta magazynu. Zapora umożliwia również zablokowanie całego dostępu za pośrednictwem publicznego punktu końcowego podczas korzystania z prywatnych punktów końcowych. Konfiguracja zapory umożliwia również zaufanym usługom platformy Azure dostęp do konta magazynu.
Aplikacja, która uzyskuje dostęp do konta magazynu, gdy reguły sieciowe są w mocy, nadal wymaga odpowiedniej autoryzacji dla żądania. Autoryzacja jest obsługiwana przy użyciu poświadczeń Microsoft Entra dla obiektów blob, tabel, udziałów plików i kolejek, przy użyciu prawidłowego klucza dostępu do konta lub tokenu sygnatury dostępu współdzielonego (SAS). Podczas konfigurowania kontenera obiektów blob na potrzeby dostępu anonimowego żądania odczytu danych w tym kontenerze nie muszą być autoryzowane. Reguły zapory pozostaną w mocy i zablokują ruch anonimowy.
Włączenie reguł zapory dla konta magazynu domyślnie blokuje przychodzące żądania dotyczące danych, chyba że żądania pochodzą z usługi działającej w sieci wirtualnej platformy Azure lub z dozwolonych publicznych adresów IP. Żądania, które są zablokowane, obejmują te z innych usług platformy Azure, z witryny Azure Portal oraz z usług rejestrowania i metryk.
Dostęp do usług platformy Azure działających z poziomu sieci wirtualnej można udzielić, zezwalając na ruch z podsieci hostujących wystąpienie usługi. Można również włączyć ograniczoną liczbę scenariuszy za pomocą mechanizmu wyjątków opisanego w tym artykule. Aby uzyskać dostęp do danych z konta magazynu za pośrednictwem witryny Azure Portal, musisz znajdować się na maszynie w ramach skonfigurowanej zaufanej granicy (adresu IP lub sieci wirtualnej).
Uwaga
Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Scenariusze
Aby zabezpieczyć konto magazynu, należy najpierw domyślnie skonfigurować regułę odmowy dostępu do ruchu ze wszystkich sieci (w tym ruchu internetowego) w publicznym punkcie końcowym. Następnie należy skonfigurować reguły, które udzielają dostępu do ruchu z określonych sieci wirtualnych. Można również skonfigurować reguły udzielania dostępu do ruchu z wybranych zakresów publicznych adresów IP internetowych, umożliwiając połączenia z określonych klientów internetowych lub lokalnych. Ta konfiguracja ułatwia tworzenie bezpiecznej granicy sieci dla aplikacji.
Możesz połączyć reguły zapory, które zezwalają na dostęp z określonych sieci wirtualnych i z zakresów publicznych adresów IP na tym samym koncie magazynu. Reguły zapory magazynu można stosować do istniejących kont magazynu lub podczas tworzenia nowych kont magazynu.
Reguły zapory sieciowej dotyczą publicznego punktu końcowego konta magazynowego. Nie potrzebujesz żadnych reguł dostępu do zapory, aby zezwolić na ruch dla prywatnych punktów końcowych konta pamięci masowej. Proces zatwierdzania tworzenia prywatnego punktu końcowego udziela niejawnego dostępu do ruchu z podsieci, która hostuje prywatny punkt końcowy.
Ważne
Reguły zapory usługi Azure Storage dotyczą tylko operacji płaszczyzny danych. Operacje płaszczyzny sterowania nie podlegają ograniczeniom określonym w regułach zapory.
Niektóre operacje, takie jak operacje kontenera obiektów blob, można wykonywać zarówno za pośrednictwem płaszczyzny sterowania, jak i płaszczyzny danych. Dlatego jeśli spróbujesz wykonać operację, taką jak wyświetlanie listy kontenerów z witryny Azure Portal, operacja powiedzie się, chyba że zostanie ona zablokowana przez inny mechanizm. Próby uzyskania dostępu do danych obiektów blob z aplikacji, takich jak Azure Storage Explorer, są kontrolowane przez ograniczenia zapory.
Aby uzyskać listę operacji płaszczyzny danych, odwiedź Dokumentację interfejsu API REST dla usługi Azure Storage. Aby uzyskać listę operacji płaszczyzny sterowania, odwołaj się do Dokumentacji interfejsu API REST dostawcy zasobów usługi Azure Storage.
Skonfiguruj dostęp sieciowy do usługi Azure Storage
Dostęp do danych w Twoim koncie magazynowym można kontrolować przez punkty końcowe sieci lub przez zaufane usługi czy zasoby, w dowolnej kombinacji, w tym:
- Zezwalaj na dostęp z wybranych podsieci sieci wirtualnej przy użyciu prywatnych punktów końcowych.
- Zezwalaj na dostęp z wybranych podsieci sieci wirtualnej przy użyciu punktów końcowych usługi.
- Zezwalaj na dostęp z określonych publicznych adresów IP lub ich zakresów.
- Zezwól na dostęp z wybranych instancji zasobów Azure.
- Zezwalaj na dostęp z zaufanych usług platformy Azure (przy użyciu opcji Zarządzaj wyjątkami).
- Konfigurowanie wyjątków dla usług rejestrowania i metryk.
Informacje o punktach końcowych sieci wirtualnej
Istnieją dwa typy punktów końcowych sieci wirtualnej dla kont magazynu.
