Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pravidla brány firewall služby Azure Storage poskytují podrobnou kontrolu nad síťovým přístupem k veřejnému koncovému bodu účtu úložiště. Účty úložiště ve výchozím nastavení povolují připojení z libovolné sítě, ale přístup můžete omezit konfigurací pravidel sítě, která definují, které zdroje se můžou připojit k vašemu účtu úložiště.
Můžete nakonfigurovat čtyři typy pravidel sítě:
- Pravidla virtuální sítě: Povolení provozu z konkrétních podsítí v rámci virtuálních sítí Azure
- Pravidla sítě IP: Povolení provozu z konkrétních rozsahů veřejných IP adres
- Pravidla instance prostředků: Povolení provozu z konkrétních instancí prostředků Azure, které není možné izolovat prostřednictvím pravidel virtuální sítě nebo IP adres
- Výjimky důvěryhodné služby: Povolení přenosu dat z konkrétních služeb Azure, které fungují mimo váš obvod sítě
Když jsou nakonfigurovaná pravidla sítě, mají přístup k vašemu účtu úložiště prostřednictvím svého veřejného koncového bodu jenom přenosy z explicitně povolených zdrojů. Veškerý ostatní provoz je odepřen.
Poznámka:
Klienti, kteří posílali požadavky z povolených zdrojů, musí také splňovat požadavky na autorizaci účtu úložiště. Další informace o autorizaci účtu najdete v tématu Autorizace přístupu k datům ve službě Azure Storage.
Pravidla virtuálních sítí
Provoz z podsítí můžete povolit v libovolné virtuální síti Azure. Virtuální síť může být z libovolného předplatného v libovolném tenantu Microsoft Entra v libovolné oblasti Azure. Pokud chcete povolit provoz z podsítě, přidejte pravidlo virtuální sítě. Pro každý účet úložiště můžete přidat až 400 pravidel virtuální sítě.
V nastavení virtuální sítě podsítě musíte také povolit koncový bod služby virtuální sítě. Tento koncový bod je navržený tak, aby poskytoval zabezpečené a přímé připojení k vašemu účtu úložiště.
Při vytváření pravidel sítě pomocí webu Azure Portal se tyto koncové body služby automaticky vytvoří při výběru každé cílové podsítě. PowerShell a Azure CLI poskytují příkazy, které můžete použít k jejich ručnímu vytvoření. Další informace o koncových bodech služeb naleznete v Služební koncové body virtuální sítě.
Následující tabulka popisuje každý typ koncového bodu služby, který můžete pro Azure Storage povolit:
| Koncový bod služby | Název prostředku | Popis |
|---|---|---|
| Koncový bod služby Azure Storage | Microsoft.Storage | Poskytuje připojení k účtům úložiště ve stejné oblasti jako virtuální síť. |
| Koncový bod služby Azure Storage napříč regiony | Microsoft.Storage.Global | Poskytuje připojení k účtům úložiště v libovolné oblasti. |
Poznámka:
K podsíti můžete přidružit pouze jeden z těchto typů koncových bodů. Pokud je některý z těchto koncových bodů již přidružený k podsíti, musíte tento koncový bod před přidáním druhého koncového bodu odstranit.
Informace o tom, jak nakonfigurovat pravidlo virtuální sítě a povolit koncové body služby, najdete v tématu Vytvoření pravidla virtuální sítě pro Azure Storage.
Přístup z spárované oblasti
Koncové body služby také fungují mezi virtuálními sítěmi a instancemi služeb ve spárované oblasti.
Konfigurace koncových bodů služby mezi virtuálními sítěmi a instancemi služby ve spárované oblasti může být důležitou součástí vašeho plánu zotavení po havárii. Koncové body služby umožňují kontinuitu během regionálního výpadku a poskytují přístup k geograficky redundantním úložištím pouze pro čtení (RA-GRS). Pravidla virtuální sítě, která uděluje přístup z virtuální sítě k účtu úložiště, také uděluje přístup k libovolné instanci RA-GRS.
