共用方式為


設定 Azure 儲存體的防火牆和虛擬網路

Azure 儲存體提供分層的安全性模型。 此模型可讓您根據所用網路或資源的類型與子集,控制應用程式及企業環境所需儲存體帳戶的存取層級。

當您設定網路規則時,應用程式必須透過一組指定網路或透過一組指定 Azure 資源要求資料才能存取儲存體帳戶。 您可以限制只有來自指定 IP 位址、IP 範圍、Azure 虛擬網路中的子網路或某些 Azure 資源資源執行個體的要求,才能存取您的儲存體帳戶。

儲存體帳戶具有可透過網際網路存取的公用端點。 您也可以為儲存體帳戶建立私人端點。 建立私人端點會將您虛擬網路的私人 IP 位址指派給儲存體帳戶。 這有助於透過私人連結保護您虛擬網路和儲存體帳戶之間的所有流量。

Azure 儲存體防火牆會為儲存體帳戶的公用端點提供存取控制。 在使用私人端點時,您也可以使用防火牆來封鎖所有透過公用端點的存取。 您的防火牆設定也可讓受信任的 Azure 平台服務存取儲存體帳戶。

應用程式若在網路規則生效時存取儲存體帳戶,則對於要求仍須有適當的授權。 授權支援包括針對 Blob、資料表、檔案共用和佇列的 Microsoft Entra 認證、有效帳戶存取金鑰,或是共用存取簽章 (SAS) 權杖。 當您將 Blob 容器設為允許匿名存取時,要求讀取該容器中的資料不需要獲得授權。 防火牆規則會維持有效狀態,並封鎖匿名流量。

開啟儲存體帳戶的防火牆規則會預設封鎖傳入的資料要求,除非要求源自 Azure 虛擬網路內運作的服務或源自允許的公用 IP位址。 封鎖的要求包括來自其他 Azure 服務、Azure 入口網站及記錄與計量服務。

您可以透過允許流量來自裝載服務執行個體的子網路,將存取權授與從虛擬網路內執行的 Azure 服務。 您也可以透過本文所述的例外狀況機制來啟用數目有限的案例。 若要透過 Azure 入口網站從儲存體帳戶存取資料,您所用的機器必須位於已設定的信任界限 (IP 或虛擬網路) 內。

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 若要開始使用,請參閱安裝 Azure PowerShell (部分機器翻譯)。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az

案例

若要保護您的儲存體帳戶,您應該先設定規則,以根據預設,拒絕存取公用端點上來自所有網路的流量 (包括網際網路流量)。 然後,您應該設定規則,以授與特定虛擬網路中流量的存取權。 您也可以設定規則,授與存取所選取公用網際網路 IP 位址範圍中流量的權限,這會啟用來自特定網際網路或內部部署用戶端的連線。 此設定可協助您為應用程式設定安全的網路界限。

您可以合併防火牆規則,允許從特定的虛擬網路進行存取,以及從相同儲存體帳戶上的公用 IP 位址範圍進行存取。 您可以將防火牆規則套用到現有的儲存體帳戶,或在您建立新的儲存體帳戶時套用。

儲存體防火牆規則適用於儲存體帳戶的公用端點。 您不需要任何防火牆存取規則來允許儲存體帳戶的私人端點流量。 核准建立私用端點的程序會授與隱含的權限,存取來自子網路 (私人端點裝載所在) 的流量。

重要

Azure 儲存體防火牆規則僅適用於資料平面作業。 控制平面作業不遵循防火牆規則中指定的限制。

某些作業 (例如 Blob 容器作業) 可同時透過控制平面和資料平面執行。 因此,如果您嘗試從 Azure 入口網站執行列出容器等作業,作業將會成功,除非遭到另一個機制封鎖。 嘗試從應用程式 (例如 Azure 儲存體總管) 存取 Blob 資料時會受制於防火牆的限制。

如需資料平面作業的清單,請參閱 Azure 儲存體 REST API 參考。 如需控制平面作業的清單,請參閱 Azure 儲存體資源提供者 REST API 參考

設定 Azure 儲存體的網路存取

您可以透過網路端點控制儲存體帳戶中的資料存取,或透過受信任服務或資源的任意組合來控制資料存取,包括:

