Erstellen und Zuordnen von Dienstendpunktrichtlinien

Mithilfe von Dienstendpunktrichtlinien können Sie über Dienstendpunkte den Datenverkehr eines virtuellen Netzwerks auf bestimmte Azure-Ressourcen filtern. Wenn Sie nicht mit Dienstendpunktrichtlinien vertraut sind, lesen Sie Dienstendpunktrichtlinien für virtuelle Netzwerke (Vorschau), um mehr zu erfahren.

In diesem Tutorial lernen Sie Folgendes:

• Erstellen Sie ein virtuelles Netzwerk.
• Fügen Sie ein Subnetz hinzu, und aktivieren Sie einen Dienstendpunkt für Azure Storage.
• Erstellen Sie zwei Azure Storage-Konten, und lassen Sie den Netzwerkzugriff auf diese Konten aus dem Subnetz im virtuellen Netzwerk zu.
• Erstellen einer Dienstendpunkt-Richtlinie zum Zulassen des Zugriffs nur auf eines der Speicherkonten
• Bereitstellen eines virtuellen Computers im Subnetz
• Bestätigen des Zugriffs auf das zulässige Speicherkonto aus dem Subnetz
• Vergewissern Sie sich, dass der Zugriff auf das unzulässige Speicherkonto aus dem Subnetz verweigert wird.

Voraussetzungen

Portal

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können ein Konto kostenlos erstellen.

PowerShell

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können ein Konto kostenlos erstellen.

Azure Cloud Shell

Azure hostet Azure Cloud Shell, eine interaktive Shell-Umgebung, die Sie über Ihren Browser nutzen können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure-Diensten zu arbeiten. Sie können die vorinstallierten Befehle von Cloud Shell verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.

Starten von Azure Cloud Shell:

Auswahlmöglichkeit	Beispiel/Link
Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Durch die Auswahl von Ausprobieren wird der Code oder Befehl nicht automatisch in Cloud Shell kopiert.
Rufen Sie https://shell.azure.com auf, oder klicken Sie auf die Schaltfläche Cloud Shell starten, um Cloud Shell im Browser zu öffnen.
Wählen Sie im Azure-Portal rechts oben im Menü die Schaltfläche Cloud Shell aus.

So verwenden Sie Azure Cloud Shell:

1. Starten Sie Cloud Shell.

2. Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.

3. Fügen Sie den Code oder Befehl mit STRG+UMSCHALT+V unter Windows und Linux oder CMD+UMSCHALT+V unter macOS in die Cloud Shell-Sitzung ein.

4. Drücken Sie die EINGABETASTE, um den Code oder Befehl auszuführen.

Wenn Sie PowerShell lokal installieren und verwenden möchten, müssen Sie für diesen Artikel mindestens Version 1.0.0 des Azure PowerShell-Moduls verwenden. Führen Sie Get-Module -ListAvailable Az aus, um die installierte Version zu ermitteln. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu. Wenn Sie PowerShell lokal ausführen, müssen Sie auch Connect-AzAccount ausführen, um eine Verbindung mit Azure herzustellen.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Wenn Sie nicht über ein Azure-Konto verfügen, erstellen Sie ein kostenloses Konto , bevor Sie beginnen.

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter "Erste Schritte mit Azure Cloud Shell".

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Weitere Anmeldeoptionen finden Sie unter Authentifizieren bei Azure mithilfe der Azure CLI.

  • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden und Verwalten von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

• Für diesen Artikel ist mindestens Version 2.0.28 der Azure CLI erforderlich. Bei Verwendung von Azure Cloud Shell ist die aktuelle Version bereits installiert.

Erstellen eines virtuellen Netzwerks und Aktivieren des Dienstendpunkts

Erstellen Sie ein virtuelles Netzwerk für die Ressourcen, die Sie in diesem Tutorial erstellen.

Portal

1. Geben Sie im Portal in das Suchfeld virtuelle Netzwerke ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

2. Wählen Sie + Erstellen aus, um ein neues virtuelles Netzwerk zu erstellen.

3. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus.

   Einstellung	Wert
   Projektdetails
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie Neu erstellen. Geben Sie test-rg für Name ein. Wählen Sie OK aus.
   Name	Geben Sie vnet-1 ein.
   Region	Wählen Sie USA, Westen 2 aus.

4. Wählen Sie Weiter aus.

5. Wählen Sie Weiter aus.

6. Wählen Sie auf der Registerkarte IP-Adressen in Subnetze das Subnetz default aus.

7. Geben Sie unter Subnetz bearbeiten die folgenden Informationen ein, oder wählen Sie sie aus.

   Einstellung	Wert
   Name	Geben Sie subnet-1 ein.
   Dienstendpunkte
   Dienste
   Wählen Sie im Pulldownmenü Microsoft.Storage aus.

