Konfigurieren von Azure Storage-Firewalls und virtuellen Netzwerken

Azure Storage bietet ein mehrschichtiges Sicherheitsmodell. Mit diesem Modell können Sie den für Ihre Anwendungen und Unternehmensumgebungen benötigten Zugriff auf Ihre Speicherkonten steuern – abhängig von der Art und der Teilmenge der von Ihnen verwendeten Netzwerke oder Ressourcen.

Wenn Sie die Netzwerkregeln konfiguriert haben, können nur Anwendungen, die Daten über die angegebene Gruppe von Netzwerken oder über die angegebenen Azure-Ressourcen anfordern, auf ein Speicherkonto zugreifen. Sie können den Zugriff auf Ihr Speicherkonto auf Anforderungen beschränken, die von angegebenen IP-Adressen, aus angegebenen IP-Adressbereichen, aus angegebenen Subnetzen in einem virtuellen Azure-Netzwerk oder von angegebenen Ressourceninstanzen einiger Azure-Dienste stammen.

Speicherkonten verfügen über einen öffentlichen Endpunkt, auf den über das Internet zugegriffen werden kann. Sie können auch private Endpunkte für Ihr Speicherkonto erstellen. Beim erstellen privater Endpunkte wird dem Speicherkonto eine private IP-Adresse aus Ihrem virtuellen Netzwerk zugewiesen. Auf diese Weise wird sämtlicher Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Speicherkonto über eine private Verbindung gesichert.

Die Azure Storage-Firewall ermöglicht Zugriffssteuerung für den öffentlichen Endpunkt Ihres Speicherkontos. Sie können die Firewall auch zum Blockieren des gesamten Zugriffs über den öffentlichen Endpunkt einsetzen, wenn Sie private Endpunkte verwenden. Ihre Firewallkonfiguration ermöglicht auch die Auswahl vertrauenswürdiger Azure-Plattformdienste für Zugriff auf das Speicherkonto.

Eine Anwendung, die bei aktivierten Netzwerkregeln auf ein Speicherkonto zugreift, benötigt weiterhin eine ordnungsgemäße Autorisierung für die Anforderung. Für die Autorisierung können Microsoft Entra-Anmeldeinformationen für Blobs, Tabellen, Dateifreigaben und Warteschlangen mit einem gültigen Kontozugriffsschlüssel oder mit einem Shared Access Signature (SAS)-Token verwendet werden. Wenn Sie ein Blob-Container für den anonymen Zugriff konfigurieren, müssen Anforderungen zum Lesen von Daten in diesem Container nicht autorisiert werden. Die Firewallregeln bleiben in Kraft und blockieren anonymen Datenverkehr.

Wenn Sie Firewallregeln für Ihr Speicherkonto aktivieren, werden eingehende Datenanforderungen standardmäßig blockiert – es sei denn, die Anforderungen stammen von einem Dienst, der innerhalb eines virtuellen Azure-Netzwerks agiert, oder aus zulässigen öffentlichen IP-Adressen. Unter anderem werden Anforderungen von anderen Azure-Diensten, aus dem Azure-Portal und von Protokollierungs-/Metrikdiensten blockiert.

Sie können Azure-Diensten, die innerhalb eines virtuellen Netzwerks agieren, Zugriff gewähren, indem Sie Datenverkehr aus dem Subnetz zulassen, das die Dienstinstanz hostet. Sie können auch eine begrenzte Anzahl von Szenarien über den in diesem Artikel beschriebenen Ausnahmenmechanismus ermöglichen. Der Zugriff auf Daten aus dem Speicherkonto über das Azure-Portal muss über einen Computer erfolgen, der sich innerhalb der von Ihnen eingerichteten vertrauenswürdigen Grenze (IP-Adresse oder virtuelles Netzwerk) befindet.

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Szenarien

Zum Sichern Ihres Speicherkontos sollten Sie zuerst eine Regel so konfigurieren, dass der Zugriff auf Datenverkehr aus allen Netzwerken (einschließlich Internetdatenverkehr) auf dem öffentlichen Endpunkt standardmäßig verweigert wird. Anschließend sollten Sie Regeln konfigurieren, die den Zugriff auf Datenverkehr aus bestimmten virtuellen Netzwerken gewähren. Sie können auch Regeln konfigurieren, um den Zugriff auf Datenverkehr aus ausgewählten öffentlichen Internet-IP-Adressbereichen zu gewähren und so Verbindungen von bestimmten Internetclients oder lokalen Clients zu ermöglichen. Mit dieser Konfiguration können Sie eine sichere Netzwerkgrenze für Ihre Anwendungen erstellen.

Sie können Firewallregeln kombinieren, die den Zugriff aus bestimmten virtuellen Netzwerken und aus öffentlichen IP-Adressbereichen in demselben Speicherkonto zulassen. Regeln für die Speicherfirewall können auf bereits vorhandene Speicherkonten oder beim Erstellen neuer Speicherkonten angewendet werden.

Storage-Firewallregeln gelten für den öffentlichen Endpunkt eines Speicherkontos. Sie benötigen keine Firewallzugriffsregeln, um Datenverkehr für private Endpunkte eines Speicherkontos zuzulassen. Der Vorgang zur Genehmigung der Erstellung eines privaten Endpunkts gewährt impliziten Zugriff auf Datenverkehr aus dem Subnetz, das den privaten Endpunkt hostet.

Wichtig

Azure Storage-Firewallregeln gelten nur für Vorgänge auf Datenebene. Vorgänge auf Steuerungsebene unterliegen nicht den Einschränkungen, die in Firewallregeln festgelegt werden.

Einige Vorgänge, wie z. B. Blobcontainervorgänge, können sowohl über die Steuerungsebene als auch über die Datenebene ausgeführt werden. Wenn Sie also versuchen, einen Vorgang wie das Auflisten von Containern über das Azure-Portal auszuführen, ist der Vorgang erfolgreich, es sei denn, er wird von einem anderen Mechanismus blockiert. Versuche, über eine Anwendung wie Azure Storage-Explorer auf Blobdaten zuzugreifen, werden durch die Firewalleinschränkungen gesteuert.

Eine Liste der Vorgänge auf Datenebene finden Sie in der REST-API-Referenz zu Azure Storage. Eine Liste der Vorgänge auf Steuerungsebene finden Sie in der Referenz zur REST-API des Azure-Speicherressourcenanbieters.

