Konfigurieren von Azure Storage-Firewalls und virtuellen Netzwerken
Azure Storage bietet ein mehrschichtiges Sicherheitsmodell. Mit diesem Modell können Sie den für Ihre Anwendungen und Unternehmensumgebungen benötigten Zugriff auf Ihre Speicherkonten steuern – abhängig von der Art und der Teilmenge der von Ihnen verwendeten Netzwerke oder Ressourcen.
Wenn Sie die Netzwerkregeln konfiguriert haben, können nur Anwendungen, die Daten über die angegebene Gruppe von Netzwerken oder über die angegebenen Azure-Ressourcen anfordern, auf ein Speicherkonto zugreifen. Sie können den Zugriff auf Ihr Speicherkonto auf Anforderungen beschränken, die von angegebenen IP-Adressen, aus angegebenen IP-Adressbereichen, aus angegebenen Subnetzen in einem virtuellen Azure-Netzwerk oder von angegebenen Ressourceninstanzen einiger Azure-Dienste stammen.
Speicherkonten verfügen über einen öffentlichen Endpunkt, auf den über das Internet zugegriffen werden kann. Sie können auch private Endpunkte für Ihr Speicherkonto erstellen. Beim erstellen privater Endpunkte wird dem Speicherkonto eine private IP-Adresse aus Ihrem virtuellen Netzwerk zugewiesen. Auf diese Weise wird sämtlicher Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Speicherkonto über eine private Verbindung gesichert.
Die Azure Storage-Firewall ermöglicht Zugriffssteuerung für den öffentlichen Endpunkt Ihres Speicherkontos. Sie können die Firewall auch zum Blockieren des gesamten Zugriffs über den öffentlichen Endpunkt einsetzen, wenn Sie private Endpunkte verwenden. Ihre Firewallkonfiguration ermöglicht auch die Auswahl vertrauenswürdiger Azure-Plattformdienste für Zugriff auf das Speicherkonto.
Eine Anwendung, die bei aktivierten Netzwerkregeln auf ein Speicherkonto zugreift, benötigt weiterhin eine ordnungsgemäße Autorisierung für die Anforderung. Für die Autorisierung können Microsoft Entra-Anmeldeinformationen für Blobs, Tabellen, Dateifreigaben und Warteschlangen mit einem gültigen Kontozugriffsschlüssel oder mit einem Shared Access Signature (SAS)-Token verwendet werden. Wenn Sie ein Blob-Container für den anonymen Zugriff konfigurieren, müssen Anforderungen zum Lesen von Daten in diesem Container nicht autorisiert werden. Die Firewallregeln bleiben in Kraft und blockieren anonymen Datenverkehr.
Wenn Sie Firewallregeln für Ihr Speicherkonto aktivieren, werden eingehende Datenanforderungen standardmäßig blockiert – es sei denn, die Anforderungen stammen von einem Dienst, der innerhalb eines virtuellen Azure-Netzwerks agiert, oder aus zulässigen öffentlichen IP-Adressen. Unter anderem werden Anforderungen von anderen Azure-Diensten, aus dem Azure-Portal und von Protokollierungs-/Metrikdiensten blockiert.
Sie können Azure-Diensten, die innerhalb eines virtuellen Netzwerks agieren, Zugriff gewähren, indem Sie Datenverkehr aus dem Subnetz zulassen, das die Dienstinstanz hostet. Sie können auch eine begrenzte Anzahl von Szenarien über den in diesem Artikel beschriebenen Ausnahmenmechanismus ermöglichen. Der Zugriff auf Daten aus dem Speicherkonto über das Azure-Portal muss über einen Computer erfolgen, der sich innerhalb der von Ihnen eingerichteten vertrauenswürdigen Grenze (IP-Adresse oder virtuelles Netzwerk) befindet.
Hinweis
Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.
Szenarien
Zum Sichern Ihres Speicherkontos sollten Sie zuerst eine Regel so konfigurieren, dass der Zugriff auf Datenverkehr aus allen Netzwerken (einschließlich Internetdatenverkehr) auf dem öffentlichen Endpunkt standardmäßig verweigert wird. Anschließend sollten Sie Regeln konfigurieren, die den Zugriff auf Datenverkehr aus bestimmten virtuellen Netzwerken gewähren. Sie können auch Regeln konfigurieren, um den Zugriff auf Datenverkehr aus ausgewählten öffentlichen Internet-IP-Adressbereichen zu gewähren und so Verbindungen von bestimmten Internetclients oder lokalen Clients zu ermöglichen. Mit dieser Konfiguration können Sie eine sichere Netzwerkgrenze für Ihre Anwendungen erstellen.
Sie können Firewallregeln kombinieren, die den Zugriff aus bestimmten virtuellen Netzwerken und aus öffentlichen IP-Adressbereichen in demselben Speicherkonto zulassen. Regeln für die Speicherfirewall können auf bereits vorhandene Speicherkonten oder beim Erstellen neuer Speicherkonten angewendet werden.
Storage-Firewallregeln gelten für den öffentlichen Endpunkt eines Speicherkontos. Sie benötigen keine Firewallzugriffsregeln, um Datenverkehr für private Endpunkte eines Speicherkontos zuzulassen. Der Vorgang zur Genehmigung der Erstellung eines privaten Endpunkts gewährt impliziten Zugriff auf Datenverkehr aus dem Subnetz, das den privaten Endpunkt hostet.
Wichtig
Azure Storage-Firewallregeln gelten nur für Vorgänge auf Datenebene. Vorgänge auf Steuerungsebene unterliegen nicht den Einschränkungen, die in Firewallregeln festgelegt werden.