8. Wählen Sie Speichern.

9. Klicken Sie auf Überprüfen + erstellen.

10. Klicken Sie auf Erstellen.

PowerShell

Vor der Erstellung eines virtuellen Netzwerks müssen Sie eine Ressourcengruppe für das virtuelle Netzwerk und alle anderen in diesem Artikel erstellten Ressourcen erstellen. Erstellen Sie mit New-AzResourceGroup eine Ressourcengruppe. Im folgenden Beispiel wird eine Ressourcengruppe mit dem Namen test-rg erstellt.

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}
New-AzResourceGroup @rg

Erstellen Sie mit New-AzVirtualNetwork ein virtuelles Netzwerk. Im folgenden Beispiel wird ein virtuelles Netzwerk namens vnet-1 mit dem Adresspräfix 10.0.0.0/16 erstellt.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Erstellen Sie mit New-AzVirtualNetworkSubnetConfig eine Subnetzkonfiguration, und schreiben Sie sie anschließend mit Set-AzVirtualNetwork in das virtuelle Netzwerk. Im folgenden Beispiel wird dem virtuellen Netzwerk ein Subnetz mit dem Namen subnet-1 hinzugefügt und der Dienstendpunkt für Microsoft.Storage erstellt.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Vor der Erstellung eines virtuellen Netzwerks müssen Sie eine Ressourcengruppe für das virtuelle Netzwerk und alle anderen in diesem Artikel erstellten Ressourcen erstellen. Erstellen Sie mit az group create eine Ressourcengruppe. Im folgenden Beispiel wird eine Ressourcengruppe mit dem Namen test-rg am Standort westus2 erstellt.

az group create \
  --name test-rg \
  --location westus2

Erstellen Sie mit az network vnet create ein virtuelles Netzwerk mit einem Subnetz.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefix 10.0.0.0/16 \
  --subnet-name subnet-1 \
  --subnet-prefix 10.0.0.0/24

In diesem Beispiel wird für das Subnetz Microsoft.Storage ein Dienstendpunkt für erstellt:

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24 \
  --service-endpoints Microsoft.Storage

Einschränken des Netzwerkzugriffs für das Subnetz

Erstellen Sie eine Netzwerksicherheitsgruppe und Regeln, die den Netzwerkzugriff für das Subnetz einschränken.

Erstellen einer Netzwerksicherheitsgruppe

Portal

1. Geben Sie im Portal in das Suchfeld Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

2. Wählen Sie + Erstellen aus, um eine neue Netzwerksicherheitsgruppe zu erstellen.

3. Geben Sie auf der Registerkarte Grundlagen von Netzwerksicherheitsgruppe erstellen die folgenden Informationen ein, oder wählen Sie sie aus.

   Einstellung	Wert
   Projektdetails
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie test-rg aus.
   Name	Geben Sie nsg-1 ein.
   Region	Wählen Sie USA, Westen 2 aus.

4. Klicken Sie auf Überprüfen + erstellen.

5. Klicken Sie auf Erstellen.

Erstellen von Netzwerksicherheitsgruppen-Regeln

1. Geben Sie im Portal in das Suchfeld Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

2. Wählen Sie nsg-1 aus.

3. Erweitern Sie Einstellungen. Wählen Sie Sicherheitsregeln für ausgehenden Datenverkehr aus.

4. Wählen Sie + Hinzufügen aus, um eine neue Sicherheitsregel für ausgehenden Datenverkehr hinzuzufügen.

5. Geben Sie unter Ausgangssicherheitsregel hinzufügen die folgenden Informationen ein, bzw. wählen Sie sie aus:

   Einstellung	Wert
   Quelle	Wählen Sie Diensttag aus.
   Quelldiensttag	Wählen Sie VirtualNetwork aus.
   Quellportbereiche	Geben Sie * ein.
   Bestimmungsort	Wählen Sie Diensttag aus.
   Zieldiensttag	Wählen Sie Speicher aus.
   Dienst	Wählen Sie Benutzerdefiniert aus.
   Zielportbereiche	Geben Sie * ein.
   Protokoll	Wählen Sie Alle aus.
   Aktion	Wählen Sie Zulassen aus.
   Priorität	Geben Sie 100 ein.
   Name	Geben Sie allow-storage-all ein.

6. Wählen Sie Hinzufügen.

7. Wählen Sie + Hinzufügen aus, um eine weitere Sicherheitsregel für ausgehenden Datenverkehr hinzuzufügen.

8. Geben Sie unter Ausgangssicherheitsregel hinzufügen die folgenden Informationen ein, bzw. wählen Sie sie aus:

   Einstellung	Wert
   Quelle	Wählen Sie Diensttag aus.
   Quelldiensttag	Wählen Sie VirtualNetwork aus.
   Quellportbereiche	Geben Sie * ein.
   Bestimmungsort	Wählen Sie Diensttag aus.
   Zieldiensttag	Wählen Sie Internet aus.
   Dienst	Wählen Sie Benutzerdefiniert aus.
   Zielportbereiche	Geben Sie * ein.
   Protokoll	Wählen Sie Alle aus.
   Aktion	Wählen Sie Ablehnen aus.
   Priorität	Geben Sie 110 ein.
   Name	Geben Sie deny-internet-all ein.

