تكوين جدران حماية Azure والشبكات الظاهرية

يوفر Azure Storage نموذج أمان متعدد الطبقات. يمكنك هذا النموذج من التحكم في مستوى الوصول إلى حسابات التخزين التي تتطلبها التطبيقات وبيئات المؤسسة، استنادا إلى نوع الشبكات أو الموارد التي تستخدمها ومجموعة فرعية منها.

عند تكوين قواعد الشبكة، يمكن فقط للتطبيقات التي تطلب البيانات عبر مجموعة الشبكات المحددة أو من خلال المجموعة المحددة من موارد Azure الوصول إلى حساب تخزين. يمكنك تقييد الوصول إلى حساب التخزين الخاص بك إلى الطلبات التي تأتي من عناوين IP المحددة أو نطاقات IP أو الشبكات الفرعية في شبكة Azure الظاهرية أو مثيلات الموارد لبعض خدمات Azure.

تحتوي حسابات التخزين على نقطة نهاية عامة يمكن الوصول إليها من خلال الإنترنت. يمكنك أيضا إنشاء نقاط نهاية خاصة لحساب التخزين الخاص بك. يؤدي إنشاء نقاط نهاية خاصة إلى تعيين عنوان IP خاص من شبكتك الظاهرية إلى حساب التخزين. يساعد على تأمين نسبة استخدام الشبكة بين شبكتك الظاهرية وحساب التخزين عبر ارتباط خاص.

يوفر جدار حماية Azure Storage التحكم في الوصول لنقطة النهاية العامة لحساب التخزين الخاص بك. يمكنك أيضا استخدام جدار الحماية لحظر جميع الوصول عبر نقطة النهاية العامة عند استخدام نقاط النهاية الخاصة. يمكن تكوين جدار الحماية أيضا خدمات النظام الأساسي ل Azure الموثوق بها من الوصول إلى حساب التخزين.

لا يزال التطبيق الذي يصل إلى حساب التخزين عند سريان قواعد الشبكة يتطلب تصريحًا مناسبًا للطلب. يتم دعم التخويل مع بيانات اعتماد Microsoft Entra للكائنات الثنائية كبيرة الحجم والجداول ومشاركات الملفات وقوائم الانتظار، مع مفتاح وصول حساب صالح، أو مع رمز مميز لتوقيع الوصول المشترك (SAS). عند تكوين حاوية كائن ثنائي كبير الحجم للوصول المجهول، لا تحتاج طلبات قراءة البيانات في تلك الحاوية إلى التصريح. تظل قواعد جدار الحماية سارية المفعول وستحظر نسبة استخدام الشبكة المجهولة.

يؤدي تشغيل قواعد جدار الحماية لحساب التخزين إلى حظر الطلبات الواردة للبيانات بشكل افتراضي، ما لم تنشأ الطلبات من خدمة تعمل داخل شبكة Azure الظاهرية أو من عناوين IP العامة المسموح بها. تتضمن الطلبات المحظورة تلك الواردة من خدمات Azure الأخرى، ومن مدخل Microsoft Azure، ومن خدمات التسجيل والمقاييس.

يمكنك منح حق الوصول إلى خدمات Azure التي تعمل من داخل شبكة ظاهرية عن طريق السماح بنسبة استخدام الشبكة من الشبكة الفرعية التي تستضيف مثيل الخدمة. يمكنك أيضا تمكين عدد محدود من السيناريوهات من خلال آلية الاستثناءات التي تصفها هذه المقالة. للوصول إلى البيانات من حساب التخزين من خلال مدخل Microsoft Azure، يجب أن تكون على جهاز داخل الحدود الموثوق بها (إما IP أو الشبكة الظاهرية) التي قمت بإعدادها.

إشعار

نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. راجع تثبيت Azure PowerShell للبدء. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

السيناريوهات

لتأمين حساب التخزين خاصتك، يجب عليك أولًا تكوين قاعدة لمنع الوصول إلى حركة المرور من جميع الشبكات (بما في ذلك حركة المرور عبر الإنترنت) على نقطة النهاية العامة، بشكل افتراضي. ثم، يجب تكوين القواعد التي تمنح الوصول إلى حركة المرور من شبكات ظاهرية معينة. يمكنك أيضًا تكوين القواعد لمنح حق الوصول إلى نسبة استخدام الشبكة من نطاقات عناوين IP العامة المحددة للإنترنت، مما يتيح الاتصالات من إنترنت معين أو عملاء محليين. يساعدك هذا التكوين على إنشاء حدود شبكة آمنة للتطبيقات الخاصة بك.

يمكنك دمج قواعد جدار الحماية التي تسمح بالوصول من شبكات ظاهرية محددة ومن نطاقات عناوين IP العامة على نفس حساب التخزين. يمكنك تطبيق قواعد جدار حماية التخزين على حسابات التخزين الموجودة أو عند إنشاء حسابات تخزين جديدة.

تنطبق قواعد جدار حماية التخزين على نقطة النهاية العامة لحساب التخزين. لا تحتاج إلى أي قواعد وصول إلى جدار الحماية للسماح لنسبة استخدام الشبكة لنقاط النهاية الخاصة لحساب التخزين. توفر عملية الموافقة على إنشاء نقطة نهاية خاصة وصولًا ضمنيًا إلى نسبة استخدام الشبكة من الشبكة الفرعية التي تستضيف نقطة النهاية الخاصة.

هام

تنطبق قواعد جدار حماية Azure Storage فقط على عمليات مستوى البيانات. لا تخضع عمليات وحدة التحكم للقيود المحددة في قواعد جدار الحماية.

يمكن تنفيذ بعض العمليات، مثل عمليات حاوية كائن ثنائي كبير الحجم، من خلال كل من وحدة التحكم ولوحة البيانات. لذلك إذا حاولت إجراء عملية مثل سرد الحاويات من مدخل Microsoft Azure، فستنجح العملية ما لم يتم حظرها بواسطة آلية أخرى. يتم التحكم في محاولات الوصول إلى بيانات الكائن الثنائي كبير الحجم من تطبيق مثل Azure Storage Explorer بواسطة قيود جدار الحماية.

للحصول على قائمة بعمليات مستوى البيانات، راجع مرجع Azure Storage REST API. للحصول على قائمة بعمليات وحدة التحكم، راجع مرجع واجهة برمجة تطبيقات REST لموفر موارد التخزين Azure.