Einige Vorgänge, wie z. B. Blobcontainervorgänge, können sowohl über die Steuerungsebene als auch über die Datenebene ausgeführt werden. Wenn Sie also versuchen, einen Vorgang wie das Auflisten von Containern über das Azure-Portal auszuführen, ist der Vorgang erfolgreich, es sei denn, er wird von einem anderen Mechanismus blockiert. Versuche, über eine Anwendung wie Azure Storage-Explorer auf Blobdaten zuzugreifen, werden durch die Firewalleinschränkungen gesteuert.
Eine Liste der Vorgänge auf Datenebene finden Sie in der REST-API-Referenz zu Azure Storage. Eine Liste der Vorgänge auf Steuerungsebene finden Sie in der Referenz zur REST-API des Azure-Speicherressourcenanbieters.
Konfigurieren des Netzwerkzugriffs auf Azure Storage
Sie können den Zugriff auf die Daten in Ihrem Speicherkonto über Netzwerkendpunkte oder über vertrauenswürdige Dienste oder Ressourcen in beliebiger Kombination steuern:
- Zugriff aus ausgewählten Subnetzen virtueller Netzwerke über private Endpunkte zulassen
- Zugriff aus ausgewählten Subnetzen virtueller Netzwerke über Dienstendpunkte zulassen
- Zugriff aus bestimmten öffentlichen IT-Adressen oder -Adressbereichen zulassen
- Zugriff aus bestimmten Azure-Ressourceninstanzen zulassen
- Zugriff aus vertrauenswürdigen Azure-Diensten zulassen (mithilfe von Ausnahmen verwalten)
- Ausnahmen für Protokollierungs- und Metrikdienste konfigurieren
Informationen zu Dienstendpunkten virtueller Netzwerke
Es gibt zwei Arten von VNet-Endpunkten für Speicherkonten:
VNet-Dienstendpunkte sind öffentlich und über das Internet zugänglich. Die Azure Storage-Firewall bietet die Möglichkeit, den Zugriff auf Ihr Speicherkonto über solche öffentlichen Endpunkte zu steuern. Wenn Sie den öffentlichen Netzwerkzugriff auf Ihr Speicherkonto aktivieren, werden alle eingehenden Anforderungen für Daten standardmäßig blockiert. Nur Anwendungen, die Daten aus zulässigen Quellen anfordern, die Sie in den Firewalleinstellungen Ihres Speicherkontos konfigurieren, können auf Ihre Daten zugreifen. Zu den Quellen kann die Quell-IP-Adresse oder das VNet-Subnetz eines Clients oder eine Azure-Dienst- oder Ressourceninstanz gehören, über die Clients oder Dienste auf Ihre Daten zugreifen. Blockiert werden u. a. Anforderungen von anderen Azure-Diensten, aus dem Azure-Portal sowie von Protokollierungs- und Metrikdiensten, es sei denn, Sie lassen den Zugriff in Ihrer Firewallkonfiguration explizit zu.
Ein privater Endpunkt verwendet eine private IP-Adresse aus Ihrem virtuellen Netzwerk, um über das Microsoft-Backbonenetzwerk auf ein Speicherkonto zuzugreifen. Bei einem privaten Endpunkt wird der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Speicherkonto über eine private Verbindung gesichert. Storage-Firewallregeln gelten nur für die öffentlichen Endpunkte eines Speicherkontos, nicht für private Endpunkte. Der Vorgang zur Genehmigung der Erstellung eines privaten Endpunkts gewährt impliziten Zugriff auf Datenverkehr aus dem Subnetz, das den privaten Endpunkt hostet. Sie können Netzwerkrichtlinien verwenden, um den Datenverkehr über private Endpunkte zu steuern, wenn Sie differenziertere Zugriffsregeln definieren möchten. Wenn Sie ausschließlich private Endpunkte verwenden möchten, können Sie die Firewall nutzen, um den gesamten Zugriff über den öffentlichen Endpunkt zu blockieren.
Informationen, die Ihnen bei der Entscheidung helfen können, welche Art Endpunkt Sie in Ihrer Umgebung jeweils verwenden sollten, finden Sie unter Private Endpunkte und VNet-Dienstendpunkte im Vergleich.
Vorgehensweise beim Einrichten der Netzwerksicherheit für Ihr Speicherkonto
So sichern Sie Ihr Speicherkonto und erstellen eine sichere Netzwerkgrenze für Ihre Anwendungen:
Deaktivieren Sie zunächst in der Einstellung Öffentlicher Netzwerkzugriff in der Speicherkontofirewall den gesamten öffentlichen Netzwerkzugriff für das Speicherkonto.
Konfigurieren Sie nach Möglichkeit private Links zu Ihrem Speicherkonto von privaten Endpunkten in den Subnetzen virtueller Netzwerke, in denen sich die Clients befinden, die Zugriff auf Ihre Daten benötigen.
Wenn Clientanwendungen Zugriff über die öffentlichen Endpunkte benötigen, ändern Sie die Einstellung Öffentlicher Netzwerkzugriff zu Aus ausgewählten virtuellen Netzwerken und IP-Adressen aktiviert. Gehen Sie dann je nach Bedarf wie folgt vor:
- Geben Sie die Subnetze des virtuellen Netzwerks an, von denen aus der Zugriff zugelassen werden soll.
- Geben Sie die öffentlichen IP-Adressbereiche von Clients an, von denen aus Sie Zugriff gewähren möchten, z. B. solche in lokalen Netzwerken.
- Lassen Sie den Zugriff aus bestimmten Azure-Ressourceninstanzen zu.
- Fügen Sie Ausnahmen hinzu, um den Zugriff von vertrauenswürdigen Diensten zuzulassen, die für Vorgänge wie das Sichern von Daten erforderlich sind.
- Fügen Sie Ausnahmen für die Protokollierung und Metriken hinzu.