Konfigurieren des Netzwerkzugriffs auf Azure Storage

Sie können den Zugriff auf die Daten in Ihrem Speicherkonto über Netzwerkendpunkte oder über vertrauenswürdige Dienste oder Ressourcen in beliebiger Kombination steuern:

• Zugriff aus ausgewählten Subnetzen virtueller Netzwerke über private Endpunkte zulassen
• Zugriff aus ausgewählten Subnetzen virtueller Netzwerke über Dienstendpunkte zulassen
• Zugriff aus bestimmten öffentlichen IT-Adressen oder -Adressbereichen zulassen
• Zugriff aus bestimmten Azure-Ressourceninstanzen zulassen
• Zugriff aus vertrauenswürdigen Azure-Diensten zulassen (mithilfe von Ausnahmen verwalten)
• Ausnahmen für Protokollierungs- und Metrikdienste konfigurieren

Informationen zu Dienstendpunkten virtueller Netzwerke

Es gibt zwei Arten von VNet-Endpunkten für Speicherkonten:

• Virtual Network-Dienstendpunkte
• Private Endpunkte

VNet-Dienstendpunkte sind öffentlich und über das Internet zugänglich. Die Azure Storage-Firewall bietet die Möglichkeit, den Zugriff auf Ihr Speicherkonto über solche öffentlichen Endpunkte zu steuern. Wenn Sie den öffentlichen Netzwerkzugriff auf Ihr Speicherkonto aktivieren, werden alle eingehenden Anforderungen für Daten standardmäßig blockiert. Nur Anwendungen, die Daten aus zulässigen Quellen anfordern, die Sie in den Firewalleinstellungen Ihres Speicherkontos konfigurieren, können auf Ihre Daten zugreifen. Zu den Quellen kann die Quell-IP-Adresse oder das VNet-Subnetz eines Clients oder eine Azure-Dienst- oder Ressourceninstanz gehören, über die Clients oder Dienste auf Ihre Daten zugreifen. Blockiert werden u. a. Anforderungen von anderen Azure-Diensten, aus dem Azure-Portal sowie von Protokollierungs- und Metrikdiensten, es sei denn, Sie lassen den Zugriff in Ihrer Firewallkonfiguration explizit zu.

Ein privater Endpunkt verwendet eine private IP-Adresse aus Ihrem virtuellen Netzwerk, um über das Microsoft-Backbonenetzwerk auf ein Speicherkonto zuzugreifen. Bei einem privaten Endpunkt wird der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Speicherkonto über eine private Verbindung gesichert. Storage-Firewallregeln gelten nur für die öffentlichen Endpunkte eines Speicherkontos, nicht für private Endpunkte. Der Vorgang zur Genehmigung der Erstellung eines privaten Endpunkts gewährt impliziten Zugriff auf Datenverkehr aus dem Subnetz, das den privaten Endpunkt hostet. Sie können Netzwerkrichtlinien verwenden, um den Datenverkehr über private Endpunkte zu steuern, wenn Sie differenziertere Zugriffsregeln definieren möchten. Wenn Sie ausschließlich private Endpunkte verwenden möchten, können Sie die Firewall nutzen, um den gesamten Zugriff über den öffentlichen Endpunkt zu blockieren.

Informationen, die Ihnen bei der Entscheidung helfen können, welche Art Endpunkt Sie in Ihrer Umgebung jeweils verwenden sollten, finden Sie unter Private Endpunkte und VNet-Dienstendpunkte im Vergleich.

Vorgehensweise beim Einrichten der Netzwerksicherheit für Ihr Speicherkonto

So sichern Sie Ihr Speicherkonto und erstellen eine sichere Netzwerkgrenze für Ihre Anwendungen:

1. Deaktivieren Sie zunächst in der Einstellung Öffentlicher Netzwerkzugriff in der Speicherkontofirewall den gesamten öffentlichen Netzwerkzugriff für das Speicherkonto.

2. Konfigurieren Sie nach Möglichkeit private Links zu Ihrem Speicherkonto von privaten Endpunkten in den Subnetzen virtueller Netzwerke, in denen sich die Clients befinden, die Zugriff auf Ihre Daten benötigen.

3. Wenn Clientanwendungen Zugriff über die öffentlichen Endpunkte benötigen, ändern Sie die Einstellung Öffentlicher Netzwerkzugriff zu Aus ausgewählten virtuellen Netzwerken und IP-Adressen aktiviert. Gehen Sie dann je nach Bedarf wie folgt vor:

   1. Geben Sie die Subnetze des virtuellen Netzwerks an, von denen aus der Zugriff zugelassen werden soll.
   2. Geben Sie die öffentlichen IP-Adressbereiche von Clients an, von denen aus Sie Zugriff gewähren möchten, z. B. solche in lokalen Netzwerken.
   3. Lassen Sie den Zugriff aus bestimmten Azure-Ressourceninstanzen zu.
   4. Fügen Sie Ausnahmen hinzu, um den Zugriff von vertrauenswürdigen Diensten zuzulassen, die für Vorgänge wie das Sichern von Daten erforderlich sind.
   5. Fügen Sie Ausnahmen für die Protokollierung und Metriken hinzu.

Nachdem Sie Netzwerkregeln angewendet haben, werden diese für alle Anforderungen erzwungen. SAS-Token, die Zugriff auf eine bestimmte IP-Adresse gewähren, beschränken den Zugriff des Tokeninhabers, gewähren jedoch keinen neuen Zugriff außerhalb der konfigurierten Netzwerkregeln.

Netzwerksicherheitsperimeter (Vorschau)

Mit dem Netzwerksicherheitsperimeter (Vorschau) können Organisationen eine logische Netzwerkisolationsgrenze für PaaS-Ressourcen (z. B. Azure Blob Storage und SQL-Datenbank) definieren, die außerhalb ihrer virtuellen Netzwerke bereitgestellt werden. Das Feature schränkt den Zugriff des öffentlichen Netzwerks auf PaaS-Ressourcen außerhalb des Perimeters ein. Sie können den Zugriff jedoch mit expliziten Zugriffsregeln für öffentlichen eingehenden und ausgehenden Datenverkehr ausschließen. Standardmäßig hat der Zugriff auf ein Speicherkonto innerhalb eines Netzwerksicherheitsperimeters Vorrang vor anderen Netzwerkzugriffseinschränkungen.

Derzeit befindet sich der Netzwerksicherheitsperimeter in der öffentlichen Vorschau für Azure Blob Storage, Azure Files (REST), Azure-Tabellen und Azure-Warteschlangen. Siehe Übergang zu einem Netzwerksicherheitsperimeter.

Die Liste der Dienste, die in den Netzwerksicherheitsperimeter integriert wurden, finden Sie hier.

Für Dienste, die nicht in dieser Liste enthalten sind, da sie noch nicht in den Netzwerksicherheitsperimeter integriert wurden, können Sie eine abonnementbasierte Regel für den Netzwerksicherheitsperimeter verwenden, um den Zugriff zu erlauben. Alle Ressourcen innerhalb dieses Abonnements erhalten dann Zugriff auf diesen Netzwerksicherheitsperimeter. Weitere Informationen zum Hinzufügen einer abonnementbasierten Zugriffsregel finden Sie hier.

Wichtig

Privater Endpunktdatenverkehr gilt als sehr sicher und unterliegt daher nicht den Regeln für Netzwerksicherheitsperimeter. Jeder andere Datenverkehr, einschließlich vertrauenswürdiger Dienste, unterliegt den Regeln für Netzwerksicherheitsperimeter, wenn das Speicherkonto einem Perimeter zugeordnet ist.

Begrenzungen

Diese Vorschau unterstützt nicht die folgenden Dienste, Vorgänge und Protokolle für ein Speicherkonto:

• Objektreplikation für Azure Blob Storage

• Lebenszyklusverwaltung für Azure Blob Storage

• SSH File Transfer Protocol (SFTP) in Azure Blob Storage

• Netzwerkdateisystemprotokoll (NFS) mit Azure Blob Storage und Azure Files.

• Das SMB-Protokoll (Server Message Block) mit Azure Files kann derzeit nur bis zur IP-Zulassungsliste erreicht werden.

• Azure Blob Inventory

• Tresorsicherungen für Azure Blob Storage

Es wird empfohlen, den Netzwerksicherheitsperimeter nicht zu aktivieren, wenn Sie einen dieser Dienste, Vorgänge oder Protokolle verwenden müssen. Dies ist zur Verhinderung potenzieller Datenverluste oder Datenexfiltrationsrisiken.