تكوين الوصول إلى الشبكة إلى Azure Storage

يمكنك التحكم في الوصول إلى البيانات في حساب التخزين الخاص بك عبر نقاط نهاية الشبكة، أو من خلال خدمات أو موارد موثوق بها في أي مجموعة بما في ذلك:

• السماح بالوصول من الشبكات الفرعية المحددة للشبكة الظاهرية باستخدام نقاط النهاية الخاصة.
• السماح بالوصول من الشبكات الفرعية المحددة للشبكة الظاهرية باستخدام نقاط نهاية الخدمة.
• السماح بالوصول من عناوين أو نطاقات IP عامة محددة.
• السماح بالوصول من مثيلات موارد Azure المحددة.
• السماح بالوصول من خدمات Azure الموثوق بها (باستخدام إدارة الاستثناءات).
• تكوين الاستثناءات لخدمات التسجيل والمقاييس.

حول نقاط نهاية الشبكة الظاهرية

هناك نوعان من نقاط نهاية الشبكة الظاهرية لحسابات التخزين:

• نقاط نهاية خدمة الشبكة الافتراضية
• نقاط النهاية الخاصة

نقاط نهاية خدمة الشبكة الظاهرية عامة ويمكن الوصول إليها عبر الإنترنت. يوفر جدار حماية Azure Storage القدرة على التحكم في الوصول إلى حساب التخزين الخاص بك عبر نقاط النهاية العامة هذه. عند تمكين الوصول إلى الشبكة العامة إلى حساب التخزين الخاص بك، يتم حظر جميع الطلبات الواردة للبيانات بشكل افتراضي. فقط التطبيقات التي تطلب البيانات من المصادر المسموح بها التي تقوم بتكوينها في إعدادات جدار حماية حساب التخزين الخاص بك ستكون قادرة على الوصول إلى بياناتك. يمكن أن تتضمن المصادر عنوان IP المصدر أو الشبكة الفرعية للشبكة الظاهرية للعميل، أو خدمة Azure أو مثيل مورد يصل العملاء أو الخدمات من خلاله إلى بياناتك. تتضمن الطلبات المحظورة تلك الواردة من خدمات Azure الأخرى، ومن مدخل Microsoft Azure، ومن خدمات التسجيل والمقاييس، ما لم تسمح صراحة بالوصول في تكوين جدار الحماية الخاص بك.

تستخدم نقطة النهاية الخاصة عنوان IP خاصا من شبكتك الظاهرية للوصول إلى حساب تخزين عبر شبكة Microsoft الأساسية. باستخدام نقطة نهاية خاصة، يتم تأمين حركة المرور بين شبكتك الظاهرية وحساب التخزين عبر ارتباط خاص. تنطبق قواعد جدار حماية التخزين فقط على نقاط النهاية العامة لحساب التخزين، وليس نقاط النهاية الخاصة. توفر عملية الموافقة على إنشاء نقطة نهاية خاصة وصولًا ضمنيًا إلى نسبة استخدام الشبكة من الشبكة الفرعية التي تستضيف نقطة النهاية الخاصة. يمكنك استخدام نهج الشبكة للتحكم في نسبة استخدام الشبكة عبر نقاط النهاية الخاصة إذا كنت تريد تحسين قواعد الوصول. إذا كنت ترغب في استخدام نقاط النهاية الخاصة حصريا، يمكنك استخدام جدار الحماية لمنع الوصول بالكامل من خلال نقطة النهاية العامة.

لمساعدتك في تحديد وقت استخدام كل نوع من نقاط النهاية في بيئتك، راجع مقارنة نقاط النهاية الخاصة ونقاط نهاية الخدمة.

كيفية التعامل مع أمان الشبكة لحساب التخزين الخاص بك

لتأمين حساب التخزين الخاص بك وإنشاء حدود شبكة آمنة لتطبيقاتك:

1. ابدأ بتعطيل جميع الوصول إلى الشبكة العامة لحساب التخزين ضمن إعداد الوصول إلى الشبكة العامة في جدار حماية حساب التخزين.

2. حيثما أمكن، قم بتكوين ارتباطات خاصة إلى حساب التخزين الخاص بك من نقاط النهاية الخاصة على الشبكات الفرعية للشبكة الظاهرية حيث يوجد العملاء الذين يحتاجون إلى الوصول إلى بياناتك.

3. إذا كانت تطبيقات العميل تتطلب الوصول عبر نقاط النهاية العامة، فقم بتغيير إعداد الوصول إلى الشبكة العامة إلى ممكن من الشبكات الظاهرية المحددة وعناوين IP. ثم، حسب الحاجة:

   1. حدد الشبكات الفرعية للشبكة الظاهرية التي تريد السماح بالوصول منها.
   2. حدد نطاقات عناوين IP العامة للعملاء الذين تريد السماح بالوصول منهم، مثل تلك الموجودة على الشبكات المحلية.
   3. السماح بالوصول من مثيلات موارد Azure المحددة.
   4. أضف استثناءات للسماح بالوصول من الخدمات الموثوق بها المطلوبة لعمليات مثل النسخ الاحتياطي للبيانات.
   5. إضافة استثناءات للتسجيل والمقاييس.

بعد تطبيق قواعد الشبكة، يتم فرضها على جميع الطلبات. تعمل رموز SAS المميزة التي تمنح الوصول إلى عنوان IP معين على الحد من وصول حامل الرمز المميز، ولكنها لا تمنح وصولا جديدا خارج قواعد الشبكة المكونة.

القيود والاعتبارات

قبل تنفيذ أمان الشبكة لحسابات التخزين الخاصة بك، راجع القيود والاعتبارات المهمة التي تمت مناقشتها في هذا القسم.

