تكوين جدران حماية Azure والشبكات الظاهرية

يوفر Azure Storage نموذج أمان متعدد الطبقات. يمكنك هذا النموذج من التحكم في مستوى الوصول إلى حسابات التخزين التي تتطلبها التطبيقات وبيئات المؤسسة، استنادا إلى نوع الشبكات أو الموارد التي تستخدمها ومجموعة فرعية منها.

عند تكوين قواعد الشبكة، يمكن فقط للتطبيقات التي تطلب البيانات عبر مجموعة الشبكات المحددة أو من خلال المجموعة المحددة من موارد Azure الوصول إلى حساب تخزين. يمكنك تقييد الوصول إلى حساب التخزين الخاص بك إلى الطلبات التي تأتي من عناوين IP المحددة أو نطاقات IP أو الشبكات الفرعية في شبكة Azure الظاهرية أو مثيلات الموارد لبعض خدمات Azure.

تحتوي حسابات التخزين على نقطة نهاية عامة يمكن الوصول إليها من خلال الإنترنت. يمكنك أيضا إنشاء نقاط نهاية خاصة لحساب التخزين الخاص بك. يؤدي إنشاء نقاط نهاية خاصة إلى تعيين عنوان IP خاص من شبكتك الظاهرية إلى حساب التخزين. يساعد على تأمين نسبة استخدام الشبكة بين شبكتك الظاهرية وحساب التخزين عبر ارتباط خاص.

يوفر جدار حماية Azure Storage التحكم في الوصول لنقطة النهاية العامة لحساب التخزين الخاص بك. يمكنك أيضا استخدام جدار الحماية لحظر جميع الوصول عبر نقطة النهاية العامة عند استخدام نقاط النهاية الخاصة. يمكن تكوين جدار الحماية أيضا خدمات النظام الأساسي ل Azure الموثوق بها من الوصول إلى حساب التخزين.

لا يزال التطبيق الذي يصل إلى حساب التخزين عند سريان قواعد الشبكة يتطلب تصريحًا مناسبًا للطلب. يتم دعم التخويل مع بيانات اعتماد Microsoft Entra للكائنات الثنائية كبيرة الحجم والجداول ومشاركات الملفات وقوائم الانتظار، مع مفتاح وصول حساب صالح، أو مع رمز مميز لتوقيع الوصول المشترك (SAS). عند تكوين حاوية كائن ثنائي كبير الحجم للوصول المجهول، لا تحتاج طلبات قراءة البيانات في تلك الحاوية إلى التصريح. تظل قواعد جدار الحماية سارية المفعول وستحظر نسبة استخدام الشبكة المجهولة.

يؤدي تشغيل قواعد جدار الحماية لحساب التخزين إلى حظر الطلبات الواردة للبيانات بشكل افتراضي، ما لم تنشأ الطلبات من خدمة تعمل داخل شبكة Azure الظاهرية أو من عناوين IP العامة المسموح بها. تتضمن الطلبات المحظورة تلك الواردة من خدمات Azure الأخرى، ومن مدخل Microsoft Azure، ومن خدمات التسجيل والمقاييس.

يمكنك منح حق الوصول إلى خدمات Azure التي تعمل من داخل شبكة ظاهرية عن طريق السماح بنسبة استخدام الشبكة من الشبكة الفرعية التي تستضيف مثيل الخدمة. يمكنك أيضا تمكين عدد محدود من السيناريوهات من خلال آلية الاستثناءات التي تصفها هذه المقالة. للوصول إلى البيانات من حساب التخزين من خلال مدخل Microsoft Azure، يجب أن تكون على جهاز داخل الحدود الموثوق بها (إما IP أو الشبكة الظاهرية) التي قمت بإعدادها.

إشعار

نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. للبدء، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

السيناريوهات

لتأمين حساب التخزين خاصتك، يجب عليك أولًا تكوين قاعدة لمنع الوصول إلى حركة المرور من جميع الشبكات (بما في ذلك حركة المرور عبر الإنترنت) على نقطة النهاية العامة، بشكل افتراضي. ثم، يجب تكوين القواعد التي تمنح الوصول إلى حركة المرور من شبكات ظاهرية معينة. يمكنك أيضًا تكوين القواعد لمنح حق الوصول إلى نسبة استخدام الشبكة من نطاقات عناوين IP العامة المحددة للإنترنت، مما يتيح الاتصالات من إنترنت معين أو عملاء محليين. يساعدك هذا التكوين على إنشاء حدود شبكة آمنة للتطبيقات الخاصة بك.

يمكنك دمج قواعد جدار الحماية التي تسمح بالوصول من شبكات ظاهرية محددة ومن نطاقات عناوين IP العامة على نفس حساب التخزين. يمكنك تطبيق قواعد جدار حماية التخزين على حسابات التخزين الموجودة أو عند إنشاء حسابات تخزين جديدة.

تنطبق قواعد جدار حماية التخزين على نقطة النهاية العامة لحساب التخزين. لا تحتاج إلى أي قواعد وصول إلى جدار الحماية للسماح لنسبة استخدام الشبكة لنقاط النهاية الخاصة لحساب التخزين. توفر عملية الموافقة على إنشاء نقطة نهاية خاصة وصولًا ضمنيًا إلى نسبة استخدام الشبكة من الشبكة الفرعية التي تستضيف نقطة النهاية الخاصة.

هام

تنطبق قواعد جدار حماية Azure Storage فقط على عمليات مستوى البيانات. لا تخضع عمليات وحدة التحكم للقيود المحددة في قواعد جدار الحماية.