9. Wählen Sie Hinzufügen.

10. Erweitern Sie Einstellungen. Wählen Sie Subnetze aus.

11. Wählen Sie Zuordnen aus.

12. Geben Sie unter Subnetz zuordnen die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellung	Wert
    Virtuelles Netzwerk	Wählen Sie vnet-1 (test-rg) aus.
    Subnetz	Wählen Sie subnet-1 aus.

13. Wählen Sie OK aus.

PowerShell

Erstellen Sie mit New-AzNetworkSecurityRuleConfig Netzwerksicherheitsgruppen-Sicherheitsregeln. Die folgende Regel erlaubt den ausgehenden Zugriff auf die öffentlichen IP-Adressen, die dem Azure Storage-Dienst zugewiesen sind:

$r1 = @{
    Name = "Allow-Storage-All"
    Access = "Allow"
    DestinationAddressPrefix = "Storage"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 100
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule1 = New-AzNetworkSecurityRuleConfig @r1

Die folgende Regel verweigert den Zugriff auf alle öffentlichen IP-Adressen. Die vorherige Regel überschreibt diese Regel. Dies ist auf die höhere Priorität zurückzuführen, die den Zugriff auf die öffentlichen IP-Adressen von Azure Storage zulässt.

$r2 = @{
    Name = "Deny-Internet-All"
    Access = "Deny"
    DestinationAddressPrefix = "Internet"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 110
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule2 = New-AzNetworkSecurityRuleConfig @r2

Erstellen Sie mit New-AzNetworkSecurityGroup eine Netzwerksicherheitsgruppe. Im folgenden Beispiel wird eine Netzwerksicherheitsgruppe namens nsg-1 erstellt.

$securityRules = @($rule1, $rule2)

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
    SecurityRules = $securityRules
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Ordnen Sie die Netzwerksicherheitsgruppe mit Set-AzVirtualNetworkSubnetConfig dem Subnetz subnet-1 zu, und schreiben Sie dann die Subnetzkonfiguration in das virtuelle Netzwerk. Im folgenden Beispiel wird die Netzwerksicherheitsgruppe nsg-1 dem Subnetz subnet-1 zugeordnet:

$subnetConfig = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
    NetworkSecurityGroup = $nsg
}
Set-AzVirtualNetworkSubnetConfig @subnetConfig

$virtualNetwork | Set-AzVirtualNetwork

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Erstellen Sie mit az network nsg create eine Netzwerksicherheitsgruppe. Im folgenden Beispiel wird eine Netzwerksicherheitsgruppe namens nsg-1 erstellt.

az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Ordnen Sie die Netzwerksicherheitsgruppe mit az network vnet subnet update dem Subnetz subnet-1 zu. Im folgenden Beispiel wird die Netzwerksicherheitsgruppe nsg-1 dem Subnetz subnet-1 zugeordnet:

az network vnet subnet update \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --resource-group test-rg \
  --network-security-group nsg-1

Erstellen Sie Sicherheitsregeln mit az network nsg rule create. Die folgende Regel erlaubt den ausgehenden Zugriff auf die öffentlichen IP-Adressen, die dem Azure Storage-Dienst zugewiesen sind:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Storage-All \
  --access Allow \
  --protocol "*" \
  --direction Outbound \
  --priority 100 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Storage" \
  --destination-port-range "*"

Jede Netzwerksicherheitsgruppe enthält mehrere Standardsicherheitsregeln. Die folgende Regel überschreibt eine Standardsicherheitsregel, die ausgehenden Zugriff auf alle öffentlichen IP-Adressen zulässt. Die destination-address-prefix "Internet"-Option verweigert den ausgehenden Zugriff auf alle öffentlichen IP-Adressen. Die vorherige Regel überschreibt diese Regel. Dies ist auf die höhere Priorität zurückzuführen, die den Zugriff auf die öffentlichen IP-Adressen von Azure Storage zulässt.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Deny-Internet-All \
  --access Deny \
  --protocol "*" \
  --direction Outbound \
  --priority 110 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Internet" \
  --destination-port-range "*"

Einschränken des Netzwerkzugriffs auf Azure Storage-Konten

Die Schritte, die erforderlich sind, um den Netzwerkzugriff auf Ressourcen einzuschränken, die durch Azure-Dienste erstellt und für Dienstendpunkte aktiviert wurden, sind je nach Dienst unterschiedlich. Informationen zu den Schritten für einzelne Dienste finden Sie in der Dokumentation des jeweiligen Diensts. Der Rest dieses Artikels enthält als Beispiel Schritte zum Einschränken des Netzwerkzugriffs für ein Azure Storage-Konto.