Punkty końcowe usługi sieci wirtualnej są publiczne i dostępne za pośrednictwem Internetu. Zapora Azure Storage umożliwia kontrolowanie dostępu do konta magazynu za pośrednictwem publicznych punktów końcowych. Po włączeniu publicznego dostępu do konta magazynowego, wszystkie przychodzące żądania o dane są domyślnie blokowane. Tylko aplikacje, które żądają danych z dozwolonych źródeł skonfigurowanych w ustawieniach zapory konta magazynu, będą mogły uzyskiwać dostęp do danych. Źródła mogą obejmować źródłowy adres IP lub podsieć sieci wirtualnej klienta albo usługę platformy Azure lub wystąpienie zasobu, za pośrednictwem którego klienci lub usługi uzyskują dostęp do danych. Żądania, które są zablokowane, obejmują te z innych usług platformy Azure, z witryny Azure Portal oraz z usług rejestrowania i metryk, chyba że jawnie zezwolisz na dostęp w konfiguracji zapory.
Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej do uzyskania dostępu do konta magazynu danych za pośrednictwem sieci szkieletowej Microsoft. W przypadku prywatnego punktu końcowego ruch między Twoją siecią wirtualną a kontem magazynowym jest zabezpieczony za pośrednictwem łącza prywatnego. Reguły zapory magazynu dotyczą tylko publicznych punktów końcowych konta magazynu, a nie prywatnych punktów końcowych. Proces zatwierdzania tworzenia prywatnego punktu końcowego udziela niejawnego dostępu do ruchu z podsieci, która hostuje prywatny punkt końcowy. Zasady sieciowe umożliwiają kontrolowanie ruchu za pośrednictwem prywatnych punktów końcowych, jeśli chcesz uściślić reguły dostępu. Jeśli chcesz używać wyłącznie prywatnych punktów końcowych, możesz użyć zapory, aby zablokować cały dostęp za pośrednictwem publicznego punktu końcowego.
Aby ułatwić podjęcie decyzji, kiedy używać każdego typu punktu końcowego w danym środowisku, zobacz Porównanie prywatnych punktów końcowych i punktów końcowych usługi.
Jak podejść do tematu zabezpieczeń sieci dla konta przechowywania
Aby zabezpieczyć konto przechowywania i utworzyć bezpieczną granicę sieciową dla aplikacji:
Zacznij od wyłączenia całego dostępu do sieci publicznej dla konta magazynu w ustawieniach Dostęp do sieci publicznej w zaporze konta magazynu.
Jeśli to możliwe, skonfiguruj prywatne linki do konta magazynu z prywatnych punktów końcowych w podsieciach sieci wirtualnej, w których znajdują się klienci, którzy wymagają dostępu do danych.
Jeśli aplikacje klienckie wymagają dostępu za pośrednictwem publicznych punktów końcowych, zmień ustawienie Dostęp do sieci publicznej na Włączone z wybranych sieci wirtualnych i adresów IP. Następnie, zgodnie z potrzebami:
- Określ podsieci sieci wirtualnej, z których chcesz zezwolić na dostęp.
- Określ zakresy publicznych adresów IP klientów, z których chcesz zezwolić na dostęp, takich jak te w sieciach lokalnych.
- Zezwól na dostęp z określonych instancji zasobów platformy Azure.
- Dodaj wyjątki umożliwiające dostęp z zaufanych usług wymaganych do wykonywania operacji, takich jak tworzenie kopii zapasowych danych.
- Dodaj wyjątki dotyczące rejestrowania i metryk.
Po zastosowaniu reguł sieci są wymuszane dla wszystkich żądań. Tokeny SAS, które udzielają dostępu do określonego adresu IP, służą do ograniczania dostępu właściciela tokenu, ale nie udzielają nowego dostępu poza skonfigurowanymi regułami sieciowymi.
Obwód zabezpieczeń sieci (wersja zapoznawcza)
Obwód zabezpieczeń sieci (wersja zapoznawcza) umożliwia organizacjom zdefiniowanie granicy izolacji sieci logicznej dla zasobów PaaS (na przykład usługi Azure Blob Storage i usługi SQL Database), które są wdrażane poza sieciami wirtualnymi. Funkcja ogranicza dostęp do sieci publicznej do zasobów PaaS poza obwodem. Można jednak wykluczyć dostęp przy użyciu jawnych reguł dostępu dla publicznego ruchu przychodzącego i wychodzącego. Zgodnie z projektem dostęp do konta magazynu z poziomu obwodu zabezpieczeń sieci ma najwyższy priorytet przed innymi ograniczeniami dostępu do sieci.
Obecnie obwód zabezpieczeń sieci jest w publicznej wersji zapoznawczej dla usług Azure Blob Storage, Azure Files (REST), Azure Tables i Azure Queues. Zobacz Przejście do perymetru zabezpieczeń sieci.
Listę usług, które zostały dołączone do obwodu zabezpieczeń sieci, można znaleźć tutaj.
W przypadku usług, które nie znajdują się na tej liście, ponieważ nie zostały jeszcze dołączone do obwodu zabezpieczeń sieci, jeśli chcesz zezwolić na dostęp, możesz użyć reguły opartej na subskrypcji na obwodzie zabezpieczeń sieci. Wszystkim zasobom w ramach tej subskrypcji zostanie przyznany dostęp do tego obwodu zabezpieczeń sieci. Aby uzyskać więcej informacji na temat dodawania reguły dostępu opartej na subskrypcji, zobacz tutaj.
Ważne
Ruch prywatnego punktu końcowego jest uważany za wysoce bezpieczny i dlatego nie podlega regułom obwodowym zabezpieczeń sieci. Cały pozostały ruch, w tym zaufane usługi, będzie podlegał regułom bezpieczeństwa sieciowego, jeśli konto magazynu jest skojarzone z perymetrem.