• تنطبق قواعد جدار حماية Azure Storage فقط على عمليات مستوى البيانات. لا تخضع عمليات وحدة التحكم للقيود المحددة في قواعد جدار الحماية.
• راجع قيود قواعد شبكة IP.
• للوصول إلى البيانات باستخدام أدوات مثل مدخل Microsoft Azure ومستكشف تخزين Azure وAzCopy، يجب أن تكون على جهاز ضمن الحدود الموثوق بها التي تقوم بإنشاءها عند تكوين قواعد أمان الشبكة.
• يتم فرض قواعد الشبكة على جميع بروتوكولات الشبكة ل Azure Storage، بما في ذلك REST وSMB.
• لا تؤثر قواعد الشبكة على حركة مرور قرص الجهاز الظاهري (VM)، بما في ذلك عمليات التحميل وإلغاء التحميل وإدخال/إخراج القرص، ولكنها تساعد في حماية وصول REST إلى الكائنات الثنائية كبيرة الحجم للصفحة.
• يمكنك استخدام الأقراص غير المدارة في حسابات التخزين مع تطبيق قواعد الشبكة لنسخ الأجهزة الظاهرية احتياطيا واستعادتها عن طريق إنشاء استثناء. لا تنطبق استثناءات جدار الحماية على الأقراص المدارة، لأن Azure يديرها بالفعل.
• لا تدعم حسابات التخزين الكلاسيكية جدران الحماية والشبكات الظاهرية.
• إذا حذفت شبكة فرعية مضمنة في قاعدة شبكة ظاهرية، فستتم إزالتها من قواعد الشبكة لحساب التخزين. إذا قمت بإنشاء شبكة فرعية جديدة بنفس الاسم، فلن يكون لديها حق الوصول إلى حساب التخزين. للسماح بالوصول، يجب عليك تفويض الشبكة الفرعية الجديدة بشكل صريح في قواعد الشبكة لحساب التخزين.
• عند الرجوع إلى نقطة نهاية خدمة في تطبيق عميل، يوصى بتجنب الاعتماد على عنوان IP مخزن مؤقتا. يخضع عنوان IP لحساب التخزين للتغيير، وقد يؤدي الاعتماد على عنوان IP المخزن مؤقتا إلى سلوك غير متوقع. بالإضافة إلى ذلك، يوصى بتكريم وقت البقاء (TTL) لسجل DNS وتجنب تجاوزه. قد يؤدي تجاوز DNS TTL إلى سلوك غير متوقع.
• حسب التصميم، فإن الوصول إلى حساب تخزين من خدمات موثوق بها له الأسبقية القصوى على قيود الوصول إلى الشبكة الأخرى. إذا قمت بتعيين الوصول إلى الشبكة العامة إلى معطل بعد تعيينه مسبقا إلى ممكن من الشبكات الظاهرية المحددة وعناوين IP، فستظل أي مثيلات موارد واستثناءات قمت بتكوينها مسبقا، بما في ذلك السماح لخدمات Azure في قائمة الخدمات الموثوق بها بالوصول إلى حساب التخزين هذا، سارية المفعول. ونتيجة لذلك، قد تظل هذه الموارد والخدمات تتمتع بإمكانية الوصول إلى حساب التخزين.

التصريح

يجب على العملاء الذين يمنحون الوصول عبر قواعد الشبكة الاستمرار في تلبية متطلبات التخويل لحساب التخزين للوصول إلى البيانات. يتم دعم التخويل مع بيانات اعتماد Microsoft Entra للكائنات الثنائية كبيرة الحجم وقوائم الانتظار، مع مفتاح وصول حساب صالح، أو مع رمز مميز لتوقيع الوصول المشترك (SAS).

عند تكوين حاوية كائن ثنائي كبير الحجم للوصول العام المجهول، لا تحتاج طلبات قراءة البيانات في تلك الحاوية إلى التصريح، ولكن تظل قواعد جدار الحماية سارية المفعول وستحظر نسبة استخدام الشبكة المجهولة.

تغيير قاعدة الوصول إلى الشبكة الافتراضية

تقبل حسابات التخزين بشكل افتراضي اتصالات من العملاء على أي شبكة اتصال. يمكنك تقييد الوصول إلى الشبكات المحددة أو لمنع نسبة استخدام الشبكة من جميع الشبكات والسماح بالوصول فقط من خلال نقطة النهاية الخاصة .

يجب تعيين القاعدة الافتراضية للرفض، أو لا يكون لقواعد الشبكة أي تأثير. ومع ذلك، يمكن أن يؤثر تغيير هذا الإعداد على قدرة التطبيق الخاص بك على الاتصال ب Azure Storage. تأكد من منح حق الوصول إلى أي شبكات مسموح بها أو إعداد الوصول من خلال نقطة نهاية خاصة قبل تغيير هذا الإعداد.

إشعار

نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. راجع تثبيت Azure PowerShell للبدء. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

المدخل

1. انتقل إلى حساب التخزين الذي تريد تأمينه.

2. حدد موقع إعدادات الشبكة ضمن الأمان + الشبكات.

3. اختر نوع الوصول إلى الشبكة العامة الذي تريد السماح به:

   • للسماح بنسبة استخدام الشبكة من جميع الشبكات، حدد كل الشبكات.

   • للسماح بنسبة استخدام الشبكة فقط من شبكات ظاهرية محددة، حدد ممكّن من الشبكات الظاهرية وعناوين IP المحددة.

   • لمنع حركة مرور البيانات من جميع الشبكات، حدد Disabled.

4. حدد حفظ لتطبيق التغييرات التي أجريتها.

بوويرشيل

1. ثبِّت Azure PowerShellوسجِّل الدخول.

2. اختر نوع الوصول إلى الشبكة العامة الذي تريد السماح به:

   • للسماح بنسبة Update-AzStorageAccountNetworkRuleSet استخدام الشبكة من جميع الشبكات، استخدم الأمر وضبط المعلمة -DefaultAction على Allow:

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
     

   • للسماح بنسبة استخدام الشبكة فقط من شبكات ظاهرية Update-AzStorageAccountNetworkRuleSet معينة، استخدم الأمر وضبط المعلمة -DefaultAction على Deny:

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
     

   • لحظر نسبة استخدام الشبكة من جميع الشبكات، استخدم Set-AzStorageAccount الأمر واضبط -PublicNetworkAccess المعلمة على Disabled. لن يُسمح بنسبة استخدام الشبكة إلا من خلال نقطة نهاية خاصة . سيكون عليك إنشاء نقطة النهاية الخاصة تلك.

     Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
     

Azure CLI

1. ثبِتAzure CLI و سجِل الدخول.

2. اختر نوع الوصول إلى الشبكة العامة الذي تريد السماح به:

   • للسماح بنسبة az storage account update استخدام الشبكة من جميع الشبكات، استخدم الأمر وضبط المعلمة --default-action على Allow:

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
     

   • للسماح بنسبة استخدام الشبكة فقط من شبكات ظاهرية az storage account update معينة، استخدم الأمر وضبط المعلمة --default-action على Deny:

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
     

   • لحظر نسبة استخدام الشبكة من جميع الشبكات، استخدم az storage account update الأمر واضبط --public-network-access المعلمة على Disabled. لن يُسمح بنسبة استخدام الشبكة إلا من خلال نقطة نهاية خاصة . سيكون عليك إنشاء نقطة النهاية الخاصة تلك.

     az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
     

تنبيه

حسب التصميم، فإن الوصول إلى حساب تخزين من خدمات موثوق بها له الأسبقية القصوى على قيود الوصول إلى الشبكة الأخرى. إذا قمت بتعيين الوصول إلى الشبكة العامة إلى معطل بعد تعيينه مسبقا إلى ممكن من الشبكات الظاهرية المحددة وعناوين IP، فستظل أي مثيلات موارد واستثناءات قمت بتكوينها مسبقا، بما في ذلك السماح لخدمات Azure في قائمة الخدمات الموثوق بها بالوصول إلى حساب التخزين هذا، سارية المفعول. ونتيجة لذلك، قد تظل هذه الموارد والخدمات تتمتع بإمكانية الوصول إلى حساب التخزين.

