Настройка брандмауэров службы хранилища Azure и виртуальных сетей
Служба хранилища Azure предоставляет многоуровневую модель безопасности. Эта модель позволяет защищать и контролировать уровень доступа к вашим учетным записям хранения, который требуется вашим приложениям и корпоративным средам, в зависимости от типа и подмножества используемых сетей или ресурсов.
При настройке сетевых правил только приложения, запрашивающие данные по указанному набору сетей или через указанный набор ресурсов Azure, могут получить доступ к учетной записи хранения. Вы можете ограничить доступ к учетной записи хранения запросам, поступающим из указанных IP-адресов, диапазонов IP-адресов, подсетей в виртуальной сети Azure или экземпляров ресурсов некоторых служб Azure.
Учетные записи хранения имеют общедоступную конечную точку, доступную через Интернет. Вы также можете создать частные конечные точки для учетной записи хранения. Создание частных конечных точек назначает частный IP-адрес из виртуальной сети учетной записи хранения. Это помогает защитить трафик между виртуальной сетью и учетной записью хранения через приватный канал.
Брандмауэр службы хранилища Azure предоставляет контроль доступа для общедоступной конечной точки вашей учетной записи хранения. Брандмауэр также можно использовать для блокировки доступа через общедоступную конечную точку при использовании частных конечных точек. Конфигурация брандмауэра также позволяет доверенным службам платформы Azure получить доступ к учетной записи хранения.
При этом приложению, которое обращается к учетной записи хранения, когда действуют сетевые правила, по-прежнему необходима надлежащая авторизация для выполнения запроса. Авторизация поддерживается с учетными данными Microsoft Entra для больших двоичных объектов, таблиц, общих папок и очередей, с допустимым ключом доступа к учетной записи или маркером подписанного URL-адреса (SAS). При настройке контейнера BLOB-объектов для анонимного доступа запросы на чтение данных в этом контейнере не должны быть авторизованы. Правила брандмауэра остаются в силе и будут блокировать анонимный трафик.
Включение правил брандмауэра для учетной записи хранения блокирует входящие запросы данных по умолчанию, если только запросы не исходят из службы, которая работает в виртуальной сети Azure или из разрешенных общедоступных IP-адресов. Запросы, которые блокируются, включают их из других служб Azure, из портал Azure и из служб ведения журнала и метрик.
Вы можете предоставить доступ к службам Azure, работающим из виртуальной сети, разрешая трафик из подсети, на которой размещен экземпляр службы. Кроме того, можно включить ограниченное количество сценариев с помощью механизма исключений, описываемого в этой статье. Чтобы получить доступ к данным из учетной записи хранения через портал Azure, необходимо быть на компьютере в пределах доверенной границы (IP-адреса или виртуальной сети), которую вы настроили.
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.
Сценарии
Чтобы защитить учетную запись хранения, необходимо сначала настроить правило, по умолчанию запрещающее доступ к трафику из всех сетей (включая интернет-трафик) в общедоступной конечной точке. Затем необходимо настроить правила, предоставляющие доступ к трафику из определенных виртуальных сетей. Вы также можете настроить правила, разрешающие доступ трафику из определенных диапазонов общедоступных IP-адресов в Интернете, позволяя устанавливать подключения из конкретных локальных или интернет-клиентов. Эта конфигурация помогает создать безопасную сетевую границу для приложений.
Вы можете сочетать правила брандмауэра, разрешающие доступ из конкретных виртуальных сетей, и правила, разрешающие доступ из диапазонов общедоступных IP-адресов, в одной и той же учетной записи хранения. Правила брандмауэра хранилища можно применять к существующим учетным записям хранения или при создании новых учетных записей хранения.
Правила брандмауэра службы хранилища применяются к общедоступной конечной точке учетной записи хранения. Вам не нужно задавать никакие правила доступа брандмауэра, чтобы разрешить трафик для частных конечных точек учетной записи хранения. Процесс утверждения создания частной конечной точки предоставляет неявный доступ к трафику из подсети, в которой размещается эта частная конечная точка.
Внимание
служба хранилища Azure правила брандмауэра применяются только к операциям плоскости данных. Операции плоскости управления не применяются к ограничениям, указанным в правилах брандмауэра.
Некоторые операции, такие как операции контейнера BLOB-объектов, можно выполнять как с помощью плоскости управления, так и плоскости данных. Таким образом, если вы пытаетесь выполнить операцию, например перечисление контейнеров из портал Azure, операция будет выполнена успешно, если она не заблокирована другим механизмом. Попытки доступа к данным BLOB-объектов из приложения, например служба хранилища Azure Explorer, управляются ограничениями брандмауэра.
Список операций плоскости данных см. в справочнике по REST API служба хранилища Azure. Список операций уровня управления см. в справочнике по REST API поставщика ресурсов служба хранилища Azure.