關於虛擬網路端點

儲存體帳戶的虛擬網路端點有兩種類型:

虛擬網路服務端點是公用的,可透過網際網路存取。 Azure 儲存體防火牆可用於控制透過這類公用端點對儲存體帳戶的存取。 當您啟用儲存體帳戶的公用網路存取權時,系統預設會封鎖資料的所有傳入要求。 只有透過儲存體帳戶防火牆設定中允許來源要求資料的應用程式能夠存取您的資料。 來源可包含用戶端的來源 IP 位址或虛擬網路子網路,或是用戶端或服務用來存取您資料的 Azure 服務或資源執行個體。 封鎖的要求包括來自其他 Azure 服務、Azure 入口網站,以及記錄和計量服務的要求,除非您在防火牆設定中明確允許存取。

私人端點會使用來自虛擬網路的私人 IP 位址,透過 Microsoft 骨幹網路存取儲存體帳戶。 使用私人端點時,虛擬網路與儲存體帳戶之間的流量會透過私人連結受到保護。 儲存體防火牆規則只能適用於儲存體帳戶的公用端點,而非私人端點。 核准建立私用端點的程序會授與隱含的權限,存取來自子網路 (私人端點裝載所在) 的流量。 如果您想要精簡存取規則,您可以使用網路原則來控制私人端點的流量。 如果您想要僅使用私人端點,可以使用防火牆封鎖所有透過公用端點的存取。

如需每種端點類型在環境中的使用時機介紹,請參閱比較私人端點和服務端點

如何實現儲存體帳戶的網路安全性

若要保護您的儲存體帳戶,並為應用程式建置安全的網路界限,請遵循下列步驟:

  1. 首先,在儲存體帳戶防火牆的 [公用網路存取] 設定下,停用儲存體帳戶的所有公用網路存取。

  2. 在可能的情況下,針對需存取資料的用戶端所在虛擬網路子網路上的私人端點來源,請設定其與儲存體帳戶的私人連結。

  3. 如果用戶端應用程式需要透過公用端點存取,請將 [公用網路存取] 設定變更為 [已從選取的虛擬網路和 IP 位址啟用]。 接著視需要執行下列步驟:

    1. 指定您想要允許其存取的虛擬網路子網路。
    2. 指定您要允許其存取的用戶端公用 IP 位址範圍,例如內部部署網路上的用戶端。
    3. 允許從選取的 Azure 資源執行個體存取。
    4. 新增例外狀況,以允許備份資料等作業所需受信任服務的存取。
    5. 新增記錄和計量的例外狀況。

套用網路規則之後,系統會對所有要求強制執行這些規則。 授與特定 IP 位址存取權的 SAS 權杖是用來限制權杖持有者的存取權,但不會為其授與已設定網路規則以外的新存取權。

網路安全性周邊 (預覽)

網路安全性周邊(預覽版)可讓組織為部署在其虛擬網路外部的 PaaS 資源(例如,Azure Blob 儲存體 和 SQL 資料庫)定義邏輯網路隔離界限。 此功能會限制對周邊外部 PaaS 資源的公用網路存取。 不過,您可以使用公用輸入和輸出流量的明確存取規則來豁免存取。 根據設計,從網路安全性周邊存取記憶體帳戶的優先順序高於其他網路存取限制。

目前,Azure Blob、Azure 檔案儲存體、Azure 數據表和 Azure 佇列的網路安全性周邊處於公開預覽狀態。 請參閱 轉換至網路安全性周邊

您可以在這裡找到已上線至網路安全性周邊的服務清單。

對於尚未上線至網路安全性周邊的此清單上的服務,如果您想要允許存取,您可以在網路安全性周邊上使用以訂用帳戶為基礎的規則。 然後,該訂用帳戶內的所有資源都會獲得該網路安全性周邊的存取權。 如需有關新增訂用帳戶型存取規則的詳細資訊,請參閱 這裡

重要

私人端點流量被視為高度安全,因此不受網路安全性周邊規則約束。 如果記憶體帳戶與周邊相關聯,所有其他流量,包括受信任的服務,將受限於網路安全性周邊規則。

限制

此預覽版不支援記憶體帳戶上的下列服務、作業和通訊協定:

如果您需要使用上述任何服務、作業或通訊協議,建議您不要啟用網路安全性周邊。 這是為了防止任何潛在的數據遺失或數據外泄風險。

警告

針對與網路安全性周邊相關聯的記憶體帳戶,為了讓客戶管理的密鑰 (CMK) 案例能夠運作,請確定可從記憶體帳戶相關聯的周邊存取 Azure 金鑰保存庫。

建立網路安全性周邊與記憶體帳戶的關聯

若要將網路安全性周邊與記憶體帳戶產生關聯,請遵循所有 PaaS 資源的常見 指示

限制與考量

在實作儲存體帳戶的網路安全性之前,請先檢閱本節中討論的重要限制和考量事項。

  • Azure 儲存體防火牆規則僅適用於資料平面作業。 控制平面作業不遵循防火牆規則中指定的限制。
  • 檢閱 IP 網路規則的限制
  • 若要使用 Azure 入口網站、Azure 儲存體總管和 AzCopy 等工具來存取資料,您必須使用網路安全性規則設定時所建立受信任界限內的機器。
  • Azure 儲存體的所有網路通訊協定都會執行網路規則,包括 REST 和 SMB。
  • 網路規則不會影響虛擬機器 (VM) 磁碟流量,包括掛接和解除掛接作業和磁碟 I/O,但確實有助於保護針對分頁 Blob 的 REST 存取。
  • 您可以藉由建立例外狀況,使用儲存體帳戶中的非受控磁碟與已套用的網路規則來備份和還原 VM。 防火牆例外狀況不適用於受控磁碟,因為這些磁碟是由 Azure 管理。
  • 傳統的儲存體帳戶不支援防火牆與虛擬網路。
  • 如果您刪除虛擬網路規則中所包含的子網路,則會從儲存體帳戶的網路規則中將其移除。 如果您以相同名稱建立新的子網路,將無法存取儲存體帳戶。 若要允許存取,您必須在儲存體帳戶的網路規則中明確授權新的子網路。
  • 在用戶端應用程式中參考服務端點時,建議您避免相依於快取的 IP 位址。 儲存體帳戶的 IP 位址可能會變更,依賴快取的 IP 位址可能會導致非預期的行為。 此外,建議您接受 DNS 記錄的存留時間 (TTL),並避免將其覆寫。 覆寫 DNS TTL 可能會導致非預期的行為。
  • 根據設計,從受信任服務存取儲存體帳戶的優先順序皆高於其他網路存取限制。 如果您先前將 [公用網路存取] 設定為 [已從選取的虛擬網路和 IP 位址啟用] 之後,又將其設定為 [已停用],則您先前設定的任何資源執行個體例外狀況 (包括允許受信任服務清單上的 Azure 服務存取此儲存體帳戶) 將仍然有效。 因此,這些資源和服務可能仍可存取儲存體帳戶。

授權

透過網路規則授與存取權的用戶端必須持續符合儲存體帳戶的授權需求,才能存取資料。 授權支援包括針對 Blob 和佇列的 Microsoft Entra 認證、有效帳戶存取金鑰,或是共用存取簽章 (SAS) 權杖。

當您將 Blob 容器設定為匿名公用存取時,讀取該容器中資料的要求不需要獲得授權,但是防火牆規則仍會保持有效,並且會封鎖匿名流量。

變更預設的網路存取規則

根據預設,儲存體帳戶接受來自任何網路用戶端的連線。 您可以限制對所選網路的存取,防止來自所有網路的流量,並只允許透過私人端點進行存取。

預設規則必須設為 [拒絕],否則網路規則不會生效。 但變更此設定可能會影響應用程式連線至 Azure 儲存體的能力。 在您變更此設定之前,請務必授與任何允許網路的存取權,或透過私人端點設定存取權。

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 若要開始使用,請參閱安裝 Azure PowerShell (部分機器翻譯)。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az

  1. 移至您要保護的儲存體帳戶。

  2. 在服務功能表的 [安全性 + 網路] 下方,選取 [網路]