منح حق الوصول من شبكة اتصال ظاهرية

يمكنك تكوين حسابات التخزين للسماح بالوصول فقط من شبكات فرعية محددة. يمكن أن تنتمي الشبكات الفرعية المسموح بها إلى شبكة ظاهرية في نفس الاشتراك أو اشتراك مختلف، بما في ذلك تلك التي تنتمي إلى مستأجر Microsoft Entra مختلف. مع نقاط نهاية الخدمة عبر المناطق، يمكن أن تكون الشبكات الفرعية المسموح بها أيضا في مناطق مختلفة من حساب التخزين.

يمكنك تمكين نقطة نهاية خدمة ل Azure Storage داخل الشبكة الظاهرية. توجه نقطة نهاية الخدمة نسبة استخدام الشبكة من الشبكة الظاهرية من خلال المسار الأمثل إلى خدمة Azure Storage. كما يتم إرسال هويات الشبكة الفرعية والشبكة الافتراضية مع كل طلب. يمكن مسؤول istrators بعد ذلك تكوين قواعد الشبكة لحساب التخزين الذي يسمح باستلام الطلبات من شبكات فرعية معينة في شبكة ظاهرية. يجب على العملاء الذين يمنحون حق الوصول عبر قواعد الشبكة هذه الاستمرار في تلبية متطلبات الترخيص لحساب التخزين للوصول إلى البيانات.

يدعم كل حساب تخزين ما يصل إلى 400 قاعدة شبكة ظاهرية. يمكنك دمج هذه القواعد مع قواعد شبكة IP.

هام

عند الرجوع إلى نقطة نهاية خدمة في تطبيق عميل، يوصى بتجنب الاعتماد على عنوان IP مخزن مؤقتا. يخضع عنوان IP لحساب التخزين للتغيير، وقد يؤدي الاعتماد على عنوان IP المخزن مؤقتا إلى سلوك غير متوقع.

بالإضافة إلى ذلك، يوصى بتكريم وقت البقاء (TTL) لسجل DNS وتجنب تجاوزه. قد يؤدي تجاوز DNS TTL إلى سلوك غير متوقع.

الأذونات المطلوبة

لتطبيق قاعدة شبكة ظاهرية على حساب تخزين، يجب أن يكون لدى المستخدم الأذونات المناسبة للشبكات الفرعية التي تتم إضافتها. يمكن لمساهم حساب التخزين أو مستخدم لديه إذن Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionلعملية موفر موارد Azure تطبيق قاعدة باستخدام دور Azure مخصص.

يمكن أن يكون حساب التخزين والشبكات الظاهرية التي تحصل على حق الوصول في اشتراكات مختلفة، بما في ذلك الاشتراكات التي تعد جزءا من مستأجر Microsoft Entra مختلف.

يتم حاليا دعم تكوين القواعد التي تمنح الوصول إلى الشبكات الفرعية في الشبكات الظاهرية التي تعد جزءا من مستأجر Microsoft Entra مختلف فقط من خلال PowerShell وAzure CLI وواجهات برمجة تطبيقات REST. لا يمكنك تكوين مثل هذه القواعد من خلال مدخل Microsoft Azure، على الرغم من أنه يمكنك عرضها في المدخل.

نقاط نهاية خدمة Azure Storage عبر المناطق

أصبحت نقاط نهاية الخدمة عبر المناطق ل Azure Storage متوفرة بشكل عام في أبريل 2023. وهي تعمل بين الشبكات الظاهرية ومثيلات خدمة التخزين في أي منطقة. مع نقاط نهاية الخدمة عبر المناطق، لم تعد الشبكات الفرعية تستخدم عنوان IP عاما للاتصال بأي حساب تخزين، بما في ذلك تلك الموجودة في منطقة أخرى. بدلا من ذلك، تستخدم جميع نسبة استخدام الشبكة من الشبكات الفرعية إلى حسابات التخزين عنوان IP خاصا ك IP مصدر. ونتيجة لذلك، لم يعد لأي حسابات تخزين تستخدم قواعد شبكة IP للسماح بحركة المرور من تلك الشبكات الفرعية تأثير.

يمكن أن يكون تكوين نقاط نهاية الخدمة بين الشبكات الظاهرية ومثيلات الخدمة في منطقة مقترنة جزءا مهما من خطة التعافي من الكوارث. تسمح نقاط نهاية الخدمة بالاستمرارية أثناء تجاوز الفشل المحلي والوصول إلى حالات التخزين الاحتياطي الجغرافي للقراءة فقط (RA - GRS). كما تمنح قواعد الشبكة التي تمنح الوصول من الشبكة الافتراضية إلى حساب التخزين الوصول إلى أي مثيل RA - GRS.

عندما تخطط للتعافي من الكوارث أثناء انقطاع إقليمي، قم بإنشاء الشبكات الظاهرية في المنطقة المقترنة مسبقا. تمكين نقاط نهاية الخدمة لتخزين Azure، مع قواعد الشبكة التي تمنح الوصول من هذه الشبكات الظاهرية البديلة. ثم طبق هذه القواعد على حسابات التخزين المكررة جغرافيًا.

لا يمكن أن تتواجد نقاط نهاية الخدمة المحلية وعبر المناطق على نفس الشبكة الفرعية. لاستبدال نقاط نهاية الخدمة الحالية بنقاط نهاية عبر المناطق، احذف نقاط النهاية الموجودة Microsoft.Storage وأعد إنشائها كنقاط نهاية عبر المناطق (Microsoft.Storage.Global).

إدارة قواعد الشبكة الافتراضية

يمكنك إدارة قواعد الشبكة الظاهرية لحسابات التخزين من خلال مدخل Microsoft Azure أو PowerShell أو Azure CLI v2.

إذا كنت تريد تمكين الوصول إلى حساب التخزين الخاص بك من شبكة ظاهرية أو شبكة فرعية في مستأجر Microsoft Entra آخر، يجب استخدام PowerShell أو Azure CLI. لا يعرض مدخل Microsoft Azure الشبكات الفرعية في مستأجري Microsoft Entra الآخرين.

المدخل

1. انتقل إلى حساب التخزين الذي تريد تأمينه.

2. حدد Networking.

3. تحقق من أنك اخترت السماح بالوصول من الشبكات المحددة.

4. لمنح حق الوصول إلى شبكة ظاهرية باستخدام قاعدة شبكة جديدة، ضمن الشبكات الظاهرية، حدد إضافة شبكة ظاهرية موجودة. حدد خيارات الشبكات الظاهرية والشبكات الفرعية، ثم حدد إضافة.