Při plánování zotavení po havárii během regionálního výpadku vytvořte virtuální sítě v spárované oblasti předem. Povolte koncové body služby pro Azure Storage pomocí pravidel sítě, která udělují přístup z těchto alternativních virtuálních sítí. Tato pravidla pak použijte na svých geograficky redundantních účtech úložiště.
Pravidla sítě IP
Pro klienty a služby, které nejsou umístěné ve virtuální síti, můžete povolit provoz vytvořením pravidel sítě PROTOKOLU IP. Každé pravidlo sítě IP umožňuje provoz z konkrétního rozsahu veřejných IP adres. Pokud například klient z místní sítě potřebuje přístup k datům úložiště, můžete vytvořit pravidlo, které zahrnuje veřejnou IP adresu tohoto klienta. Každý účet úložiště podporuje až 400 pravidel sítě IP.
Informace o vytváření pravidel sítě PROTOKOLU IP najdete v tématu Vytvoření pravidla sítě PROTOKOLU IP pro Azure Storage.
Pokud povolíte koncový bod služby pro podsíť, provoz z této podsítě nebude používat veřejnou IP adresu ke komunikaci s účtem úložiště. Místo toho veškerý provoz používá jako zdrojovou IP adresu privátní IP adresu. Výsledkem je, že pravidla sítě PROTOKOLU IP, která povolují provoz z těchto podsítí, už nemají žádný vliv.
Tokeny SAS, které udělují přístup ke konkrétní IP adrese, slouží k omezení přístupu držitele tokenu, ale neudělují nový přístup nad rámec nakonfigurovaných pravidel sítě.
Důležité
Některá omezení platí pro rozsahy IP adres. Seznam omezení najdete v tématu Omezení pravidel sítě PROTOKOLU IP.
Přístup z místní sítě
Provoz z místní sítě můžete povolit pomocí pravidla sítě PROTOKOLU IP. Nejprve musíte identifikovat internetové IP adresy, které vaše síť používá. Požádejte o pomoc správce sítě.
Pokud používáte Azure ExpressRoute z místního prostředí, musíte identifikovat IP adresy NAT používané pro Microsoft peering. Poskytovatel služeb nebo zákazník poskytuje IP adresy NAT.
Pokud chcete povolit přístup k prostředkům služby, musíte tyto veřejné IP adresy povolit v nastavení brány firewall pro IP adresy prostředků.
Pravidla instancí prostředků Azure
Některé prostředky Azure není možné izolovat prostřednictvím pravidla virtuální sítě nebo IP adresy. Provoz z těchto zdrojů můžete povolit vytvořením pravidla instance síťových prostředků. Přiřazení rolí Azure instance prostředku určují typy operací, které může instance prostředku provádět s daty účtu úložiště. Instance prostředků musí být ze stejného tenanta jako váš účet úložiště, ale můžou patřit do libovolného předplatného v rámci tenanta.
Informace o tom, jak nakonfigurovat pravidlo instance prostředku, najdete v tématu Vytvoření síťového pravidla instance prostředku pro Azure Storage.
Výjimky pro důvěryhodné služby Azure
Pokud potřebujete povolit provoz ze služby Azure mimo hranice sítě, můžete přidat výjimku zabezpečení sítě. To může být užitečné, když služba Azure pracuje ze sítě, kterou nemůžete zahrnout do pravidel virtuální sítě nebo sítě IP. Některé služby můžou například potřebovat číst záznamy zdrojů a metriky ve vašem účtu. Můžete povolit přístup pro čtení pro soubory protokolů, tabulky metrik nebo obojí vytvořením výjimky pravidla sítě. Tyto služby se připojují k vašemu účtu úložiště pomocí silného ověřování.
Další informace o tom, jak přidat výjimku zabezpečení sítě, najdete v tématu Správa výjimek zabezpečení sítě.
Úplný seznam služeb Azure, pro které můžete povolit provoz, najdete v tématu Důvěryhodné služby Azure.
Omezení a důležité informace
Před implementací zabezpečení sítě pro účty úložiště nezapomeňte zkontrolovat všechna omezení a důležité informace. Úplný seznam najdete v tématu Omezení a omezení pro konfiguraci brány firewall služby Azure Storage a virtuální sítě.