  3. 選擇透過記憶體帳戶的公用端點啟用的網路存取:

    • 選取 [從所有網络啟用] 或 [從選取的虛擬網络和IP 位址啟用]。 如果您選取第二個選項,系統會提示您新增虛擬網路和IP位址範圍。

    • 若要在允許輸出存取時限制輸入存取,請選取 [ 已停用]。

  4. 選取儲存套用變更。

授與虛擬網路存取權

您可以將儲存體帳戶設定為只允許從特定子網路進行存取。 允許的子網路可以屬於相同訂用帳戶或不同訂用帳戶的虛擬網路,包括屬於不同 Microsoft Entra 租用戶。 透過跨區域服務端點,允許的子網路也可以位於儲存體帳戶的不同區域中。

您可以為虛擬網路內的 Azure 儲存體啟用服務端點。 服務端點會透過最佳路徑,將來自虛擬網路的流量路由傳送至 Azure 儲存體服務。 子網路和虛擬網路的身分識別也會隨著每個要求傳輸。 管理員接著可以設定儲存體帳戶的網路規則,允許接收來自虛擬網路中特定子網路的要求。 透過這些網路規則授與存取權的用戶端必須繼續符合儲存體帳戶的授權需求,才能存取資料。

每個儲存體帳戶最多支援 400 個虛擬網路規則。 您可以將這些規則結合 IP 網路規則

重要

在用戶端應用程式中參考服務端點時,建議您避免相依於快取的 IP 位址。 儲存體帳戶的 IP 位址可能會變更,依賴快取的 IP 位址可能會導致非預期的行為。

此外,建議您接受 DNS 記錄的存留時間 (TTL),並避免將其覆寫。 覆寫 DNS TTL 可能會導致非預期的行為。

所需的權限

為將虛擬網路規則套用至儲存體帳戶,使用者必須具備待新增子網路的適當權限。 儲存體帳戶參與者或是具有 Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure 資源提供者作業權限的使用者可使用自訂 Azure 角色來套用規則。

取得存取權的儲存體帳戶和虛擬網路可以位於不同的訂用帳戶,包括屬於不同 Microsoft Entra 租用戶的訂用帳戶。

若要授權存取虛擬網路中的子網路,且這些虛擬網路屬於不同的 Microsoft Entra 租用戶,目前只支援透過 PowerShell、Azure CLI 和 REST API 設定規則。 您無法透過 Azure 入口網站設定這類規則,但可以在入口網站中檢視這些規則。

Azure 儲存體跨區域服務端點

Azure 儲存體的跨區域服務端點將於 2023 年 4 月正式推出。 這些端點可支援虛擬網路和儲存體服務執行個體之間的通訊,不受區域限制。 使用跨區域服務端點時,子網路將不再使用公用 IP 位址與儲存體帳戶通訊,包括位於另一個區域中的儲存體帳戶。 反之,從子網路到儲存體帳戶的所有流量都會使用私人 IP 位址作為來源 IP。 因此,任何儲存體帳戶若使用 IP 網路規則允許來自那些子網路的流量,將不再生效。

配對區域中設定虛擬網路和服務執行個體之間的服務端點,可能是災害復原計劃的重要環節。 服務端點可在地區性容錯移轉期間維持持續性,而且能讓您存取唯讀的異地備援儲存體 (RA-GRS) 執行個體。 將虛擬網路存取權授與儲存體帳戶的網路規則,也會將存取權授與任何 RA-GRS 執行個體。

在規劃區域性中斷期間的災害復原時,請先在配對區域中建立虛擬網路。 為 Azure 儲存體啟用服務端點,並設定網路規則,以允許從這些替代虛擬網路進行存取。 然後將這些規則套用至您的異地備援儲存體帳戶。

本機和跨區域服務端點無法共存於相同的子網路上。 若要以跨區域端點取代現有的服務端點,請刪除現有的 Microsoft.Storage 端點,並將其重新建立為跨區域端點 (Microsoft.Storage.Global)。