Настройка сетевого доступа к служба хранилища Azure
Вы можете управлять доступом к данным в учетной записи хранения через сетевые конечные точки или через доверенные службы или ресурсы в любом сочетании, включая:
- Разрешение доступа из выбранных подсетей виртуальной сети с помощью частных конечных точек.
- Разрешение доступа из выбранных подсетей виртуальной сети с помощью конечных точек службы.
- Разрешение доступа с определенных общедоступных IP-адресов либо из определенных диапазонов таких адресов.
- Разрешение доступа из выбранных экземпляров ресурсов Azure.
- Разрешить доступ из доверенных служб Azure (с помощью управления исключениями).
- Настройте исключения для служб ведения журнала и метрик.
Сведения о конечных точках виртуальной сети
Существует два типа конечных точек виртуальной сети для учетных записей хранения:
Конечные точки службы виртуальной сети являются общедоступными и доступными через Интернет. Брандмауэр служба хранилища Azure предоставляет возможность управления доступом к учетной записи хранения через такие общедоступные конечные точки. При включении доступа к общедоступной сети к учетной записи хранения все входящие запросы данных блокируются по умолчанию. Доступ к данным сможет получить только приложения, запрашивающие данные из разрешенных источников, настроенных в параметрах брандмауэра учетной записи хранения. Источники могут включать исходный IP-адрес или подсеть виртуальной сети клиента, службу Azure или экземпляр ресурсов, через который клиенты или службы обращаются к данным. Запросы, которые блокируются, включают их из других служб Azure, из портал Azure и из служб ведения журнала и метрик, если вы явно не разрешаете доступ в конфигурации брандмауэра.
Частная конечная точка использует частный IP-адрес из виртуальной сети для доступа к учетной записи хранения через магистральную сеть Майкрософт. При использовании частной конечной точки трафик между виртуальной сетью и учетной записью хранения защищены через приватный канал. Правила брандмауэра хранилища применяются только к общедоступным конечным точкам учетной записи хранения, а не к частным конечным точкам. Процесс утверждения создания частной конечной точки предоставляет неявный доступ к трафику из подсети, в которой размещается эта частная конечная точка. Политики сети можно использовать для управления трафиком частных конечных точек, если требуется уточнить правила доступа. Если вы хотите использовать исключительно частные конечные точки, можно использовать брандмауэр для блокировки доступа через общедоступную конечную точку.
Сведения о том, когда следует использовать каждую конечную точку в вашей среде, см. в статье "Сравнение частных конечных точек и конечных точек службы".
Как приблизиться к сетевой безопасности для учетной записи хранения
Чтобы защитить учетную запись хранения и создать безопасную сетевую границу для приложений:
Сначала отключите весь доступ к общедоступной сети для учетной записи хранения в параметре доступа к общедоступной сети в брандмауэре учетной записи хранения.
По возможности настройте частные ссылки на учетную запись хранения из частных конечных точек в подсетях виртуальной сети, где клиенты находятся, для которых требуется доступ к данным.
Если клиентским приложениям требуется доступ через общедоступные конечные точки, измените параметр доступа к общедоступной сети на "Включено" из выбранных виртуальных сетей и IP-адресов. Затем, по мере необходимости:
- Укажите подсети виртуальной сети, из которых требуется разрешить доступ.
- Укажите диапазоны общедоступных IP-адресов клиентов, из которых требуется разрешить доступ, например локальные сети.
- Разрешение доступа из выбранных экземпляров ресурсов Azure.
- Добавьте исключения, чтобы разрешить доступ из доверенных служб, необходимых для таких операций, как резервное копирование данных.
- Добавьте исключения для ведения журнала и метрик.
После применения правил сети они применяются для всех запросов. Маркеры SAS, предоставляющие доступ к конкретному IP-адресу, служат для ограничения доступа владельца маркера, но они не предоставляют новый доступ за пределами настроенных сетевых правил.
Периметр безопасности сети (предварительная версия)
Периметр безопасности сети (предварительная версия) позволяет организациям определять границу логической изоляции сети для ресурсов PaaS (например, Хранилище BLOB-объектов Azure и База данных SQL), развернутых за пределами своих виртуальных сетей. Эта функция ограничивает доступ к ресурсам PaaS за пределами периметра. Однако вы можете исключить доступ с помощью явных правил доступа для общедоступного входящего и исходящего трафика. При проектировании доступ к учетной записи хранения из периметра сетевой безопасности имеет наивысший приоритет над другими ограничениями доступа к сети.
В настоящее время периметр безопасности сети находится в общедоступной предварительной версии для БОЛЬШИХ двоичных объектов Azure, Файлы Azure (REST), таблиц Azure и очередей Azure. См . переход к периметру безопасности сети.
