Criar e associar políticas de ponto de extremidade de serviço

As políticas de ponto de extremidade de serviço permitem filtrar o tráfego de rede virtual para recursos específicos do Azure, em pontos de extremidade de serviço. Se você não estiver familiarizado com as políticas de ponto de extremidade de serviço, consulte Visão geral das políticas de ponto de extremidade de serviço para saber mais.

Neste tutorial, irá aprender a:

• Crie uma rede virtual.
• Adicione uma sub-rede e habilite o ponto de extremidade de serviço para o Armazenamento do Azure.
• Crie duas contas de Armazenamento do Azure e permita o acesso à rede a partir da sub-rede na rede virtual.
• Crie uma política de ponto de extremidade de serviço para permitir o acesso apenas a uma das contas de armazenamento.
• Implante uma máquina virtual (VM) na sub-rede.
• Confirme o acesso à conta de armazenamento permitida a partir da sub-rede.
• Confirme se o acesso foi negado à conta de armazenamento não permitida da sub-rede.

Pré-requisitos

Portal

• Uma conta do Azure com uma subscrição ativa. Você pode criar uma conta gratuitamente.

PowerShell

• Uma conta do Azure com uma subscrição ativa. Você pode criar uma conta gratuitamente.

Azure Cloud Shell

O Azure aloja o Azure Cloud Shell, um ambiente de shell interativo que pode utilizar através do seu browser. Pode utilizar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.

Para iniciar o Azure Cloud Shell:

Opção	Exemplo/Ligação
Selecione Experimentar no canto superior direito de um código ou bloco de comandos. Selecionar Experimentar não copia automaticamente o código ou comando para o Cloud Shell.
Aceda a https://shell.azure.com ou selecione o botão Iniciar Cloud Shell para abrir o Cloud Shell no browser.
Selecione o botão Cloud Shell na barra de menus, na parte direita do portal do Azure.

Para usar o Azure Cloud Shell:

1. Inicie o Cloud Shell.

2. Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou comando.

3. Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.

4. Selecione Enter para executar o código ou comando.

Se você optar por instalar e usar o PowerShell localmente, este artigo exigirá o módulo do Azure PowerShell versão 1.0.0 ou posterior. Execute Get-Module -ListAvailable Az para localizar a versão instalada. Se precisar de atualizar, veja Install Azure PowerShell module (Instalar o módulo do Azure PowerShell). Se você estiver executando o PowerShell localmente, também precisará executar Connect-AzAccount para criar uma conexão com o Azure.

CLI

Se não tiver uma subscrição do Azure, crie uma conta gratuita do Azure antes de começar.

• Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.

  

• Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.

  • Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.

  • Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.

  • Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.

• Este artigo requer a versão 2.0.28 ou posterior da CLI do Azure. Se estiver usando o Azure Cloud Shell, a versão mais recente já está instalada.

Criar uma rede virtual e habilitar o ponto de extremidade de serviço

Crie uma rede virtual para conter os recursos criados neste tutorial.

Portal

1. Na caixa de pesquisa no portal, digite Redes virtuais. Selecione Redes virtuais nos resultados da pesquisa.

2. Selecione + Criar para criar uma nova rede virtual.

3. Insira ou selecione as seguintes informações na guia Noções básicas de Criar rede virtual.

   Definição	Value
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione Criar novo. Digite test-rg em Nome. Selecione OK.
   Nome	Digite vnet-1.
   País/Região	Selecione E.U.A. Oeste 2.

4. Selecione Seguinte.

5. Selecione Seguinte.

6. Na guia Endereços IP, em Sub-redes, selecione a sub-rede padrão.

7. Insira ou selecione as seguintes informações em Editar sub-rede.

   Definição	Valor
   Nome	Digite subnet-1.
   Pontos Finais de Serviço
   Serviços
   No menu suspenso, selecione Microsoft.Storage.