Ograniczenia
Ta wersja zapoznawcza nie obsługuje następujących usług, operacji i protokołów na koncie magazynowym:
Replikacja obiektów dla usługi Azure Blob Storage
Zarządzanie cyklem życia usługi Azure Blob Storage
Protokół SSH File Transfer Protocol (SFTP) za pośrednictwem usługi Azure Blob Storage
Protokół sieciowego systemu plików (NFS) z usługami Azure Blob Storage i Azure Files.
Protokół bloku komunikatów serwera (SMB) z usługą Azure Files można osiągnąć tylko za pośrednictwem listy dozwolonych adresów IP w tej chwili.
Kopie zapasowe w trybie zabezpieczonym dla usługi Azure Blob Storage
Zalecamy, aby nie włączać obwodu zabezpieczeń sieci, jeśli musisz użyć dowolnego z tych usług, operacji lub protokołów. Ma to na celu zapobieganie potencjalnej utracie danych lub ryzyku eksfiltracji danych.
Ostrzeżenie
W przypadku kont magazynu skojarzonych z obwodem zabezpieczeń sieci, aby scenariusze kluczy zarządzanych przez klienta działały, upewnij się, że usługa Azure Key Vault jest dostępna z poziomu obwodu, z którym zostało skojarzone konto magazynu.
Powiąż perymetr bezpieczeństwa sieciowego z kontem magazynu danych
Aby skojarzyć obwód zabezpieczeń sieci z kontem magazynu, postępuj zgodnie z tymi typowymi instrukcjami dotyczącymi wszystkich zasobów PaaS.
Ograniczenia i zagadnienia
Przed zaimplementowaniem zabezpieczeń sieci dla kont przechowywania zapoznaj się z ważnymi ograniczeniami i zagadnieniami omówione w tej sekcji.
- Reguły zapory usługi Azure Storage dotyczą tylko operacji na płaszczyźnie danych. Operacje płaszczyzny sterowania nie podlegają ograniczeniom określonym w regułach zapory.
- Przejrzyj ograniczenia dotyczące reguł sieci ip.
- Aby uzyskać dostęp do danych przy użyciu narzędzi, takich jak witryna Azure Portal, Eksplorator usługi Azure Storage i narzędzie AzCopy, musisz znajdować się na maszynie w ramach zaufanej granicy ustanowionej podczas konfigurowania reguł zabezpieczeń sieci.
- Reguły sieci są wymuszane na wszystkich protokołach sieciowych dla usługi Azure Storage, w tym REST i SMB.
- Reguły sieciowe nie wpływają na ruch dyskowy maszyny wirtualnej, w tym operacje montowania i demontowania oraz operacje wejścia/wyjścia dysku, ale pomagają chronić dostęp REST do obiektów blob strony.
- Dyski niezarządzane można używać na kontach magazynu z zastosowanymi regułami sieci, aby tworzyć kopie zapasowe i przywracać maszyny wirtualne, tworząc wyjątek. Wyjątki zapory nie mają zastosowania do dysków zarządzanych, ponieważ platforma Azure już nimi zarządza.
- Klasyczne konta magazynowe nie obsługują zapór i sieci wirtualnych.
- Jeśli usuniesz podsieć zawartą w regule sieci wirtualnej, zostanie ona usunięta z reguł sieci dla konta przechowywania. Jeśli utworzysz nową podsieć o tej samej nazwie, nie będzie ona miała dostępu do konta przechowywania danych. Aby zezwolić na dostęp, musisz jawnie autoryzować nową podsieć w regułach sieci dla konta magazynowego.
- W przypadku odwoływania się do punktu końcowego usługi w aplikacji klienckiej zaleca się unikanie zależności od buforowanego adresu IP. Adres IP konta magazynowego może ulec zmianie, a poleganie na adresie IP zapisanym w pamięci podręcznej może spowodować nieoczekiwane zachowanie. Ponadto zaleca się honorowanie czasu wygaśnięcia (TTL) rekordu DNS i unikanie zastępowania go. Nadpisanie wartości TTL DNS może spowodować nieoczekiwane zachowanie.
- Zgodnie z projektem dostęp do konta magazynowego z zaufanych usług ma pierwszeństwo przed innymi ograniczeniami dostępu do sieci. Jeśli ustawisz opcję Dostęp do sieci publicznej na Wyłączone po wcześniejszym ustawieniu go na Włączone z wybranych sieci wirtualnych i adresów IP, wszystkie wystąpienia zasobów i wyjątki, które zostały wcześniej skonfigurowane, w tym Zezwolenie usługom Azure na liście zaufanych usług na dostęp do tego konta magazynu, pozostaną w mocy. W związku z tym te zasoby i usługi mogą nadal mieć dostęp do konta magazynu.
Autoryzacja
Klienci, którym udzielono dostępu za pośrednictwem reguł sieci, muszą nadal spełniać wymagania autoryzacji konta magazynu w celu uzyskania dostępu do danych. Autoryzacja jest obsługiwana przy użyciu poświadczeń Microsoft Entra dla obiektów blob i kolejek, z prawidłowym kluczem dostępu do konta lub tokenem sygnatury dostępu współdzielonego (SAS).
Podczas konfigurowania kontenera obiektów blob na potrzeby anonimowego dostępu publicznego żądania odczytu danych w tym kontenerze nie muszą być autoryzowane, ale reguły zapory pozostaną w mocy i zablokują ruch anonimowy.