管理虛擬網路和存取規則

您可以透過 Azure 入口網站、PowerShell 或 Azure CLI v2 來管理記憶體帳戶的虛擬網路和存取規則。

如果您想要從另一個 Microsoft Entra 租用戶中的虛擬網路或子網路存取儲存體帳戶,您必須使用 PowerShell 或 Azure CLI。 Azure 入口網站 不會在其他Microsoft Entra 租用戶中顯示子網。

  1. 移至您要設定虛擬網路和存取規則的記憶體帳戶。

  2. 在服務功能表的 [安全性 + 網路] 下方,選取 [網路]

  3. 確認您已選擇從選取的虛擬網路和IP位址啟用公用網路存取。

  4. 若要使用新的網路規則將存取權授與虛擬網路,請在 [虛擬網路] 下選取 [新增現有虛擬網路]。 選取 [虛擬網路] 和 [子網路] 選項,然後選取 [新增]。 若要建立新的虛擬網路並授與存取權,請選取 [新增虛擬網路]。 提供建立新虛擬網路所需的資訊,並選取 [建立]。 目前,只有屬於相同Microsoft Entra 租使用者的虛擬網路才會出現在規則建立期間進行選取。 若要授與屬於另一個租使用者之虛擬網路中子網的存取權,請使用PowerShell、Azure CLI 或REST API。

  5. 若要移除虛擬網路或子網路規則,請選取省略符號 () 開啟虛擬網路或子網路的快顯功能表,然後選取 [移除]

  6. 選取儲存套用變更。

重要

如果您刪除包含在網路規則中的子網路,則會從儲存體帳戶的網路規則中將其移除。 如果您以相同名稱建立新的子網路,將無法存取儲存體帳戶。 若要允許存取,您必須在儲存體帳戶的網路規則中明確授權新的子網路。

授與網際網路 IP 範圍存取權

您可以使用 IP 網路規則,藉由建立 IP 網路規則,允許從特定公用網際網路 IP 位址範圍進行存取。 每個儲存體帳戶最多支援 400 個規則。 這些規則可將存取權授與特定的網際網路型服務和內部部署網路,並且封鎖一般網際網路流量。

IP 網路規則的限制

下列限制適用於 IP 位址範圍:

  • 只有公用網際網路 IP 位址允許使用 IP 網路規則。

    IP 規則中不允許保留私人網路的 IP 位址範圍 (如 RFC 1918 中所定義)。 私人網路包括以 10、172.16 到 172.31 以及 192.168 開頭的位址。

  • 允許的網際網路位址範圍必須使用 16.17.18.0/24 格式的 CIDR 標記法,或 16.17.18.19 等個別 IP 位址來提供。

  • 不支援使用 /31 或 /32 前置詞大小的小型位址範圍。 使用個別 IP 位址規則設定這些範圍。

  • 設定儲存體防火牆規則時僅支援 IPv4 位址。

重要

在下列情況中,您無法使用 IP 網路規則:

  • 限制存取與儲存體帳戶位於相同 Azure 區域中的用戶端。 IP 網路規則不會影響源自儲存體帳戶所在 Azure 區域的要求。 使用虛擬網路規則來允許同一個區域的要求。
  • 限制存取配對區域中的用戶端,其位於具有服務端點的虛擬網路中。
  • 限制存取部署在與儲存體帳戶相同區域中的 Azure 服務。 在與儲存體帳戶相同的地區部署的服務,使用私人 Azure IP 位址進行通訊。 因此,您無法根據其公用輸出 IP 位址範圍來限制對特定 Azure 服務的存取。

設定內部部署網路存取權

若要使用 IP 網路規則將內部部署網路存取權授與儲存體帳戶,您必須識別網路所使用的網際網路對應 IP 位址。 請連絡網路系統管理員尋求協助。

如果您是從內部部署使用 Azure ExpressRoute,則必須識別用於 Microsoft 對等互連的 NAT IP 位址。 服務提供者或客戶會提供 NAT IP 位址。

若要允許存取您的服務資源,您必須在資源 IP 的防火牆設定中允許這些公用 IP 位址。

管理 IP 網路規則

您可以透過 Azure 入口網站、PowerShell 或 Azure CLI v2 管理儲存體帳戶的 IP 網路規則。

  1. 移至您要管理IP網路規則的記憶體帳戶。

  2. 在服務功能表的 [安全性 + 網路] 下方,選取 [網路]