8. Selecione Guardar.

9. Selecione Rever + Criar.

10. Selecione Criar.

PowerShell

Antes de criar uma rede virtual, você precisa criar um grupo de recursos para a rede virtual e todos os outros recursos criados neste artigo. Crie um grupo de recursos com New-AzResourceGroup. O exemplo a seguir cria um grupo de recursos chamado test-rg:

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}
New-AzResourceGroup @rg

Crie uma rede virtual com New-AzVirtualNetwork. O exemplo a seguir cria uma rede virtual chamada vnet-1 com o prefixo de endereço 10.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Crie uma configuração de sub-rede com New-AzVirtualNetworkSubnetConfig e, em seguida, escreva a configuração de sub-rede na rede virtual com Set-AzVirtualNetwork. O exemplo a seguir adiciona uma sub-rede chamada subnet-1 à rede virtual e cria o ponto de extremidade de serviço para Microsoft.Storage.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

CLI

Antes de criar uma rede virtual, você precisa criar um grupo de recursos para a rede virtual e todos os outros recursos criados neste artigo. Crie um grupo de recursos com az group create. O exemplo a seguir cria um grupo de recursos chamado test-rg no local westus2.

az group create \
  --name test-rg \
  --location westus2

Crie uma rede virtual com uma sub-rede com az network vnet create.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefix 10.0.0.0/16 \
  --subnet-name subnet-1 \
  --subnet-prefix 10.0.0.0/24

Neste exemplo, um ponto de extremidade de serviço para Microsoft.Storage é criado para a sub-rede sub-rede-1:

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24 \
  --service-endpoints Microsoft.Storage

Restringir o acesso à rede para a sub-rede

Crie um grupo de segurança de rede e regras que restrinjam o acesso à rede para a sub-rede.

Criar um grupo de segurança de rede

Portal

1. Na caixa de pesquisa no portal, insira Grupos de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.

2. Selecione + Criar para criar um novo grupo de segurança de rede.

3. Na guia Noções básicas de Criar grupo de segurança de rede, insira ou selecione as seguintes informações.

   Definição	Value
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione test-rg.
   Nome	Digite nsg-1.
   País/Região	Selecione E.U.A. Oeste 2.

4. Selecione Rever + Criar.

5. Selecione Criar.

Criar regras do grupo de segurança de rede

1. Na caixa de pesquisa no portal, insira Grupos de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.

2. Selecione nsg-1.

3. Expanda Definições. Selecione Regras de segurança de saída.

4. Selecione + Adicionar para adicionar uma nova regra de segurança de saída.

5. Em Adicionar regra de segurança de saída, insira ou selecione as seguintes informações.

   Definição	Value
   Source	Selecione Etiqueta de serviço.
   Etiqueta de serviço de origem	Selecione VirtualNetwork.
   Intervalo de portas de origem	Introduzir *.
   Destino	Selecione Etiqueta de serviço.
   Etiqueta do serviço de destino	Selecione Armazenamento.
   Serviço	Selecione Personalizado.
   Intervalos de portas de destino	Introduzir *.
   Protocolo	Selecione Qualquer.
   Ação	Selecione Permitir.
   Prioridade	Introduza 100.
   Nome	Digite allow-storage-all.

6. Selecione Adicionar.

7. Selecione + Adicionar para adicionar outra regra de segurança de saída.

8. Em Adicionar regra de segurança de saída, insira ou selecione as seguintes informações.

   Definição	Value
   Source	Selecione Etiqueta de serviço.
   Etiqueta de serviço de origem	Selecione VirtualNetwork.
   Intervalo de portas de origem	Introduzir *.
   Destino	Selecione Etiqueta de serviço.
   Etiqueta do serviço de destino	Selecione Internet.
   Serviço	Selecione Personalizado.
   Intervalos de portas de destino	Introduzir *.
   Protocolo	Selecione Qualquer.
   Ação	Selecione Negar.
   Prioridade	Digite 110.
   Nome	Digite deny-internet-all.

9. Selecione Adicionar.

10. Expanda Definições. Selecione Sub-redes.

11. Selecione Associar.

12. Em Associar sub-rede, insira ou selecione as seguintes informações.

    Definição	Value
    Rede virtual	Selecione vnet-1 (test-rg).
    Sub-rede	Selecione sub-rede-1.

13. Selecione OK.

PowerShell

Crie regras de segurança de grupo de segurança de rede com New-AzNetworkSecurityRuleConfig. A regra a seguir permite acesso de saída aos endereços IP públicos atribuídos ao serviço de Armazenamento do Azure:

$r1 = @{
    Name = "Allow-Storage-All"
    Access = "Allow"
    DestinationAddressPrefix = "Storage"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 100
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule1 = New-AzNetworkSecurityRuleConfig @r1

A regra a seguir nega acesso a todos os endereços IP públicos. A regra anterior substitui essa regra, devido à sua prioridade mais alta, que permite o acesso aos endereços IP públicos do Armazenamento do Azure.