Erstellen von zwei Speicherkonten

Portal

1. Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.

2. Wählen Sie + Erstellen aus, um ein Speicherkonto zu erstellen.

3. Geben Sie unter Speicherkonto erstellen die folgenden Informationen ein, oder wählen Sie sie aus.

   Einstellung	Wert
   Projektdetails
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie test-rg aus.
   Instanzendetails
   Speicherkontoname	Geben Sie allowedaccount(Zufallszahl) ein. Hinweis: Der Name des Speicherkontos muss eindeutig sein. Fügen Sie am Ende des Namens allowedaccount eine Zufallszahl an.
   Region	Wählen Sie USA, Westen 2 aus.
   Leistung	Wählen Sie Standard aus.
   Redundanz	Wählen Sie Lokal redundanter Speicher (LRS) aus.

4. Wählen Sie Weiter aus, bis die Registerkarte Datenschutz angezeigt wird.

5. Deaktivieren Sie unter Wiederherstellung alle Optionen.

6. Klicken Sie auf Überprüfen + erstellen.

7. Klicken Sie auf Erstellen.

8. Wiederholen Sie die vorherigen Schritte, um ein weiteres Speicherkonto mit den folgenden Informationen zu erstellen.

   Einstellung	Wert
   Speicherkontoname	Geben Sie deniedaccount(Zufallszahl) ein.

PowerShell

Erstellen Sie mit New-AzStorageAccount das zulässige Azure Storage-Konto.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'allowedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Verwenden Sie denselben Befehl, um das verweigerte Azure Storage-Konto zu erstellen, aber ändern Sie den Namen in deniedaccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'deniedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Erstellen Sie zwei Azure Storage-Konten mithilfe von az storage account create.

storageAcctName1="allowedaccount"

az storage account create \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Verwenden Sie denselben Befehl, um das verweigerte Azure Storage-Konto zu erstellen, aber ändern Sie den Namen in deniedaccount.

storageAcctName2="deniedaccount"

az storage account create \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Erstellen von Dateifreigaben

Portal

1. Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.

2. Wählen Sie allowedaccount(Zufallszahl) aus.

3. Erweitern Sie den Abschnitt Datenspeicher, und wählen Sie Dateifreigaben aus.

4. Klicken Sie auf + Dateifreigabe.

5. Geben Sie in Neue Dateifreigabe die folgenden Informationen ein, oder wählen Sie sie aus.

   Einstellung	Wert
   Name	Geben Sie file-share ein.

6. Behalten Sie für die restlichen Einstellungen die Standardwerte bei, und wählen Sie Überprüfen + erstellen aus.

7. Klicken Sie auf Erstellen.

8. Wiederholen Sie die vorherigen Schritte, um eine Dateifreigabe in deniedaccount(Zufallszahl) zu erstellen.

PowerShell

Erstellen einer Dateifreigabe im zulässigen Speicherkonto

Verwenden Sie Get-AzStorageAccountKey, um den Speicherkontoschlüssel für das zulässige Speicherkonto abzurufen. Sie verwenden diesen Schlüssel im nächsten Schritt, um eine Dateifreigabe im zulässigen Speicherkonto zu erstellen.

$storageAcctName1 = "allowedaccount"
$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName1
}
$storageAcctKey1 = (Get-AzStorageAccountKey @storageAcctParams1).Value[0]

Erstellen Sie mit New-AzStorageContext einen Kontext für das Speicherkonto und den Speicherschlüssel. Der Kontext kapselt den Speicherkontonamen und den Kontoschlüssel.

$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1

Erstellen Sie mit New-AzStorageShare eine Dateifreigabe.

$share1 = New-AzStorageShare file-share -Context $storageContext1

Erstellen einer Dateifreigabe im verweigerten Speicherkonto

Verwenden Sie Get-AzStorageAccountKey, um den Speicherkontoschlüssel für das zulässige Speicherkonto abzurufen. Sie verwenden diesen Schlüssel im nächsten Schritt, um eine Dateifreigabe im verweigerten Speicherkonto zu erstellen.

$storageAcctName2 = "deniedaccount"
$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName2
}
$storageAcctKey2 = (Get-AzStorageAccountKey @storageAcctParams2).Value[0]

Erstellen Sie mit New-AzStorageContext einen Kontext für das Speicherkonto und den Speicherschlüssel. Der Kontext kapselt den Speicherkontonamen und den Kontoschlüssel.