Nachdem Sie Netzwerkregeln angewendet haben, werden diese für alle Anforderungen erzwungen. SAS-Token, die Zugriff auf eine bestimmte IP-Adresse gewähren, beschränken den Zugriff des Tokeninhabers, gewähren jedoch keinen neuen Zugriff außerhalb der konfigurierten Netzwerkregeln.
Einschränkungen und Überlegungen
Bevor Sie die Netzwerksicherheit für Ihre Speicherkonten implementieren, lesen Sie die wichtigen Einschränkungen und Überlegungen, die in diesem Abschnitt erläutert werden.
- Azure Storage-Firewallregeln gelten nur für Vorgänge auf Datenebene. Vorgänge auf Steuerungsebene unterliegen nicht den Einschränkungen, die in Firewallregeln festgelegt werden.
- Sehen Sie sich die Einschränkungen für IP-Netzwerkregeln an.
- Um mithilfe von Tools wie dem Azure-Portal, Azure Storage-Explorer und AzCopy auf Daten zuzugreifen, müssen Sie einen Computer innerhalb der vertrauenswürdigen Grenze verwenden, die Sie beim Konfigurieren der Netzwerksicherheitsregeln festlegen.
- Netzwerkregeln werden für alle Netzwerkprotokolle für Azure Storage, einschließlich REST und SMB, erzwungen.
- Netzwerkregeln wirken sich nicht auf den Datenverkehr von VM-Datenträgern aus – einschließlich Vorgängen zum Einbinden und Aufheben der Einbindung sowie Datenträger-E/A-Vorgängen –, aber sie tragen zum Schutz des REST-Zugriffs auf Seitenblobs bei.
- Sie können nicht verwaltete Datenträger in Speicherkonten mit angewendeten Netzwerkregeln verwenden, um VMs durch Erstellung einer Ausnahme zu sichern und wiederherzustellen. Firewallausnahmen sind auf verwaltete Datenträger nicht anwendbar, da sie bereits von Azure verwaltet werden.
- Firewalls und virtuelle Netzwerke werden von klassischen Speicherkonten nicht unterstützt.
- Wenn Sie ein Subnetz löschen, das in einer Regel für ein virtuelles Netzwerk enthalten ist, wird es aus den Netzwerkregeln für das Speicherkonto entfernt. Wenn Sie ein neues Subnetz mit dem gleichen Namen erstellen, hat es keinen Zugriff auf das Speicherkonto. Um den Zugriff zuzulassen, müssen Sie das neue Subnetz explizit in den Netzwerkregeln für das Speicherkonto autorisieren.
- Beim Verweisen auf einen Dienstendpunkt in einer Clientanwendung wird empfohlen, eine Abhängigkeit von einer zwischengespeicherten IP-Adresse zu vermeiden. Die IP-Adresse des Speicherkontos kann sich ändern, und die Abhängigkeit von einer zwischengespeicherten IP-Adresse kann zu unerwartetem Verhalten führen. Darüber hinaus wird empfohlen, die Laufzeit (Time-to-Live, TTL) des DNS-Eintrags zu berücksichtigen und ihn nicht zu überschreiben. Das Überschreiben der DNS-TTL kann zu unerwartetem Verhalten führen.
- Der Zugriff auf ein Speicherkonto von vertrauenswürdigen Diensten hat die höchste Priorität gegenüber anderen Netzwerkzugriffseinschränkungen. Dies ist Absicht. Wenn Sie den öffentlichen Netzwerkzugriff auf Deaktiviert stellen, nachdem Sie ihn zuvor auf Aktivierung von ausgewählten virtuellen Netzwerken und IP-Adressen gestellt haben, bleiben etwaige Ressourceninstanzen und Ausnahmen, die Sie zuvor konfiguriert haben, einschließlich Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto erlauben, wirksam. Infolgedessen haben diese Ressourcen und Dienste möglicherweise weiterhin Zugriff auf das Speicherkonto.
Autorisierung
Clients, denen über Netzwerkregeln Zugriff gewährt wird, müssen weiterhin die Autorisierungsanforderungen des Speicherkontos erfüllen, um auf die Daten zugreifen zu können. Für die Autorisierung können Microsoft Entra-Anmeldeinformationen für Blobs und Warteschlangen mit einem gültigen Kontozugriffsschlüssel oder mit einem Shared Access Signature (SAS)-Token verwendet werden.
Wenn Sie einen Blobcontainer für den anonymen öffentlichen Zugriff konfigurieren, müssen Anforderungen zum Lesen von Daten in diesem Container nicht autorisiert werden. Die konfigurierten Firewallregeln bleiben jedoch in Kraft und blockieren anonymen Datenverkehr.
Ändern der Standard-Netzwerkzugriffsregel
Standardmäßig akzeptieren Speicherkonten Verbindungen von Clients in jedem Netzwerk. Sie können den Zugriff auf ausgewählte Netzwerke beschränken oder Datenverkehr aus allen Netzwerken verweigern und den Zugriff nur über einen privaten Endpunkt zulassen.
Sie müssen die Standardregel auf _*Verweigern** festlegen (siehe Festlegen der Standardregel). Andernfalls haben die Netzwerkregeln keine Wirkung. Doch das Ändern dieser Einstellung kann die Fähigkeit Ihrer Anwendung, eine Verbindung mit Azure Storage herzustellen, beeinträchtigen. Stellen Sie sicher, dass Sie Zugriff auf alle zulässigen Netzwerke gewähren oder den Zugriff über einen privaten Endpunkt einrichten, bevor Sie diese Einstellung ändern.
Hinweis
Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.
Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.
Navigieren Sie unter Sicherheit und Netzwerk zu den Netzwerkeinstellungen.