   لإنشاء شبكة ظاهرية جديدة ومنحها حق الوصول، حدد إضافة شبكة ظاهرية جديدة. قم بتوفير المعلومات اللازمة لإنشاء الشبكة الظاهرية الجديدة، ثم حدد إنشاء.

   إذا لم تُكَوَن نقطة نهاية الخدمة لـAzure Storage مسبقًا للشبكة الافتراضية والشبكات الفرعية المحددة، فيمكنك تكوينها كجزء من هذه العملية.

   في الوقت الحالي، تظهر فقط الشبكات الظاهرية التي تنتمي إلى نفس مستأجر Microsoft Entra للاختيار أثناء إنشاء القاعدة. لمنح حق الوصول إلى شبكة فرعية في شبكة ظاهرية تنتمي إلى مستأجر آخر، استخدم PowerShell أو Azure CLI أو واجهات برمجة تطبيقات REST.

5. لإزالة شبكة ظاهرية أو قاعدة شبكة فرعية، حدد علامة الحذف (...) لفتح قائمة السياق للشبكة الظاهرية أو الشبكة الفرعية، ثم حدد إزالة.

6. حدد حفظ لتطبيق التغييرات التي أجريتها.

هام

إذا حذفت شبكة فرعية مضمنة في قاعدة شبكة، فستتم إزالتها من قواعد الشبكة لحساب التخزين. إذا قمت بإنشاء شبكة فرعية جديدة بنفس الاسم، فلن يكون لديها حق الوصول إلى حساب التخزين. للسماح بالوصول، يجب عليك تفويض الشبكة الفرعية الجديدة بشكل صريح في قواعد الشبكة لحساب التخزين.

بوويرشيل

1. ثبِّت Azure PowerShellوسجِّل الدخول.

2. سرد قواعد الشبكة الظاهرية:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
   

3. تمكين نقطة نهاية خدمة لتخزين Azure على شبكة ظاهرية وشبكة فرعية موجودة:

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
   

4. إضافة قاعدة شبكة لشبكة ظاهرية وشبكة فرعية:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

   لإضافة قاعدة شبكة لشبكة فرعية في شبكة ظاهرية تنتمي إلى مستأجر Microsoft Entra آخر، استخدم معلمة مؤهلة VirtualNetworkResourceId بالكامل في النموذج /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.

5. إزالة قاعدة شبكة لشبكة ظاهرية وشبكة فرعية:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

Azure CLI

1. ثبِتAzure CLI و سجِل الدخول.

2. سرد قواعد الشبكة الظاهرية:

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
   

3. تمكين نقطة نهاية خدمة لتخزين Azure على شبكة ظاهرية وشبكة فرعية موجودة:

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
   

4. إضافة قاعدة شبكة لشبكة ظاهرية وشبكة فرعية:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

   لإضافة قاعدة لشبكة فرعية في شبكة ظاهرية تنتمي إلى مستأجر Microsoft Entra آخر، استخدم معرف شبكة فرعية مؤهل بالكامل في النموذج /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>. يمكنك استخدام المعلمة subscription لاسترداد معرف الشبكة الفرعية لشبكة ظاهرية تنتمي إلى مستأجر Microsoft Entra آخر.

5. إزالة قاعدة شبكة لشبكة ظاهرية وشبكة فرعية:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

منح حق الوصول من نطاق IP للإنترنت

يمكنك استخدام قواعد شبكة IP للسماح بالوصول من نطاقات عناوين IP عامة معينة عبر الإنترنت عن طريق إنشاء قواعد شبكة IP. يدعم كل حساب تخزين ما يصل إلى 400 قاعدة. تمنح هذه القواعد الوصول إلى خدمات محددة مستندة إلى الإنترنت وشبكات محلية وتحظر حركة المرور العامة على الإنترنت.

قيود قواعد شبكة IP

تنطبق القيود التالية على نطاقات عناوين IP:

• يسمح بقواعد شبكة IP فقط لعناوين الإنترنت العام IP.

  لا يُسمح لنطاقات عناوين IP المحجوزة للشبكات الخاصة (كما هو محدد في RFC 1918) في قواعد IP. تتضمن الشبكات الخاصة عناوين تبدأ ب 10 و172.16 إلى 172.31 و192.168.

• يجب توفير نطاقات عناوين الإنترنت المسموح بها باستخدام رمز CIDR في النموذج 16.17.18.0/24 أو كعناوين IP فردية مثل 16.17.18.19.

• نطاقات العناوين الصغيرة التي تستخدم أحجام بادئة /31 أو /32 غير معتمدة. قم بتكوين هذه النطاقات باستخدام قواعد عنوان IP الفردية.

• يتم دعم عناوين IPv4 فقط لتكوين قواعد جدار حماية التخزين.

هام

لا يمكنك استخدام قواعد شبكة IP في الحالات التالية:

• لتقييد الوصول إلى العملاء في نفس منطقة Azure مثل حساب التخزين. لا تؤثر قواعد شبكة IP على الطلبات التي تنشأ من نفس منطقة Azure مثل حساب التخزين. استخدم قواعد الشبكة الافتراضية للسماح بطلبات المنطقة نفسها.
• لتقييد الوصول إلى العملاء في منطقة مقترنة موجودة في شبكة ظاهرية تحتوي على نقطة نهاية خدمة.
• لتقييد الوصول إلى خدمات Azure المنتشرة في نفس منطقة حساب التخزين. تستخدم الخدمات المنشورة في نفس المنطقة التي يستخدمها حساب التخزين عناوين Azure IP خاصة للاتصال. لذلك، لا يمكنك تقييد الوصول إلى خدمات Azure معينة استنادا إلى نطاق عناوين IP الصادرة العامة الخاصة بها.

تكوين الوصول من الشبكات المحلية

لمنح حق الوصول من الشبكات المحلية إلى حساب التخزين الخاص بك باستخدام قاعدة شبكة IP، يجب تحديد عناوين IP المواجهة للإنترنت التي تستخدمها شبكتك. اتصل بمسؤول الشبكة للحصول على المساعدة.

إذا كنت تستخدم Azure ExpressRoute من أماكن عملك، للنظير العام أو نظير Microsoft، فأنت بحاجة إلى تحديد عناوين IP NAT المستخدمة. بالنسبة للتناظر العام، تستخدم كل دائرة ExpressRoute (بشكل افتراضي) عنواني NAT IP المطبقين على نسبة استخدام الشبكة لخدمة Azure عندما تدخل نسبة استخدام الشبكة العمود الفقري لشبكة Microsoft Azure. بالنسبة إلى تناظر Microsoft، يوفر إما موفر الخدمة أو العميل عناوين IP NAT.