Внимание
Трафик частной конечной точки считается высокозащищенным и поэтому не подлежит правилам периметра безопасности сети. Все остальные трафик, включая доверенные службы, будут подвергаться правилам периметра безопасности сети, если учетная запись хранения связана с периметром.
Ограничения
Эта предварительная версия не поддерживает следующие службы, операции и протоколы в учетной записи хранения:
- Репликация объектов для Хранилище BLOB-объектов Azure
- Управление жизненным циклом для Хранилище BLOB-объектов Azure
- Протокол передачи файлов SSH (SFTP) по Хранилище BLOB-объектов Azure
- Протокол сетевой файловой системы (NFS) с Хранилище BLOB-объектов Azure и Файлы Azure.
- Протокол блока сообщений сервера (SMB) с Файлы Azure можно достичь только через список разрешений IP-адресов в настоящее время.
- Инвентаризация BLOB-объектов Azure
Рекомендуется не включить периметр безопасности сети, если вам нужно использовать какие-либо из этих служб, операций или протоколов. Это позволяет предотвратить потенциальную потерю данных или риск кражи данных.
Предупреждение
Для учетных записей хранения, связанных с периметром безопасности сети, для обеспечения работы сценариев управляемых клиентом ключей (CMK) убедитесь, что Azure Key Vault доступен из периметра, к которому связана учетная запись хранения.
Связывание периметра безопасности сети с учетной записью хранения
Чтобы связать периметр безопасности сети с учетной записью хранения, следуйте этим общим инструкциям для всех ресурсов PaaS.
Ограничения и рекомендации
Перед реализацией сетевой безопасности для учетных записей хранения ознакомьтесь с важными ограничениями и рекомендациями, рассмотренными в этом разделе.
- служба хранилища Azure правила брандмауэра применяются только к операциям плоскости данных. Операции плоскости управления не применяются к ограничениям, указанным в правилах брандмауэра.
- Просмотрите ограничения для правил IP-сети.
- Чтобы получить доступ к данным с помощью таких средств, как портал Azure, служба хранилища Azure Explorer и AzCopy, необходимо находиться на компьютере в пределах доверенной границы, которая устанавливается при настройке правил безопасности сети.
- Правила сети применяются ко всем сетевым протоколам для служба хранилища Azure, включая REST и SMB.
- Правила сети не влияют на трафик диска виртуальной машины, включая операции подключения и отключение операций ввода-вывода и операций ввода-вывода диска, но они помогают защитить доступ REST к страничных BLOB-объектам.
- Вы можете использовать неуправляемые диски в учетных записях хранения с правилами сети, применяемыми для резервного копирования и восстановления виртуальных машин, создав исключение. Исключения брандмауэра не применимы к управляемым дискам, так как Azure уже управляет ими.
- Классические учетные записи хранения не поддерживают брандмауэры и виртуальные сети.
- Если удалить подсеть, включенную в правило виртуальной сети, она будет удалена из сетевых правил для учетной записи хранения. При создании новой подсети с тем же именем он не будет иметь доступа к учетной записи хранения. Чтобы разрешить ей доступ, необходимо явно авторизовать новую подсеть в правилах сети для учетной записи хранения.
- При ссылке на конечную точку службы в клиентском приложении рекомендуется избегать использования зависимостей от кэшированного IP-адреса. IP-адрес учетной записи хранения может быть изменен, и использование кэшированного IP-адреса может привести к непредвиденному поведению. Кроме того, рекомендуется учитывать время жизни (TTL) записи DNS и не переопределять ее. Переопределение срока жизни DNS может привести к неожиданному поведению.
- По умолчанию доступ к учетной записи хранения из доверенных служб имеет высший приоритет над другими ограничениями сетевого доступа. Если вы настроили доступ к общедоступной сети отключенным после ранее заданного значения "Включено" из выбранных виртуальных сетей и IP-адресов, все экземпляры ресурсов и исключения, настроенные ранее, включая разрешение служб Azure в списке доверенных служб для доступа к этой учетной записи хранения, останутся в силе. В результате эти ресурсы и службы могут по-прежнему иметь доступ к учетной записи хранения.
Авторизация
Клиенты, которым предоставлен доступ через сетевые правила, должны продолжать соответствовать требованиям авторизации учетной записи хранения для доступа к данным. Авторизация поддерживается с учетными данными Microsoft Entra для больших двоичных объектов и очередей, с допустимым ключом доступа к учетной записи или маркером подписанного URL-адреса (SAS).
При настройке контейнера BLOB-объектов для анонимного общедоступного доступа запросы на чтение данных в этом контейнере не нужно авторизовать, но правила брандмауэра остаются в силе и будут блокировать анонимный трафик.