Wählen Sie aus, welche Art von öffentlichem Netzwerkzugriff Sie zulassen möchten:
Wenn Sie Datenverkehr über alle Netzwerke zulassen möchten, wählen Sie Enabled from all networks (Aktiviert über alle Netzwerke) aus.
Um Datenverkehr nur aus bestimmten virtuellen Netzwerken zu erlauben, wählen Sie Enabled from selected virtual networks and IP addresses (Aktiviert über ausgewählte virtuelle Netzwerke und IP-Adressen).
Um den Datenverkehr von allen Netzwerken zu blockieren, wählen Sie Deaktiviert aus.
Klicken Sie zum Übernehmen der Änderungen auf Speichern.
Achtung
Der Zugriff auf ein Speicherkonto von vertrauenswürdigen Diensten hat die höchste Priorität gegenüber anderen Netzwerkzugriffseinschränkungen. Dies ist Absicht. Wenn Sie den öffentlichen Netzwerkzugriff auf Deaktiviert stellen, nachdem Sie ihn zuvor auf Aktivierung von ausgewählten virtuellen Netzwerken und IP-Adressen gestellt haben, bleiben etwaige Ressourceninstanzen und Ausnahmen, die Sie zuvor konfiguriert haben, einschließlich Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto erlauben, wirksam. Infolgedessen haben diese Ressourcen und Dienste möglicherweise weiterhin Zugriff auf das Speicherkonto.
Gewähren des Zugriffs aus einem virtuellen Netzwerk
Sie können Speicherkonten so konfigurieren, dass nur über bestimmte Subnetze zugegriffen werden kann. Die zulässigen Subnetze gehören möglicherweise zu einem virtuellen Netzwerk im selben Abonnement oder in einem anderen Abonnement – einschließlich jener, die zu einem anderen Microsoft Entra-Mandanten gehören. Bei regionsübergreifenden Dienstendpunkten können sich die zulässigen Subnetze auch in anderen Regionen als das Speicherkonto befinden.
Sie können einen Dienstendpunkt für Azure Storage innerhalb des virtuellen Netzwerks aktivieren. Der Dienstendpunkt leitet Datenverkehr aus dem virtuellen Netzwerk über einen optimalen Pfad an den Azure Storage-Dienst weiter. Mit jeder Anforderung werden außerdem die Identitäten des Subnetzes und des virtuellen Netzwerks übertragen. Administratoren können anschließend Netzwerkregeln für das Speicherkonto konfigurieren, die den Empfang von Anforderungen aus bestimmten Subnetzen in einem virtuellen Netzwerk zulassen. Clients, denen über diese Netzwerkregeln Zugriff gewährt wird, müssen weiterhin die Autorisierungsanforderungen des Speicherkontos erfüllen, um auf die Daten zugreifen zu können.
Jedes Speicherkonto unterstützt bis zu 400 VNET-Regeln. Sie können diese Regeln mit IP-Netzwerkregeln kombinieren.
Wichtig
Beim Verweisen auf einen Dienstendpunkt in einer Clientanwendung wird empfohlen, eine Abhängigkeit von einer zwischengespeicherten IP-Adresse zu vermeiden. Die IP-Adresse des Speicherkontos kann sich ändern, und die Abhängigkeit von einer zwischengespeicherten IP-Adresse kann zu unerwartetem Verhalten führen.
Darüber hinaus wird empfohlen, die Laufzeit (Time-to-Live, TTL) des DNS-Eintrags zu berücksichtigen und ihn nicht zu überschreiben. Das Überschreiben der DNS-TTL kann zu unerwartetem Verhalten führen.
Erforderliche Berechtigungen
Wenn Sie eine VNET-Regel auf ein Speicherkonto anwenden möchten, muss der Benutzer über geeignete Berechtigungen für die hinzuzufügenden Subnetze verfügen. Ein Speicherkontomitwirkender oder ein Benutzer, dem über eine benutzerdefinierte Azure-Rolle die Berechtigung für den Azure-Ressourcenanbietervorgang Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action
erteilt wurde, kann eine Regel anwenden.
Das Speicherkonto und die virtuellen Netzwerke, denen Zugriff gewährt wurde, können sich in verschiedenen Abonnements befinden – einschließlich Abonnements, die zu einem anderen Microsoft Entra-Mandanten gehören.
Die Konfiguration von Regeln, die Zugriff auf Subnetze in virtuellen Netzwerken gewähren, die Teil eines anderen Microsoft Entra-Mandanten sind, wird zurzeit nur über PowerShell, Azure CLI und Rest-APIs unterstützt. Sie können solche Regeln nicht über das Azure-Portal konfigurieren, aber Sie können sie im Portal anzeigen.
Regionsübergreifende Azure Storage-Dienstendpunkte
Regionsübergreifende Dienstendpunkte für Azure Storage wurden im April 2023 allgemein verfügbar. Sie arbeiten zwischen virtuellen Netzwerken und Speicherdienstinstanzen in jeder Region. Bei regionsübergreifenden Dienstendpunkten verwenden Subnetze keine öffentliche IP-Adresse mehr, um mit einem Speicherkonto zu kommunizieren, auch nicht mit einem Speicherkonto in einer anderen Region. Stattdessen wird der gesamte Datenverkehr von Subnetzen zu Speicherkonten eine private IP-Adresse als Quell-IP-Adresse verwenden. Dies hat zur Folge, dass alle Speicherkonten, die IP-Netzwerkregeln verwenden, um den Datenverkehr aus diesen Subnetzen zuzulassen, keine Wirkung mehr haben.