للسماح بالوصول إلى موارد الخدمة، يجب السماح بعناوين IP العامة هذه في إعداد جدار الحماية لعناوين IP للمورد. للعثور على عناوين IP لدوائر ExpressRoute النظيرة العامة، افتح تذكرة دعم باستخدام ExpressRoute عبر مدخل Microsoft Azure. تعرف على المزيد حول NAT للنظير العام ل ExpressRoute ونظير Microsoft.

إدارة قواعد شبكة IP

يمكنك إدارة قواعد شبكة IP لحسابات التخزين من خلال مدخل Microsoft Azure أو PowerShell أو Azure CLI v2.

المدخل

1. انتقل إلى حساب التخزين الذي تريد تأمينه.

2. حدد Networking.

3. تحقق من أنك اخترت السماح بالوصول من الشبكات المحددة.

4. لمنح الوصول إلى نطاق IP للإنترنت، أدخل عنوان IP أو نطاق العنوان (بتنسيق CIDR) تحت جدار الحماية> نطاق العنوان.

5. لإزالة قاعدة شبكة IP، حدد أيقونة الحذف ( ) بجوار نطاق العنوان.

6. حدد حفظ لتطبيق التغييرات التي أجريتها.

بوويرشيل

1. ثبِّت Azure PowerShellوسجِّل الدخول.

2. سرد قواعد شبكة IP:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
   

3. إضافة قاعدة شبكة لعنوان IP فردي:

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

4. إضافة قاعدة شبكة لنطاق عنوان IP:

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

5. إزالة قاعدة شبكة لعنوان IP فردي:

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

6. إزالة قاعدة شبكة لنطاق عنوان IP:

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

Azure CLI

1. ثبِتAzure CLI و سجِل الدخول.

2. سرد قواعد شبكة IP:

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
   

3. إضافة قاعدة شبكة لعنوان IP فردي:

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

4. إضافة قاعدة شبكة لنطاق عنوان IP:

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

5. إزالة قاعدة شبكة لعنوان IP فردي:

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

6. إزالة قاعدة شبكة لنطاق عنوان IP:

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

منح حق الوصول من مثيلات موارد Azure

في بعض الحالات، قد يعتمد التطبيق على موارد Azure التي لا يمكن عزلها من خلال شبكة ظاهرية أو قاعدة عنوان IP. ولكنك لا تزال ترغب في تأمين وصول حساب التخزين وتقييده إلى موارد Azure للتطبيق الخاص بك فقط. يمكنك تكوين حسابات التخزين للسماح بالوصول إلى مثيلات موارد معينة لخدمات Azure الموثوق بها عن طريق إنشاء قاعدة مثيل مورد.

تحدد تعيينات دور Azure لمثيل المورد أنواع العمليات التي يمكن لمثيل المورد تنفيذها على بيانات حساب التخزين. يجب أن تكون مثيلات الموارد من نفس المستأجر مثل حساب التخزين خاصتك، ولكنها يمكن أن تنتمي إلى أي اشتراك في المستأجر.

المدخل

يمكنك إضافة قواعد شبكة الموارد أو إزالتها في مدخل Microsoft Azure:

1. قم بتسجيل الدخول إلى بوابة Azure.

2. حدد موقع حساب التخزين الخاص بك وعرض نظرة عامة على الحساب.

3. حدد Networking.

4. ضمن جدران الحماية والشبكات الظاهرية، بالنسبة للشبكات المحددة، حدد خيار السماح بالوصول.

5. مرر لأسفل للعثور على مثيلات الموارد. في القائمة المنسدلة نوع المورد، حدد نوع المورد لمثيل المورد الخاص بك.

6. في القائمة المنسدلة اسم المثيل، حدد مثيل المورد. يمكنك أيضًا اختيار تضمين جميع مثيلات الموارد في المستأجر النشط أو الاشتراك أو مجموعة الموارد.

7. حدد حفظ لتطبيق التغييرات التي أجريتها. يظهر مثيل المورد في قسم Resource instances في الصفحة لإعدادات الشبكة.

لإزالة مثيل المورد، حدد أيقونة الحذف () بجوار مثيل المورد.

بوويرشيل

يمكنك استخدام أوامر PowerShell لإضافة أو إزالة قواعد شبكة الموارد.

منح حق الوصول

إضافة قاعدة شبكة تمنح الوصول من مثيل مورد:

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

حدد مثيلات موارد متعددة في وقت واحد عن طريق تعديل مجموعة قواعد الشبكة:

$resourceId1 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$resourceId2 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/mySQLServer"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule (@{ResourceId=$resourceId1;TenantId=$tenantId},@{ResourceId=$resourceId2;TenantId=$tenantId}) 

إزالة الوصول

إزالة قاعدة شبكة تمنح الوصول من مثيل مورد:

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Remove-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId  

إزالة كافة قواعد الشبكة التي تمنح حق الوصول من مثيلات الموارد:

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule @()  

عرض قائمة بالمثيلات المسموح بها للموارد

عرض قائمة كاملة بمثيلات الموارد التي لديها حق الوصول إلى حساب التخزين:

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

$rule = Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName
$rule.ResourceAccessRules 

Azure CLI

يمكنك استخدام أوامر واجهة سطر الأوامر Azure لإضافة أو إزالة قواعد شبكة الموارد.

منح حق الوصول

إضافة قاعدة شبكة تمنح الوصول من مثيل مورد:

az storage account network-rule add \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

إزالة الوصول

إزالة قاعدة شبكة تمنح الوصول من مثيل مورد:

az storage account network-rule remove \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

عرض قائمة بالمثيلات المسموح بها للموارد

عرض قائمة كاملة بمثيلات الموارد التي لديها حق الوصول إلى حساب التخزين:

az storage account network-rule list \
    -g myResourceGroup \
    --account-name mystorageaccount

منح حق الوصول إلى خدمات Azure الموثوق بها

تعمل بعض خدمات Azure من شبكات لا يمكنك تضمينها في قواعد الشبكة. يمكنك منح مجموعة فرعية من خدمات Azure الموثوقة الوصول إلى حساب التخزين، مع الحفاظ على قواعد الشبكة للتطبيقات الأخرى. ستستخدم هذه الخدمات الموثوق بها مصادقة قوية للاتصال بحساب التخزين الخاص بك.

يمكنك منح الوصول إلى خدمات Azure الموثوقة عن طريق إنشاء استثناء قاعدة الشبكة. يوفر قسم إدارة الاستثناءات في هذه المقالة إرشادات خطوة بخطوة.