يمكن تنفيذ بعض العمليات، مثل عمليات حاوية كائن ثنائي كبير الحجم، من خلال كل من وحدة التحكم ولوحة البيانات. لذلك إذا حاولت إجراء عملية مثل سرد الحاويات من مدخل Microsoft Azure، فستنجح العملية ما لم يتم حظرها بواسطة آلية أخرى. يتم التحكم في محاولات الوصول إلى بيانات الكائن الثنائي كبير الحجم من تطبيق مثل Azure Storage Explorer بواسطة قيود جدار الحماية.

للحصول على قائمة بعمليات مستوى البيانات، راجع مرجع Azure Storage REST API. للحصول على قائمة بعمليات وحدة التحكم، راجع مرجع واجهة برمجة تطبيقات REST لموفر موارد التخزين Azure.

تكوين الوصول إلى الشبكة إلى Azure Storage

يمكنك التحكم في الوصول إلى البيانات في حساب التخزين الخاص بك عبر نقاط نهاية الشبكة، أو من خلال خدمات أو موارد موثوق بها في أي مجموعة بما في ذلك:

حول نقاط نهاية الشبكة الظاهرية

هناك نوعان من نقاط نهاية الشبكة الظاهرية لحسابات التخزين:

نقاط نهاية خدمة الشبكة الظاهرية عامة ويمكن الوصول إليها عبر الإنترنت. يوفر جدار حماية Azure Storage القدرة على التحكم في الوصول إلى حساب التخزين الخاص بك عبر نقاط النهاية العامة هذه. عند تمكين الوصول إلى الشبكة العامة إلى حساب التخزين الخاص بك، يتم حظر جميع الطلبات الواردة للبيانات بشكل افتراضي. فقط التطبيقات التي تطلب البيانات من المصادر المسموح بها التي تقوم بتكوينها في إعدادات جدار حماية حساب التخزين الخاص بك ستكون قادرة على الوصول إلى بياناتك. يمكن أن تتضمن المصادر عنوان IP المصدر أو الشبكة الفرعية للشبكة الظاهرية للعميل، أو خدمة Azure أو مثيل مورد يصل العملاء أو الخدمات من خلاله إلى بياناتك. تتضمن الطلبات المحظورة تلك الواردة من خدمات Azure الأخرى، ومن مدخل Microsoft Azure، ومن خدمات التسجيل والمقاييس، ما لم تسمح صراحة بالوصول في تكوين جدار الحماية الخاص بك.

تستخدم نقطة النهاية الخاصة عنوان IP خاصا من شبكتك الظاهرية للوصول إلى حساب تخزين عبر شبكة Microsoft الأساسية. باستخدام نقطة نهاية خاصة، يتم تأمين حركة المرور بين شبكتك الظاهرية وحساب التخزين عبر ارتباط خاص. تنطبق قواعد جدار حماية التخزين فقط على نقاط النهاية العامة لحساب التخزين، وليس نقاط النهاية الخاصة. توفر عملية الموافقة على إنشاء نقطة نهاية خاصة وصولًا ضمنيًا إلى نسبة استخدام الشبكة من الشبكة الفرعية التي تستضيف نقطة النهاية الخاصة. يمكنك استخدام نهج الشبكة للتحكم في نسبة استخدام الشبكة عبر نقاط النهاية الخاصة إذا كنت تريد تحسين قواعد الوصول. إذا كنت ترغب في استخدام نقاط النهاية الخاصة حصريا، يمكنك استخدام جدار الحماية لمنع الوصول بالكامل من خلال نقطة النهاية العامة.

لمساعدتك في تحديد وقت استخدام كل نوع من نقاط النهاية في بيئتك، راجع مقارنة نقاط النهاية الخاصة ونقاط نهاية الخدمة.

كيفية التعامل مع أمان الشبكة لحساب التخزين الخاص بك

لتأمين حساب التخزين الخاص بك وإنشاء حدود شبكة آمنة لتطبيقاتك:

  1. ابدأ بتعطيل جميع الوصول إلى الشبكة العامة لحساب التخزين ضمن إعداد الوصول إلى الشبكة العامة في جدار حماية حساب التخزين.

  2. حيثما أمكن، قم بتكوين ارتباطات خاصة إلى حساب التخزين الخاص بك من نقاط النهاية الخاصة على الشبكات الفرعية للشبكة الظاهرية حيث يوجد العملاء الذين يحتاجون إلى الوصول إلى بياناتك.

  3. إذا كانت تطبيقات العميل تتطلب الوصول عبر نقاط النهاية العامة، فقم بتغيير إعداد الوصول إلى الشبكة العامة إلى ممكن من الشبكات الظاهرية المحددة وعناوين IP. ثم، حسب الحاجة:

    1. حدد الشبكات الفرعية للشبكة الظاهرية التي تريد السماح بالوصول منها.
    2. حدد نطاقات عناوين IP العامة للعملاء الذين تريد السماح بالوصول منهم، مثل تلك الموجودة على الشبكات المحلية.
    3. السماح بالوصول من مثيلات موارد Azure المحددة.
    4. أضف استثناءات للسماح بالوصول من الخدمات الموثوق بها المطلوبة لعمليات مثل النسخ الاحتياطي للبيانات.
    5. إضافة استثناءات للتسجيل والمقاييس.

بعد تطبيق قواعد الشبكة، يتم فرضها على جميع الطلبات. تعمل رموز SAS المميزة التي تمنح الوصول إلى عنوان IP معين على الحد من وصول حامل الرمز المميز، ولكنها لا تمنح وصولا جديدا خارج قواعد الشبكة المكونة.

القيود والاعتبارات

قبل تنفيذ أمان الشبكة لحسابات التخزين الخاصة بك، راجع القيود والاعتبارات المهمة التي تمت مناقشتها في هذا القسم.