$r2 = @{
    Name = "Deny-Internet-All"
    Access = "Deny"
    DestinationAddressPrefix = "Internet"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 110
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule2 = New-AzNetworkSecurityRuleConfig @r2

Crie um grupo de segurança de rede com New-AzNetworkSecurityGroup. O exemplo a seguir cria um grupo de segurança de rede chamado nsg-1.

$securityRules = @($rule1, $rule2)

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
    SecurityRules = $securityRules
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Associe o grupo de segurança de rede à sub-rede 1 com Set-AzVirtualNetworkSubnetConfig e, em seguida, escreva a configuração da sub-rede na rede virtual. O exemplo a seguir associa o grupo de segurança de rede nsg-1 à sub-rede 1 :

$subnetConfig = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
    NetworkSecurityGroup = $nsg
}
Set-AzVirtualNetworkSubnetConfig @subnetConfig

$virtualNetwork | Set-AzVirtualNetwork

CLI

Crie um grupo de segurança de rede com az network nsg create. O exemplo a seguir cria um grupo de segurança de rede chamado nsg-1.

az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Associe o grupo de segurança de rede à sub-rede 1 com a atualização da sub-rede az network vnet. O exemplo a seguir associa o grupo de segurança de rede nsg-1 à sub-rede 1 :

az network vnet subnet update \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --resource-group test-rg \
  --network-security-group nsg-1

Crie regras de segurança com az network nsg rule create. A regra a seguir permite acesso de saída aos endereços IP públicos atribuídos ao serviço de Armazenamento do Azure:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Storage-All \
  --access Allow \
  --protocol "*" \
  --direction Outbound \
  --priority 100 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Storage" \
  --destination-port-range "*"

Cada grupo de segurança de rede contém várias regras de segurança padrão. A regra a seguir substitui uma regra de segurança padrão que permite acesso de saída a todos os endereços IP públicos. A destination-address-prefix "Internet" opção nega acesso de saída a todos os endereços IP públicos. A regra anterior substitui essa regra, devido à sua prioridade mais alta, que permite o acesso aos endereços IP públicos do Armazenamento do Azure.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Deny-Internet-All \
  --access Deny \
  --protocol "*" \
  --direction Outbound \
  --priority 110 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Internet" \
  --destination-port-range "*"

Restringir o acesso à rede às contas de Armazenamento do Azure

Os passos necessários para restringir o acesso de rede a recursos criados através de serviços do Azure ativados para pontos finais de serviço varia de serviço para serviço. Veja a documentação relativa aos serviços individuais para obter os passos específicos dos mesmos. O restante deste artigo inclui etapas para restringir o acesso à rede para uma conta de Armazenamento do Azure, como exemplo.

Criar duas contas de armazenamento

Portal

1. Na caixa de pesquisa no portal, insira Contas de armazenamento. Selecione Contas de armazenamento nos resultados da pesquisa.

2. Selecione + Criar para criar uma nova conta de armazenamento.

3. Em Criar uma conta de armazenamento, insira ou selecione as seguintes informações.

   Definição	Value
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione test-rg.
   Detalhes da instância
   Nome da conta de armazenamento	Insira allowedaccount(random-number). Nota: O nome da conta de armazenamento deve ser exclusivo. Adicione um número aleatório ao final do nome allowedaccount.
   País/Região	Selecione E.U.A. Oeste 2.
   Desempenho	selecione Standard.
   Redundância	Selecione Armazenamento com redundância local (LRS).

4. Selecione Avançar até chegar à guia Proteção de dados.

5. Em Recuperação, desmarque todas as opções.

6. Selecione Rever + Criar.

7. Selecione Criar.

8. Repita as etapas anteriores para criar outra conta de armazenamento com as seguintes informações.

   Definição	Value
   Nome da conta de armazenamento	Digite deniedaccount(random-number).

PowerShell

Crie a conta de armazenamento do Azure permitida com New-AzStorageAccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'allowedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Use o mesmo comando para criar a conta de armazenamento do Azure negada, mas altere o nome para deniedaccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'deniedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

CLI

Crie duas contas de armazenamento do Azure com az storage account create.

storageAcctName1="allowedaccount"

az storage account create \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Use o mesmo comando para criar a conta de armazenamento do Azure negada, mas altere o nome para deniedaccount.

storageAcctName2="deniedaccount"

az storage account create \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Criar partilhas de ficheiros

Portal

1. Na caixa de pesquisa no portal, insira Contas de armazenamento. Selecione Contas de armazenamento nos resultados da pesquisa.