Warnung

Stellen Sie für Speicherkonten, die einem Netzwerksicherheitsperimeter zugeordnet sind, sicher, dass der Azure Key Vault innerhalb des Perimeters zugänglich ist, dem das Speicherkonto zugeordnet wurde, damit CMK-Szenarien (Customer Managed Keys) funktionieren.

Zuordnen eines Netzwerksicherheitsperimeters zu einem Speicherkonto

Um einen Netzwerksicherheitsperimeter einem Speicherkonto zuzuordnen, befolgen Sie diese allgemeinen Anweisungen für alle PaaS-Ressourcen.

Einschränkungen und Überlegungen

Bevor Sie die Netzwerksicherheit für Ihre Speicherkonten implementieren, lesen Sie die wichtigen Einschränkungen und Überlegungen, die in diesem Abschnitt erläutert werden.

• Azure Storage-Firewallregeln gelten nur für Vorgänge auf Datenebene. Vorgänge auf Steuerungsebene unterliegen nicht den Einschränkungen, die in Firewallregeln festgelegt werden.
• Sehen Sie sich die Einschränkungen für IP-Netzwerkregeln an.
• Um mithilfe von Tools wie dem Azure-Portal, Azure Storage-Explorer und AzCopy auf Daten zuzugreifen, müssen Sie einen Computer innerhalb der vertrauenswürdigen Grenze verwenden, die Sie beim Konfigurieren der Netzwerksicherheitsregeln festlegen.
• Netzwerkregeln werden für alle Netzwerkprotokolle für Azure Storage, einschließlich REST und SMB, erzwungen.
• Netzwerkregeln wirken sich nicht auf den Datenverkehr von VM-Datenträgern aus – einschließlich Vorgängen zum Einbinden und Aufheben der Einbindung sowie Datenträger-E/A-Vorgängen –, aber sie tragen zum Schutz des REST-Zugriffs auf Seitenblobs bei.
• Sie können nicht verwaltete Datenträger in Speicherkonten mit angewendeten Netzwerkregeln verwenden, um VMs durch Erstellung einer Ausnahme zu sichern und wiederherzustellen. Firewallausnahmen sind auf verwaltete Datenträger nicht anwendbar, da sie bereits von Azure verwaltet werden.
• Firewalls und virtuelle Netzwerke werden von klassischen Speicherkonten nicht unterstützt.
• Wenn Sie ein Subnetz löschen, das in einer Regel für ein virtuelles Netzwerk enthalten ist, wird es aus den Netzwerkregeln für das Speicherkonto entfernt. Wenn Sie ein neues Subnetz mit dem gleichen Namen erstellen, hat es keinen Zugriff auf das Speicherkonto. Um den Zugriff zuzulassen, müssen Sie das neue Subnetz explizit in den Netzwerkregeln für das Speicherkonto autorisieren.
• Beim Verweisen auf einen Dienstendpunkt in einer Clientanwendung wird empfohlen, eine Abhängigkeit von einer zwischengespeicherten IP-Adresse zu vermeiden. Die IP-Adresse des Speicherkontos kann sich ändern, und die Abhängigkeit von einer zwischengespeicherten IP-Adresse kann zu unerwartetem Verhalten führen. Darüber hinaus wird empfohlen, die Laufzeit (Time-to-Live, TTL) des DNS-Eintrags zu berücksichtigen und ihn nicht zu überschreiben. Das Überschreiben der DNS-TTL kann zu unerwartetem Verhalten führen.
• Der Zugriff auf ein Speicherkonto von vertrauenswürdigen Diensten hat die höchste Priorität gegenüber anderen Netzwerkzugriffseinschränkungen. Dies ist Absicht. Wenn Sie den öffentlichen Netzwerkzugriff auf Deaktiviert stellen, nachdem Sie ihn zuvor auf Aktivierung von ausgewählten virtuellen Netzwerken und IP-Adressen gestellt haben, bleiben etwaige Ressourceninstanzen und Ausnahmen, die Sie zuvor konfiguriert haben, einschließlich Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto erlauben, wirksam. Infolgedessen haben diese Ressourcen und Dienste möglicherweise weiterhin Zugriff auf das Speicherkonto.

Autorisierung

Clients, denen über Netzwerkregeln Zugriff gewährt wird, müssen weiterhin die Autorisierungsanforderungen des Speicherkontos erfüllen, um auf die Daten zugreifen zu können. Für die Autorisierung können Microsoft Entra-Anmeldeinformationen für Blobs und Warteschlangen mit einem gültigen Kontozugriffsschlüssel oder mit einem Shared Access Signature (SAS)-Token verwendet werden.

Wenn Sie einen Blobcontainer für den anonymen öffentlichen Zugriff konfigurieren, müssen Anforderungen zum Lesen von Daten in diesem Container nicht autorisiert werden. Die konfigurierten Firewallregeln bleiben jedoch in Kraft und blockieren anonymen Datenverkehr.

Ändern der Standard-Netzwerkzugriffsregel

Standardmäßig akzeptieren Speicherkonten Verbindungen von Clients in jedem Netzwerk. Sie können den Zugriff auf ausgewählte Netzwerke beschränken oder Datenverkehr aus allen Netzwerken verweigern und den Zugriff nur über einen privaten Endpunkt zulassen.

Sie müssen die Standardregel auf _*Verweigern** festlegen (siehe Festlegen der Standardregel). Andernfalls haben die Netzwerkregeln keine Wirkung. Doch das Ändern dieser Einstellung kann die Fähigkeit Ihrer Anwendung, eine Verbindung mit Azure Storage herzustellen, beeinträchtigen. Stellen Sie sicher, dass Sie Zugriff auf alle zulässigen Netzwerke gewähren oder den Zugriff über einen privaten Endpunkt einrichten, bevor Sie diese Einstellung ändern.

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Portal

1. Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.

2. Wählen Sie im Dienstmenü unter Sicherheit und Netzwerk die Option Azure-Netzwerk aus.

3. Wählen Sie aus, welcher Netzwerkzugriff über den öffentlichen Endpunkt des Speicherkontos aktiviert ist:

   • Wählen Sie entweder Aus allen Netzwerken aktiviert oder Aktiviert von ausgewählten virtuellen Netzwerken und IP-Adressen aus. Wenn Sie die zweite Option auswählen, werden Sie aufgefordert, virtuelle Netzwerke und IP-Adressbereiche hinzuzufügen.

   • Wenn Sie den eingehenden Zugriff einschränken möchten, während der ausgehende Zugriff zugelassen wird, wählen Sie Deaktiviert aus.

4. Klicken Sie zum Übernehmen der Änderungen auf Speichern.

PowerShell

1. Installieren Sie Azure PowerShell, und melden Sie sich an.

2. Wählen Sie aus, welche Art von öffentlichem Netzwerkzugriff Sie zulassen möchten:

   • Um Datenverkehr aus allen Netzwerken zuzulassen, verwenden Sie den Befehl Update-AzStorageAccountNetworkRuleSet, und legen Sie den Parameter -DefaultAction auf Allow fest:

     PowerShell

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
     

   • Um Datenverkehr nur aus bestimmten virtuellen Netzwerken zuzulassen, verwenden Sie den Befehl Update-AzStorageAccountNetworkRuleSet, und legen Sie den Parameter -DefaultAction auf Deny fest:

     PowerShell

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
     

   • Um Datenverkehr aus allen Netzwerken zu blockieren, verwenden Sie den Befehl Set-AzStorageAccount, und legen Sie den Parameter -PublicNetworkAccess auf Disabled fest. Datenverkehr wird nur über einen privaten Endpunkt zugelassen. Sie müssen diesen privaten Endpunkt erstellen.