Изменение сетевого правила доступа по умолчанию
По умолчанию учетные записи хранения принимают запросы на подключение от клиентов в сети. Вы можете ограничить доступ к выбранным сетям или запретить трафик из всех сетей и разрешить доступ только через частную конечную точку.
Необходимо задать правило по умолчанию, чтобы запретить, или сетевые правила не влияют. Однако изменение этого параметра может повлиять на возможность подключения приложения к служба хранилища Azure. Перед изменением этого параметра не забудьте предоставить доступ к любым разрешенным сетям или настроить доступ через частную конечную точку.
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.
Перейдите к учетной записи хранения, которую нужно защитить.
В меню службы в разделе "Безопасность и сеть" выберите "Сеть".
Выберите, какой сетевой доступ включен через общедоступную конечную точку учетной записи хранения:
Выберите из всех сетей или включено из выбранных виртуальных сетей и IP-адресов. Если выбрать второй вариант, вам будет предложено добавить виртуальные сети и диапазоны IP-адресов.
Чтобы ограничить входящий доступ, разрешая исходящий доступ, выберите "Отключено".
Нажмите кнопку Сохранить, чтобы применить изменения.
Предоставление доступа из виртуальной сети
Вы можете настроить учетные записи хранения таким образом, чтобы они разрешали доступ только из определенных подсетей. Допустимые подсети могут принадлежать виртуальной сети в той же подписке или другой подписке, включая те, которые принадлежат другому клиенту Microsoft Entra. С конечными точками службы между регионами разрешенные подсети также могут находиться в разных регионах из учетной записи хранения.
Вы можете включить конечную точку службы для служба хранилища Azure в виртуальной сети. Конечная точка службы направляет трафик из виртуальной сети через оптимальный путь к службе служба хранилища Azure. В каждом запросе также передаются удостоверения подсети и виртуальной сети. Затем администраторы могут настроить сетевые правила для учетной записи хранения, которая позволяет получать запросы из определенных подсетей в виртуальной сети. Клиенты, которым предоставлен доступ по этим сетевым правилам, по прежнему должны выполнять требования авторизации учетной записи хранения, чтобы получать доступ к данным.
Каждая учетная запись хранения поддерживает до 400 правил виртуальной сети. Эти правила можно объединить с правилами IP-сети.
Внимание
При ссылке на конечную точку службы в клиентском приложении рекомендуется избегать использования зависимостей от кэшированного IP-адреса. IP-адрес учетной записи хранения может быть изменен, и использование кэшированного IP-адреса может привести к непредвиденному поведению.
Кроме того, рекомендуется учитывать время жизни (TTL) записи DNS и не переопределять ее. Переопределение срока жизни DNS может привести к неожиданному поведению.
Необходимые разрешения
Чтобы применить правило виртуальной сети к учетной записи хранения, пользователь должен иметь соответствующие разрешения для добавляемых подсетей. Участник учетной записи хранения или пользователь, имеющий разрешение на Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action
операцию поставщика ресурсов Azure, может применять правило с помощью настраиваемой роли Azure.
Учетная запись хранения и виртуальные сети, которые получают доступ, могут находиться в разных подписках, включая подписки, которые являются частью другого клиента Microsoft Entra.
Настройка правил, которые предоставляют доступ к подсетям в виртуальных сетях, которые являются частью другого клиента Microsoft Entra, в настоящее время поддерживаются только с помощью PowerShell, Azure CLI и REST API. Такие правила нельзя настроить с помощью портал Azure, хотя их можно просмотреть на портале.
служба хранилища Azure конечные точки службы между регионами
Конечные точки службы между регионами для служба хранилища Azure стали общедоступными в апреле 2023 года. Они работают между виртуальными сетями и экземплярами службы хранилища в любом регионе. С конечными точками службы между регионами подсети больше не используют общедоступный IP-адрес для обмена данными с любой учетной записью хранения, в том числе с другими регионами. Вместо этого весь трафик из подсетей в учетные записи хранения использует частный IP-адрес в качестве исходного IP-адреса. В результате все учетные записи хранения, использующие правила IP-сети для разрешения трафика из этих подсетей, больше не влияют.
Настройка конечных точек службы между виртуальными сетями и экземплярами служб в парном регионе может быть важной частью плана аварийного восстановления. Конечные точки служб обеспечивают непрерывность работы при отработке регионального отказа, а также доступ на чтение к экземплярам геоизбыточного хранилища (RA-GRS). Правила сети, предоставляющие доступ к учетной записи хранения из виртуальной сети, также предоставляют доступ к любому экземпляру RA-GRS.
При планировании аварийного восстановления во время регионального сбоя создайте виртуальные сети в парном регионе заранее. Включите конечные точки для службы хранилища Azure с применением сетевых правил, разрешающих доступ из этих альтернативных виртуальных сетей. Затем примените эти правила к учетным записям своего геоизбыточного хранилища.