  • تنطبق قواعد جدار حماية Azure Storage فقط على عمليات مستوى البيانات. لا تخضع عمليات وحدة التحكم للقيود المحددة في قواعد جدار الحماية.
  • راجع قيود قواعد شبكة IP.
  • للوصول إلى البيانات باستخدام أدوات مثل مدخل Microsoft Azure ومستكشف تخزين Azure وAzCopy، يجب أن تكون على جهاز ضمن الحدود الموثوق بها التي تقوم بإنشاءها عند تكوين قواعد أمان الشبكة.
  • يتم فرض قواعد الشبكة على جميع بروتوكولات الشبكة ل Azure Storage، بما في ذلك REST وSMB.
  • لا تؤثر قواعد الشبكة على حركة مرور قرص الجهاز الظاهري (VM)، بما في ذلك عمليات التحميل وإلغاء التحميل وإدخال/إخراج القرص، ولكنها تساعد في حماية وصول REST إلى الكائنات الثنائية كبيرة الحجم للصفحة.
  • يمكنك استخدام الأقراص غير المدارة في حسابات التخزين مع تطبيق قواعد الشبكة لنسخ الأجهزة الظاهرية احتياطيا واستعادتها عن طريق إنشاء استثناء. لا تنطبق استثناءات جدار الحماية على الأقراص المدارة، لأن Azure يديرها بالفعل.
  • لا تدعم حسابات التخزين الكلاسيكية جدران الحماية والشبكات الظاهرية.
  • إذا حذفت شبكة فرعية مضمنة في قاعدة شبكة ظاهرية، فستتم إزالتها من قواعد الشبكة لحساب التخزين. إذا قمت بإنشاء شبكة فرعية جديدة بنفس الاسم، فلن يكون لديها حق الوصول إلى حساب التخزين. للسماح بالوصول، يجب عليك تفويض الشبكة الفرعية الجديدة بشكل صريح في قواعد الشبكة لحساب التخزين.
  • عند الرجوع إلى نقطة نهاية خدمة في تطبيق عميل، يوصى بتجنب الاعتماد على عنوان IP مخزن مؤقتا. يخضع عنوان IP لحساب التخزين للتغيير، وقد يؤدي الاعتماد على عنوان IP المخزن مؤقتا إلى سلوك غير متوقع. بالإضافة إلى ذلك، يوصى بتكريم وقت البقاء (TTL) لسجل DNS وتجنب تجاوزه. قد يؤدي تجاوز DNS TTL إلى سلوك غير متوقع.
  • حسب التصميم، فإن الوصول إلى حساب تخزين من خدمات موثوق بها له الأسبقية القصوى على قيود الوصول إلى الشبكة الأخرى. إذا قمت بتعيين الوصول إلى الشبكة العامة إلى معطل بعد تعيينه مسبقا إلى ممكن من الشبكات الظاهرية المحددة وعناوين IP، فستظل أي مثيلات موارد واستثناءات قمت بتكوينها مسبقا، بما في ذلك السماح لخدمات Azure في قائمة الخدمات الموثوق بها بالوصول إلى حساب التخزين هذا، سارية المفعول. ونتيجة لذلك، قد تظل هذه الموارد والخدمات تتمتع بإمكانية الوصول إلى حساب التخزين.

التصريح

يجب على العملاء الذين يمنحون الوصول عبر قواعد الشبكة الاستمرار في تلبية متطلبات التخويل لحساب التخزين للوصول إلى البيانات. يتم دعم التخويل مع بيانات اعتماد Microsoft Entra للكائنات الثنائية كبيرة الحجم وقوائم الانتظار، مع مفتاح وصول حساب صالح، أو مع رمز مميز لتوقيع الوصول المشترك (SAS).

عند تكوين حاوية كائن ثنائي كبير الحجم للوصول العام المجهول، لا تحتاج طلبات قراءة البيانات في تلك الحاوية إلى التصريح، ولكن تظل قواعد جدار الحماية سارية المفعول وستحظر نسبة استخدام الشبكة المجهولة.

تغيير قاعدة الوصول إلى الشبكة الافتراضية

تقبل حسابات التخزين بشكل افتراضي اتصالات من العملاء على أي شبكة اتصال. يمكنك تقييد الوصول إلى الشبكات المحددة أو لمنع نسبة استخدام الشبكة من جميع الشبكات والسماح بالوصول فقط من خلال نقطة النهاية الخاصة .

يجب تعيين القاعدة الافتراضية للرفض، أو لا يكون لقواعد الشبكة أي تأثير. ومع ذلك، يمكن أن يؤثر تغيير هذا الإعداد على قدرة التطبيق الخاص بك على الاتصال ب Azure Storage. تأكد من منح حق الوصول إلى أي شبكات مسموح بها أو إعداد الوصول من خلال نقطة نهاية خاصة قبل تغيير هذا الإعداد.

إشعار

نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. للبدء، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

  1. انتقل إلى حساب التخزين الذي تريد تأمينه.

  2. حدد موقع إعدادات الشبكة ضمن الأمان + الشبكات.

  3. اختر نوع الوصول إلى الشبكة العامة الذي تريد السماح به:

    • للسماح بنسبة استخدام الشبكة من جميع الشبكات، حدد كل الشبكات.

    • للسماح بنسبة استخدام الشبكة فقط من شبكات ظاهرية محددة، حدد ممكّن من الشبكات الظاهرية وعناوين IP المحددة.

    • لمنع حركة مرور البيانات من جميع الشبكات، حدد Disabled.

  4. حدد حفظ لتطبيق التغييرات التي أجريتها.