     PowerShell

     Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
     

Azure-Befehlszeilenschnittstelle

1. Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.

2. Wählen Sie aus, welche Art von öffentlichem Netzwerkzugriff Sie zulassen möchten:

   • Um Datenverkehr aus allen Netzwerken zuzulassen, verwenden Sie den Befehl az storage account update, und legen Sie den Parameter --default-action auf Allow fest:

     Azure CLI

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
     

   • Um Datenverkehr nur aus bestimmten virtuellen Netzwerken zuzulassen, verwenden Sie den Befehl az storage account update, und legen Sie den Parameter --default-action auf Deny fest:

     Azure CLI

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
     

   • Um Datenverkehr aus allen Netzwerken zu blockieren, verwenden Sie den Befehl az storage account update, und legen Sie den Parameter --public-network-access auf Disabled fest. Datenverkehr wird nur über einen privaten Endpunkt zugelassen. Sie müssen diesen privaten Endpunkt erstellen.

     Azure CLI

     az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
     

Gewähren des Zugriffs aus einem virtuellen Netzwerk

Sie können Speicherkonten so konfigurieren, dass nur über bestimmte Subnetze zugegriffen werden kann. Die zulässigen Subnetze gehören möglicherweise zu einem virtuellen Netzwerk im selben Abonnement oder in einem anderen Abonnement – einschließlich jener, die zu einem anderen Microsoft Entra-Mandanten gehören. Bei regionsübergreifenden Dienstendpunkten können sich die zulässigen Subnetze auch in anderen Regionen als das Speicherkonto befinden.

Sie können einen Dienstendpunkt für Azure Storage innerhalb des virtuellen Netzwerks aktivieren. Der Dienstendpunkt leitet Datenverkehr aus dem virtuellen Netzwerk über einen optimalen Pfad an den Azure Storage-Dienst weiter. Mit jeder Anforderung werden außerdem die Identitäten des Subnetzes und des virtuellen Netzwerks übertragen. Administratoren können anschließend Netzwerkregeln für das Speicherkonto konfigurieren, die den Empfang von Anforderungen aus bestimmten Subnetzen in einem virtuellen Netzwerk zulassen. Clients, denen über diese Netzwerkregeln Zugriff gewährt wird, müssen weiterhin die Autorisierungsanforderungen des Speicherkontos erfüllen, um auf die Daten zugreifen zu können.

Jedes Speicherkonto unterstützt bis zu 400 VNET-Regeln. Sie können diese Regeln mit IP-Netzwerkregeln kombinieren.

Wichtig

Beim Verweisen auf einen Dienstendpunkt in einer Clientanwendung wird empfohlen, eine Abhängigkeit von einer zwischengespeicherten IP-Adresse zu vermeiden. Die IP-Adresse des Speicherkontos kann sich ändern, und die Abhängigkeit von einer zwischengespeicherten IP-Adresse kann zu unerwartetem Verhalten führen.

Darüber hinaus wird empfohlen, die Laufzeit (Time-to-Live, TTL) des DNS-Eintrags zu berücksichtigen und ihn nicht zu überschreiben. Das Überschreiben der DNS-TTL kann zu unerwartetem Verhalten führen.

Erforderliche Berechtigungen

Wenn Sie eine VNET-Regel auf ein Speicherkonto anwenden möchten, muss der Benutzer über geeignete Berechtigungen für die hinzuzufügenden Subnetze verfügen. Ein Speicherkontomitwirkender oder ein Benutzer, dem über eine benutzerdefinierte Azure-Rolle die Berechtigung für den Azure-RessourcenanbietervorgangMicrosoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action erteilt wurde, kann eine Regel anwenden.

Das Speicherkonto und die virtuellen Netzwerke, denen Zugriff gewährt wurde, können sich in verschiedenen Abonnements befinden – einschließlich Abonnements, die zu einem anderen Microsoft Entra-Mandanten gehören.

Die Konfiguration von Regeln, die Zugriff auf Subnetze in virtuellen Netzwerken gewähren, die Teil eines anderen Microsoft Entra-Mandanten sind, wird zurzeit nur über PowerShell, Azure CLI und Rest-APIs unterstützt. Sie können solche Regeln nicht über das Azure-Portal konfigurieren, aber Sie können sie im Portal anzeigen.

Regionsübergreifende Azure Storage-Dienstendpunkte

Regionsübergreifende Dienstendpunkte für Azure Storage wurden im April 2023 allgemein verfügbar. Sie arbeiten zwischen virtuellen Netzwerken und Speicherdienstinstanzen in jeder Region. Bei regionsübergreifenden Dienstendpunkten verwenden Subnetze keine öffentliche IP-Adresse mehr, um mit einem Speicherkonto zu kommunizieren, auch nicht mit einem Speicherkonto in einer anderen Region. Stattdessen wird der gesamte Datenverkehr von Subnetzen zu Speicherkonten eine private IP-Adresse als Quell-IP-Adresse verwenden. Dies hat zur Folge, dass alle Speicherkonten, die IP-Netzwerkregeln verwenden, um den Datenverkehr aus diesen Subnetzen zuzulassen, keine Wirkung mehr haben.

Das Konfigurieren von Dienstendpunkten zwischen virtuellen Netzwerken und Dienstinstanzen in einem Regionspaar kann ein wichtiger Bestandteil Ihres Notfallwiederherstellungsplans sein. Dienstendpunkte ermöglichen Kontinuität während eines regionalen Failovers sowie unterbrechungsfreien Zugriff auf Instanzen von georedundantem Speicher mit Lesezugriff (Read-Access Geo-Redundant Storage, RA-GRS). Netzwerkregeln, die Zugriff aus einem virtuellen Netzwerk auf ein Speicherkonto gewähren, gewähren auch Zugriff auf jede RA-GRS-Instanz.

Wenn Sie die Notfallwiederherstellung während eines regionalen Ausfalls planen, erstellen Sie die virtuellen Netzwerke im Voraus im Regionspaar. Aktivieren Sie Dienstendpunkte für Azure Storage mit Netzwerkregeln, die den Zugriff über diese alternativen virtuellen Netzwerke gewähren. Wenden Sie diese Regeln dann auf Ihre georedundanten Speicherkonten an.

Lokale und regionsübergreifende Dienstendpunkte können im selben Subnetz nicht gleichzeitig vorhanden sein. Um vorhandene Dienstendpunkte durch regionsübergreifende Endpunkte zu ersetzen, löschen Sie die vorhandenen Microsoft.Storage-Endpunkte, und erstellen Sie sie als regionsübergreifende Endpunkte neu (Microsoft.Storage.Global).

Verwalten von virtuellen Netzwerk- und Zugriffsregeln

Sie können virtuelle Netzwerke und Zugriffsregeln für Speicherkonten über das Azure-Portal, PowerShell oder die Azure CLI v2 verwalten.

Wenn Sie den Zugriff auf Ihr Speicherkonto über ein virtuelles Netzwerk oder Subnetz in einem anderen Microsoft Entra-Mandanten aktivieren möchten, müssen Sie PowerShell oder die Azure CLI verwenden. Das Azure-Portal zeigt keine Subnetze in anderen Microsoft Entra-Mandanten an.