Локальные и межрегионные конечные точки службы не могут сосуществовать в одной подсети. Чтобы заменить существующие конечные точки службы несколькими регионами, удалите существующие Microsoft.Storage
конечные точки и повторно создайте их в виде конечных точек между регионами (Microsoft.Storage.Global
).
Управление виртуальными сетями и правилами доступа
Вы можете управлять виртуальными сетями и правилами доступа для учетных записей хранения с помощью портал Azure, PowerShell или Azure CLI версии 2.
Если вы хотите включить доступ к учетной записи хранения из виртуальной сети или подсети в другом клиенте Microsoft Entra, необходимо использовать PowerShell или Azure CLI. Портал Azure не отображает подсети в других клиентах Microsoft Entra.
Перейдите к учетной записи хранения, для которой требуется настроить правила виртуальной сети и доступа.
В меню службы в разделе "Безопасность и сеть" выберите "Сеть".
Убедитесь, что вы решили включить доступ к общедоступной сети из выбранных виртуальных сетей и IP-адресов.
Чтобы предоставить доступ к виртуальной сети с помощью нового правила сети, в разделе "Виртуальные сети" выберите " Добавить существующую виртуальную сеть". Выберите параметры виртуальных сетей и подсетей, а затем нажмите кнопку "Добавить". Чтобы создать виртуальную сеть и предоставить ей доступ, нажмите Добавить новую виртуальную сеть. Укажите необходимые сведения для создания новой виртуальной сети и нажмите кнопку "Создать". В настоящее время во время создания правила отображаются только виртуальные сети, принадлежащие одному клиенту Microsoft Entra. Чтобы предоставить доступ к подсети в виртуальной сети, принадлежащую другому клиенту, используйте PowerShell, Azure CLI или REST API.
Чтобы удалить правило виртуальной сети или подсети, выберите многоточие (...), чтобы открыть контекстное меню для виртуальной сети или подсети, а затем нажмите кнопку "Удалить".
Нажмите кнопку Сохранить, чтобы применить изменения.
Внимание
Если удалить подсеть, включенную в правило сети, она будет удалена из правил сети для учетной записи хранения. При создании новой подсети с тем же именем он не будет иметь доступа к учетной записи хранения. Чтобы разрешить ей доступ, необходимо явно авторизовать новую подсеть в правилах сети для учетной записи хранения.
Предоставление доступа из диапазона IP-адресов в Интернете
Сетевые правила для IP-адресов можно использовать для предоставления доступа с конкретных общедоступных диапазонов IP-адресов в Интернете. Каждая учетная запись хранения поддерживает до 400 правил. Эти правила предоставляют доступ к определенным интернет-службам и локальным сетям и блокируют общий интернет-трафик.
Ограничения для правил IP-сети
Следующие ограничения применяются к диапазонам IP-адресов:
Сетевые правила для IP-адресов можно применять только для общедоступных IP-адресов в Интернете.
Диапазоны IP-адресов, зарезервированные для частных сетей (как определено в документе RFC 1918), запрещено использовать в правилах IP. Частные сети включают адреса, начинающиеся с 10, 172.16 до 172.31 и 192.168.
Необходимо предоставить допустимые диапазоны адресов Интернета с помощью нотации CIDR в форме 16.17.18.0/24 или в качестве отдельных IP-адресов, таких как 16.17.18.19.
Небольшие диапазоны адресов, использующие размеры префикса /31 или /32, не поддерживаются. Настройте эти диапазоны с помощью отдельных правил IP-адресов.
Для настройки правил брандмауэра хранилища поддерживаются только адреса IPv4.
Внимание
В следующих случаях нельзя использовать правила IP-сети:
- Чтобы ограничить доступ клиентам в том же регионе Azure, что и учетная запись хранения. Правила IP-сети не влияют на запросы, исходящие из того же региона Azure, что и учетная запись хранения. Используйте правила виртуальной сети для разрешения запросов из того же региона.
- Ограничение доступа к клиентам в парном регионе, в виртуальной сети с конечной точкой службы.
- Чтобы ограничить доступ службам Azure, развернутым в том же регионе, что и учетная запись хранения. Службы, развернутые в том же регионе, что и учетная запись хранения, используют для связи частные IP-адреса Azure. Таким образом, вы не можете ограничить доступ к определенным службам Azure на основе диапазона общедоступных исходящих IP-адресов.
Настройка доступа из локальных сетей
Чтобы предоставить доступ из локальных сетей к учетной записи хранения с помощью правила IP-сети, необходимо определить IP-адреса, которые используются в сети. За помощью обращайтесь к администратору сети.
Если вы используете Azure ExpressRoute из локальной среды, необходимо определить IP-адреса NAT, используемые для пиринга Майкрософт. Поставщик услуг или клиент предоставляют IP-адреса NAT.