Zmienianie domyślnej reguły dostępu do sieci
Domyślnie konto magazynu akceptuje połączenia od klientów z dowolnej sieci. Możesz ograniczyć dostęp do wybranych sieci lub uniemożliwić ruch ze wszystkich sieci i zezwolić na dostęp tylko za pośrednictwem prywatnego punktu końcowego.
Należy ustawić regułę domyślną na odmowę lub reguły sieciowe nie mają wpływu. Jednak zmiana tego ustawienia może mieć wpływ na możliwość łączenia aplikacji z usługą Azure Storage. Przed zmianą tego ustawienia pamiętaj, aby udzielić dostępu do dowolnych dozwolonych sieci lub skonfigurować dostęp za pośrednictwem prywatnego punktu końcowego.
Uwaga
Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Przejdź do konta magazynowego, które chcesz zabezpieczyć.
W menu usługi w obszarze Zabezpieczenia i sieć wybierz pozycję Sieć.
Wybierz, jaki dostęp sieciowy jest włączony za pośrednictwem publicznego punktu końcowego konta magazynowego:
Wybierz pozycję Włączone ze wszystkich sieci lub Włączone z wybranych sieci wirtualnych i adresów IP. Jeśli wybierzesz drugą opcję, zostanie wyświetlony monit o dodanie sieci wirtualnych i zakresów adresów IP.
Aby ograniczyć dostęp przychodzący podczas zezwalania na dostęp wychodzący, wybierz pozycję Wyłączone.
Wybierz pozycję Zapisz, aby zastosować zmiany.
Udzielanie dostępu z sieci wirtualnej
Konta przechowywania można skonfigurować tak, aby zezwalały na dostęp tylko z określonych podsieci. Dozwolone podsieci mogą należeć do sieci wirtualnej w tej samej subskrypcji lub innej subskrypcji, w tym należeć do innej dzierżawy Microsoft Entra. W przypadku punktów końcowych usługi między regionami, dozwolone podsieci mogą również znajdować się w innych regionach niż konto magazynowe.
Możesz włączyć punkt końcowy usługi dla Azure Storage w sieci wirtualnej. Punkt końcowy usługi kieruje ruch z sieci wirtualnej przez optymalną ścieżkę do usługi Azure Storage. Tożsamości podsieci i sieci wirtualnej są również przesyłane z każdym żądaniem. Administratorzy mogą następnie skonfigurować reguły sieci dla konta magazynu, które zezwalają na odbieranie żądań z określonych podsieci w sieci wirtualnej. Klienci, którym udzielono dostępu za pośrednictwem tych reguł sieciowych, muszą nadal spełniać wymagania autoryzacji konta magazynu w celu uzyskania dostępu do danych.
Każde konto magazynowe obsługuje maksymalnie 400 reguł sieci wirtualnej. Te reguły można połączyć z regułami sieci ip.
Ważne
W przypadku odwoływania się do punktu końcowego usługi w aplikacji klienckiej zaleca się unikanie zależności od buforowanego adresu IP. Adres IP konta magazynowego może ulec zmianie, a poleganie na adresie IP z pamięci podręcznej może spowodować nieoczekiwane zachowanie.
Ponadto zaleca się honorowanie czasu wygaśnięcia (TTL) rekordu DNS i unikanie zastępowania go. Zastąpienie wartości TTL DNS może spowodować nieoczekiwane zachowanie.
Wymagane uprawnienia
Aby zastosować regułę sieci wirtualnej do konta magazynowego, użytkownik musi mieć odpowiednie uprawnienia dla dodawanych podsieci.
Współautor konta magazynu lub użytkownik mający uprawnienia do Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionoperacji dostawcy zasobów Azure może zastosować regułę przy użyciu niestandardowej roli Azure.
Konto magazynowe i sieci wirtualne, które uzyskują do niego dostęp, mogą znajdować się w różnych subskrypcjach, w tym subskrypcjach należących do innej dzierżawy Microsoft Entra.
Konfiguracja reguł, które udzielają dostępu do podsieci w sieciach wirtualnych będących częścią innej dzierżawy Microsoft Entra, jest obecnie obsługiwana tylko za pośrednictwem PowerShell, Azure CLI i REST API. Nie można skonfigurować takich reguł za pośrednictwem witryny Azure Portal, ale można je wyświetlić w portalu.
Punkty końcowe usługi Azure Storage między regionami
Międzyregionalne punkty końcowe usługi dla Azure Storage są ogólnie dostępne od kwietnia 2023 r. Działają one między sieciami wirtualnymi i wystąpieniami usługi magazynu w dowolnym regionie. W przypadku punktów końcowych usług międzyregionalnych podsieci nie używają już publicznego adresu IP do komunikowania się z żadnym kontem magazynowym, w tym z tymi w innym regionie. Zamiast tego cały ruch z podsieci do kont magazynowych używa prywatnego adresu IP jako adresu źródłowego. W związku z tym wszystkie konta magazynu używające reguł sieci IP do zezwalania na ruch z tych podsieci nie mają już efektu.
Konfigurowanie punktów końcowych usługi między sieciami wirtualnymi i instancjami usług w sparowanym regionie może stanowić istotny element planu odzyskiwania po awarii. Punkty końcowe usługi umożliwiają ciągłość pracy w trybie failover w regionie i dostęp do wystąpień magazynu geograficznie nadmiarowego tylko do odczytu (RA-GRS). Reguły sieci, które udzielają dostępu z sieci wirtualnej do konta pamięci masowej, również udzielają dostępu do dowolnego wystąpienia RA-GRS.