تنبيه

حسب التصميم، فإن الوصول إلى حساب تخزين من خدمات موثوق بها له الأسبقية القصوى على قيود الوصول إلى الشبكة الأخرى. إذا قمت بتعيين الوصول إلى الشبكة العامة إلى معطل بعد تعيينه مسبقا إلى ممكن من الشبكات الظاهرية المحددة وعناوين IP، فستظل أي مثيلات موارد واستثناءات قمت بتكوينها مسبقا، بما في ذلك السماح لخدمات Azure في قائمة الخدمات الموثوق بها بالوصول إلى حساب التخزين هذا، سارية المفعول. ونتيجة لذلك، قد تظل هذه الموارد والخدمات تتمتع بإمكانية الوصول إلى حساب التخزين.

منح حق الوصول من شبكة اتصال ظاهرية

يمكنك تكوين حسابات التخزين للسماح بالوصول فقط من شبكات فرعية محددة. يمكن أن تنتمي الشبكات الفرعية المسموح بها إلى شبكة ظاهرية في نفس الاشتراك أو اشتراك مختلف، بما في ذلك تلك التي تنتمي إلى مستأجر Microsoft Entra مختلف. مع نقاط نهاية الخدمة عبر المناطق، يمكن أن تكون الشبكات الفرعية المسموح بها أيضا في مناطق مختلفة من حساب التخزين.

يمكنك تمكين نقطة نهاية خدمة ل Azure Storage داخل الشبكة الظاهرية. توجه نقطة نهاية الخدمة نسبة استخدام الشبكة من الشبكة الظاهرية من خلال المسار الأمثل إلى خدمة Azure Storage. كما يتم إرسال هويات الشبكة الفرعية والشبكة الافتراضية مع كل طلب. يمكن للمسؤولين بعد ذلك تكوين قواعد الشبكة لحساب التخزين الذي يسمح باستلام الطلبات من شبكات فرعية معينة في شبكة ظاهرية. يجب على العملاء الذين يمنحون حق الوصول عبر قواعد الشبكة هذه الاستمرار في تلبية متطلبات الترخيص لحساب التخزين للوصول إلى البيانات.

يدعم كل حساب تخزين ما يصل إلى 400 قاعدة شبكة ظاهرية. يمكنك دمج هذه القواعد مع قواعد شبكة IP.

هام

عند الرجوع إلى نقطة نهاية خدمة في تطبيق عميل، يوصى بتجنب الاعتماد على عنوان IP مخزن مؤقتا. يخضع عنوان IP لحساب التخزين للتغيير، وقد يؤدي الاعتماد على عنوان IP المخزن مؤقتا إلى سلوك غير متوقع.

بالإضافة إلى ذلك، يوصى بتكريم وقت البقاء (TTL) لسجل DNS وتجنب تجاوزه. قد يؤدي تجاوز DNS TTL إلى سلوك غير متوقع.

الأذونات المطلوبة

لتطبيق قاعدة شبكة ظاهرية على حساب تخزين، يجب أن يكون لدى المستخدم الأذونات المناسبة للشبكات الفرعية التي تتم إضافتها. يمكن لمساهم حساب التخزين أو مستخدم لديه إذن Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action لعملية موفر موارد Azure تطبيق قاعدة باستخدام دور Azure مخصص.

يمكن أن يكون حساب التخزين والشبكات الظاهرية التي تحصل على حق الوصول في اشتراكات مختلفة، بما في ذلك الاشتراكات التي تعد جزءا من مستأجر Microsoft Entra مختلف.

يتم حاليا دعم تكوين القواعد التي تمنح الوصول إلى الشبكات الفرعية في الشبكات الظاهرية التي تعد جزءا من مستأجر Microsoft Entra مختلف فقط من خلال PowerShell وAzure CLI وواجهات برمجة تطبيقات REST. لا يمكنك تكوين مثل هذه القواعد من خلال مدخل Microsoft Azure، على الرغم من أنه يمكنك عرضها في المدخل.

نقاط نهاية خدمة Azure Storage عبر المناطق

أصبحت نقاط نهاية الخدمة عبر المناطق ل Azure Storage متوفرة بشكل عام في أبريل 2023. وهي تعمل بين الشبكات الظاهرية ومثيلات خدمة التخزين في أي منطقة. مع نقاط نهاية الخدمة عبر المناطق، لم تعد الشبكات الفرعية تستخدم عنوان IP عاما للاتصال بأي حساب تخزين، بما في ذلك تلك الموجودة في منطقة أخرى. بدلا من ذلك، تستخدم جميع نسبة استخدام الشبكة من الشبكات الفرعية إلى حسابات التخزين عنوان IP خاصا ك IP مصدر. ونتيجة لذلك، لم يعد لأي حسابات تخزين تستخدم قواعد شبكة IP للسماح بحركة المرور من تلك الشبكات الفرعية تأثير.

يمكن أن يكون تكوين نقاط نهاية الخدمة بين الشبكات الظاهرية ومثيلات الخدمة في منطقة مقترنة جزءا مهما من خطة التعافي من الكوارث. تسمح نقاط نهاية الخدمة بالاستمرارية أثناء تجاوز الفشل المحلي والوصول إلى حالات التخزين الاحتياطي الجغرافي للقراءة فقط (RA - GRS). كما تمنح قواعد الشبكة التي تمنح الوصول من الشبكة الافتراضية إلى حساب التخزين الوصول إلى أي مثيل RA - GRS.

عندما تخطط للتعافي من الكوارث أثناء انقطاع إقليمي، قم بإنشاء الشبكات الظاهرية في المنطقة المقترنة مسبقا. تمكين نقاط نهاية الخدمة لتخزين Azure، مع قواعد الشبكة التي تمنح الوصول من هذه الشبكات الظاهرية البديلة. ثم طبق هذه القواعد على حسابات التخزين المكررة جغرافيًا.