2. Selecione allowedaccount(random-number).

3. Expanda a seção Armazenamento de dados e selecione Compartilhamentos de arquivos.

4. Selecione + Partilha de ficheiros.

5. Em Novo compartilhamento de arquivos, insira ou selecione as seguintes informações.

   Definição	Valor
   Nome	Insira o compartilhamento de arquivos.

6. Deixe o restante das configurações como padrão e selecione Revisar + criar.

7. Selecione Criar.

8. Repita as etapas anteriores para criar um compartilhamento de arquivos em deniedaccount(random-number).

PowerShell

Criar compartilhamento de arquivos de conta de armazenamento permitido

Use Get-AzStorageAccountKey para obter a chave da conta de armazenamento para a conta de armazenamento permitida. Você usará essa chave na próxima etapa para criar um compartilhamento de arquivos na conta de armazenamento permitida.

$storageAcctName1 = "allowedaccount"
$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName1
}
$storageAcctKey1 = (Get-AzStorageAccountKey @storageAcctParams1).Value[0]

Crie um contexto para sua conta de armazenamento e chave com New-AzStorageContext. O contexto contém a chave de conta e o nome da conta de armazenamento.

$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1

Crie um compartilhamento de arquivos com New-AzStorageShare.

$share1 = New-AzStorageShare file-share -Context $storageContext1

Criar compartilhamento de arquivos de conta de armazenamento negado

Use Get-AzStorageAccountKey para obter a chave da conta de armazenamento para a conta de armazenamento permitida. Você usará essa chave na próxima etapa para criar um compartilhamento de arquivos na conta de armazenamento negada.

$storageAcctName2 = "deniedaccount"
$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName2
}
$storageAcctKey2 = (Get-AzStorageAccountKey @storageAcctParams2).Value[0]

Crie um contexto para sua conta de armazenamento e chave com New-AzStorageContext. O contexto contém a chave de conta e o nome da conta de armazenamento.

$storageContext2= New-AzStorageContext $storageAcctName2 $storageAcctKey2

Crie um compartilhamento de arquivos com New-AzStorageShare.

$share2 = New-AzStorageShare file-share -Context $storageContext2

CLI

Criar compartilhamento de arquivos de conta de armazenamento permitido

Recupere a cadeia de conexão para as contas de armazenamento em uma variável com az storage account show-connection-string. A cadeia de conexão é usada para criar um compartilhamento de arquivos em uma etapa posterior.

saConnectionString1=$(az storage account show-connection-string \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Crie um compartilhamento de arquivos na conta de armazenamento com az storage share create. Em uma etapa posterior, esse compartilhamento de arquivos é montado para confirmar o acesso da rede a ele.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString1 > /dev/null

Criar compartilhamento de arquivos de conta de armazenamento negado

Recupere a cadeia de conexão para as contas de armazenamento em uma variável com az storage account show-connection-string. A cadeia de conexão é usada para criar um compartilhamento de arquivos em uma etapa posterior.

saConnectionString2=$(az storage account show-connection-string \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Crie um compartilhamento de arquivos na conta de armazenamento com az storage share create. Em uma etapa posterior, esse compartilhamento de arquivos é montado para confirmar o acesso da rede a ele.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString2 > /dev/null

Negar todo o acesso de rede a contas de armazenamento

Por predefinição, as contas de Armazenamento aceitam ligações de rede de clientes em qualquer rede. Para restringir o acesso à rede às contas de armazenamento, você pode configurar a conta de armazenamento para aceitar conexões somente de redes específicas. Neste exemplo, você configura a conta de armazenamento para aceitar conexões somente da sub-rede de rede virtual criada anteriormente.

Portal

1. Na caixa de pesquisa no portal, insira Contas de armazenamento. Selecione Contas de armazenamento nos resultados da pesquisa.

2. Selecione allowedaccount(random-number).

3. Expanda Segurança + rede e selecione Rede.

4. Em Firewalls e redes virtuais, em Acesso à rede pública, selecione Ativado a partir de redes virtuais e endereços IP selecionados.

5. Em Redes virtuais, selecione + Adicionar rede virtual existente.

6. Em Adicionar redes, insira ou selecione as seguintes informações.

   Definição	Value
   Subscrição	Selecione a sua subscrição.
   Redes virtuais	Selecione vnet-1.
   Sub-redes	Selecione sub-rede-1.