Das Konfigurieren von Dienstendpunkten zwischen virtuellen Netzwerken und Dienstinstanzen in einem Regionspaar kann ein wichtiger Bestandteil Ihres Notfallwiederherstellungsplans sein. Dienstendpunkte ermöglichen Kontinuität während eines regionalen Failovers sowie unterbrechungsfreien Zugriff auf Instanzen von georedundantem Speicher mit Lesezugriff (Read-Access Geo-Redundant Storage, RA-GRS). Netzwerkregeln, die Zugriff aus einem virtuellen Netzwerk auf ein Speicherkonto gewähren, gewähren auch Zugriff auf jede RA-GRS-Instanz.
Wenn Sie die Notfallwiederherstellung während eines regionalen Ausfalls planen, erstellen Sie die virtuellen Netzwerke im Voraus im Regionspaar. Aktivieren Sie Dienstendpunkte für Azure Storage mit Netzwerkregeln, die den Zugriff über diese alternativen virtuellen Netzwerke gewähren. Wenden Sie diese Regeln dann auf Ihre georedundanten Speicherkonten an.
Lokale und regionsübergreifende Dienstendpunkte können im selben Subnetz nicht gleichzeitig vorhanden sein. Um vorhandene Dienstendpunkte durch regionsübergreifende Endpunkte zu ersetzen, löschen Sie die vorhandenen Microsoft.Storage
-Endpunkte, und erstellen Sie sie als regionsübergreifende Endpunkte neu (Microsoft.Storage.Global
).
Verwalten von VNET-Regeln
VNET-Regeln für Speicherkonten können über das Azure-Portal, über PowerShell oder per Azure CLI v2 verwaltet werden.
Wenn Sie den Zugriff auf Ihr Speicherkonto über ein virtuelles Netzwerk oder Subnetz in einem anderen Microsoft Entra-Mandanten aktivieren möchten, müssen Sie PowerShell oder die Azure CLI verwenden. Das Azure-Portal zeigt keine Subnetze in anderen Microsoft Entra-Mandanten an.
Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.
Wählen Sie Netzwerk aus.
Vergewissern Sie sich, dass Sie den Zugriff über Ausgewählte Netzwerke ausgewählt haben.
Um Zugriff auf ein virtuelles Netzwerk mit einer neuen Netzwerkregel zu erteilen, wählen Sie unter Virtuelle Netzwerke die Option Vorhandenes virtuelles Netzwerk hinzufügen aus. Wählen Sie die Optionen virtuelle Netzwerke und Subnetze und dann Hinzufügen aus.
Wenn Sie ein neues virtuelles Netzwerk erstellen und ihm Zugriff gewähren möchten, wählen Sie Neues virtuelles Netzwerk hinzufügen aus. Geben Sie die erforderlichen Informationen zum Erstellen des neuen virtuellen Netzwerks an, und wählen Sie anschließend Erstellen aus.
Wenn für das ausgewählte virtuelle Netzwerk und die Subnetze noch kein Dienstendpunkt für Azure Storage konfiguriert wurde, können Sie dies im Rahmen dieses Vorgangs nachholen.
Zurzeit werden nur virtuelle Netzwerke, die zu demselben Microsoft Entra-Mandanten gehören, während der Regelerstellung zur Auswahl angezeigt. Verwenden Sie PowerShell, die Azure CLI oder REST-APIs, um den Zugriff auf ein Subnetz in einem virtuellen Netzwerk zu gewähren, das zu einem anderen Mandanten gehört.
Wenn Sie eine Regel für virtuelle Netzwerke oder Subnetze entfernen möchten, wählen Sie die Auslassungspunkte ... aus, um das Kontextmenü für das virtuelle Netzwerk oder Subnetz zu öffnen, und wählen Sie anschließend Entfernen aus.
Klicken Sie zum Übernehmen der Änderungen auf Speichern.
Wichtig
Wenn Sie ein Subnetz löschen, das in einer Netzwerkregel enthalten ist, wird es aus den Netzwerkregeln für das Speicherkonto entfernt. Wenn Sie ein neues Subnetz mit dem gleichen Namen erstellen, hat es keinen Zugriff auf das Speicherkonto. Um den Zugriff zuzulassen, müssen Sie das neue Subnetz explizit in den Netzwerkregeln für das Speicherkonto autorisieren.
Gewähren von Zugriff aus einem Internet-IP-Adressbereich
Sie können IP-Netzwerkregeln verwenden, um den Zugriff aus spezifischen öffentlichen IP-Adressbereichen über das Internet zuzulassen, indem Sie IP-Netzwerkregeln erstellen. Jedes Speicherkonto unterstützt bis zu 400 Regeln. Diese Regeln gewähren bestimmten internetbasierten Diensten und lokalen Netzwerken Zugriff und blockieren den allgemeinen Internetdatenverkehr.
Einschränkungen für IP-Netzwerkregeln
Die folgenden Einschränkungen gelten für IP-Adressbereiche:
IP-Netzwerkregeln sind nur für IP-Adressen des öffentlichen Internet zulässig.
Für private Netzwerke reservierte IP-Adressbereiche (wie in RFC 1918 definiert) sind in IP-Adressregeln nicht zulässig. Private Netzwerke enthalten Adressen, die mit 10, 172.16. bis 172.31 und 192.168. beginnen.
Sie müssen zulässige Internetadressbereiche in der CIDR-Notation im Format 16.17.18.0/24 oder als einzelne IP-Adressen (beispielsweise 16.17.18.19) angeben.
Kleine Adressbereiche, die die Präfixgrößen / 31 oder / 32 verwenden, werden nicht unterstützt. Konfigurieren Sie diese Bereiche mit einzelnen IP-Adressregeln.
Für die Konfiguration von Storage-Firewallregeln werden nur IPv4-Adressen unterstützt.