لا يمكن أن تتواجد نقاط نهاية الخدمة المحلية وعبر المناطق على نفس الشبكة الفرعية. لاستبدال نقاط نهاية الخدمة الحالية بنقاط نهاية عبر المناطق، احذف نقاط النهاية الموجودة Microsoft.Storage وأعد إنشائها كنقاط نهاية عبر المناطق (Microsoft.Storage.Global).

إدارة قواعد الشبكة الافتراضية

يمكنك إدارة قواعد الشبكة الظاهرية لحسابات التخزين من خلال مدخل Microsoft Azure أو PowerShell أو Azure CLI v2.

إذا كنت تريد تمكين الوصول إلى حساب التخزين الخاص بك من شبكة ظاهرية أو شبكة فرعية في مستأجر Microsoft Entra آخر، يجب استخدام PowerShell أو Azure CLI. لا يعرض مدخل Microsoft Azure الشبكات الفرعية في مستأجري Microsoft Entra الآخرين.

  1. انتقل إلى حساب التخزين الذي تريد تأمينه.

  2. حدد Networking.

  3. تحقق من أنك اخترت السماح بالوصول من الشبكات المحددة.

  4. لمنح حق الوصول إلى شبكة ظاهرية باستخدام قاعدة شبكة جديدة، ضمن الشبكات الظاهرية، حدد إضافة شبكة ظاهرية موجودة. حدد خيارات الشبكات الظاهرية والشبكات الفرعية، ثم حدد إضافة.

    لإنشاء شبكة ظاهرية جديدة ومنحها حق الوصول، حدد إضافة شبكة ظاهرية جديدة. قم بتوفير المعلومات اللازمة لإنشاء الشبكة الظاهرية الجديدة، ثم حدد إنشاء.

    إذا لم تُكَوَن نقطة نهاية الخدمة لـAzure Storage مسبقًا للشبكة الافتراضية والشبكات الفرعية المحددة، فيمكنك تكوينها كجزء من هذه العملية.

    في الوقت الحالي، تظهر فقط الشبكات الظاهرية التي تنتمي إلى نفس مستأجر Microsoft Entra للاختيار أثناء إنشاء القاعدة. لمنح حق الوصول إلى شبكة فرعية في شبكة ظاهرية تنتمي إلى مستأجر آخر، استخدم PowerShell أو Azure CLI أو واجهات برمجة تطبيقات REST.

  5. لإزالة شبكة ظاهرية أو قاعدة شبكة فرعية، حدد علامة الحذف (...) لفتح قائمة السياق للشبكة الظاهرية أو الشبكة الفرعية، ثم حدد إزالة.

  6. حدد حفظ لتطبيق التغييرات التي أجريتها.

هام

إذا حذفت شبكة فرعية مضمنة في قاعدة شبكة، فستتم إزالتها من قواعد الشبكة لحساب التخزين. إذا قمت بإنشاء شبكة فرعية جديدة بنفس الاسم، فلن يكون لديها حق الوصول إلى حساب التخزين. للسماح بالوصول، يجب عليك تفويض الشبكة الفرعية الجديدة بشكل صريح في قواعد الشبكة لحساب التخزين.

منح حق الوصول من نطاق IP للإنترنت

يمكنك استخدام قواعد شبكة IP للسماح بالوصول من نطاقات عناوين IP عامة معينة عبر الإنترنت عن طريق إنشاء قواعد شبكة IP. يدعم كل حساب تخزين ما يصل إلى 400 قاعدة. تمنح هذه القواعد الوصول إلى خدمات محددة مستندة إلى الإنترنت وشبكات محلية وتحظر حركة المرور العامة على الإنترنت.

قيود قواعد شبكة IP

تنطبق القيود التالية على نطاقات عناوين IP:

  • يسمح بقواعد شبكة IP فقط لعناوين الإنترنت العام IP.

    لا يُسمح لنطاقات عناوين IP المحجوزة للشبكات الخاصة (كما هو محدد في RFC 1918) في قواعد IP. تتضمن الشبكات الخاصة عناوين تبدأ ب 10 و172.16 إلى 172.31 و192.168.

  • يجب توفير نطاقات عناوين الإنترنت المسموح بها باستخدام رمز CIDR في النموذج 16.17.18.0/24 أو كعناوين IP فردية مثل 16.17.18.19.

  • نطاقات العناوين الصغيرة التي تستخدم أحجام بادئة /31 أو /32 غير معتمدة. قم بتكوين هذه النطاقات باستخدام قواعد عنوان IP الفردية.

  • يتم دعم عناوين IPv4 فقط لتكوين قواعد جدار حماية التخزين.

هام

لا يمكنك استخدام قواعد شبكة IP في الحالات التالية:

  • لتقييد الوصول إلى العملاء في نفس منطقة Azure مثل حساب التخزين. لا تؤثر قواعد شبكة IP على الطلبات التي تنشأ من نفس منطقة Azure مثل حساب التخزين. استخدم قواعد الشبكة الافتراضية للسماح بطلبات المنطقة نفسها.
  • لتقييد الوصول إلى العملاء في منطقة مقترنة موجودة في شبكة ظاهرية تحتوي على نقطة نهاية خدمة.
  • لتقييد الوصول إلى خدمات Azure المنتشرة في نفس منطقة حساب التخزين. تستخدم الخدمات المنشورة في نفس المنطقة التي يستخدمها حساب التخزين عناوين Azure IP خاصة للاتصال. لذلك، لا يمكنك تقييد الوصول إلى خدمات Azure معينة استنادا إلى نطاق عناوين IP الصادرة العامة الخاصة بها.