7. Selecione Adicionar.

8. Selecione Guardar.

9. Repita as etapas anteriores para negar o acesso à rede à conta negada (número aleatório).

PowerShell

Use Update-AzStorageAccountNetworkRuleSet para negar acesso às contas de armazenamento, exceto da rede virtual e da sub-rede criada anteriormente. Quando o acesso à rede é negado, a conta de armazenamento não é acessível a partir de nenhuma rede.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams1

$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams2

Habilitar o acesso à rede somente a partir da sub-rede de rede virtual

Recupere a rede virtual criada com Get-AzVirtualNetwork e, em seguida, recupere o objeto de sub-rede privada em uma variável com Get-AzVirtualNetworkSubnetConfig:

$privateSubnetParams = @{
    ResourceGroupName = "test-rg"
    Name = "vnet-1"
}
$privateSubnet = Get-AzVirtualNetwork @privateSubnetParams | Get-AzVirtualNetworkSubnetConfig -Name "subnet-1"

Permita o acesso de rede à conta de armazenamento a partir da sub-rede 1 com Add-AzStorageAccountNetworkRule.

$networkRuleParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams1

$networkRuleParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams2

CLI

Por predefinição, as contas de Armazenamento aceitam ligações de rede de clientes em qualquer rede. Para limitar o acesso às redes selecionadas, altere a ação padrão para Negar com a atualização da conta de armazenamento az. Quando o acesso à rede é negado, a conta de armazenamento não é acessível a partir de nenhuma rede.

az storage account update \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --default-action Deny

az storage account update \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --default-action Deny

Habilitar o acesso à rede somente a partir da sub-rede de rede virtual

Permita o acesso de rede à conta de armazenamento a partir da sub-rede sub-rede-1 com az storage account network-rule add.

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName1 \
  --vnet-name vnet-1 \
  --subnet subnet-1

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName2 \
  --vnet-name vnet-1 \
  --subnet subnet-1

Aplicar política para permitir o acesso a uma conta de armazenamento válida

Você pode criar uma política de ponto de extremidade de serviço. A política garante que os usuários na rede virtual só possam acessar contas de Armazenamento do Azure seguras e permitidas. Esta política contém uma lista de contas de armazenamento permitidas aplicadas à sub-rede de rede virtual conectada ao armazenamento por meio de pontos de extremidade de serviço.

Criar uma política de ponto de extremidade de serviço

Esta seção cria a definição de política com a lista de recursos permitidos para acesso pelo ponto de extremidade de serviço.

Portal

1. Na caixa de pesquisa no portal, insira Política de ponto de extremidade do serviço. Selecione Políticas de ponto de extremidade de serviço nos resultados da pesquisa.

2. Selecione + Criar para criar uma nova política de ponto de extremidade de serviço.

3. Insira ou selecione as seguintes informações na guia Noções básicas de Criar uma política de ponto de extremidade de serviço.

   Definição	Value
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione test-rg.
   Detalhes da instância
   Nome	Insira service-endpoint-policy.
   Location	Selecione E.U.A. Oeste 2.

4. Selecione Next : Policy definitions.

5. Selecione + Adicionar um recurso em Recursos.

6. Em Adicionar um recurso, insira ou selecione as seguintes informações:

   Definição	Value
   Serviço	Selecione Microsoft.Storage.
   Âmbito	Selecione Conta única
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione test-rg.
   Recurso	Selecione allowedaccount(random-number)

7. Selecione Adicionar.

8. Selecione Rever + Criar.

9. Selecione Criar.

PowerShell

Para recuperar a ID do recurso para a primeira conta de armazenamento (permitida), use Get-AzStorageAccount.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
}
$resourceId = (Get-AzStorageAccount @storageAcctParams1).id

Para criar a definição de política para permitir o recurso anterior, use New-AzServiceEndpointPolicyDefinition .

$policyDefinitionParams = @{
    Name = "policy-definition"
    Description = "Service Endpoint Policy Definition"
    Service = "Microsoft.Storage"
    ServiceResource = $resourceId
}
$policyDefinition = New-AzServiceEndpointPolicyDefinition @policyDefinitionParams

Use New-AzServiceEndpointPolicy para criar a política de ponto de extremidade de serviço com a definição de política.