Jeśli planujesz odzyskiwanie po awarii podczas awarii regionalnej, utwórz sieci wirtualne w sparowanym regionie z wyprzedzeniem. Włącz punkty końcowe dla usługi Azure Storage, a reguły sieciowe przyznają dostęp z tych alternatywnych sieci wirtualnych. Następnie zastosuj te reguły do geograficznie nadmiarowych kont magazynowych.
Punkty końcowe usługi lokalnej i między regionami nie mogą współistnieć w tej samej podsieci. Aby zamienić istniejące punkty końcowe usługi na punkty końcowe między regionami, usuń istniejące Microsoft.Storage punkty końcowe i utwórz je ponownie jako punkty końcowe między regionami (Microsoft.Storage.Global).
Zarządzanie siecią wirtualną i regułami dostępu
Reguły dostępu i sieci wirtualnej dla kont magazynu można zarządzać za pośrednictwem witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure w wersji 2.
Jeśli chcesz włączyć dostęp do konta przechowywania z sieci wirtualnej lub podsieci w innej dzierżawie Microsoft Entra, musisz użyć programu PowerShell lub Azure CLI. Witryna Azure Portal nie wyświetla podsieci w innych dzierżawach firmy Microsoft Entra.
Przejdź do konta storage, dla którego chcesz skonfigurować sieć wirtualną i reguły dostępu.
W menu usługi w obszarze Zabezpieczenia i sieć wybierz pozycję Sieć.
Sprawdź, czy wybrano opcję włączenia dostępu do sieci publicznej z wybranych sieci wirtualnych i adresów IP.
Aby udzielić dostępu do sieci wirtualnej przy użyciu nowej reguły sieci, w obszarze Sieci wirtualne wybierz pozycję Dodaj istniejącą sieć wirtualną. Wybierz opcje Sieci wirtualne i podsieci, a następnie wybierz pozycję Dodaj. Aby utworzyć nową sieć wirtualną i przyznać jej dostęp, wybierz pozycję Dodaj nową sieć wirtualną. Podaj niezbędne informacje, aby utworzyć nową sieć wirtualną, a następnie wybierz pozycję Utwórz. Obecnie podczas tworzenia reguły do wyboru wyświetlane są tylko sieci wirtualne należące do tej samej dzierżawy Microsoft Entra. Aby udzielić dostępu do podsieci w sieci wirtualnej należącej do innej dzierżawy, użyj programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.
Aby usunąć regułę sieci wirtualnej lub podsieci, wybierz wielokropek (...), aby otworzyć menu kontekstowe dla sieci wirtualnej lub podsieci, a następnie wybierz pozycję Usuń.
Wybierz pozycję Zapisz, aby zastosować zmiany.
Ważne
Usunięcie podsieci uwzględnionej w regule sieciowej spowoduje usunięcie jej z reguł sieci dla konta magazynu. Jeśli utworzysz nową podsieć o tej samej nazwie, nie będzie ona miała dostępu do konta magazynowego. Aby zezwolić na dostęp, musisz jawnie autoryzować nową podsieć w zasadach sieciowych dla konta przechowywania.
Zezwól na dostęp z zakresu adresów IP internetu
Możesz używać reguł sieci IP do umożliwienia dostępu z określonych zakresów publicznych adresów IP w internecie poprzez tworzenie reguł sieci IP. Każde konto magazynowe obsługuje maksymalnie 400 reguł. Te reguły zapewniają dostęp do określonych usług internetowych i sieci lokalnych oraz blokują ogólny ruch internetowy.
Ograniczenia dotyczące reguł sieci ip
Następujące ograniczenia dotyczą zakresów adresów IP:
Reguły sieci IP są dozwolone tylko dla publicznych internetowych adresów IP.
Zakresy adresów IP zarezerwowane dla sieci prywatnych (zgodnie z definicją w dokumencie RFC 1918) nie są dozwolone w regułach adresów IP. Sieci prywatne obejmują adresy rozpoczynające się od 10, 172.16 do 172.31 i 192.168.
Należy podać dozwolone zakresy adresów internetowych przy użyciu notacji CIDR w postaci 16.17.18.0/24 lub jako pojedyncze adresy IP, takie jak 16.17.18.19.
Małe zakresy adresów używające /31 lub /32 rozmiarów prefiksów nie są obsługiwane. Skonfiguruj te zakresy przy użyciu poszczególnych reguł adresów IP.
Tylko adresy IPv4 są obsługiwane w przypadku konfiguracji reguł zapory sieciowej dla magazynu.
Ważne
W następujących przypadkach nie można używać reguł sieci ip:
- Aby ograniczyć dostęp do klientów w tym samym regionie świadczenia usługi Azure co konto magazynu. Reguły sieci IP nie mają wpływu na żądania pochodzące z tego samego regionu świadczenia usługi Azure co konto magazynu. Użyj reguł sieci wirtualnej, aby zezwolić na żądania w tym samym regionie.
- Aby ograniczyć dostęp do klientów w sparowanym regionie, którzy znajdują się w sieci wirtualnej z punktem końcowym usługi.
- Aby ograniczyć dostęp do usług platformy Azure wdrożonych w tym samym regionie, co konto magazynowe. Usługi wdrożone w tym samym regionie co konto przechowywania korzystają z prywatnych adresów IP platformy Azure do komunikacji. Dlatego nie można ograniczyć dostępu do określonych usług platformy Azure na podstawie ich publicznego zakresu adresów IP ruchu wychodzącego.