وصول موثوق للموارد المسجلة في اشتراكك

يمكن لموارد بعض الخدمات المسجلة في اشتراكك الوصول إلى حساب التخزين الخاص بك في نفس الاشتراك للعمليات المحددة، مثل كتابة السجلات أو تشغيل النسخ الاحتياطية. يصف الجدول التالي كل خدمة والعمليات المسموح بها.

الخدمة	اسم موفر الموارد	العمليات المسموح بها
النسخ الاحتياطي في Azure	Microsoft.RecoveryServices	تشغيل النسخ الاحتياطية واستعادة الأقراص غير المدارة في الأجهزة الظاهرية للبنية الأساسية كخدمة (IaaS) (غير مطلوبة للأقراص المدارة). اعرف المزيد.
Azure Data Box	Microsoft.DataBox	استيراد البيانات إلى Azure. اعرف المزيد.
Azure DevTest Labs	Microsoft.DevTestLab	إنشاء صور مخصصة وتثبيت البيانات الاصطناعية. اعرف المزيد.
Azure Event Grid	Microsoft.EventGrid	تمكين نشر حدث Azure Blob Storage والسماح بالنشر إلى قوائم انتظار التخزين.
مراكز أحداث Azure	Microsoft.EventHub	أرشفة البيانات باستخدام التقاط مراكز الأحداث. اعرف المزيد.
"Azure File Sync"	Microsoft.StorageSync	تحويل خادم الملفات المحلي إلى ذاكرة تخزين مؤقت لمشاركات ملفات Azure. تسمح هذه الإمكانية بالمزامنة متعددة المواقع والتعافي السريع من الكوارث والنسخ الاحتياطي من جانب السحابة. اعرف المزيد.
Azure HDInsight	Microsoft.HDInsight	توفير المحتويات الأولية لنظام الملفات الافتراضي لمجموعة HDInsight جديدة. اعرف المزيد.
خدمة استيراد/تصدير Azure	Microsoft.ImportExport	استيراد البيانات إلى Azure Storage أو تصدير البيانات من Azure Storage. اعرف المزيد.
Azure Monitor	Microsoft.Insights	اكتب بيانات المراقبة إلى حساب تخزين آمن، بما في ذلك سجلات الموارد وسجلات تسجيل الدخول والتدقيق في Microsoft Entra وسجلات Microsoft Intune. اعرف المزيد.
خدمات الشبكات من Azure	Microsoft.Network	تخزين وتحليل سجلات حركة مرور الشبكة، بما في ذلك من خلال Azure Network Watcher وخدمات Azure Traffic Manager. اعرف المزيد.
استرداد موقع Azure	Microsoft.SiteRecovery	تمكين النسخ المتماثل للتعافي من الكوارث لأجهزة Azure IaaS الظاهرية عند استخدام ذاكرة التخزين المؤقت أو المصدر أو حسابات التخزين الهدف التي تدعم جدار الحماية. اعرف المزيد.

الوصول الموثوق به استنادًا إلى هوية مدارة

يسرد الجدول التالي الخدمات التي يمكنها الوصول إلى بيانات حساب التخزين الخاص بك إذا كان لدى مثيلات الموارد لهذه الخدمات الإذن المناسب.

الخدمة	اسم موفر الموارد	الغرض
Azure FarmBeats	Microsoft.AgFoodPlatform/farmBeats	تمكين الوصول إلى حسابات التخزين.
إدارة Azure API	Microsoft.ApiManagement/service	تمكين الوصول إلى حسابات التخزين خلف جدران الحماية عبر النهج. اعرف المزيد.
أنظمة Microsoft الذاتية	Microsoft.AutonomousSystems/workspaces	تمكين الوصول إلى حسابات التخزين.
ذاكرة التخزين المؤقت في Azure لـ Redis	Microsoft.Cache/Redis	تمكين الوصول إلى حسابات التخزين. اعرف المزيد.
خدمة الذكاء الاصطناعي Azure AI Search	Microsoft.Search/searchServices	تمكين الوصول إلى حسابات التخزين للفهرسة والمعالجة والاستعلام.
خدمات الذكاء الاصطناعي في Azure	Microsoft.CognitiveService/accounts	تمكين الوصول إلى حسابات التخزين. اعرف المزيد.
Azure Container Registry	Microsoft.ContainerRegistry/registries	من خلال مجموعة ميزات مهام ACR، يمكن الوصول إلى حسابات التخزين عند إنشاء صور الحاوية.
Microsoft Cost Management	Microsoft.CostManagementExports	تمكين التصدير إلى حسابات التخزين خلف جدار حماية. اعرف المزيد.
Azure Databricks	Microsoft.Databricks/accessConnectors	تمكين الوصول إلى حسابات التخزين.
Azure Data Factory	Microsoft.DataFactory/factories	تمكين الوصول إلى حسابات التخزين من خلال وقت تشغيل Data Factory.
مخزن Azure Backup	Microsoft.DataProtection/BackupVaults	تمكين الوصول إلى حسابات التخزين.
مشاركة بيانات Azure	Microsoft.DataShare/accounts	تمكين الوصول إلى حسابات التخزين.
قاعدة بيانات Azure لـ PostgreSQL	Microsoft.DBForPostgreSQL	تمكين الوصول إلى حسابات التخزين.
Azure IoT Hub	Microsoft.Devices/IotHubs	يسمح بكتابة البيانات من مركز IoT إلى Blob Storage. اعرف المزيد.
Azure DevTest Labs	Microsoft.DevTestLab/labs	تمكين الوصول إلى حسابات التخزين.
Azure Event Grid	Microsoft.EventGrid/domains	تمكين الوصول إلى حسابات التخزين.
Azure Event Grid	Microsoft.EventGrid/partnerTopics	تمكين الوصول إلى حسابات التخزين.
Azure Event Grid	Microsoft.EventGrid/systemTopics	تمكين الوصول إلى حسابات التخزين.
Azure Event Grid	Microsoft.EventGrid/topics	تمكين الوصول إلى حسابات التخزين.
Microsoft Fabric	Microsoft.Fabric	تمكين الوصول إلى حسابات التخزين.
واجهات برمجة تطبيقات الرعاية الصحية من Azure	Microsoft.HealthcareApis/services	تمكين الوصول إلى حسابات التخزين.
واجهات برمجة تطبيقات الرعاية الصحية من Azure	Microsoft.HealthcareApis/workspaces	تمكين الوصول إلى حسابات التخزين.
Azure IoT Central	Microsoft.IoTCentral/IoTApps	تمكين الوصول إلى حسابات التخزين.
Azure Key Vault Managed HSM	Microsoft.keyvault/managedHSMs	تمكين الوصول إلى حسابات التخزين.
Azure Logic Apps	Microsoft.Logic/integrationAccounts	تمكين التطبيقات المنطقية من الوصول إلى حسابات التخزين. اعرف المزيد.
Azure Logic Apps	Microsoft.Logic/workflows	تمكين التطبيقات المنطقية من الوصول إلى حسابات التخزين. اعرف المزيد.
Azure Machine Learning Studio	Microsoft.MachineLearning/registries	تمكين مساحات عمل Azure التعلم الآلي المعتمدة من كتابة إخراج التجربة والنماذج والسجلات إلى Blob Storage وقراءة البيانات. اعرف المزيد.
التعلم الآلي من Azure	Microsoft.MachineLearningServices	تمكين مساحات عمل Azure التعلم الآلي المعتمدة من كتابة إخراج التجربة والنماذج والسجلات إلى Blob Storage وقراءة البيانات. اعرف المزيد.
التعلم الآلي من Azure	Microsoft.MachineLearningServices/workspaces	تمكين مساحات عمل Azure التعلم الآلي المعتمدة من كتابة إخراج التجربة والنماذج والسجلات إلى Blob Storage وقراءة البيانات. اعرف المزيد.
Azure Media Services	Microsoft.Media/mediaservices	تمكين الوصول إلى حسابات التخزين.
Azure Migrate	Microsoft.Migrate/migrateprojects	تمكين الوصول إلى حسابات التخزين.
Azure Spatial Anchors	Microsoft.MixedReality/remoteRenderingAccounts	تمكين الوصول إلى حسابات التخزين.
Azure ExpressRoute	Microsoft.Network/expressRoutePorts	تمكين الوصول إلى حسابات التخزين.
منصة مايكروسوفت للطاقة	Microsoft.PowerPlatform/enterprisePolicies	تمكين الوصول إلى حسابات التخزين.
Microsoft Project Arcadia	Microsoft.ProjectArcadia/workspaces	تمكين الوصول إلى حسابات التخزين.
"Azure Data Catalog"	Microsoft.ProjectBabylon/accounts	تمكين الوصول إلى حسابات التخزين.
Microsoft Purview	Microsoft.Purview/accounts	تمكين الوصول إلى حسابات التخزين.
استرداد موقع Azure	Microsoft.RecoveryServices/vaults	تمكين الوصول إلى حسابات التخزين.
Security Center	Microsoft.Security/dataScanners	تمكين الوصول إلى حسابات التخزين.
التفرد	Microsoft.Singularity/accounts	تمكين الوصول إلى حسابات التخزين.
قاعدة بيانات Azure SQL	Microsoft.Sql	يسمح بكتابة بيانات التدقيق إلى حسابات التخزين خلف جدار حماية.
خوادم Azure SQL	Microsoft.Sql/servers	يسمح بكتابة بيانات التدقيق إلى حسابات التخزين خلف جدار حماية.
Azure Synapse Analytics	Microsoft.Sql	يسمح باستيراد البيانات وتصديرها من قواعد بيانات SQL محددة عبر العبارة COPY أو PolyBase (في تجمع مخصص)، أو الدالة openrowset والجداول الخارجية في تجمع بلا خادم. اعرف المزيد.
Azure Stream Analytics	Microsoft.StreamAnalytics	يسمح بكتابة البيانات من مهمة دفق إلى Blob Storage. اعرف المزيد.
Azure Stream Analytics	Microsoft.StreamAnalytics/streamingjobs	يسمح بكتابة البيانات من مهمة دفق إلى Blob Storage. اعرف المزيد.
Azure Synapse Analytics	Microsoft.Synapse/workspaces	تمكين الوصول إلى البيانات في Azure Storage.
Azure Video Indexer	Microsoft.VideoIndexer/Accounts	تمكين الوصول إلى حسابات التخزين.