Portal

1. Wechseln Sie zu dem Speicherkonto, für das Sie virtuelle Netzwerk- und Zugriffsregeln konfigurieren möchten.

2. Wählen Sie im Dienstmenü unter Sicherheit und Netzwerk die Option Azure-Netzwerk aus.

3. Vergewissern Sie sich, dass Sie den Zugriff auf öffentliche Netzwerke über ausgewählte virtuelle Netzwerke und IP-Adressen aktivieren möchten.

4. Um Zugriff auf ein virtuelles Netzwerk mit einer neuen Netzwerkregel zu erteilen, wählen Sie unter Virtuelle Netzwerke die Option Vorhandenes virtuelles Netzwerk hinzufügen aus. Wählen Sie die Optionen virtuelle Netzwerke und Subnetze und dann Hinzufügen aus. Wenn Sie ein neues virtuelles Netzwerk erstellen und ihm Zugriff gewähren möchten, wählen Sie Neues virtuelles Netzwerk hinzufügen aus. Geben Sie die erforderlichen Informationen zum Erstellen des neuen virtuellen Netzwerks an, und wählen Sie anschließend Erstellen aus. Derzeit werden nur virtuelle Netzwerke, die zu demselben Microsoft Entra-Mandanten gehören, während der Regelerstellung zur Auswahl angezeigt. Verwenden Sie PowerShell, die Azure CLI oder REST-API, um den Zugriff auf ein Subnetz in einem virtuellen Netzwerk zu gewähren, das zu einem anderen Mandanten gehört.

5. Wenn Sie eine Regel für virtuelle Netzwerke oder Subnetze entfernen möchten, wählen Sie die Auslassungspunkte ... aus, um das Kontextmenü für das virtuelle Netzwerk oder Subnetz zu öffnen, und wählen Sie anschließend Entfernen aus.

6. Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Wichtig

Wenn Sie ein Subnetz löschen, das in einer Netzwerkregel enthalten ist, wird es aus den Netzwerkregeln für das Speicherkonto entfernt. Wenn Sie ein neues Subnetz mit dem gleichen Namen erstellen, hat es keinen Zugriff auf das Speicherkonto. Um den Zugriff zuzulassen, müssen Sie das neue Subnetz explizit in den Netzwerkregeln für das Speicherkonto autorisieren.

PowerShell

1. Installieren Sie Azure PowerShell, und melden Sie sich an.

2. So listen Sie die VNET-Regeln auf:

   PowerShell

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
   

3. So aktivieren Sie einen Dienstendpunkt für Azure Storage in einem vorhandenen virtuellen Netzwerk und Subnetz:

   PowerShell

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
   

4. So fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu:

   PowerShell

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

   Wenn Sie eine Netzwerkregel für ein Subnetz in einem virtuellen Netzwerk hinzufügen möchten, das zu einem anderen Microsoft Entra-Mandanten gehört, verwenden Sie einen vollqualifizierten VirtualNetworkResourceId-Parameter im Format /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.

5. So entfernen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz:

   PowerShell

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

Azure-Befehlszeilenschnittstelle

1. Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.

2. So listen Sie die VNET-Regeln auf:

   Azure CLI

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
   

3. So aktivieren Sie einen Dienstendpunkt für Azure Storage in einem vorhandenen virtuellen Netzwerk und Subnetz:

   Azure CLI

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
   

4. So fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu:

   Azure CLI

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

   Wenn Sie eine Regel für ein Subnetz in einem virtuellen Netzwerk hinzufügen möchten, das zu einem anderen Microsoft Entra-Mandanten gehört, verwenden Sie eine vollqualifizierte Subnetz-ID im Format /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>. Mithilfe des Parameters subscription können Sie die Subnetz-ID für ein virtuelles Netzwerk abrufen, das zu einem anderen Microsoft Entra-Mandanten gehört.

5. So entfernen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz:

   Azure CLI

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

Gewähren von Zugriff aus einem Internet-IP-Adressbereich

Sie können IP-Netzwerkregeln verwenden, um den Zugriff aus spezifischen öffentlichen IP-Adressbereichen über das Internet zuzulassen, indem Sie IP-Netzwerkregeln erstellen. Jedes Speicherkonto unterstützt bis zu 400 Regeln. Diese Regeln gewähren bestimmten internetbasierten Diensten und lokalen Netzwerken Zugriff und blockieren den allgemeinen Internetdatenverkehr.

Einschränkungen für IP-Netzwerkregeln

Die folgenden Einschränkungen gelten für IP-Adressbereiche:

• IP-Netzwerkregeln sind nur für IP-Adressen des öffentlichen Internet zulässig.

  Für private Netzwerke reservierte IP-Adressbereiche (wie in RFC 1918 definiert) sind in IP-Adressregeln nicht zulässig. Private Netzwerke enthalten Adressen, die mit 10, 172.16. bis 172.31 und 192.168. beginnen.

• Sie müssen zulässige Internetadressbereiche in der CIDR-Notation im Format 16.17.18.0/24 oder als einzelne IP-Adressen (beispielsweise 16.17.18.19) angeben.

• Kleine Adressbereiche, die die Präfixgrößen / 31 oder / 32 verwenden, werden nicht unterstützt. Konfigurieren Sie diese Bereiche mit einzelnen IP-Adressregeln.

• Für die Konfiguration von Storage-Firewallregeln werden nur IPv4-Adressen unterstützt.

Wichtig

Sie können in den folgenden Fällen keine IP-Netzwerkregeln verwenden:

• Zum Einschränken des Zugriffs auf Clients in derselben Azure-Region wie das Speicherkonto IP-Netzwerkregeln haben keine Auswirkungen auf Anforderungen, die aus der Azure-Region stammen, in der sich auch das Speicherkonto befindet. Verwenden Sie VNET-Regeln, um Anforderungen aus der gleichen Region zuzulassen.
• Zum Einschränken des Zugriffs auf Clients in einer gekoppelten Region, die sich in einem virtuellen Netzwerk mit einem Dienstendpunkt befinden.
• Zum Einschränken des Zugriffs auf Azure-Dienste, die in derselben Region wie das Speicherkonto bereitgestellt wurden Dienste, die in derselben Region wie das Speicherkonto bereitgestellt werden, verwenden für die Kommunikation private Azure-IP-Adressen. Daher können Sie den Zugriff auf bestimmte Azure-Dienste nicht anhand ihres IP-Adressbereichs für öffentlichen ausgehenden Datenverkehr einschränken.

Konfigurieren des Zugriffs aus lokalen Netzwerken

Wenn Sie mit einer IP-Netzwerkregel den Zugriff über Ihre lokalen Netzwerke auf das Speicherkonto gewähren möchten, müssen Sie die von Ihrem Netzwerk verwendeten Internet-IP-Adressen ermitteln. Hilfe erhalten Sie von Ihrem Netzwerkadministrator.

Wenn Sie Azure ExpressRoute in Ihrer lokalen Umgebung verwenden, müssen Sie die NAT-IP-Adressen für das Microsoft-Peering identifizieren. Die NAT-IP-Adressen wird entweder vom Dienstanbieter oder den Kund:innen bereitgestellt.

Um den Zugriff auf Ihre Dienstressourcen zuzulassen, müssen Sie diese öffentlichen IP-Adressen in der Firewall-Einstellung für IP-Ressourcen zulassen.

Verwalten von IP-Netzwerkregeln

Sie können die IP-Regeln für Speicherkonten über das Azure-Portal, über PowerShell oder per Azure CLI v2 verwalten.