$storageContext2= New-AzStorageContext $storageAcctName2 $storageAcctKey2

Erstellen Sie mit New-AzStorageShare eine Dateifreigabe.

$share2 = New-AzStorageShare file-share -Context $storageContext2

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Erstellen einer Dateifreigabe im zulässigen Speicherkonto

Rufen Sie die Verbindungszeichenfolge für die Speicherkonten mit az storage account show-connection-string in eine Variable ab. Die Verbindungszeichenfolge wird verwendet, um in einem späteren Schritt eine Dateifreigabe zu erstellen.

saConnectionString1=$(az storage account show-connection-string \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Erstellen Sie mit az storage share create eine Dateifreigabe im Speicherkonto. In einem späteren Schritt wird diese Dateifreigabe bereitgestellt, um den Netzwerkzugriff darauf zu bestätigen.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString1 > /dev/null

Erstellen einer Dateifreigabe im verweigerten Speicherkonto

Rufen Sie die Verbindungszeichenfolge für die Speicherkonten mit az storage account show-connection-string in eine Variable ab. Die Verbindungszeichenfolge wird verwendet, um in einem späteren Schritt eine Dateifreigabe zu erstellen.

saConnectionString2=$(az storage account show-connection-string \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Erstellen Sie mit az storage share create eine Dateifreigabe im Speicherkonto. In einem späteren Schritt wird diese Dateifreigabe bereitgestellt, um den Netzwerkzugriff darauf zu bestätigen.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString2 > /dev/null

Von Bedeutung

Microsoft empfiehlt, immer den sichersten Authentifizierungsflow zu verwenden. Der in diesem Verfahren beschriebene Authentifizierungsflow erfordert ein sehr hohes Maß an Vertrauen in die Anwendung und birgt Risiken, die bei anderen Flows nicht vorhanden sind. Sie sollten diesen Flow nur verwenden, wenn andere sicherere Flows, z. B. verwaltete Identitäten, nicht praktikabel sind.

Verweigern des gesamten Netzwerkzugriffs auf Speicherkonten

Standardmäßig akzeptieren Speicherkonten Netzwerkverbindungen von Clients in allen Netzwerken. Um den Netzwerkzugriff auf die Speicherkonten einzuschränken, können Sie sie so konfigurieren, dass nur Verbindungen von bestimmten Netzwerken akzeptiert werden. In diesem Beispiel konfigurieren Sie das Speicherkonto so, dass nur Verbindungen vom zuvor erstellten Subnetz des virtuellen Netzwerks akzeptiert werden.

Portal

1. Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.

2. Wählen Sie allowedaccount(Zufallszahl) aus.

3. Erweitern Sie Sicherheit + Netzwerk, und wählen Sie Netzwerk aus.

4. Wählen Sie auf der Registerkarte Firewalls und virtuelle Netzwerke in Öffentlicher Netzwerkzugriff die Option Aktiviert von ausgewählten virtuellen Netzwerken und IP-Adressen aus.

5. Wählen Sie unter Virtuelle Netzwerke die Option + Vorhandenes virtuelles Netzwerk hinzufügen aus.

6. Geben Sie unter Netzwerke hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus.

   Einstellung	Wert
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Virtuelle Netzwerke	Wählen Sie vnet-1 aus.
   Subnetze	Wählen Sie subnet-1 aus.

7. Wählen Sie Hinzufügen.

8. Wählen Sie Speichern.

9. Wiederholen Sie die vorherigen Schritte, um den Netzwerkzugriff auf deniedaccount(Zufallszahl) zu verweigern.

PowerShell

Verwenden Sie Update-AzStorageAccountNetworkRuleSet, um den Zugriff auf die Speicherkonten – mit Ausnahme des virtuellen Netzwerks und des Subnetzes, das Sie zuvor erstellt haben – zu verweigern. Nachdem der Netzwerkzugriff verweigert wurde, kann auf das Speicherkonto aus keinem Netzwerk mehr zugegriffen werden.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams1

$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams2

Aktivieren des Netzwerkzugriffs nur über das Subnetz des virtuellen Netzwerks

Rufen Sie mit Get-AzVirtualNetwork das erstellte virtuelle Netzwerk und dann mit Get-AzVirtualNetworkSubnetConfig das Subnetzobjekt „Private“ in eine Variable ab:

$privateSubnetParams = @{
    ResourceGroupName = "test-rg"
    Name = "vnet-1"
}
$privateSubnet = Get-AzVirtualNetwork @privateSubnetParams | Get-AzVirtualNetworkSubnetConfig -Name "subnet-1"

Erlauben Sie mit Add-AzStorageAccountNetworkRule den Netzwerkzugriff auf das Speicherkonto aus dem Subnetz subnet-1.

$networkRuleParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams1

$networkRuleParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams2

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Standardmäßig akzeptieren Speicherkonten Netzwerkverbindungen von Clients in allen Netzwerken. Um den Zugriff auf ausgewählte Netzwerke einzuschränken, ändern Sie die Standardaktion mit az storage account update in Deny (Verweigern). Nachdem der Netzwerkzugriff verweigert wurde, kann auf das Speicherkonto aus keinem Netzwerk mehr zugegriffen werden.

az storage account update \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --default-action Deny

az storage account update \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --default-action Deny

Aktivieren des Netzwerkzugriffs nur über das Subnetz des virtuellen Netzwerks

Erlauben Sie mit az storage account network-rule add den Netzwerkzugriff auf das Speicherkonto aus dem Subnetz subnet-1.

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName1 \
  --vnet-name vnet-1 \
  --subnet subnet-1

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName2 \
  --vnet-name vnet-1 \
  --subnet subnet-1

Anwenden der Richtlinie, um den Zugriff auf ein gültiges Speicherkonto zuzulassen

Sie können eine Dienstendpunktrichtlinie erstellen. Die Richtlinie stellt sicher, dass Benutzer im virtuellen Netzwerk nur auf sichere und zulässige Azure Storage-Konten zugreifen können. Diese Richtlinie enthält eine Liste der zulässigen Speicherkonten, die auf das Subnetz des virtuellen Netzwerks angewandt wird, das über Dienstendpunkte mit Storage verbunden ist.

Erstellen einer Dienstendpunktrichtlinie

In diesem Abschnitt wird die Richtliniendefinition mit der Liste der zulässigen Ressourcen für Zugriff über den Dienstendpunkt erstellt.

Portal

1. Geben Sie im Portal in das Suchfeld Dienstendpunktrichtlinie ein. Wählen Sie in den Suchergebnissen Dienstendpunktrichtlinien aus.

2. Wählen Sie + Erstellen aus, um eine neue Dienstendpunktrichtlinie zu erstellen.

3. Geben Sie auf der Registerkarte Grundlagen von Dienstendpunktrichtlinie erstellen die folgenden Informationen ein, oder wählen Sie sie aus.

   Einstellung	Wert
   Projektdetails
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie test-rg aus.
   Instanzendetails
   Name	Geben Sie service-endpoint-policy ein.
   Standort	Wählen Sie USA, Westen 2 aus.

4. Wählen Sie Weiter: Richtliniendefinitionen aus.

5. Wählen Sie unter Ressourcen die Option + Ressource hinzufügen aus.

6. Geben Sie unter Ressource hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Dienst	Wählen Sie Microsoft.Storage aus.
   `Scope`	Wählen Sie Einzelnes Konto aus.
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie test-rg aus.
   Ressource	Wählen Sie allowedaccount(Zufallszahl) aus.

7. Wählen Sie Hinzufügen.

8. Klicken Sie auf Überprüfen + erstellen.

9. Klicken Sie auf Erstellen.

PowerShell

Verwenden Sie Get-AzStorageAccount, um die Ressourcen-ID für das erste (zulässige) Speicherkonto abzurufen.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
}
$resourceId = (Get-AzStorageAccount @storageAcctParams1).id

Um die Richtliniendefinition zu erstellen, mit der Sie die vorherige Ressource zulassen, verwenden Sie New-AzServiceEndpointPolicyDefinition.

$policyDefinitionParams = @{
    Name = "policy-definition"
    Description = "Service Endpoint Policy Definition"
    Service = "Microsoft.Storage"
    ServiceResource = $resourceId
}
$policyDefinition = New-AzServiceEndpointPolicyDefinition @policyDefinitionParams

Verwenden Sie New-AzServiceEndpointPolicy, um die Dienstendpunktrichtlinie mit der Richtliniendefinition zu erstellen.

$sepolicyParams = @{
    ResourceGroupName = "test-rg"
    Name = "service-endpoint-policy"
    Location = "westus2"
    ServiceEndpointPolicyDefinition = $policyDefinition
}
$sepolicy = New-AzServiceEndpointPolicy @sepolicyParams

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Dienstendpunkt-Richtlinien werden auf Dienstendpunkte angewandt. Sie erstellen zunächst eine Dienstendpunktrichtlinie. Anschließend erstellen Sie die Richtliniendefinitionen unter dieser Richtlinie für Azure Storage-Konten, die für dieses Subnetz genehmigt werden sollen.