إذا لم يتم تمكين ميزة مساحة الاسم الهرمية على حسابك، يمكنك منح الإذن عن طريق تعيين دور Azure بشكل صريح إلى الهوية المدارة لكل مثيل مورد. في هذه الحالة، يتوافق نطاق الوصول للمثيل مع دور Azure المعين للهوية المدارة.

يمكنك استخدام نفس التقنية لحساب تم تمكين ميزة مساحة الاسم الهرمية عليه. ومع ذلك، لا يتعين عليك تعيين دور Azure إذا أضفت الهوية المدارة إلى قائمة التحكم في الوصول (ACL) لأي دليل أو كائن ثنائي كبير الحجم يحتوي عليه حساب التخزين. في هذه الحالة، يتوافق نطاق الوصول للمثيل مع الدليل أو الملف الذي يمكن للهوية المدارة الوصول إليه.

يمكنك أيضا الجمع بين أدوار Azure وACLs معا لمنح حق الوصول. لمعرفة المزيد ، راجع نموذج التحكم في الوصول في Azure Data Lake Storage Gen2 .

نوصي باستخدام قواعد مثيل المورد لمنح حق الوصول إلى موارد معينة.

إدارة الاستثناءات

في بعض الحالات، مثل تحليلات التخزين، يكون الوصول إلى قراءة سجلات الموارد والمقاييس مطلوبا من خارج حدود الشبكة. عند تكوين الخدمات الموثوق بها للوصول إلى حساب التخزين، يمكنك السماح بالوصول للقراءة لملفات السجل أو جداول المقاييس أو كليهما عن طريق إنشاء استثناء قاعدة الشبكة. يمكنك إدارة استثناءات قاعدة الشبكة من خلال مدخل Microsoft Azure أو PowerShell أو Azure CLI v2.

لمعرفة المزيد حول العمل مع تحليلات التخزين، راجع استخدام تحليلات تخزين Azure لجمع بيانات السجلات والمقاييس.

المدخل

1. انتقل إلى حساب التخزين الذي تريد تأمينه.

2. حدد Networking.

3. تحقق من أنك اخترت السماح بالوصول من الشبكات المحددة.

4. ضمن استثناءات، حدد الاستثناءات التي تريد منحها.

5. حدد حفظ لتطبيق التغييرات التي أجريتها.

بوويرشيل

1. ثبِّت Azure PowerShellوسجِّل الدخول.

2. عرض الاستثناءات لقواعد شبكة حساب التخزين:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
   

3. تكوين الاستثناءات لقواعد شبكة حساب التخزين:

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
   

4. إزالة الاستثناءات لقواعد شبكة حساب التخزين:

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
   

Azure CLI

1. ثبِتAzure CLI و سجِل الدخول.

2. عرض الاستثناءات لقواعد شبكة حساب التخزين:

   az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
   

3. تكوين الاستثناءات لقواعد شبكة حساب التخزين:

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
   

4. إزالة الاستثناءات لقواعد شبكة حساب التخزين:

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
   

الخطوات التالية

تعرف على المزيد حول نقاط نهاية خدمة شبكة Azure. اتعمق في أمان Azure Storage.