تكوين الوصول من الشبكات المحلية

لمنح حق الوصول من الشبكات المحلية إلى حساب التخزين الخاص بك باستخدام قاعدة شبكة IP، يجب تحديد عناوين IP المواجهة للإنترنت التي تستخدمها شبكتك. اتصل بمسؤول الشبكة للحصول على المساعدة.

إذا كنت تستخدم Azure ExpressRoute من أماكن عملك، فستحتاج إلى تحديد عناوين NAT IP المستخدمة لنظير Microsoft. إما أن موفر الخدمة أو العميل يوفر عناوين IP NAT.

للسماح بالوصول إلى موارد الخدمة، يجب السماح بعناوين IP العامة هذه في إعداد جدار الحماية لعناوين IP للمورد.

إدارة قواعد شبكة IP

يمكنك إدارة قواعد شبكة IP لحسابات التخزين من خلال مدخل Microsoft Azure أو PowerShell أو Azure CLI v2.

  1. انتقل إلى حساب التخزين الذي تريد تأمينه.

  2. حدد Networking.

  3. تحقق من أنك اخترت السماح بالوصول من الشبكات المحددة.

  4. لمنح الوصول إلى نطاق IP للإنترنت، أدخل عنوان IP أو نطاق العنوان (بتنسيق CIDR) تحت جدار الحماية> نطاق العنوان.

  5. لإزالة قاعدة شبكة IP، حدد أيقونة الحذف ( ) بجوار نطاق العنوان.

  6. حدد حفظ لتطبيق التغييرات التي أجريتها.

منح حق الوصول من مثيلات موارد Azure

في بعض الحالات، قد يعتمد التطبيق على موارد Azure التي لا يمكن عزلها من خلال شبكة ظاهرية أو قاعدة عنوان IP. ولكنك لا تزال ترغب في تأمين وصول حساب التخزين وتقييده إلى موارد Azure للتطبيق الخاص بك فقط. يمكنك تكوين حسابات التخزين للسماح بالوصول إلى مثيلات موارد معينة لخدمات Azure الموثوق بها عن طريق إنشاء قاعدة مثيل مورد.

تحدد تعيينات دور Azure لمثيل المورد أنواع العمليات التي يمكن لمثيل المورد تنفيذها على بيانات حساب التخزين. يجب أن تكون مثيلات الموارد من نفس المستأجر مثل حساب التخزين خاصتك، ولكنها يمكن أن تنتمي إلى أي اشتراك في المستأجر.

يمكنك إضافة قواعد شبكة الموارد أو إزالتها في مدخل Microsoft Azure:

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. حدد موقع حساب التخزين الخاص بك وعرض نظرة عامة على الحساب.

  3. حدد Networking.

  4. ضمن جدران الحماية والشبكات الظاهرية، بالنسبة للشبكات المحددة، حدد خيار السماح بالوصول.

  5. مرر لأسفل للعثور على مثيلات الموارد. في القائمة المنسدلة نوع المورد، حدد نوع المورد لمثيل المورد الخاص بك.

  6. في القائمة المنسدلة اسم المثيل، حدد مثيل المورد. يمكنك أيضًا اختيار تضمين جميع مثيلات الموارد في المستأجر النشط أو الاشتراك أو مجموعة الموارد.

  7. حدد حفظ لتطبيق التغييرات التي أجريتها. يظهر مثيل المورد في قسم Resource instances في الصفحة لإعدادات الشبكة.

لإزالة مثيل المورد، حدد أيقونة الحذف () بجوار مثيل المورد.

منح حق الوصول إلى خدمات Azure الموثوق بها

تعمل بعض خدمات Azure من شبكات لا يمكنك تضمينها في قواعد الشبكة. يمكنك منح مجموعة فرعية من خدمات Azure الموثوقة الوصول إلى حساب التخزين، مع الحفاظ على قواعد الشبكة للتطبيقات الأخرى. ستستخدم هذه الخدمات الموثوق بها مصادقة قوية للاتصال بحساب التخزين الخاص بك.

يمكنك منح الوصول إلى خدمات Azure الموثوقة عن طريق إنشاء استثناء قاعدة الشبكة. يوفر قسم إدارة الاستثناءات في هذه المقالة إرشادات خطوة بخطوة.

الوصول الموثوق به للموارد المسجلة في مستأجر Microsoft Entra

يمكن لموارد بعض الخدمات الوصول إلى حساب التخزين الخاص بك للعمليات المحددة، مثل كتابة السجلات أو تشغيل النسخ الاحتياطية. يجب تسجيل هذه الخدمات في اشتراك موجود في نفس مستأجر Microsoft Entra مثل حساب التخزين الخاص بك. يصف الجدول التالي كل خدمة والعمليات المسموح بها.