Verwenden Sie az storage account show, um die Ressourcen-ID für das zulässige Speicherkonto abzurufen.

serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)

Erstellen einer Dienstendpunktrichtlinie

az network service-endpoint policy create \
  --resource-group test-rg \
  --name service-endpoint-policy \
  --location westus2

Erstellen und Hinzufügen einer Richtliniendefinition zum Zulassen des oben genannten Azure Storage-Kontos in der Dienstendpunktrichtlinie

az network service-endpoint policy-definition create \
  --resource-group test-rg \
  --policy-name service-endpoint-policy \
  --name policy-definition \
  --service "Microsoft.Storage" \
  --service-resources $serviceResourceId

Zuordnen einer Dienstendpunktrichtlinie zu einem Subnetz

Nachdem Sie die Dienstendpunktrichtlinie erstellt haben, verknüpfen Sie sie mit dem Zielsubnetz mit der Dienstendpunktkonfiguration für Azure Storage.

Portal

1. Geben Sie im Portal in das Suchfeld Dienstendpunktrichtlinie ein. Wählen Sie in den Suchergebnissen Dienstendpunktrichtlinien aus.

2. Wählen Sie service-endpoint-policy aus.

3. Erweitern Sie Einstellungen, und wählen Sie Zugeordnete Subnetze aus.

4. Wählen Sie + Subnetzzuordnung bearbeiten aus.

5. Wählen Sie in Subnetzzuordnung bearbeiten die Optionen vnet-1 und subnet-1 aus.

6. Wählen Sie Übernehmen.

PowerShell

Verwenden Sie Set-AzVirtualNetworkSubnetConfig, um dem Subnetz die Dienstendpunktrichtlinie zuzuordnen.

$subnetConfigParams = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    NetworkSecurityGroup = $nsg
    ServiceEndpoint = "Microsoft.Storage"
    ServiceEndpointPolicy = $sepolicy
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

$virtualNetwork | Set-AzVirtualNetwork

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Verwenden Sie az network vnet subnetz update, um dem Subnetz die Dienstendpunktrichtlinie zuzuordnen.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --service-endpoints Microsoft.Storage \
  --service-endpoint-policy service-endpoint-policy

Warnung

Stellen Sie sicher, dass alle Ressourcen, auf die über das Subnetz zugegriffen wird, der Richtliniendefinition hinzugefügt wurden, bevor Sie die Richtlinie dem angegebenen Subnetz zuordnen. Sobald die Richtlinie zugeordnet wurde, wird nur der Zugriff auf die in der Zulassungsliste aufgeführten Ressourcen über Dienstendpunkte gestattet.

Stellen Sie sicher, dass in dem der Dienstendpunktrichtlinie zugeordneten Subnetz keine verwalteten Azure-Dienste vorhanden sind.

Der Zugriff auf Azure Storage-Ressourcen in allen Regionen wird gemäß der Dienstendpunktrichtlinie (Service Endpoint Policy, SEP) aus diesem Subnetz eingeschränkt.

Überprüfen der Zugriffsbeschränkung auf Azure Storage-Konten

Zum Testen des Netzwerkzugriffs auf ein Speicherkonto stellen Sie einen virtuellen Computer im Subnetz bereit.

Bereitstellen des virtuellen Computers

Portal

1. Geben Sie im Portal in das Suchfeld Virtual Machines ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

2. Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, bzw. wählen Sie sie aus:

   Einstellung	Wert
   Projektdetails
   Abonnement	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie test-rg aus.
   Instanzendetails
   Name des virtuellen Computers	Geben Sie vm-1 ein.
   Region	Wählen Sie USA, Westen 2 aus.
   Verfügbarkeitsoptionen	Wählen Sie die Option Keine Infrastrukturredundanz erforderlich aus.
   Sicherheitstyp	Wählen Sie Standard aus.
   Abbildung	Wählen Sie Windows Server 2022 Datacenter – x64 Gen2 aus.
   Größe	Wählen Sie eine Größe aus.
   Administratorkonto
   Nutzername	Geben Sie einen Benutzernamen ein.
   Kennwort	Geben Sie ein Kennwort ein.
   Kennwort bestätigen	Geben Sie das Kennwort erneut ein.
   Regeln für eingehende Ports

3. Wählen Sie Weiter: Datenträger und dann Weiter: Netzwerk aus.

4. Geben Sie auf der Registerkarte Netzwerk die folgenden Informationen ein, bzw. wählen Sie sie aus.

   Einstellung	Wert
   Netzwerkschnittstelle
   Virtuelles Netzwerk	Wählen Sie vnet-1 aus.
   Subnetz	Wählen Sie Subnetz-1 (10.0.0.0/24) aus.
   Öffentliche IP-Adresse	Wählen Sie Keine aus.
   NIC-Netzwerksicherheitsgruppe	Wählen Sie Keine aus.

5. Behalten Sie für die restlichen Einstellungen die Standardwerte bei, und wählen Sie Überprüfen + erstellen aus.

6. Klicken Sie auf Erstellen.

PowerShell

Erstellen Sie mit New-AzVM eine VM im Subnetz subnet-1. Wenn Sie den folgenden Befehl ausführen, werden Sie aufgefordert, Anmeldeinformationen einzugeben. Die eingegebenen Werte werden als Benutzername und Kennwort für den virtuellen Computer konfiguriert.