Konfigurowanie dostępu z sieci lokalnych
Aby udzielić dostępu z sieci lokalnych do konta magazynu przy użyciu reguły sieciowej IP, należy zidentyfikować adresy IP skierowane na internet, które są używane przez Twoją sieć. Skontaktuj się z administratorem sieci, aby uzyskać pomoc.
Jeśli używasz usługi Azure ExpressRoute z twojej siedziby, musisz zidentyfikować adresy IP translatora adresów sieciowych używane do peeringu z Microsoftem. Dostawca usług lub klient dostarcza adresy IP NAT.
Aby zezwolić na dostęp do zasobów usługi, należy zezwolić na te publiczne adresy IP w ustawieniu zapory dla adresów IP zasobów.
Zarządzanie regułami sieci IP
Możesz zarządzać regułami sieci IP dla kont magazynu za pomocą portalu Azure, programu PowerShell lub Azure CLI w wersji 2.
Przejdź do konta przechowywania, dla którego chcesz zarządzać zasadami sieci IP.
W menu usługi w obszarze Zabezpieczenia i sieć wybierz pozycję Sieć.
Sprawdź, czy wybrano opcję włączenia dostępu do sieci publicznej z wybranych sieci wirtualnych i adresów IP.
Aby udzielić dostępu do zakresu internetowych adresów IP, wprowadź adres IP lub zakres adresów (w formacie CIDR) w obszarze Zapora sieciowa>Zakres adresów.
Aby usunąć regułę sieci IP, wybierz ikonę usuwania (
) obok zakresu adresów.Wybierz pozycję Zapisz, aby zastosować zmiany.
Udzielanie dostępu z wystąpień zasobów platformy Azure
W niektórych przypadkach aplikacja może zależeć od zasobów platformy Azure, których nie można odizolować za pośrednictwem sieci wirtualnej lub reguły adresu IP. Jednak nadal chcesz zabezpieczyć i ograniczyć dostęp do konta magazynu tylko do zasobów Azure należących do Twojej aplikacji. Możesz skonfigurować konta magazynu, aby zezwolić na dostęp do określonych wystąpień zasobów zaufanych usług platformy Azure, tworząc regułę wystąpienia zasobu.
Przypisania ról platformy Azure wystąpienia zasobu określają rodzaje operacji, jakie wystąpienie zasobu może wykonywać na danych konta magazynu. Wystąpienia zasobów muszą pochodzić z tej samej dzierżawy co twoje konto magazynu, ale mogą być częścią dowolnej subskrypcji w ramach tej dzierżawy.
Reguły sieci zasobów można dodawać lub usuwać w witrynie Azure Portal:
Zaloguj się w witrynie Azure Portal.
Znajdź konto przechowywania i wyświetl przegląd konta.
W menu usługi w obszarze Zabezpieczenia i sieć wybierz pozycję Sieć.
Sprawdź, czy wybrano opcję włączenia dostępu do sieci publicznej z wybranych sieci wirtualnych i adresów IP.
Przewiń w dół, aby znaleźć wystąpienia zasobów. Z listy rozwijanej Typ zasobu wybierz typ dla instancji zasobu.
Z listy rozwijanej Nazwa wystąpienia wybierz wystąpienie zasobu. Możesz również uwzględnić wszystkie wystąpienia zasobów w bieżącej dzierżawie, subskrypcji lub grupie zasobów.
Wybierz pozycję Zapisz, aby zastosować zmiany. Instancja zasobu pojawia się w sekcji Wystąpienia zasobów na stronie ustawień sieciowych.
Aby usunąć wystąpienie zasobu, wybierz ikonę usuwania ( ) obok wystąpienia zasobu.
Udzielanie dostępu do zaufanych usług platformy Azure
Niektóre usługi platformy Azure działają z sieci, których nie można uwzględnić w regułach sieci. Można udzielić podzestawowi takich zaufanych usług platformy Azure dostępu do konta magazynu, przy zachowaniu reguł sieci dla innych aplikacji. Te zaufane usługi będą następnie używać silnego uwierzytelniania w celu nawiązania połączenia z kontem magazynowym.
Dostęp do zaufanych usług platformy Azure można udzielić, tworząc wyjątek reguły sieci. Sekcja Zarządzanie wyjątkami w tym artykule zawiera szczegółowe wskazówki.
Zaufany dostęp do zasobów zarejestrowanych w dzierżawie usługi Microsoft Entra
Niektóre zasoby usług mogą uzyskiwać dostęp do konta przechowywania w celu przeprowadzania wybranych operacji, takich jak zapisywanie dzienników lub uruchamianie kopii zapasowych. Te usługi muszą być zarejestrowane w subskrypcji, która znajduje się w tej samej dzierżawie Microsoft Entra co konto magazynowe. W poniższej tabeli opisano każdą usługę i dozwolone operacje.