Portal

1. Wechseln Sie zu dem Speicherkonto, für das Sie IP-Netzwerkregeln verwalten möchten.

2. Wählen Sie im Dienstmenü unter Sicherheit und Netzwerk die Option Azure-Netzwerk aus.

3. Vergewissern Sie sich, dass Sie den Zugriff auf öffentliche Netzwerke über ausgewählte virtuelle Netzwerke und IP-Adressen aktivieren möchten.

4. Geben Sie unter Firewall>Adressbereich die IP-Adresse oder den IP-Adressbereich (im CIDR-Format) ein, um Zugriff auf einen Internet-IP-Adressbereich zu gewähren.

5. Wenn Sie eine IP-Netzwerkregel entfernen möchten, wählen Sie das Symbol „Löschen“ ( ) neben dem Adressbereich aus.

6. Klicken Sie zum Übernehmen der Änderungen auf Speichern.

PowerShell

1. Installieren Sie Azure PowerShell, und melden Sie sich an.

2. So listen Sie die IP-Netzwerkregeln auf:

   PowerShell

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
   

3. So fügen Sie eine Netzwerkregel für eine einzelne IP-Adresse hinzu:

   PowerShell

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

4. So fügen Sie eine Netzwerkregel für einen IP-Adressbereich hinzu:

   PowerShell

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

5. So entfernen Sie eine Netzwerkregel für eine einzelne IP-Adresse:

   PowerShell

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

6. So entfernen Sie eine Netzwerkregel für einen IP-Adressbereich:

   PowerShell

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

Azure-Befehlszeilenschnittstelle

1. Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.

2. So listen Sie die IP-Netzwerkregeln auf:

   Azure CLI

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
   

3. So fügen Sie eine Netzwerkregel für eine einzelne IP-Adresse hinzu:

   Azure CLI

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

4. So fügen Sie eine Netzwerkregel für einen IP-Adressbereich hinzu:

   Azure CLI

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

5. So entfernen Sie eine Netzwerkregel für eine einzelne IP-Adresse:

   Azure CLI

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

6. So entfernen Sie eine Netzwerkregel für einen IP-Adressbereich:

   Azure CLI

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

Gewähren von Zugriff über Azure-Ressourceninstanzen

Manchmal ist eine Anwendung unter Umständen auf Azure-Ressourcen angewiesen, die nicht über ein virtuelles Netzwerk oder über eine IP-Adressregel isoliert werden können. Trotzdem soll der Zugriff auf das Speicherkonto geschützt und auf die Azure-Ressourcen Ihrer Anwendung beschränkt werden. In diesem Fall können Sie eine Ressourceninstanzregel erstellen, um Speicherkonten so zu konfigurieren, dass der Zugriff auf bestimmte Ressourceninstanzen vertrauenswürdiger Azure-Dienste zugelassen wird.

Die Azure-Rollenzuweisungen der Ressourceninstanz bestimmen die Arten von Vorgängen, die von einer Ressourceninstanz für Speicherkontodaten ausgeführt werden können. Ressourceninstanzen müssen aus dem gleichen Mandanten stammen wie Ihr Speicherkonto, können aber zu einem beliebigen Abonnement im Mandanten gehören.

Portal

So können Sie Ressourcennetzwerkregeln über das Azure-Portal hinzugefügt und entfernt werden:

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Ihrem Speicherkonto, und zeigen Sie die Kontoübersicht an.

3. Wählen Sie im Dienstmenü unter Sicherheit und Netzwerk die Option Azure-Netzwerk aus.

4. Vergewissern Sie sich, dass Sie den Zugriff auf öffentliche Netzwerke über ausgewählte virtuelle Netzwerke und IP-Adressen aktivieren möchten.

5. Scrollen Sie nach unten, um nach Ressourceninstanzen zu suchen. Wählen Sie in der Dropdownliste Ressourcentyp den Ressourcentyp Ihrer Ressourceninstanz aus.

6. Wählen Sie in der Dropdownliste Instanzname die Ressourceninstanz aus. Sie können auch alle Ressourceninstanzen im aktuellen Mandanten, im aktiven Abonnement oder in der aktiven Ressourcengruppe einschließen.

7. Klicken Sie zum Übernehmen der Änderungen auf Speichern. Die Ressourceninstanz wird auf der Seite mit den Netzwerkeinstellungen im Abschnitt Resource instances (Ressourceninstanzen) angezeigt.

Wenn Sie die Ressourceninstanz entfernen möchten, wählen Sie das Löschsymbol () neben der Ressourceninstanz aus.

PowerShell

Sie können PowerShell-Befehle verwenden, um Ressourcennetzwerkregeln hinzuzufügen oder zu entfernen.

Gewähren von Zugriff

So fügen Sie eine Netzwerkregel hinzu, die Zugriff über eine Ressourceninstanz gewährt:

PowerShell

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

So geben Sie mehrere Ressourceninstanzen gleichzeitig an, indem Sie den Netzwerkregelsatz ändern:

PowerShell

$resourceId1 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$resourceId2 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/mySQLServer"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule (@{ResourceId=$resourceId1;TenantId=$tenantId},@{ResourceId=$resourceId2;TenantId=$tenantId}) 

Entfernen des Zugriffs

So entfernen Sie eine Netzwerkregel, die Zugriff über eine Ressourceninstanz gewährt:

PowerShell

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Remove-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId  

So entfernen Sie alle Netzwerkregeln, die Zugriff über Ressourceninstanzen gewähren:

PowerShell

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule @()  

Anzeigen einer Liste zulässiger Ressourceninstanzen

So zeigen Sie eine umfassende Liste mit Ressourceninstanzen an, denen Zugriff auf das Speicherkonto gewährt wurde:

PowerShell

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

$rule = Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName
$rule.ResourceAccessRules 

Azure-Befehlszeilenschnittstelle

Sie können Azure CLI-Befehle verwenden, um Ressourcennetzwerkregeln hinzuzufügen oder zu entfernen.

Gewähren von Zugriff

So fügen Sie eine Netzwerkregel hinzu, die Zugriff über eine Ressourceninstanz gewährt:

Azure CLI

az storage account network-rule add \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Entfernen des Zugriffs

So entfernen Sie eine Netzwerkregel, die Zugriff über eine Ressourceninstanz gewährt:

Azure CLI

az storage account network-rule remove \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Anzeigen einer Liste zulässiger Ressourceninstanzen

So zeigen Sie eine umfassende Liste mit Ressourceninstanzen an, denen Zugriff auf das Speicherkonto gewährt wurde:

Azure CLI

az storage account network-rule list \
    -g myResourceGroup \
    --account-name mystorageaccount

Gewähren von Zugriff für vertrauenswürdige Azure-Dienste

Einige Azure-Dienste werden in Netzwerken betrieben, die Sie nicht in Ihre Netzwerkregeln einschließen können. Sie können einer Teilmenge solcher vertrauenswürdiger Azure-Dienste Zugriff auf das Speicherkonto gewähren und gleichzeitig Netzwerkregeln für andere Apps beibehalten. Diese vertrauenswürdigen Dienste stellen dann mithilfe einer strengen Authentifizierung eine Verbindung mit Ihrem Speicherkonto her.

Sie können vertrauenswürdigen Azure-Diensten Zugriff gewähren, indem Sie eine Netzwerkregelausnahme erstellen. Eine ausführliche Anleitung finden Sie im Abschnitt Verwalten von Ausnahmen dieses Artikels.