Wichtig
Sie können in den folgenden Fällen keine IP-Netzwerkregeln verwenden:
- Zum Einschränken des Zugriffs auf Clients in derselben Azure-Region wie das Speicherkonto IP-Netzwerkregeln haben keine Auswirkungen auf Anforderungen, die aus der Azure-Region stammen, in der sich auch das Speicherkonto befindet. Verwenden Sie VNET-Regeln, um Anforderungen aus der gleichen Region zuzulassen.
- Zum Einschränken des Zugriffs auf Clients in einer gekoppelten Region, die sich in einem virtuellen Netzwerk mit einem Dienstendpunkt befinden.
- Zum Einschränken des Zugriffs auf Azure-Dienste, die in derselben Region wie das Speicherkonto bereitgestellt wurden Dienste, die in derselben Region wie das Speicherkonto bereitgestellt werden, verwenden für die Kommunikation private Azure-IP-Adressen. Daher können Sie den Zugriff auf bestimmte Azure-Dienste nicht anhand ihres IP-Adressbereichs für öffentlichen ausgehenden Datenverkehr einschränken.
Konfigurieren des Zugriffs aus lokalen Netzwerken
Wenn Sie mit einer IP-Netzwerkregel den Zugriff über Ihre lokalen Netzwerke auf das Speicherkonto gewähren möchten, müssen Sie die von Ihrem Netzwerk verwendeten Internet-IP-Adressen ermitteln. Hilfe erhalten Sie von Ihrem Netzwerkadministrator.
Wenn Sie Azure ExpressRoute in Ihrer lokalen Umgebung verwenden, müssen Sie die NAT-IP-Adressen für das Microsoft-Peering identifizieren. Die NAT-IP-Adressen wird entweder vom Dienstanbieter oder den Kund:innen bereitgestellt.
Um den Zugriff auf Ihre Dienstressourcen zuzulassen, müssen Sie diese öffentlichen IP-Adressen in der Firewall-Einstellung für IP-Ressourcen zulassen.
Verwalten von IP-Netzwerkregeln
Sie können die IP-Regeln für Speicherkonten über das Azure-Portal, über PowerShell oder per Azure CLI v2 verwalten.
Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.
Wählen Sie Netzwerk aus.
Vergewissern Sie sich, dass Sie den Zugriff über Ausgewählte Netzwerke ausgewählt haben.
Geben Sie unter Firewall>Adressbereich die IP-Adresse oder den IP-Adressbereich (im CIDR-Format) ein, um Zugriff auf einen Internet-IP-Adressbereich zu gewähren.
Wenn Sie eine IP-Netzwerkregel entfernen möchten, wählen Sie das Symbol „Löschen“ ( ) neben dem Adressbereich aus.
Klicken Sie zum Übernehmen der Änderungen auf Speichern.
Gewähren von Zugriff über Azure-Ressourceninstanzen
Manchmal ist eine Anwendung unter Umständen auf Azure-Ressourcen angewiesen, die nicht über ein virtuelles Netzwerk oder über eine IP-Adressregel isoliert werden können. Trotzdem soll der Zugriff auf das Speicherkonto geschützt und auf die Azure-Ressourcen Ihrer Anwendung beschränkt werden. In diesem Fall können Sie eine Ressourceninstanzregel erstellen, um Speicherkonten so zu konfigurieren, dass der Zugriff auf bestimmte Ressourceninstanzen vertrauenswürdiger Azure-Dienste zugelassen wird.
Die Azure-Rollenzuweisungen der Ressourceninstanz bestimmen die Arten von Vorgängen, die von einer Ressourceninstanz für Speicherkontodaten ausgeführt werden können. Ressourceninstanzen müssen aus dem gleichen Mandanten stammen wie Ihr Speicherkonto, können aber zu einem beliebigen Abonnement im Mandanten gehören.
So können Sie Ressourcennetzwerkregeln über das Azure-Portal hinzugefügt und entfernt werden:
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Ihrem Speicherkonto, und zeigen Sie die Kontoübersicht an.
Wählen Sie Netzwerk aus.
Wählen Sie unter Firewalls und virtuelle Netzwerke für Ausgewählte Netzwerke die Option zum Erlauben des Zugriffs aus.
Scrollen Sie nach unten, um nach Ressourceninstanzen zu suchen. Wählen Sie in der Dropdownliste Ressourcentyp den Ressourcentyp Ihrer Ressourceninstanz aus.
Wählen Sie in der Dropdownliste Instanzname die Ressourceninstanz aus. Sie können auch alle Ressourceninstanzen im aktiven Mandanten, im aktiven Abonnement oder in der aktiven Ressourcengruppe einschließen.
Klicken Sie zum Übernehmen der Änderungen auf Speichern. Die Ressourceninstanz wird auf der Seite mit den Netzwerkeinstellungen im Abschnitt Resource instances (Ressourceninstanzen) angezeigt.
Wenn Sie die Ressourceninstanz entfernen möchten, wählen Sie das Löschsymbol () neben der Ressourceninstanz aus.
Gewähren von Zugriff für vertrauenswürdige Azure-Dienste
Einige Azure-Dienste werden in Netzwerken betrieben, die Sie nicht in Ihre Netzwerkregeln einschließen können. Sie können einer Teilmenge solcher vertrauenswürdiger Azure-Dienste Zugriff auf das Speicherkonto gewähren und gleichzeitig Netzwerkregeln für andere Apps beibehalten. Diese vertrauenswürdigen Dienste stellen dann mithilfe einer strengen Authentifizierung eine Verbindung mit Ihrem Speicherkonto her.
Sie können vertrauenswürdigen Azure-Diensten Zugriff gewähren, indem Sie eine Netzwerkregelausnahme erstellen. Eine ausführliche Anleitung finden Sie im Abschnitt Verwalten von Ausnahmen dieses Artikels.