الخدمة اسم موفر الموارد العمليات المسموح بها
النسخ الاحتياطي في Azure Microsoft.RecoveryServices تشغيل النسخ الاحتياطية واستعادة الأقراص غير المدارة في الأجهزة الظاهرية للبنية الأساسية كخدمة (IaaS) (غير مطلوبة للأقراص المدارة). اعرف المزيد.
Azure Data Box Microsoft.DataBox استيراد البيانات إلى Azure. اعرف المزيد.
Azure DevTest Labs Microsoft.DevTestLab إنشاء صور مخصصة وتثبيت البيانات الاصطناعية. اعرف المزيد.
Azure Event Grid Microsoft.EventGrid تمكين نشر حدث Azure Blob Storage والسماح بالنشر إلى قوائم انتظار التخزين.
مراكز أحداث Azure Microsoft.EventHub أرشفة البيانات باستخدام التقاط مراكز الأحداث. اعرف المزيد.
"Azure File Sync" Microsoft.StorageSync تحويل خادم الملفات المحلي إلى ذاكرة تخزين مؤقت لمشاركات ملفات Azure. تسمح هذه الإمكانية بالمزامنة متعددة المواقع والتعافي السريع من الكوارث والنسخ الاحتياطي من جانب السحابة. اعرف المزيد.
Azure HDInsight Microsoft.HDInsight توفير المحتويات الأولية لنظام الملفات الافتراضي لمجموعة HDInsight جديدة. اعرف المزيد.
خدمة استيراد/تصدير Azure Microsoft.ImportExport استيراد البيانات إلى Azure Storage أو تصدير البيانات من Azure Storage. اعرف المزيد.
Azure Monitor Microsoft.Insights اكتب بيانات المراقبة إلى حساب تخزين آمن، بما في ذلك سجلات الموارد وبيانات Microsoft Defender لنقطة النهاية وسجلات تسجيل الدخول والتدقيق في Microsoft Entra وسجلات Microsoft Intune. اعرف المزيد.
خدمات الشبكات من Azure Microsoft.Network تخزين وتحليل سجلات حركة مرور الشبكة، بما في ذلك من خلال Azure Network Watcher وخدمات Azure Traffic Manager. اعرف المزيد.
استرداد موقع Azure Microsoft.SiteRecovery تمكين النسخ المتماثل للتعافي من الكوارث لأجهزة Azure IaaS الظاهرية عند استخدام ذاكرة التخزين المؤقت أو المصدر أو حسابات التخزين الهدف التي تدعم جدار الحماية. اعرف المزيد.

الوصول الموثوق به استنادًا إلى هوية مدارة

يسرد الجدول التالي الخدمات التي يمكنها الوصول إلى بيانات حساب التخزين الخاص بك إذا كان لدى مثيلات الموارد لهذه الخدمات الإذن المناسب.

الخدمة اسم موفر الموارد الغرض
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats تمكين الوصول إلى حسابات التخزين.
إدارة Azure API Microsoft.ApiManagement/service تمكين الوصول إلى حسابات التخزين خلف جدران الحماية عبر النهج. اعرف المزيد.
أنظمة Microsoft الذاتية Microsoft.AutonomousSystems/workspaces تمكين الوصول إلى حسابات التخزين.
ذاكرة التخزين المؤقت في Azure لـ Redis Microsoft.Cache/Redis تمكين الوصول إلى حسابات التخزين. اعرف المزيد.
البحث باستخدام الذكاء الاصطناعي في Azure Microsoft.Search/searchServices تمكين الوصول إلى حسابات التخزين للفهرسة والمعالجة والاستعلام.
خدماتالذكاء الاصطناعي في Azure Microsoft.CognitiveService/accounts تمكين الوصول إلى حسابات التخزين. اعرف المزيد.
Azure Container Registry Microsoft.ContainerRegistry/registries من خلال مجموعة ميزات مهام ACR، يمكن الوصول إلى حسابات التخزين عند إنشاء صور الحاوية.
Microsoft Cost Management Microsoft.CostManagementExports تمكين التصدير إلى حسابات التخزين خلف جدار حماية. اعرف المزيد.
Azure Databricks Microsoft.Databricks/accessConnectors تمكين الوصول إلى حسابات التخزين.
Azure Data Factory Microsoft.DataFactory/factories تمكين الوصول إلى حسابات التخزين من خلال وقت تشغيل Data Factory.
مخزن Azure Backup Microsoft.DataProtection/BackupVaults تمكين الوصول إلى حسابات التخزين.
مشاركة بيانات Azure Microsoft.DataShare/accounts تمكين الوصول إلى حسابات التخزين.
قاعدة بيانات Azure لـ PostgreSQL Microsoft.DBForPostgreSQL تمكين الوصول إلى حسابات التخزين.
Azure IoT Hub Microsoft.Devices/IotHubs يسمح بكتابة البيانات من مركز IoT إلى Blob Storage. اعرف المزيد.
Azure DevTest Labs Microsoft.DevTestLab/labs تمكين الوصول إلى حسابات التخزين.
Azure Event Grid Microsoft.EventGrid/domains تمكين الوصول إلى حسابات التخزين.
Azure Event Grid Microsoft.EventGrid/partnerTopics تمكين الوصول إلى حسابات التخزين.
Azure Event Grid Microsoft.EventGrid/systemTopics تمكين الوصول إلى حسابات التخزين.
Azure Event Grid Microsoft.EventGrid/topics تمكين الوصول إلى حسابات التخزين.
Microsoft Fabric Microsoft.Fabric تمكين الوصول إلى حسابات التخزين.
واجهات برمجة تطبيقات الرعاية الصحية من Azure Microsoft.HealthcareApis/services تمكين الوصول إلى حسابات التخزين.
واجهات برمجة تطبيقات الرعاية الصحية من Azure Microsoft.HealthcareApis/workspaces تمكين الوصول إلى حسابات التخزين.
Azure IoT Central Microsoft.IoTCentral/IoTApps تمكين الوصول إلى حسابات التخزين.
Azure Key Vault Managed HSM Microsoft.keyvault/managedHSMs تمكين الوصول إلى حسابات التخزين.
Azure Logic Apps Microsoft.Logic/integrationAccounts تمكين التطبيقات المنطقية من الوصول إلى حسابات التخزين. اعرف المزيد.
Azure Logic Apps Microsoft.Logic/workflows تمكين التطبيقات المنطقية من الوصول إلى حسابات التخزين. اعرف المزيد.
Azure Machine Learning Studio Microsoft.MachineLearning/registries تمكين مساحات عمل Azure التعلم الآلي المعتمدة من كتابة إخراج التجربة والنماذج والسجلات إلى Blob Storage وقراءة البيانات. اعرف المزيد.
Azure Machine Learning   Microsoft.MachineLearningServices تمكين مساحات عمل Azure التعلم الآلي المعتمدة من كتابة إخراج التجربة والنماذج والسجلات إلى Blob Storage وقراءة البيانات. اعرف المزيد.
Azure Machine Learning   Microsoft.MachineLearningServices/workspaces تمكين مساحات عمل Azure التعلم الآلي المعتمدة من كتابة إخراج التجربة والنماذج والسجلات إلى Blob Storage وقراءة البيانات. اعرف المزيد.
Azure Media Services Microsoft.Media/mediaservices تمكين الوصول إلى حسابات التخزين.
Azure Migrate Microsoft.Migrate/migrateprojects تمكين الوصول إلى حسابات التخزين.
Azure Spatial Anchors Microsoft.MixedReality/remoteRenderingAccounts تمكين الوصول إلى حسابات التخزين.
Azure ExpressRoute Microsoft.Network/expressRoutePorts تمكين الوصول إلى حسابات التخزين.
منصة مايكروسوفت للطاقة Microsoft.PowerPlatform/enterprisePolicies تمكين الوصول إلى حسابات التخزين.
Microsoft Project Arcadia Microsoft.ProjectArcadia/workspaces تمكين الوصول إلى حسابات التخزين.
"Azure Data Catalog" Microsoft.ProjectBabylon/accounts تمكين الوصول إلى حسابات التخزين.
Microsoft Purview Microsoft.Purview/accounts تمكين الوصول إلى حسابات التخزين.
استرداد موقع Azure Microsoft.RecoveryServices/vaults تمكين الوصول إلى حسابات التخزين.
Security Center Microsoft.Security/dataScanners تمكين الوصول إلى حسابات التخزين.
التفرد Microsoft.Singularity/accounts تمكين الوصول إلى حسابات التخزين.
قاعدة بيانات Azure SQL Microsoft.Sql يسمح بكتابة بيانات التدقيق إلى حسابات التخزين خلف جدار حماية.
خوادم Azure SQL Microsoft.Sql/servers يسمح بكتابة بيانات التدقيق إلى حسابات التخزين خلف جدار حماية.
Azure Synapse Analytics Microsoft.Sql يسمح باستيراد البيانات وتصديرها من قواعد بيانات SQL محددة عبر العبارة COPY أو PolyBase (في تجمع مخصص)، أو الدالة openrowset والجداول الخارجية في تجمع بلا خادم. اعرف المزيد.
Azure Stream Analytics Microsoft.StreamAnalytics يسمح بكتابة البيانات من مهمة دفق إلى Blob Storage. اعرف المزيد.
Azure Stream Analytics Microsoft.StreamAnalytics/streamingjobs يسمح بكتابة البيانات من مهمة دفق إلى Blob Storage. اعرف المزيد.
Azure Synapse Analytics Microsoft.Synapse/workspaces تمكين الوصول إلى البيانات في Azure Storage.
Azure Video Indexer Microsoft.VideoIndexer/Accounts تمكين الوصول إلى حسابات التخزين.