  3. 確認您已選擇從選取的虛擬網路和IP位址啟用公用網路存取。

  4. 若要授與網際網路 IP 範圍的存取權,請在 [防火牆]>[位址範圍] 之下輸入 IP 位址或位址範圍 (採用 CIDR 格式)。

  5. 若要移除 IP 網路規則,請選取位址範圍旁的刪除圖示 ()。

  6. 選取儲存套用變更。

從 Azure 資源執行個體授與存取權

在某些情況下,應用程式可能相依於無法透過虛擬網路或 IP 位址規則隔離的 Azure 資源。 但您仍想保護和限制儲存體帳戶只能存取您應用程式的 Azure 資源。 您可以藉由建立資源執行個體規則,將儲存體帳戶設定為允許存取受信任 Azure 服務的特定資源執行個體。

資源執行個體的 Azure 角色指派會決定資源執行個體可以在儲存體帳戶資料上執行的作業類型。 資源執行個體必須來自與您的儲存體帳戶相同的租用戶,但是可以屬於租用戶中的任何訂用帳戶。

您可以在 Azure 入口網站中新增或移除資源網路規則:

  1. 登入 Azure 入口網站

  2. 找出您的儲存體帳戶,然後顯示帳戶概觀。

  3. 在服務功能表的 [安全性 + 網路] 下方,選取 [網路]

  4. 確認您已選擇從選取的虛擬網路和IP位址啟用公用網路存取。

  5. 向下捲動以尋找資源執行個體。 在 [資源類型] 下拉式清單中,選取資源執行個體的資源類型。

  6. 在 [執行個體名稱] 下拉式清單中,選取資源執行個體。 您也可以選擇在目前租使用者、訂用帳戶或資源群組中包含所有資源實例。

  7. 選取儲存套用變更。 資源執行個體會出現在網路設定頁面的 [資源執行個體] 區段中。

若要移除資源執行個體,請選取資源執行個體旁的刪除圖示 ()。

授與受信任 Azure 服務的存取權

某些 Azure 服務運作的網路無法包含在網路規則中。 您可以將這類受信任的 Azure 服務子集存取權授與儲存體帳戶,同時維護其他應用程式的網路規則。 這些受信任的服務接著會使用增強式驗證來連線到您的儲存體帳戶。

您可以藉由建立網路規則例外狀況,將存取權授與受信任的 Azure 服務。 本文的管理例外狀況一節會提供逐步指引。

Microsoft Entra 租用戶中註冊之資源的受信任存取權

某些服務的資源可以存取您所選作業的儲存體帳戶,例如寫入記錄或執行備份。 這些服務必須在與儲存體帳戶位於相同 Microsoft Entra 租用戶的訂用帳戶中註冊。 下表說明每個服務和允許的作業。

服務 資源提供者名稱 允許的作業
Azure 備份 Microsoft.RecoveryServices 在基礎結構即服務 (IaaS) 虛擬機器中執行非受控磁碟的備份和還原 (受控磁碟不需要)。 深入了解
Azure 資料箱 Microsoft.DataBox 將資料匯入 Azure。 深入了解
Azure DevTest Labs Microsoft.DevTestLab 建立自訂映像並安裝成品。 深入了解
事件格線 Microsoft.EventGrid 啟用 Azure Blob 儲存體事件發佈並允許發佈至儲存體佇列
Azure 事件中樞 Microsoft.EventHub 使用事件中樞擷取封存資料。 深入了解
Azure 檔案同步 Microsoft.StorageSync 將您的內部部署文件伺服器轉換為 Azure 檔案共用的快取。 此功能可支援多站台同步處理、快速災害復原和雲端備份。 深入了解
Azure HDInsight Microsoft.HDInsight 為新的 HDInsight 叢集佈建預設檔案系統的初始內容。 深入了解
Azure 匯入/匯出 Microsoft.ImportExport 將資料匯入 Azure 儲存體,或從 Azure 儲存體匯出資料。 深入了解
Azure 監視器 Microsoft.Insights 將監視數據寫入受保護的記憶體帳戶,包括資源記錄、適用於端點的 Microsoft Defender 數據、Microsoft Entra 登入和稽核記錄,以及Microsoft Intune 記錄。 深入了解
Azure 網路服務 Microsoft.Network 儲存和分析網路流量記錄,包括透過 Azure 網路監看員和 Azure 流量管理員服務。 深入了解
Azure Site Recovery Microsoft.SiteRecovery 當您使用已啟用防火牆的快取、來源或目標儲存體帳戶時,請啟用複寫以進行 Azure IaaS 虛擬機器的災害復原。 深入了解