Vertrauenswürdiger Zugriff für Ressourcen, die in Ihrem Microsoft Entra-Mandanten registriert sind.
Ressourcen einiger Dienste können für bestimmte Vorgänge auf Ihr Speicherkonto zugreifen. Hierzu zählen beispielsweise das Schreiben von Protokollen und das Ausführen von Sicherungsvorgängen. Diese Dienste müssen in einem Abonnement registriert werden, das sich im gleichen Microsoft Entra-Mandanten wie Ihr Speicherkonto befindet. In der folgenden Tabelle werden die einzelnen Dienste und die zulässigen Vorgänge beschrieben.
Dienst | Name des Ressourcenanbieters | Zulässige Vorgänge |
---|---|---|
Azure Backup | Microsoft.RecoveryServices |
Führen Sie Sicherungen und Wiederherstellungen von nicht verwalteten Datenträgern in iaaS-VMs (Infrastructure-as-a-Service) aus (für verwaltete Datenträger nicht erforderlich). Weitere Informationen |
Azure Data Box | Microsoft.DataBox |
Importieren Sie Daten in Azure. Weitere Informationen |
Azure DevTest Labs | Microsoft.DevTestLab |
Erstellen Sie benutzerdefinierte Images und installieren Sie Artefakte. Weitere Informationen |
Azure Event Grid | Microsoft.EventGrid |
Aktivieren Sie Azure Blob Storage-Ereignisveröffentlichung, und erlauben Sie die Veröffentlichung in Speicherwarteschlangen. |
Azure Event Hubs | Microsoft.EventHub |
Archivieren von Daten mit Event Hubs Capture. Weitere Informationen. |
Azure-Dateisynchronisierung | Microsoft.StorageSync |
Transformieren Sie Ihren lokalen Dateiserver in einen Cache für Azure-Dateifreigaben. Diese Funktion ermöglicht die Synchronisierung mehrerer Standorte, schnelle Notfallwiederherstellung und cloudseitige Sicherung. Weitere Informationen |
Azure HDInsight | Microsoft.HDInsight |
Stellen Sie die anfänglichen Inhalte des Standarddateisystems für einen neuen HDInsight-Cluster bereit. Weitere Informationen |
Azure Import/Export | Microsoft.ImportExport |
Importieren Sie Daten in Azure Storage oder exportieren Sie Daten aus Azure Storage. Weitere Informationen |
Azure Monitor | Microsoft.Insights |
Schreiben Sie Überwachungsdaten in ein sicheres Speicherkonto, einschließlich Ressourcenprotokollen, Microsoft Entra-Anmelde- und -Überwachungsprotokollen sowie Microsoft Intune-Protokollen. Weitere Informationen |
Azure-Netzwerkdienste | Microsoft.Network |
Speichern und analysieren Sie Netzwerk-Datenverkehrsprotokolle, beispielsweise mit Azure Network Watcher und Azure Traffic Manager-Diensten. Weitere Informationen |
Azure Site Recovery | Microsoft.SiteRecovery |
Aktivieren Sie die Replikation für die Notfallwiederherstellung von virtuellen Azure-IaaS-Computern bei Verwendung von firewallfähigen Cache-, Quell- oder Zielspeicherkonten. Weitere Informationen |
Vertrauenswürdiger Zugriff auf der Grundlage einer verwalteten Identität
Die folgende Tabelle enthält eine Liste mit Diensten, die Zugriff auf Ihre Speicherkontodaten haben, wenn den Ressourceninstanzen dieser Dienste die entsprechende Berechtigung erteilt wird.
Dienst | Name des Ressourcenanbieters | Zweck |
---|---|---|
Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure API Management | Microsoft.ApiManagement/service |
Ermöglicht den Zugriff auf Speicherkonten hinter Firewalls über Richtlinien. Weitere Informationen |
Microsoft Autonomous Systems | Microsoft.AutonomousSystems/workspaces |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Cache for Redis | Microsoft.Cache/Redis |
Ermöglicht den Zugriff auf Speicherkonten. Weitere Informationen |
Azure KI Cognitive Search | Microsoft.Search/searchServices |
Ermöglicht den Zugriff auf Speicherkonten zur Indizierung, Verarbeitung und Abfrage. |
Azure KI Services | Microsoft.CognitiveService/accounts |
Ermöglicht den Zugriff auf Speicherkonten. Weitere Informationen |
Azure Container Registry | Microsoft.ContainerRegistry/registries |
Die ACR Tasks-Sammlung ermöglicht den Zugriff auf Speicherkonten bei der Erstellung von Container-Images. |
Microsoft Cost Management | Microsoft.CostManagementExports |
Ermöglicht den Export in Speicherkonten hinter einer Firewall. Weitere Informationen |
Azure Databricks | Microsoft.Databricks/accessConnectors |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Data Factory | Microsoft.DataFactory/factories |
Die ACR Tasks-Funktionensammlung ermöglicht den Zugriff auf Speicherkonten bei der Erstellung von Container-Images. |
Azure Backup-Tresor | Microsoft.DataProtection/BackupVaults |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Data Share | Microsoft.DataShare/accounts |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Database for PostgreSQL | Microsoft.DBForPostgreSQL |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure IoT Hub | Microsoft.Devices/IotHubs |
Ermöglicht das Schreiben von Daten aus einem IoT-Hub in den Blobspeicher. Weitere Informationen |
Azure DevTest Labs | Microsoft.DevTestLab/labs |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Event Grid | Microsoft.EventGrid/domains |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Event Grid | Microsoft.EventGrid/systemTopics |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Event Grid | Microsoft.EventGrid/topics |
Ermöglicht den Zugriff auf Speicherkonten. |
Microsoft Fabric | Microsoft.Fabric |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Healthcare APIs | Microsoft.HealthcareApis/services |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Healthcare APIs | Microsoft.HealthcareApis/workspaces |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Ermöglicht den Zugriff auf Speicherkonten. |