$sepolicyParams = @{
    ResourceGroupName = "test-rg"
    Name = "service-endpoint-policy"
    Location = "westus2"
    ServiceEndpointPolicyDefinition = $policyDefinition
}
$sepolicy = New-AzServiceEndpointPolicy @sepolicyParams

CLI

As políticas de ponto de extremidade de serviço são aplicadas sobre pontos de extremidade de serviço. Comece criando uma política de ponto de extremidade de serviço. Em seguida, crie as definições de política sob esta política para que as contas de Armazenamento do Azure sejam aprovadas para esta sub-rede

Use az storage account show para obter o ID de recurso para a conta de armazenamento que é permitido.

serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)

Criar uma política de ponto de extremidade de serviço

az network service-endpoint policy create \
  --resource-group test-rg \
  --name service-endpoint-policy \
  --location westus2

Criar e adicionar uma definição de política para permitir a conta de Armazenamento do Azure anterior à política de ponto de extremidade do serviço

az network service-endpoint policy-definition create \
  --resource-group test-rg \
  --policy-name service-endpoint-policy \
  --name policy-definition \
  --service "Microsoft.Storage" \
  --service-resources $serviceResourceId

Associar uma política de ponto de extremidade de serviço a uma sub-rede

Depois de criar a política de ponto de extremidade de serviço, você a associará à sub-rede de destino à configuração de ponto de extremidade de serviço para o Armazenamento do Azure.

Portal

1. Na caixa de pesquisa no portal, insira Política de ponto de extremidade do serviço. Selecione Políticas de ponto de extremidade de serviço nos resultados da pesquisa.

2. Selecione service-endpoint-policy.

3. Expanda Configurações e selecione Sub-redes associadas.

4. Selecione + Editar associação de sub-rede.

5. Em Editar associação de sub-rede, selecione vnet-1 e subnet-1.

6. Selecione Aplicar.

PowerShell

Use Set-AzVirtualNetworkSubnetConfig para associar a política de ponto de extremidade de serviço à sub-rede.

$subnetConfigParams = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    NetworkSecurityGroup = $nsg
    ServiceEndpoint = "Microsoft.Storage"
    ServiceEndpointPolicy = $sepolicy
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

$virtualNetwork | Set-AzVirtualNetwork

CLI

Use az network vnet subnet update para associar a política de ponto de extremidade de serviço à sub-rede.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --service-endpoints Microsoft.Storage \
  --service-endpoint-policy service-endpoint-policy

Aviso

Certifique-se de que todos os recursos acessados a partir da sub-rede sejam adicionados à definição de política antes de associá-la à sub-rede fornecida. Depois que a política for associada, somente o acesso aos recursos listados de permissão será permitido nos pontos de extremidade de serviço.

Certifique-se de que não existem serviços gerenciados do Azure na sub-rede que está sendo associada à política de ponto de extremidade do serviço.

O acesso aos recursos do Armazenamento do Azure em todas as regiões será restrito de acordo com a Política de Ponto de Extremidade de Serviço desta sub-rede.

Validar a restrição de acesso às contas de Armazenamento do Azure

Para testar o acesso à rede a uma conta de armazenamento, implante uma VM na sub-rede.

Implementar a máquina virtual

Portal

1. Na caixa de pesquisa no portal, digite Máquinas virtuais. Selecione Máquinas virtuais nos resultados da pesquisa.

2. Na guia Noções básicas de Criar uma máquina virtual, insira ou selecione as seguintes informações:

   Definição	Value
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione test-rg.
   Detalhes da instância
   Virtual machine name	Digite vm-1.
   País/Região	Selecione (E.U.A.) E.U.A. Oeste 2.
   Opções de disponibilidade	Selecione Sem necessidade de redundância de infraestrutura.
   Tipo de segurança	selecione Standard.
   Image	Selecione Windows Server 2022 Datacenter - x64 Gen2.
   Tamanho	Selecione um tamanho.
   Conta de administrador
   Username	Introduza um nome de utilizador.
   Palavra-passe	Introduza uma palavra-passe.
   Confirme a palavra-passe	Digite a senha novamente.
   Regras de porta de entrada

3. Selecione Seguinte: Discos e, em seguida, selecione Seguinte: Rede.

4. Na guia Rede, insira ou selecione as seguintes informações.

   Definição	Value
   Interface de Rede
   Rede virtual	Selecione vnet-1.
   Sub-rede	Selecione sub-rede-1 (10.0.0.0/24).
   IP público	Selecione Nenhuma.
   Grupo de segurança de rede NIC	Selecione Nenhuma.