$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    Name = "vm-1"
}
New-AzVm @vmParams

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Erstellen Sie mit az vm create eine VM im Subnetz subnet-1.

az vm create \
  --resource-group test-rg \
  --name vm-1 \
  --image Win2022Datacenter \
  --admin-username azureuser \
  --vnet-name vnet-1 \
  --subnet subnet-1

Warten Sie, bis die Bereitstellung des virtuellen Computers abgeschlossen ist, bevor Sie mit den nächsten Schritten fortfahren.

Bestätigen des Zugriffs auf das zulässige Speicherkonto

1. Melden Sie sich beim Azure-Portalan.

2. Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.

3. Wählen Sie allowedaccount(Zufallszahl) aus.

4. Erweitern Sie Sicherheit + Netzwerk, und wählen Sie Zugriffsschlüssel aus.

5. Kopieren Sie den Wert von key1. Sie verwenden diesen Schlüssel, um dem Speicherkonto ein Laufwerk von der zuvor erstellten VM zuzuordnen.

6. Geben Sie im Portal in das Suchfeld Virtual Machines ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

7. Wählen Sie vm-1 aus.

8. Erweitern Sie Vorgänge. Wählen Sie Befehl ausführen aus.

9. Wählen Sie RunPowerShellScript aus.

10. Fügen Sie das folgende Skript in Befehlsskript ausführen ein.

    ## Enter the storage account key for the allowed storage account that you recorded earlier.
    $storageAcctKey1 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential
    

11. Klicken Sie auf Run (Ausführen).

12. Wenn die Laufwerkzuordnung erfolgreich ist, sieht die Ausgabe im Feld Ausgabe ähnlich wie im folgenden Beispiel aus:

    Name           Used (GB)     Free (GB) Provider      Root
    ----           ---------     --------- --------      ----
    Z                                      FileSystem    \\allowedaccount.file.core.windows.net\fil..
    

Bestätigen der Verweigerung des Zugriffs auf das verweigerte Speicherkonto

1. Geben Sie im Portal in das Suchfeld Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.

2. Wählen Sie deniedaccount(Zufallszahl) aus.

3. Erweitern Sie Sicherheit + Netzwerk, und wählen Sie Zugriffsschlüssel aus.

4. Kopieren Sie den Wert von key1. Sie verwenden diesen Schlüssel, um dem Speicherkonto ein Laufwerk von der zuvor erstellten VM zuzuordnen.

5. Geben Sie im Portal in das Suchfeld Virtual Machines ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

6. Wählen Sie vm-1 aus.

7. Erweitern Sie Vorgänge. Wählen Sie Befehl ausführen aus.

8. Wählen Sie RunPowerShellScript aus.

9. Fügen Sie das folgende Skript in Befehlsskript ausführen ein.

   ## Enter the storage account key for the denied storage account that you recorded earlier.
   $storageAcctKey2 = (pasted from procedure above)
   $acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
   ## Replace the login account with the name of the storage account you created.
   $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
   ## Replace the storage account name with the name of the storage account you created.
   New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential
   

10. Klicken Sie auf Run (Ausführen).

11. Im Feld Ausgabe wird die folgende Fehlermeldung angezeigt:

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
    + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    

12. Die Laufwerkzuordnung wird aufgrund der Dienstendpunktrichtlinie verweigert, die den Zugriff auf das Speicherkonto einschränkt.

Portal

Wenn Sie mit der Verwendung der von Ihnen erstellten Ressourcen fertig sind, können Sie die Ressourcengruppe und alle zugehörigen Ressourcen löschen.

1. Suchen Sie im Azure-Portal nach Ressourcengruppen, und wählen Sie die entsprechende Option aus.

2. Wählen Sie auf der Seite Ressourcengruppen die Ressourcengruppe test-rg aus.

3. Wählen Sie auf der Seite test-rg die Option Ressourcengruppe löschen aus.

4. Geben Sie test-rg unter Ressourcengruppennamen eingeben, um die Löschung zu bestätigen und wählen Sie dann Löschen aus.

PowerShell

Wenn Sie die Ressourcengruppe und alle darin enthaltenen Ressourcen nicht mehr benötigen, können Sie sie mit dem Befehl Remove-AzResourceGroup entfernen:

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Wenn die Ressourcengruppe und alle enthaltenen Ressourcen nicht mehr benötigt werden, können Sie sie mit az group delete entfernen.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Nächste Schritte

In diesem Tutorial haben Sie eine Dienstendpunktrichtlinie erstellt und einem Subnetz zugeordnet. Um mehr über Dienstendpunktrichtlinien zu erfahren, lesen Sie Dienstendpunktrichtlinien für virtuelle Netzwerke (Vorschau).