根據受控識別的信任存取權

下表列出這些服務的資源執行個體在獲得適當權限時,可以存取儲存體帳戶資料的服務。

服務 資源提供者名稱 目的
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats 啟用儲存體帳戶的存取權。
Azure API 管理 Microsoft.ApiManagement/service 透過原則允許存取防火牆後方的儲存體帳戶。 深入了解
Microsoft 自發系統 Microsoft.AutonomousSystems/workspaces 啟用儲存體帳戶的存取權。
Azure Cache for Redis Microsoft.Cache/Redis 啟用儲存體帳戶的存取權。 深入了解
Azure AI 搜尋服務 Microsoft.Search/searchServices 啟用儲存體帳戶的存取權,以進行索引編製、處理和查詢。
Azure AI 服務 Microsoft.CognitiveService/accounts 啟用儲存體帳戶的存取權。 深入了解
Azure Container Registry Microsoft.ContainerRegistry/registries 透過 ACR 工作功能套件,可讓您在建置容器映像時存取儲存體帳戶。
Microsoft 成本管理 Microsoft.CostManagementExports 啟用匯出至防火牆後方的儲存體帳戶。 深入了解
Azure Databricks Microsoft.Databricks/accessConnectors 啟用儲存體帳戶的存取權。
Azure Data Factory Microsoft.DataFactory/factories 允許透過 Data Factory 執行階段存取儲存體帳戶。
Azure 備份保存庫 Microsoft.DataProtection/BackupVaults 啟用儲存體帳戶的存取權。
Azure Data Share Microsoft.DataShare/accounts 啟用儲存體帳戶的存取權。
適用於 PostgreSQL 的 Azure 資料庫 Microsoft.DBForPostgreSQL 啟用儲存體帳戶的存取權。
Azure IoT 中樞 Microsoft.Devices/IotHubs 允許將來自 IoT 中樞的資料寫入至 Blob 儲存體。 深入了解
Azure DevTest Labs Microsoft.DevTestLab/labs 啟用儲存體帳戶的存取權。
事件格線 Microsoft.EventGrid/domains 啟用儲存體帳戶的存取權。
事件格線 Microsoft.EventGrid/partnerTopics 啟用儲存體帳戶的存取權。
事件格線 Microsoft.EventGrid/systemTopics 啟用儲存體帳戶的存取權。
事件格線 Microsoft.EventGrid/topics 啟用儲存體帳戶的存取權。
Microsoft Fabric Microsoft.Fabric 啟用儲存體帳戶的存取權。
Azure Healthcare APIs Microsoft.HealthcareApis/services 啟用儲存體帳戶的存取權。
Azure Healthcare APIs Microsoft.HealthcareApis/workspaces 啟用儲存體帳戶的存取權。
Azure IoT Central Microsoft.IoTCentral/IoTApps 啟用儲存體帳戶的存取權。
Azure Key Vault 受控 HSM Microsoft.keyvault/managedHSMs 啟用儲存體帳戶的存取權。
Azure Logic 應用程式 Microsoft.Logic/integrationAccounts 讓邏輯應用程式能夠存取儲存體帳戶。 深入了解
Azure Logic 應用程式 Microsoft.Logic/workflows 讓邏輯應用程式能夠存取儲存體帳戶。 深入了解
Azure Machine Learning Studio Microsoft.MachineLearning/registries 讓已授權的 Azure Machine Learning 工作區將實驗輸出、模型和記錄寫入至 Blob 儲存體,並讀取資料。 深入了解
Azure Machine Learning Microsoft.MachineLearningServices 讓已授權的 Azure Machine Learning 工作區將實驗輸出、模型和記錄寫入至 Blob 儲存體,並讀取資料。 深入了解
Azure Machine Learning Microsoft.MachineLearningServices/workspaces 讓已授權的 Azure Machine Learning 工作區將實驗輸出、模型和記錄寫入至 Blob 儲存體,並讀取資料。 深入了解
Azure 媒體服務 Microsoft.Media/mediaservices 啟用儲存體帳戶的存取權。
Azure Migrate Microsoft.Migrate/migrateprojects 啟用儲存體帳戶的存取權。
Azure ExpressRoute Microsoft.Network/expressRoutePorts 啟用儲存體帳戶的存取權。
Microsoft Power Platform Microsoft.PowerPlatform/enterprisePolicies 啟用儲存體帳戶的存取權。
Microsoft Project Arcadia Microsoft.ProjectArcadia/workspaces 啟用儲存體帳戶的存取權。
Azure 資料目錄 Microsoft.ProjectBabylon/accounts 啟用儲存體帳戶的存取權。
Microsoft Purview Microsoft.Purview/accounts 啟用儲存體帳戶的存取權。
Azure Site Recovery Microsoft.RecoveryServices/vaults 啟用儲存體帳戶的存取權。
資訊安全中心 Microsoft.Security/dataScanners 啟用儲存體帳戶的存取權。
Singularity Microsoft.Singularity/accounts 啟用儲存體帳戶的存取權。
Azure SQL Database Microsoft.Sql 允許將稽核資料寫入防火牆後方的儲存體帳戶
Azure SQL Servers Microsoft.Sql/servers 允許將稽核資料寫入防火牆後方的儲存體帳戶
Azure Synapse Analytics Microsoft.Sql 允許透過 COPY 陳述式或 PolyBase (在專用集區中) 或無伺服器集區中的 openrowset 函式和外部資料表,從特定 SQL 資料庫匯入和匯出資料。 深入了解
Azure 串流分析 Microsoft.StreamAnalytics 允許將串流作業中的資料寫入至 Blob 儲存體。 深入了解
Azure 串流分析 Microsoft.StreamAnalytics/streamingjobs 允許將串流作業中的資料寫入至 Blob 儲存體。 深入了解
Azure Synapse Analytics Microsoft.Synapse/workspaces 允許存取 Azure 儲存體中的資料。
Azure Video Indexer Microsoft.VideoIndexer/Accounts 啟用儲存體帳戶的存取權。