Vertrauenswürdiger Zugriff für Ressourcen, die in Ihrem Microsoft Entra-Mandanten registriert sind.

Ressourcen einiger Dienste können für bestimmte Vorgänge auf Ihr Speicherkonto zugreifen. Hierzu zählen beispielsweise das Schreiben von Protokollen und das Ausführen von Sicherungsvorgängen. Diese Dienste müssen in einem Abonnement registriert werden, das sich im gleichen Microsoft Entra-Mandanten wie Ihr Speicherkonto befindet. In der folgenden Tabelle werden die einzelnen Dienste und die zulässigen Vorgänge beschrieben.

Dienst	Name des Ressourcenanbieters	Zulässige Vorgänge
Azure Backup	Microsoft.RecoveryServices	Führen Sie Sicherungen und Wiederherstellungen von nicht verwalteten Datenträgern in iaaS-VMs (Infrastructure-as-a-Service) aus (für verwaltete Datenträger nicht erforderlich). Weitere Informationen
Azure Data Box	Microsoft.DataBox	Importieren Sie Daten in Azure. Weitere Informationen
Azure Data Explorer	Microsoft.Kusto	Lesen von Daten für Aufnahme und externe Tabellen sowie Schreiben von Daten in externe Tabellen. Weitere Informationen
Azure DevTest Labs	Microsoft.DevTestLab	Erstellen Sie benutzerdefinierte Images und installieren Sie Artefakte. Weitere Informationen
Azure Event Grid	Microsoft.EventGrid	Aktivieren Sie Azure Blob Storage-Ereignisveröffentlichung, und erlauben Sie die Veröffentlichung in Speicherwarteschlangen.
Azure Event Hubs	Microsoft.EventHub	Archivieren von Daten mit Event Hubs Capture. Weitere Informationen.
Azure-Dateisynchronisierung	Microsoft.StorageSync	Transformieren Sie Ihren lokalen Dateiserver in einen Cache für Azure-Dateifreigaben. Diese Funktion ermöglicht die Synchronisierung mehrerer Standorte, schnelle Notfallwiederherstellung und cloudseitige Sicherung. Weitere Informationen
Azure HDInsight	Microsoft.HDInsight	Stellen Sie die anfänglichen Inhalte des Standarddateisystems für einen neuen HDInsight-Cluster bereit. Weitere Informationen
Azure Import/Export	Microsoft.ImportExport	Importieren Sie Daten in Azure Storage oder exportieren Sie Daten aus Azure Storage. Weitere Informationen
Azure Monitor	Microsoft.Insights	Schreiben Sie Überwachungsdaten in ein sicheres Speicherkonto, einschließlich Ressourcenprotokollen, Microsoft Defender for Endpoint-Daten, Microsoft Entra-Anmelde- und -Überwachungsprotokollen sowie Microsoft Intune-Protokollen. Weitere Informationen
Azure-Netzwerkdienste	Microsoft.Network	Speichern und analysieren Sie Netzwerk-Datenverkehrsprotokolle, beispielsweise mit Azure Network Watcher und Azure Traffic Manager-Diensten. Weitere Informationen
Azure Site Recovery	Microsoft.SiteRecovery	Aktivieren Sie die Replikation für die Notfallwiederherstellung von virtuellen Azure-IaaS-Computern bei Verwendung von firewallfähigen Cache-, Quell- oder Zielspeicherkonten. Weitere Informationen

Vertrauenswürdiger Zugriff auf der Grundlage einer verwalteten Identität

Die folgende Tabelle enthält eine Liste mit Diensten, die Zugriff auf Ihre Speicherkontodaten haben, wenn den Ressourceninstanzen dieser Dienste die entsprechende Berechtigung erteilt wird.