| Usługa | Nazwa dostawcy zasobów | Dozwolone operacje |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices |
Uruchamianie kopii zapasowych i przywracania dysków niezarządzanych na maszynach wirtualnych infrastruktury jako usługi (IaaS) (nie jest to wymagane w przypadku dysków zarządzanych). Dowiedz się więcej. |
| Azure Data Box | Microsoft.DataBox |
Importowanie danych na platformę Azure. Dowiedz się więcej. |
| Azure Data Explorer | Microsoft.Kusto |
Odczytywanie danych na potrzeby pozyskiwania i tabel zewnętrznych oraz zapisywanie danych w tabelach zewnętrznych. Dowiedz się więcej. |
| Azure DevTest Labs | Microsoft.DevTestLab |
Tworzenie niestandardowych obrazów i instalowanie artefaktów. Dowiedz się więcej. |
| Azure Event Grid | Microsoft.EventGrid |
Włącz publikowanie zdarzeń w usłudze Azure Blob Storage i zezwalaj na publikowanie do kolejek magazynu. |
| Azure Event Hubs | Microsoft.EventHub |
Archiwizowanie danych przy użyciu funkcji przechwytywania usługi Event Hubs. Dowiedz się więcej. |
| Azure File Sync | Microsoft.StorageSync |
Przekształć lokalny serwer plików w pamięć podręczną dla udziałów plików platformy Azure. Ta funkcja umożliwia synchronizację wielu lokacji, szybkie odzyskiwanie po awarii i tworzenie kopii zapasowych po stronie chmury. Dowiedz się więcej. |
| Azure HDInsight | Microsoft.HDInsight |
Aprowizuj początkową zawartość domyślnego systemu plików dla nowego klastra usługi HDInsight. Dowiedz się więcej. |
| Usługa Azure Import/Export | Microsoft.ImportExport |
Zaimportuj dane do usługi Azure Storage lub wyeksportuj dane z usługi Azure Storage. Dowiedz się więcej. |
| Azure Monitor | Microsoft.Insights |
Zapisuj dane monitorowania na zabezpieczonym koncie magazynu, w tym dzienniki zasobów, dane Microsoft Defender dla punktu końcowego, dzienniki logowania i inspekcji Microsoft Entra oraz dzienniki usługi Microsoft Intune. Dowiedz się więcej. |
| Usługi sieciowe platformy Azure | Microsoft.Network |
Przechowywanie i analizowanie dzienników ruchu sieciowego, w tym za pośrednictwem usług Azure Network Watcher i Azure Traffic Manager. Dowiedz się więcej. |
| Azure Site Recovery | Microsoft.SiteRecovery |
Włącz replikację w celu odzyskiwania danych po awarii maszyn wirtualnych IaaS platformy Azure, gdy używasz pamięci podręcznej z włączoną funkcją zapory, źródłowych lub docelowych kont magazynu. Dowiedz się więcej. |
Zaufany dostęp na podstawie tożsamości zarządzanej
W poniższej tabeli wymieniono usługi, które mogą uzyskać dostęp do danych konta przechowywania, jeśli wystąpienia zasobów tych usług mają odpowiednie uprawnienia.
| Usługa | Nazwa dostawcy zasobów | Cel |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Umożliwia dostęp do kont magazynu. |
| Usługa Azure API Management | Microsoft.ApiManagement/service |
Umożliwia dostęp do kont pamięci masowej za zaporami za pośrednictwem polityk. Dowiedz się więcej. |
| Systemy autonomiczne firmy Microsoft | Microsoft.AutonomousSystems/workspaces |
Umożliwia dostęp do kont magazynu. |
| Azure Cache for Redis | Microsoft.Cache/Redis |
Umożliwia dostęp do kont magazynu. Dowiedz się więcej. |
| Wyszukiwanie AI platformy Azure | Microsoft.Search/searchServices |
Umożliwia dostęp do kont magazynu na potrzeby indeksowania, przetwarzania i wykonywania zapytań. |
| Usługi platformy Azure AI | Microsoft.CognitiveService/accounts |
Umożliwia dostęp do kont magazynu. Dowiedz się więcej. |
| Microsoft Cost Management | Microsoft.CostManagementExports |
Umożliwia eksportowanie do kont magazynu za zaporą. Dowiedz się więcej. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
Umożliwia dostęp do kont magazynu. |
| Azure Data Factory | Microsoft.DataFactory/factories |
Umożliwia dostęp do kont magazynu za pośrednictwem środowiska uruchomieniowego usługi Data Factory. |
| Azure Data Explorer | Microsoft.Kusto/Clusters |
Odczytuj dane do przetwarzania oraz do tabel zewnętrznych, a także zapisuj dane w tabelach zewnętrznych. Dowiedz się więcej. |
| Magazyn kopii zapasowych Azure | Microsoft.DataProtection/BackupVaults |
Umożliwia dostęp do kont magazynu. |
| Azure Data Share | Microsoft.DataShare/accounts |
Umożliwia dostęp do kont magazynu. |
| Usługa Azure Database for PostgreSQL do zarządzania bazami danych | Microsoft.DBForPostgreSQL |
Umożliwia dostęp do kont magazynu. |
| Azure IoT Hub | Microsoft.Devices/IotHubs |
Umożliwia zapisywanie danych z centrum IoT w usłudze Blob Storage. Dowiedz się więcej. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
Umożliwia dostęp do kont magazynu. |
| Azure Event Grid | Microsoft.EventGrid/domains |
Umożliwia dostęp do kont magazynu. |
| Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Umożliwia dostęp do kont magazynu. |
| Azure Event Grid | Microsoft.EventGrid/systemTopics |
Umożliwia dostęp do kont magazynu. |
| Azure Event Grid | Microsoft.EventGrid/topics |
Umożliwia dostęp do kont magazynu. |
| Microsoft Fabric | Microsoft.Fabric |
Umożliwia dostęp do kont magazynu. |
| Azure Healthcare APIs | Microsoft.HealthcareApis/services |
Umożliwia dostęp do kont magazynu. |
| Azure Healthcare APIs | Microsoft.HealthcareApis/workspaces |
Umożliwia dostęp do kont magazynu. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Umożliwia dostęp do kont magazynu. |