Чтобы разрешить доступ к ресурсам службы, необходимо разрешить эти общедоступные IP-адреса в параметре брандмауэра для IP-адресов ресурсов.
Управление правилами IP-сети
Вы можете управлять правилами IP-сети для учетных записей хранения с помощью портал Azure, PowerShell или Azure CLI версии 2.
Перейдите к учетной записи хранения, для которой требуется управлять правилами IP-сети.
В меню службы в разделе "Безопасность и сеть" выберите "Сеть".
Убедитесь, что вы решили включить доступ к общедоступной сети из выбранных виртуальных сетей и IP-адресов.
Чтобы предоставить доступ к диапазону IP-адресов в Интернете, введите IP-адрес или диапазон адресов (в формате CIDR) в разделе Брандмауэр>Диапазон адресов.
Чтобы удалить правило IP-сети, щелкните значок удаления ( ) рядом с диапазоном адресов.
Нажмите кнопку Сохранить, чтобы применить изменения.
Предоставление доступа из экземпляров ресурсов Azure
В некоторых случаях приложение может зависеть от ресурсов Azure, которые не могут быть изолированы через виртуальную сеть или правило IP-адреса. Но вы по-прежнему хотите защитить и ограничить доступ учетной записи хранения только к ресурсам Azure приложения. Вы можете настроить учетные записи хранения, чтобы разрешить доступ к определенным экземплярам ресурсов доверенных служб Azure, создав правило экземпляра ресурса.
Назначения ролей Azure экземпляра ресурса определяют типы операций, которые экземпляр ресурса может выполнять в данных учетной записи хранения. Экземпляры ресурсов должны находиться в том же клиенте, что и учетная запись хранения, но они могут принадлежать любой подписке в клиенте.
В портал Azure можно добавить или удалить правила сети ресурсов:
Войдите на портал Azure.
Найдите учетную запись хранения и отобразите общие сведения о ней.
В меню службы в разделе "Безопасность и сеть" выберите "Сеть".
Убедитесь, что вы решили включить доступ к общедоступной сети из выбранных виртуальных сетей и IP-адресов.
Прокрутите вниз, чтобы найти экземпляры ресурсов. В раскрывающемся списке "Тип ресурса" выберите тип ресурса экземпляра ресурса.
В раскрывающемся списке имени экземпляра выберите экземпляр ресурса. Вы также можете включить все экземпляры ресурсов в текущий клиент, подписку или группу ресурсов.
Нажмите кнопку Сохранить, чтобы применить изменения. Экземпляр ресурса отображается в разделе "Экземпляры ресурсов" страницы параметров сети.
Чтобы удалить экземпляр ресурса, щелкните значок удаления () рядом с экземпляром ресурса.
Предоставить доступ к доверенным службам Azure
Некоторые службы Azure работают из сетей, которые нельзя включить в правила сети. Вы можете предоставить подмножеству таких доверенных служб Azure доступ к учетной записи хранения, поддерживая сетевые правила для других приложений. Эти доверенные службы будут использовать надежную проверку подлинности для подключения к учетной записи хранения.
Вы можете предоставить доступ доверенным службам Azure, создав исключение сетевого правила. В разделе "Управление исключениями" этой статьи приведены пошаговые инструкции .
Доверенный доступ для ресурсов, зарегистрированных в клиенте Microsoft Entra
Ресурсы некоторых служб могут получить доступ к учетной записи хранения для выбранных операций, таких как запись журналов или выполнение резервных копий. Эти службы должны быть зарегистрированы в подписке, расположенной в том же клиенте Microsoft Entra, что и ваша учетная запись хранения. В следующей таблице описаны каждая служба и разрешенные операции.
