Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Před implementací zabezpečení sítě pro účty úložiště si projděte důležitá omezení a důležité informace v této části.
Obecné pokyny a omezení
Pravidla brány firewall služby Azure Storage se vztahují pouze na operace datové roviny. Operace řídicí roviny nepodléhají omezením uvedeným v pravidlech brány firewall.
Pokud chcete získat přístup k datům pomocí nástrojů, jako je Azure Portal, Průzkumník služby Azure Storage a AzCopy, musíte být na počítači v rámci důvěryhodné hranice, kterou vytvoříte při konfiguraci pravidel zabezpečení sítě.
Některé operace, například operace s kontejnery objektů blob, lze provádět jak prostřednictvím řídicí roviny, tak prostřednictvím roviny dat. Pokud se pokusíte provést operaci, jako je výpis kontejnerů z webu Azure Portal, operace bude úspěšná, pokud není blokovaná jiným mechanismem. Pokusy o přístup k datům objektů blob z aplikací, jako je Azure Storage Explorer, jsou kontrolované omezeními brány firewall.
Seznam operací roviny dat najdete v referenčních informacích k rozhraní REST API služby Azure Storage.
Seznam operací řídicí roviny najdete v referenčních informacích k rozhraní REST API poskytovatele prostředků služby Azure Storage.
Pravidla sítě se vynucují ve všech síťových protokolech pro Azure Storage, včetně REST a SMB.
Pravidla sítě nemají vliv na diskový provoz virtuálního počítače, včetně operací připojení a odpojení a vstupně-výstupních operací disku, ale pomáhají chránit přístup REST k objektům blob stránky.
V účtech úložiště můžete použít nespravované disky s pravidly sítě použitými k zálohování a obnovení virtuálních počítačů vytvořením výjimky. Výjimky brány firewall se nevztahují na spravované disky, protože je Azure už spravuje.
Pokud odstraníte podsíť, která je součástí pravidla virtuální sítě, odebere se z pravidel sítě pro účet úložiště. Pokud vytvoříte novou podsíť se stejným názvem, nebude mít přístup k účtu úložiště. Pokud chcete povolit přístup, musíte explicitně autorizovat novou podsíť v pravidlech sítě pro účet úložiště.
Při odkazování na koncový bod služby v klientské aplikaci doporučujeme vyhnout se závislosti na IP adrese uložené v mezipaměti. IP adresa účtu úložiště se může změnit a spoléhat se na IP adresu uloženou v mezipaměti může vést k neočekávanému chování. Kromě toho doporučujeme dodržovat hodnotu TTL (Time to Live) záznamu DNS a vyhnout se jeho přepsání. Přepsání hodnoty TTL DNS může vést k neočekávanému chování.
Přístup k účtu úložiště z důvěryhodných služeb má záměrně přednost před ostatními omezeními síťového přístupu. Pokud nastavíte přístup k veřejné síti na Zakázáno po předchozím nastavení na Povoleno z vybraných virtuálních sítí a IP adres, všechny instance prostředků a výjimky , které jste dříve nakonfigurovali, včetně povolení služeb Azure v seznamu důvěryhodných služeb pro přístup k tomuto účtu úložiště, zůstanou platné. V důsledku toho můžou mít tyto prostředky a služby stále přístup k účtu úložiště.
I když zakážete přístup k veřejné síti, může se vám stále zobrazit upozornění z programu Microsoft Defender for Storage nebo azure Advisoru, které doporučuje omezit přístup pomocí pravidel virtuální sítě. K tomu může dojít v případech, kdy zakážete veřejný přístup pomocí šablony. Vlastnost defaultAction zůstane nastavena na Allow, i když jste vlastnost PublicNetworkAccess nastavili na Disabled. Zatímco vlastnost PublicNetworkAccess má přednost, nástroje, jako je Microsoft Defender, také hlásí hodnotu defaultAction vlastnost. Pokud chcete tento problém vyřešit, pomocí šablony nastavte vlastnost DefaultAction nebo zakažte veřejný přístup pomocí nástroje, jako je Azure Portal, PowerShell nebo Azure CLI. Tyto nástroje automaticky změní vlastnost defaultAction na hodnotu Odepřít za vás.
Omezení pravidel sítě PROTOKOLU IP
Pravidla sítě IP jsou povolená jenom pro veřejné internetové IP adresy.
Rozsahy IP adres vyhrazené pro privátní sítě (jak je definováno v dokumentu RFC 1918) nejsou v pravidlech IP adres povolené. Privátní sítě zahrnují adresy začínající 10, 172.16 až 172.31 a 192.168.
Povolené rozsahy internetových adres musíte zadat pomocí zápisu CIDR ve formátu 16.17.18.0/24 nebo jako jednotlivé IP adresy, jako je 16.17.18.19.
Malé rozsahy adres, které používají velikost předpon /31 nebo /32, se nepodporují. Nakonfigurujte tyto rozsahy pomocí jednotlivých pravidel IP adres.
Pro konfiguraci pravidel brány firewall úložiště jsou podporovány pouze adresy IPv4.
Pravidla sítě IP nemůžete použít k omezení přístupu k klientům ve stejné oblasti Azure jako účet úložiště. Pravidla sítě IP nemají žádný vliv na požadavky, které pocházejí ze stejné oblasti Azure jako účet úložiště. Použijte pravidla virtuální sítě k povolení požadavků stejné oblasti.
Pravidla sítě PROTOKOLU IP nemůžete použít k omezení přístupu k klientům ve spárované oblasti , která se nachází ve virtuální síti s koncovým bodem služby.
Pravidla sítě IP nemůžete použít k omezení přístupu ke službám Azure nasazenými ve stejné oblasti jako účet úložiště.
Služby nasazené ve stejném regionu jako účet úložiště používají pro komunikaci soukromé adresy IP Azure. Proto nemůžete omezit přístup ke konkrétním službám Azure na základě jejich rozsahu veřejných odchozích IP adres.
Další kroky
- Přečtěte si další informace o koncových bodech síťových služeb Azure.
- Podrobnější informace o doporučeních zabezpečení pro úložiště objektů blob v Azure