| Zarządzany moduł HSM usługi Azure Key Vault | Microsoft.keyvault/managedHSMs |
Umożliwia dostęp do kont magazynu. |
| Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Umożliwia aplikacjom logicznym dostęp do kont magazynowych. Dowiedz się więcej. |
| Azure Logic Apps | Microsoft.Logic/workflows |
Umożliwia aplikacjom logiki dostęp do kont magazynu. Dowiedz się więcej. |
| Azure Machine Learning Studio | Microsoft.MachineLearning/registries |
Umożliwia autoryzowanym obszarom roboczym usługi Azure Machine Learning zapisywanie danych wyjściowych eksperymentów, modeli i dzienników w usłudze Blob Storage oraz odczytywanie danych. Dowiedz się więcej. |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Umożliwia autoryzowanym obszarom roboczym usługi Azure Machine Learning zapisywanie danych wyjściowych eksperymentów, modeli i dzienników w usłudze Blob Storage oraz odczytywanie danych. Dowiedz się więcej. |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Umożliwia autoryzowanym obszarom roboczym usługi Azure Machine Learning zapisywanie danych wyjściowych eksperymentów, modeli i dzienników w usłudze Blob Storage oraz odczytywanie danych. Dowiedz się więcej. |
| Azure Media Services | Microsoft.Media/mediaservices |
Umożliwia dostęp do kont magazynu. |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
Umożliwia dostęp do kont magazynu. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Umożliwia dostęp do kont magazynu. |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Umożliwia dostęp do kont magazynu. |
| Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Umożliwia dostęp do kont magazynu. |
| Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Umożliwia dostęp do kont magazynu. |
| Microsoft Purview | Microsoft.Purview/accounts |
Umożliwia dostęp do kont magazynu. |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Umożliwia dostęp do kont magazynu. |
| Security Center | Microsoft.Security/dataScanners |
Umożliwia dostęp do kont magazynu. |
| Osobliwość | Microsoft.Singularity/accounts |
Umożliwia dostęp do kont magazynu. |
| Azure SQL Database | Microsoft.Sql |
Umożliwia zapisywanie danych inspekcji na kontach magazynowych za zaporą. |
| Serwery Azure SQL Server | Microsoft.Sql/servers |
Umożliwia zapisywanie danych audytu na kontach przechowywania za zaporą. |
| Azure Synapse Analytics | Microsoft.Sql |
Umożliwia importowanie i eksportowanie danych z określonych baz danych SQL za pośrednictwem COPY instrukcji lub technologii PolyBase (w dedykowanej puli) lub openrowset funkcji i tabel zewnętrznych w puli bezserwerowej.
Dowiedz się więcej. |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
Umożliwia zapisywanie danych z zadania przesyłania strumieniowego do usługi Blob Storage. Dowiedz się więcej. |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Umożliwia zapisywanie danych z zadania przesyłania strumieniowego do usługi Blob Storage. Dowiedz się więcej. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Umożliwia dostęp do danych w usłudze Azure Storage. |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Umożliwia dostęp do kont magazynu. |
Jeśli twoje konto nie ma włączonej funkcji hierarchicznej przestrzeni nazw, możesz udzielić uprawnień, jawnie przypisując rolę Azure do zarządzanej tożsamości dla każdego wystąpienia zasobu. W takim przypadku zakres dostępu dla wystąpienia odpowiada roli w Azure przypisanej do zarządzanej tożsamości.
Możesz użyć tej samej techniki dla konta, które ma włączoną funkcję hierarchicznej przestrzeni nazw. Nie musisz jednak przypisywać roli platformy Azure, jeśli dołączysz zarządzaną tożsamość do listy kontroli dostępu (ACL) dowolnego katalogu lub obiektu blob w koncie magazynowym, które posiadasz. W takim przypadku zakres dostępu dla wystąpienia odpowiada katalogowi lub plikowi, do którego ma dostęp tożsamość zarządzana.
Możesz również połączyć role platformy Azure i listy ACL w celu udzielenia dostępu. Aby dowiedzieć się więcej, zobacz Model kontroli dostępu w usłudze Azure Data Lake Storage.
Zalecamy używanie reguł wystąpień zasobów w celu udzielenia dostępu do określonych zasobów.
Zarządzanie wyjątkami
W niektórych przypadkach, takich jak analiza magazynu, dostęp do odczytu dzienników zasobów i metryk jest wymagany spoza granicy sieci. Podczas konfigurowania zaufanych usług w celu uzyskania dostępu do konta magazynu można zezwolić na dostęp do odczytu dla plików dziennika, tabel metryk lub obu tych usług, tworząc wyjątek reguły sieciowej. Wyjątki reguł sieci można zarządzać za pomocą witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure w wersji 2.
Aby dowiedzieć się więcej na temat pracy z analizą magazynu, zobacz Używanie analizy usługi Azure Storage do zbierania dzienników i danych metryk.
Przejdź do konta magazynu, dla którego chcesz zarządzać wyjątkami.
W menu usługi w obszarze Zabezpieczenia i sieć wybierz pozycję Sieć.
Sprawdź, czy wybrano opcję włączenia dostępu do sieci publicznej z wybranych sieci wirtualnych i adresów IP.
W obszarze Wyjątki wybierz wyjątki, które chcesz udzielić.
Wybierz pozycję Zapisz, aby zastosować zmiany.
Następne kroki
- Dowiedz się więcej o punktach końcowych usługi sieci platformy Azure.
- Szczegółowe informacje na temat zaleceń dotyczących zabezpieczeń usługi Azure Blob Storage.