5. Deixe o restante das configurações como padrão e selecione Revisar + Criar.

6. Selecione Criar.

PowerShell

Crie uma máquina virtual na sub-rede 1 com New-AzVM. Ao executar o comando a seguir, você será solicitado a fornecer credenciais. Os valores que introduzir são configurados, como o nome de utilizador e a palavra-passe para a VM.

$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    Name = "vm-1"
}
New-AzVm @vmParams

CLI

Crie uma VM na sub-rede subnet-1 com az vm create.

az vm create \
  --resource-group test-rg \
  --name vm-1 \
  --image Win2022Datacenter \
  --admin-username azureuser \
  --vnet-name vnet-1 \
  --subnet subnet-1

Aguarde até que a máquina virtual termine a implantação antes de continuar para as próximas etapas.

Confirmar o acesso à conta de armazenamento permitida

1. Inicie sessão no portal do Azure.

2. Na caixa de pesquisa no portal, insira Contas de armazenamento. Selecione Contas de armazenamento nos resultados da pesquisa.

3. Selecione allowedaccount(random-number).

4. Expanda Segurança + rede e selecione Teclas de acesso.

5. Copie o valor key1 . Use essa chave para mapear uma unidade para a conta de armazenamento da máquina virtual criada anteriormente.

6. Na caixa de pesquisa no portal, digite Máquinas virtuais. Selecione Máquinas virtuais nos resultados da pesquisa.

7. Selecione vm-1.

8. Expanda as operações. Selecione Executar comando.

9. Selecione RunPowerShellScript.

10. Cole o seguinte script em Executar script de comando.

    ## Enter the storage account key for the allowed storage account that you recorded earlier.
    $storageAcctKey1 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential
    

11. Selecione Executar.

12. Se o mapa da unidade for bem-sucedido, a saída na caixa Saída será semelhante ao exemplo a seguir:

    Name           Used (GB)     Free (GB) Provider      Root
    ----           ---------     --------- --------      ----
    Z                                      FileSystem    \\allowedaccount.file.core.windows.net\fil..
    

Confirmar se o acesso negado à conta de armazenamento negada é negado

1. Na caixa de pesquisa no portal, insira Contas de armazenamento. Selecione Contas de armazenamento nos resultados da pesquisa.

2. Selecione deniedaccount(random-number).

3. Expanda Segurança + rede e selecione Teclas de acesso.

4. Copie o valor key1 . Use essa chave para mapear uma unidade para a conta de armazenamento da máquina virtual criada anteriormente.

5. Na caixa de pesquisa no portal, digite Máquinas virtuais. Selecione Máquinas virtuais nos resultados da pesquisa.

6. Selecione vm-1.

7. Expanda as operações. Selecione Executar comando.

8. Selecione RunPowerShellScript.

9. Cole o seguinte script em Executar script de comando.

   ## Enter the storage account key for the denied storage account that you recorded earlier.
   $storageAcctKey2 = (pasted from procedure above)
   $acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
   ## Replace the login account with the name of the storage account you created.
   $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
   ## Replace the storage account name with the name of the storage account you created.
   New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential
   

10. Selecione Executar.

11. Você recebe a seguinte mensagem de erro na caixa de saída :

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
    + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    

12. O mapa da unidade é negado devido à política de ponto de extremidade do serviço que restringe o acesso à conta de armazenamento.

Portal

Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.

1. No portal do Azure, procure e selecione Grupos de recursos.

2. Na página Grupos de recursos, selecione o grupo de recursos test-rg.

3. Na página test-rg, selecione Excluir grupo de recursos.

4. Digite test-rg em Digite o nome do grupo de recursos para confirmar a exclusão e selecione Excluir.

PowerShell

Quando não for mais necessário, você pode usar Remove-AzResourceGroup para remover o grupo de recursos e todos os recursos que ele contém:

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

CLI

Quando não for mais necessário, use az group delete para remover o grupo de recursos e todos os recursos que ele contém.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Próximos passos

Neste tutorial, você criou uma política de ponto de extremidade de serviço e a associou a uma sub-rede. Para saber mais sobre as políticas de ponto de extremidade de serviço, consulte Visão geral das políticas de ponto de extremidade de serviço.