إذا لم يتم تمكين ميزة مساحة الاسم الهرمية على حسابك، يمكنك منح الإذن عن طريق تعيين دور Azure بشكل صريح إلى الهوية المدارة لكل مثيل مورد. في هذه الحالة، يتوافق نطاق الوصول للمثيل مع دور Azure المعين للهوية المدارة.

يمكنك استخدام نفس التقنية لحساب تم تمكين ميزة مساحة الاسم الهرمية عليه. ومع ذلك، لا يتعين عليك تعيين دور Azure إذا أضفت الهوية المدارة إلى قائمة التحكم في الوصول (ACL) لأي دليل أو كائن ثنائي كبير الحجم يحتوي عليه حساب التخزين. في هذه الحالة، يتوافق نطاق الوصول للمثيل مع الدليل أو الملف الذي يمكن للهوية المدارة الوصول إليه.

يمكنك أيضا الجمع بين أدوار Azure وACLs معا لمنح حق الوصول. لمعرفة المزيد، راجع نموذج التحكم في الوصول في Azure Data Lake Storage.

نوصي باستخدام قواعد مثيل المورد لمنح حق الوصول إلى موارد معينة.

إدارة الاستثناءات

في بعض الحالات، مثل تحليلات التخزين، يكون الوصول إلى قراءة سجلات الموارد والمقاييس مطلوبا من خارج حدود الشبكة. عند تكوين الخدمات الموثوق بها للوصول إلى حساب التخزين، يمكنك السماح بالوصول للقراءة لملفات السجل أو جداول المقاييس أو كليهما عن طريق إنشاء استثناء قاعدة الشبكة. يمكنك إدارة استثناءات قاعدة الشبكة من خلال مدخل Microsoft Azure أو PowerShell أو Azure CLI v2.

لمعرفة المزيد حول العمل مع تحليلات التخزين، راجع استخدام تحليلات تخزين Azure لجمع بيانات السجلات والمقاييس.

  1. انتقل إلى حساب التخزين الذي تريد تأمينه.

  2. حدد Networking.

  3. تحقق من أنك اخترت السماح بالوصول من الشبكات المحددة.

  4. ضمن استثناءات، حدد الاستثناءات التي تريد منحها.

  5. حدد حفظ لتطبيق التغييرات التي أجريتها.

الخطوات التالية

تعرف على المزيد حول نقاط نهاية خدمة شبكة Azure. اتعمق في أمان Azure Storage.