Service | Имя поставщика ресурсов | Разрешенные операции |
---|---|---|
Azure Backup | Microsoft.RecoveryServices |
Запуск резервных копий и восстановление неуправляемых дисков в инфраструктуре как услуга (IaaS) виртуальных машин (не требуется для управляемых дисков). Подробнее. |
Azure Data Box | Microsoft.DataBox |
Импортируйте данные в Azure. Подробнее. |
Azure DevTest Labs | Microsoft.DevTestLab |
Создайте пользовательские образы и установите артефакты. Подробнее. |
Сетку событий Azure | Microsoft.EventGrid |
Включите публикацию событий Хранилище BLOB-объектов Azure и разрешить публикацию в очередях хранилища. |
Центры событий Azure | Microsoft.EventHub |
Архивируйте данные с помощью записи центров событий. Подробнее здесь. |
Служба синхронизации файлов Azure | Microsoft.StorageSync |
Преобразуйте локальный файловый сервер в кэш для общих папок Azure. Эта возможность позволяет выполнять синхронизацию нескольких сайтов, быстрое аварийное восстановление и облачное резервное копирование. Подробнее. |
Azure HDInsight | Microsoft.HDInsight |
Подготавливает начальное содержимое файловой системы по умолчанию для нового кластера HDInsight. Подробнее. |
Импорт и экспорт Microsoft Azure | Microsoft.ImportExport |
Импортируйте данные в служба хранилища Azure или экспортируйте данные из служба хранилища Azure. Подробнее. |
Azure Monitor | Microsoft.Insights |
Запись данных мониторинга в безопасную учетную запись хранения, включая журналы ресурсов, Microsoft Defender для конечной точки данные, журналы входа и аудита Microsoft Entra и журналы Microsoft Intune. Подробнее. |
Сетевые службы Azure | Microsoft.Network |
Храните и анализируйте журналы сетевого трафика, включая Наблюдатель за сетями Azure и службы Диспетчер трафика Azure. Подробнее. |
Azure Site Recovery | Microsoft.SiteRecovery |
Включите репликацию для аварийного восстановления виртуальных машин Azure IaaS при использовании кэша, источника или целевой учетной записи хранения с поддержкой брандмауэра. Подробнее. |
Доверенный доступ на основе управляемого удостоверения
В следующей таблице перечислены службы, которые могут получить доступ к данным учетной записи хранения, если экземпляры ресурсов этих служб имеют соответствующее разрешение.
Service | Имя поставщика ресурсов | Характер использования |
---|---|---|
Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Обеспечивает доступ к учетным записям хранения. |
Управление API Azure | Microsoft.ApiManagement/service |
Обеспечивает доступ к учетным записям хранения за брандмауэрами с помощью политик. Подробнее. |
Автономные системы Майкрософт | Microsoft.AutonomousSystems/workspaces |
Обеспечивает доступ к учетным записям хранения. |
Кэш Azure для Redis | Microsoft.Cache/Redis |
Обеспечивает доступ к учетным записям хранения. Подробнее. |
Поиск с использованием ИИ Azure | Microsoft.Search/searchServices |
Обеспечивает доступ к учетным записям хранения для индексирования, обработки и запроса. |
Службы ИИ Azure | Microsoft.CognitiveService/accounts |
Обеспечивает доступ к учетным записям хранения. Подробнее. |
Реестр контейнеров Azure | Microsoft.ContainerRegistry/registries |
С помощью набора задач ACR предоставляет доступ к учетным записям хранения при создании образов контейнеров. |
Управление затратами Microsoft | Microsoft.CostManagementExports |
Включает экспорт в учетные записи хранения за брандмауэром. Подробнее. |
Azure Databricks | Microsoft.Databricks/accessConnectors |
Обеспечивает доступ к учетным записям хранения. |
Azure Data Factory | Microsoft.DataFactory/factories |
Обеспечивает доступ к учетным записям хранения через среду выполнения Фабрики данных. |
Хранилище службы Azure Backup | Microsoft.DataProtection/BackupVaults |
Обеспечивает доступ к учетным записям хранения. |
Azure Data Share | Microsoft.DataShare/accounts |
Обеспечивает доступ к учетным записям хранения. |
База данных Azure для PostgreSQL | Microsoft.DBForPostgreSQL |
Обеспечивает доступ к учетным записям хранения. |
Центр Интернета вещей Azure | Microsoft.Devices/IotHubs |
Позволяет записывать данные из Центра Интернета вещей в хранилище BLOB-объектов. Подробнее. |
Azure DevTest Labs | Microsoft.DevTestLab/labs |
Обеспечивает доступ к учетным записям хранения. |
Сетку событий Azure | Microsoft.EventGrid/domains |
Обеспечивает доступ к учетным записям хранения. |
Сетку событий Azure | Microsoft.EventGrid/partnerTopics |
Обеспечивает доступ к учетным записям хранения. |
Сетку событий Azure | Microsoft.EventGrid/systemTopics |
Обеспечивает доступ к учетным записям хранения. |
Сетку событий Azure | Microsoft.EventGrid/topics |
Обеспечивает доступ к учетным записям хранения. |
Microsoft Fabric | Microsoft.Fabric |
Обеспечивает доступ к учетным записям хранения. |
API Azure для здравоохранения | Microsoft.HealthcareApis/services |
Обеспечивает доступ к учетным записям хранения. |
API Azure для здравоохранения | Microsoft.HealthcareApis/workspaces |
Обеспечивает доступ к учетным записям хранения. |
Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Обеспечивает доступ к учетным записям хранения. |
Управляемый модуль HSM в Azure Key Vault | Microsoft.keyvault/managedHSMs |