如果您的帳戶未啟用階層命名空間功能,您可以藉由將 Azure 角色明確指派給每個資源執行個體的受控識別來授與權限。 在此情況下,執行個體的存取範圍會對應至指派給受控識別的 Azure 角色。

您可以針對已啟用階層命名空間功能的帳戶,使用相同的技術。 不過,如果您將受控識別新增至儲存體帳戶中所含任意目錄或 Blob 的存取控制清單 (ACL),則不需要指派 Azure 角色。 在此情況下,執行個體的存取範圍會對應至受控識別具有存取權的目錄或檔案。

您也可以將 Azure 角色和 ACL 結合在一起以授與存取權。 若要深入了解,請參閱 Azure Data Lake Storage 中的存取控制模型

建議您使用資源執行個體規則來授與特定資源的存取權

管理例外狀況

在某些情況下 (例如儲存體分析),需要來自網路界限外的存取權才能讀取資源記錄和計量。 設定受信任的服務以存取儲存體帳戶時,您可以藉由建立網路規則例外狀況,允許記錄檔、計量資料表或兩者的讀取存取權。 您可以透過 Azure 入口網站、PowerShell 或 Azure CLI v2 管理網路規則例外狀況。

若要深入了解如何使用儲存體分析,請參閱使用 Azure 儲存體分析收集記錄和計量資料

  1. 移至您想要管理例外狀況的記憶體帳戶。

  2. 在服務功能表的 [安全性 + 網路] 下方,選取 [網路]

  3. 確認您已選擇從選取的虛擬網路和IP位址啟用公用網路存取。

  4. 在 [例外狀況] 底下,選取您想要授與權限的例外狀況。

  5. 選取儲存套用變更。

下一步