Dienst	Name des Ressourcenanbieters	Zweck
Azure FarmBeats	Microsoft.AgFoodPlatform/farmBeats	Ermöglicht den Zugriff auf Speicherkonten.
Azure API Management	Microsoft.ApiManagement/service	Ermöglicht den Zugriff auf Speicherkonten hinter Firewalls über Richtlinien. Weitere Informationen
Microsoft Autonomous Systems	Microsoft.AutonomousSystems/workspaces	Ermöglicht den Zugriff auf Speicherkonten.
Azure Cache for Redis	Microsoft.Cache/Redis	Ermöglicht den Zugriff auf Speicherkonten. Weitere Informationen
Azure KI Cognitive Search	Microsoft.Search/searchServices	Ermöglicht den Zugriff auf Speicherkonten zur Indizierung, Verarbeitung und Abfrage.
Azure KI Services	Microsoft.CognitiveService/accounts	Ermöglicht den Zugriff auf Speicherkonten. Weitere Informationen
Azure Container Registry	Microsoft.ContainerRegistry/registries	Die ACR Tasks-Sammlung ermöglicht den Zugriff auf Speicherkonten bei der Erstellung von Container-Images.
Microsoft Cost Management	Microsoft.CostManagementExports	Ermöglicht den Export in Speicherkonten hinter einer Firewall. Weitere Informationen
Azure Databricks	Microsoft.Databricks/accessConnectors	Ermöglicht den Zugriff auf Speicherkonten.
Azure Data Factory	Microsoft.DataFactory/factories	Die ACR Tasks-Funktionensammlung ermöglicht den Zugriff auf Speicherkonten bei der Erstellung von Container-Images.
Azure Data Explorer	Microsoft.Kusto/Clusters	Lesen von Daten für Aufnahme und externe Tabellen sowie Schreiben von Daten in externe Tabellen. Weitere Informationen
Azure Backup-Tresor	Microsoft.DataProtection/BackupVaults	Ermöglicht den Zugriff auf Speicherkonten.
Azure Data Share	Microsoft.DataShare/accounts	Ermöglicht den Zugriff auf Speicherkonten.
Azure Database for PostgreSQL	Microsoft.DBForPostgreSQL	Ermöglicht den Zugriff auf Speicherkonten.
Azure IoT Hub	Microsoft.Devices/IotHubs	Ermöglicht das Schreiben von Daten aus einem IoT-Hub in den Blobspeicher. Weitere Informationen
Azure DevTest Labs	Microsoft.DevTestLab/labs	Ermöglicht den Zugriff auf Speicherkonten.
Azure Event Grid	Microsoft.EventGrid/domains	Ermöglicht den Zugriff auf Speicherkonten.
Azure Event Grid	Microsoft.EventGrid/partnerTopics	Ermöglicht den Zugriff auf Speicherkonten.
Azure Event Grid	Microsoft.EventGrid/systemTopics	Ermöglicht den Zugriff auf Speicherkonten.
Azure Event Grid	Microsoft.EventGrid/topics	Ermöglicht den Zugriff auf Speicherkonten.
Microsoft Fabric	Microsoft.Fabric	Ermöglicht den Zugriff auf Speicherkonten.
Azure Healthcare APIs	Microsoft.HealthcareApis/services	Ermöglicht den Zugriff auf Speicherkonten.
Azure Healthcare APIs	Microsoft.HealthcareApis/workspaces	Ermöglicht den Zugriff auf Speicherkonten.
Azure IoT Central	Microsoft.IoTCentral/IoTApps	Ermöglicht den Zugriff auf Speicherkonten.
Über Azure Key Vault verwaltetes HSM	Microsoft.keyvault/managedHSMs	Ermöglicht den Zugriff auf Speicherkonten.
Azure Logic Apps	Microsoft.Logic/integrationAccounts	Ermöglicht Logik-Apps den Zugriff auf Speicherkonten. Weitere Informationen
Azure Logic Apps	Microsoft.Logic/workflows	Ermöglicht Logik-Apps den Zugriff auf Speicherkonten. Weitere Informationen
Azure Machine Learning Studio	Microsoft.MachineLearning/registries	Ermöglicht autorisierten Azure Machine Learning-Arbeitsbereichen das Schreiben Experimentausgaben, Modelle und Protokolle in Blob Storage und lesen die Daten. Weitere Informationen
Azure Machine Learning	Microsoft.MachineLearningServices	Ermöglicht autorisierten Azure Machine Learning-Arbeitsbereichen das Schreiben Experimentausgaben, Modelle und Protokolle in Blob Storage und lesen die Daten. Weitere Informationen
Azure Machine Learning	Microsoft.MachineLearningServices/workspaces	Ermöglicht autorisierten Azure Machine Learning-Arbeitsbereichen das Schreiben Experimentausgaben, Modelle und Protokolle in Blob Storage und lesen die Daten. Weitere Informationen
Azure Media Services	Microsoft.Media/mediaservices	Ermöglicht den Zugriff auf Speicherkonten.
Azure Migrate	Microsoft.Migrate/migrateprojects	Ermöglicht den Zugriff auf Speicherkonten.
Azure ExpressRoute	Microsoft.Network/expressRoutePorts	Ermöglicht den Zugriff auf Speicherkonten.
Microsoft Power Platform	Microsoft.PowerPlatform/enterprisePolicies	Ermöglicht den Zugriff auf Speicherkonten.
Microsoft Project Arcadia	Microsoft.ProjectArcadia/workspaces	Ermöglicht den Zugriff auf Speicherkonten.
Azure Data Catalog	Microsoft.ProjectBabylon/accounts	Ermöglicht den Zugriff auf Speicherkonten.
Microsoft Purview	Microsoft.Purview/accounts	Ermöglicht den Zugriff auf Speicherkonten.
Azure Site Recovery	Microsoft.RecoveryServices/vaults	Ermöglicht den Zugriff auf Speicherkonten.
Security Center	Microsoft.Security/dataScanners	Ermöglicht den Zugriff auf Speicherkonten.
Singularität	Microsoft.Singularity/accounts	Ermöglicht den Zugriff auf Speicherkonten.
Azure SQL-Datenbank	Microsoft.Sql	Ermöglicht das Schreiben von Überwachungsdaten in Speicherkonten hinter einer Firewall.
Azure SQL-Server-Instanzen	Microsoft.Sql/servers	Ermöglicht das Schreiben von Überwachungsdaten in Speicherkonten hinter einer Firewall.
Azure Synapse Analytics	Microsoft.Sql	Ermöglicht das Importieren und Exportieren von Daten aus bestimmten SQL-Datenbanken mithilfe der COPY-Anweisung, per PolyBase (in dediziertem Pool) oder mithilfe der Funktion openrowset und externer Tabellen in einem serverlosen Pool. Weitere Informationen
Azure Stream Analytics	Microsoft.StreamAnalytics	Ermöglicht das Schreiben von Daten aus einem Streamingauftrag in den BLOB-Speicher. Weitere Informationen
Azure Stream Analytics	Microsoft.StreamAnalytics/streamingjobs	Ermöglicht das Schreiben von Daten aus einem Streamingauftrag in den BLOB-Speicher. Weitere Informationen
Azure Synapse Analytics	Microsoft.Synapse/workspaces	Ermöglicht den Zugriff auf Daten in Azure Storage.
Azure Video Indexer	Microsoft.VideoIndexer/Accounts	Ermöglicht den Zugriff auf Speicherkonten.

Wenn für Ihr Konto das Feature für hierarchische Namespaces nicht aktiviert ist, können Sie die Berechtigung erteilen, indem Sie explizit der verwalteten Identität für jede Ressourceninstanz eine Azure-Rolle zuweisen. In diesem Fall entspricht der Zugriffsbereich für die Instanz der Azure-Rolle, die der verwalteten Identität zugewiesen ist.

Sie können dieselbe Methode für ein Konto verwenden, für das das Feature für hierarchische Namespaces aktiviert wurde. Sie müssen jedoch keine Azure-Rolle zuweisen, wenn Sie die verwaltete Identität der Zugriffssteuerungsliste (ACL) eines Verzeichnisses oder Blobs zuweisen, das bzw. der sich im Speicherkonto befindet. In diesem Fall entspricht der Zugriffsbereich der Instanz dem Verzeichnis oder der Datei, auf das bzw. die der verwalteten Identität Zugriff hat.

Sie können Azure-Rollen und ACLs auch miteinander kombinieren, um Zugriff zu gewähren. Weitere Informationen finden Sie unter Zugriffssteuerungsmodell in Azure Data Lake Storage.

Wir empfehlen die Verwendung von Ressourceninstanzregeln, um Zugriff auf bestimmte Ressourcen zu gewähren.

Verwalten von Ausnahmen

In manchen Fällen, wie z. B. Speicheranalysen, ist der Lesezugriff auf Ressourcenprotokolle und -metriken von außerhalb des Netzwerks erforderlich. Wenn Sie für vertrauenswürdige Dienste den Zugriff auf das Speicherkonto konfigurieren, können Sie Lesezugriff für die Protokolldateien, für die Metriktabellen oder für beides erlauben, indem Sie eine Netzwerkregelausnahme erstellen. Netzwerkregelausnahmen können über das Azure-Portal, über PowerShell oder per Azure CLI v2 verwaltet werden.

Weitere Informationen zur Verwendung der Speicheranalyse finden Sie unter Speicheranalyse.

Portal

1. Wechseln Sie zu dem Speicherkonto, für das Sie Ausnahmen verwalten möchten.

2. Wählen Sie im Dienstmenü unter Sicherheit und Netzwerk die Option Azure-Netzwerk aus.

3. Vergewissern Sie sich, dass Sie den Zugriff auf öffentliche Netzwerke über ausgewählte virtuelle Netzwerke und IP-Adressen aktivieren möchten.

4. Wählen Sie unter Ausnahmen die Ausnahmen aus, die Sie gewähren möchten.

5. Klicken Sie zum Übernehmen der Änderungen auf Speichern.

PowerShell

1. Installieren Sie Azure PowerShell, und melden Sie sich an.

2. So zeigen Sie die Ausnahmen für die Speicherkonto-Netzwerkregeln an:

   PowerShell

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
   

3. So konfigurieren Sie die Ausnahmen von den Speicherkonto-Netzwerkregeln:

   PowerShell

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
   

4. So entfernen Sie die Ausnahmen von den Speicherkonto-Netzwerkregeln:

   PowerShell

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
   

Azure-Befehlszeilenschnittstelle

1. Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.

2. So zeigen Sie die Ausnahmen für die Speicherkonto-Netzwerkregeln an:

   Azure CLI

   az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
   

3. So konfigurieren Sie die Ausnahmen von den Speicherkonto-Netzwerkregeln:

   Azure CLI

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
   

4. So entfernen Sie die Ausnahmen von den Speicherkonto-Netzwerkregeln:

   Azure CLI

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
   

Nächste Schritte

• Weitere Informationen zu Dienstendpunkten in Azure-Netzwerken.
• Weitere Informationen zu Sicherheitsempfehlungen für Azure Blob Storage.