Обеспечивает доступ к учетным записям хранения. |
Приложения логики Azure | Microsoft.Logic/integrationAccounts |
Позволяет приложениям логики получать доступ к учетным записям хранения. Подробнее. |
Приложения логики Azure | Microsoft.Logic/workflows |
Позволяет приложениям логики получать доступ к учетным записям хранения. Подробнее. |
Студия машинного обучения Azure | Microsoft.MachineLearning/registries |
Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы в хранилище BLOB-объектов и считывать данные. Подробнее. |
Машинное обучение Azure | Microsoft.MachineLearningServices |
Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы в хранилище BLOB-объектов и считывать данные. Подробнее. |
Машинное обучение Azure | Microsoft.MachineLearningServices/workspaces |
Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы в хранилище BLOB-объектов и считывать данные. Подробнее. |
Службы мультимедиа Azure | Microsoft.Media/mediaservices |
Обеспечивает доступ к учетным записям хранения. |
Служба "Миграция Azure" | Microsoft.Migrate/migrateprojects |
Обеспечивает доступ к учетным записям хранения. |
Пространственные привязки Azure. | Microsoft.MixedReality/remoteRenderingAccounts |
Обеспечивает доступ к учетным записям хранения. |
Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Обеспечивает доступ к учетным записям хранения. |
Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Обеспечивает доступ к учетным записям хранения. |
Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Обеспечивает доступ к учетным записям хранения. |
Каталог данных Azure | Microsoft.ProjectBabylon/accounts |
Обеспечивает доступ к учетным записям хранения. |
Microsoft Purview | Microsoft.Purview/accounts |
Обеспечивает доступ к учетным записям хранения. |
Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Обеспечивает доступ к учетным записям хранения. |
Центр безопасности | Microsoft.Security/dataScanners |
Обеспечивает доступ к учетным записям хранения. |
Особенность | Microsoft.Singularity/accounts |
Обеспечивает доступ к учетным записям хранения. |
База данных SQL Azure | Microsoft.Sql |
Позволяет записывать данные аудита в учетные записи хранения за брандмауэром. |
Серверы SQL Azure | Microsoft.Sql/servers |
Позволяет записывать данные аудита в учетные записи хранения за брандмауэром. |
Azure Synapse Analytics | Microsoft.Sql |
Позволяет импортировать и экспортировать данные из определенных баз данных SQL с помощью COPY инструкции или PolyBase (в выделенном пуле) или openrowset функции и внешних таблиц в бессерверном пуле. Подробнее. |
Azure Stream Analytics | Microsoft.StreamAnalytics |
Позволяет записывать данные из задания потоковой передачи в хранилище BLOB-объектов. Подробнее. |
Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Позволяет записывать данные из задания потоковой передачи в хранилище BLOB-объектов. Подробнее. |
Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Обеспечивает доступ к данным в служба хранилища Azure. |
Видеоанализатор Azure для медиа | Microsoft.VideoIndexer/Accounts |
Обеспечивает доступ к учетным записям хранения. |
Если у вашей учетной записи нет функции иерархического пространства имен, вы можете предоставить разрешение, явно назначив роль Azure управляемому удостоверению для каждого экземпляра ресурса. В этом случае область доступа для экземпляра соответствует роли Azure, назначенной управляемому удостоверению.
Вы можете использовать тот же метод для учетной записи, в которой включена функция иерархического пространства имен. Однако вам не нужно назначать роль Azure, если вы добавите управляемое удостоверение в список управления доступом (ACL) любого каталога или большого двоичного объекта, содержащего учетную запись хранения. В этом случае область доступа для экземпляра соответствует каталогу или файлу, к которому имеет доступ управляемое удостоверение.
Вы также можете объединить роли Azure и списки управления доступом для предоставления доступа. Дополнительные сведения см. в статье "Модель управления доступом" в Azure Data Lake Storage.
Управление исключениями
В некоторых случаях, например аналитика хранилища, требуется доступ к журналам ресурсов и метрикам за пределами сетевой границы. При настройке доверенных служб для доступа к учетной записи хранения можно разрешить доступ на чтение для файлов журналов, таблиц метрик или обоих, создав исключение правила сети. Исключения правил сети можно управлять с помощью портал Azure, PowerShell или Azure CLI версии 2.
Дополнительные сведения о работе с аналитикой хранилища см. в статье Использование аналитики службы хранилища Azure для сбора данных журналов и метрик.
Перейдите к учетной записи хранения, для которой требуется управлять исключениями.
В меню службы в разделе "Безопасность и сеть" выберите "Сеть".
Убедитесь, что вы решили включить доступ к общедоступной сети из выбранных виртуальных сетей и IP-адресов.
В разделе "Исключения" выберите исключения, которые требуется предоставить.
Нажмите кнопку Сохранить, чтобы применить изменения.
Следующие шаги
- Дополнительные сведения о конечных точках службы сети Azure.
- Ознакомьтесь с рекомендациями по безопасности для хранилища BLOB-объектов Azure.