Über Azure Key Vault verwaltetes HSM | Microsoft.keyvault/managedHSMs |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Ermöglicht Logik-Apps den Zugriff auf Speicherkonten. Weitere Informationen |
Azure Logic Apps | Microsoft.Logic/workflows |
Ermöglicht Logik-Apps den Zugriff auf Speicherkonten. Weitere Informationen |
Azure Machine Learning Studio | Microsoft.MachineLearning/registries |
Ermöglicht autorisierten Azure Machine Learning-Arbeitsbereichen das Schreiben Experimentausgaben, Modelle und Protokolle in Blob Storage und lesen die Daten. Weitere Informationen |
Azure Machine Learning | Microsoft.MachineLearningServices |
Ermöglicht autorisierten Azure Machine Learning-Arbeitsbereichen das Schreiben Experimentausgaben, Modelle und Protokolle in Blob Storage und lesen die Daten. Weitere Informationen |
Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Ermöglicht autorisierten Azure Machine Learning-Arbeitsbereichen das Schreiben Experimentausgaben, Modelle und Protokolle in Blob Storage und lesen die Daten. Weitere Informationen |
Azure Media Services | Microsoft.Media/mediaservices |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Migrate | Microsoft.Migrate/migrateprojects |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Spatial Anchors | Microsoft.MixedReality/remoteRenderingAccounts |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Ermöglicht den Zugriff auf Speicherkonten. |
Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Ermöglicht den Zugriff auf Speicherkonten. |
Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Ermöglicht den Zugriff auf Speicherkonten. |
Microsoft Purview | Microsoft.Purview/accounts |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Ermöglicht den Zugriff auf Speicherkonten. |
Security Center | Microsoft.Security/dataScanners |
Ermöglicht den Zugriff auf Speicherkonten. |
Singularität | Microsoft.Singularity/accounts |
Ermöglicht den Zugriff auf Speicherkonten. |
Azure SQL-Datenbank | Microsoft.Sql |
Ermöglicht das Schreiben von Überwachungsdaten in Speicherkonten hinter einer Firewall. |
Azure SQL-Server-Instanzen | Microsoft.Sql/servers |
Ermöglicht das Schreiben von Überwachungsdaten in Speicherkonten hinter einer Firewall. |
Azure Synapse Analytics | Microsoft.Sql |
Ermöglicht das Importieren und Exportieren von Daten aus bestimmten SQL-Datenbanken mithilfe der COPY -Anweisung, per PolyBase (in dediziertem Pool) oder mithilfe der Funktion openrowset und externer Tabellen in einem serverlosen Pool. Weitere Informationen |
Azure Stream Analytics | Microsoft.StreamAnalytics |
Ermöglicht das Schreiben von Daten aus einem Streamingauftrag in den BLOB-Speicher. Weitere Informationen |
Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Ermöglicht das Schreiben von Daten aus einem Streamingauftrag in den BLOB-Speicher. Weitere Informationen |
Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Ermöglicht den Zugriff auf Daten in Azure Storage. |
Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Ermöglicht den Zugriff auf Speicherkonten. |
Wenn für Ihr Konto das Feature für hierarchische Namespaces nicht aktiviert ist, können Sie die Berechtigung erteilen, indem Sie explizit der verwalteten Identität für jede Ressourceninstanz eine Azure-Rolle zuweisen. In diesem Fall entspricht der Zugriffsbereich für die Instanz der Azure-Rolle, die der verwalteten Identität zugewiesen ist.
Sie können dieselbe Methode für ein Konto verwenden, für das das Feature für hierarchische Namespaces aktiviert wurde. Sie müssen jedoch keine Azure-Rolle zuweisen, wenn Sie die verwaltete Identität der Zugriffssteuerungsliste (ACL) eines Verzeichnisses oder Blobs zuweisen, das bzw. der sich im Speicherkonto befindet. In diesem Fall entspricht der Zugriffsbereich der Instanz dem Verzeichnis oder der Datei, auf das bzw. die der verwalteten Identität Zugriff hat.
Sie können Azure-Rollen und ACLs auch miteinander kombinieren, um Zugriff zu gewähren. Weitere Informationen finden Sie unter Zugriffssteuerungsmodell in Azure Data Lake Storage.
Wir empfehlen die Verwendung von Ressourceninstanzregeln, um Zugriff auf bestimmte Ressourcen zu gewähren.
Verwalten von Ausnahmen
In manchen Fällen, wie z. B. Speicheranalysen, ist der Lesezugriff auf Ressourcenprotokolle und -metriken von außerhalb des Netzwerks erforderlich. Wenn Sie für vertrauenswürdige Dienste den Zugriff auf das Speicherkonto konfigurieren, können Sie Lesezugriff für die Protokolldateien, für die Metriktabellen oder für beides erlauben, indem Sie eine Netzwerkregelausnahme erstellen. Netzwerkregelausnahmen können über das Azure-Portal, über PowerShell oder per Azure CLI v2 verwaltet werden.
Weitere Informationen zur Verwendung der Speicheranalyse finden Sie unter Speicheranalyse.
Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.
Wählen Sie Netzwerk aus.
Vergewissern Sie sich, dass Sie den Zugriff über Ausgewählte Netzwerke ausgewählt haben.
Wählen Sie unter Ausnahmen die Ausnahmen aus, die Sie gewähren möchten.
Klicken Sie zum Übernehmen der Änderungen auf Speichern.
Nächste Schritte
Weitere Informationen zu Dienstendpunkten in Azure-Netzwerken. Erfahren Sie mehr über die Azure Storage-Sicherheit.