Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las reglas de firewall de Azure Storage proporcionan un control pormenorizado sobre el acceso de red al punto de conexión público de la cuenta de almacenamiento. De forma predeterminada, las cuentas de almacenamiento permiten conexiones desde cualquier red, pero puede restringir el acceso mediante la configuración de reglas de red que definen qué orígenes pueden conectarse a la cuenta de almacenamiento.
Puede configurar cuatro tipos de reglas de red:
- Reglas de red virtual: permitir el tráfico desde subredes específicas en Azure Virtual Networks
- Reglas de red IP: permitir el tráfico desde intervalos de direcciones IP públicas específicos
- Reglas de instancia de recursos: permite el tráfico de instancias de recursos de Azure específicas que no se pueden aislar mediante reglas de red virtual o IP.
- Excepciones de servicio de confianza: permitir el tráfico desde servicios específicos de Azure que operan fuera del límite de red
Cuando se configuran reglas de red, solo el tráfico de orígenes permitidos explícitamente puede acceder a la cuenta de almacenamiento a través de su punto de conexión público. El resto del tráfico queda bloqueado.
Nota:
Los clientes que realizan solicitudes de orígenes permitidos también deben cumplir los requisitos de autorización de la cuenta de almacenamiento. Para más información sobre la autorización de la cuenta, consulte Autorización del acceso a los datos en Azure Storage.
Reglas de red virtual
Puede habilitar el tráfico desde subredes en cualquier instancia de Azure Virtual Network. La red virtual puede provenir de cualquier suscripción dentro de cualquier instancia de Microsoft Entra en cualquier región de Azure. Para habilitar el tráfico desde una subred, agregue una regla de red virtual. Puede agregar hasta 400 reglas de red virtual por cuenta de almacenamiento.
En la configuración de red virtual de la subred, también debe habilitar un punto de conexión de servicio de red virtual. Este punto de conexión está diseñado para proporcionar conectividad segura y directa a la cuenta de almacenamiento.
Al crear reglas de red mediante Azure Portal, estos puntos de conexión de servicio se crean automáticamente a medida que selecciona cada subred de destino. PowerShell y la CLI de Azure proporcionan comandos que puede usar para crearlos manualmente. Para más información sobre los puntos de conexión de servicio, consulte Puntos de conexión de servicio de red virtual.
En la tabla siguiente se describe cada tipo de punto de conexión de servicio que puede habilitar para Azure Storage:
| Extremo de servicio | Nombre del recurso | Descripción |
|---|---|---|
| Punto de conexión de Azure Storage | Microsoft.Storage | Proporciona conectividad a las cuentas de almacenamiento de la misma región que la red virtual. |
| Punto de conexión de servicio entre regiones de Azure Storage | Microsoft.Storage.Global | Proporciona conectividad a las cuentas de almacenamiento en cualquier región. |
Nota:
Solo puede asociar uno de estos tipos de punto de conexión a una subred. Si uno de estos puntos de conexión ya está asociado a la subred, debe eliminarlo antes de agregar el otro.
Para obtener información sobre cómo configurar una regla de red virtual y habilitar puntos de conexión de servicio, consulte Creación de una regla de red virtual para Azure Storage.
Acceso desde una región emparejada
Los puntos de conexión de servicio también funcionan entre redes virtuales y instancias de servicio en una región emparejada.
La configuración de puntos de conexión de servicio entre redes virtuales e instancias de servicio en una región emparejada puede ser una parte importante del plan de recuperación ante desastres. Los puntos de conexión de servicio permiten la continuidad durante una conmutación por error regional, así como proporcionan acceso a las instancias de almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS). Las reglas de red virtual que conceden acceso desde una red virtual a una cuenta de almacenamiento también conceden acceso a cualquier instancia de RA-GRS.
Al planear la recuperación ante desastres durante una interrupción regional, cree por adelantado las redes virtuales en la región emparejada. Habilite los puntos de conexión de servicio para Azure Storage con reglas de red que concedan acceso desde estas redes virtuales alternativas. A continuación, aplique estas reglas a las cuentas de almacenamiento con redundancia geográfica.
Reglas de red IP
Para clientes y servicios que no se encuentran en una red virtual, puede habilitar el tráfico mediante la creación de reglas de red IP. Cada regla de red IP habilita el tráfico desde un intervalo de direcciones IP públicas específico. Por ejemplo, si un cliente de una red local necesita acceder a los datos de almacenamiento, puede crear una regla que incluya la dirección IP pública de ese cliente. Cada cuenta de almacenamiento admite hasta 400 reglas de red IP.
Para obtener información sobre cómo crear reglas de red IP, consulte Creación de una regla de red IP para Azure Storage.
Si habilita un punto de conexión de servicio para una subred, el tráfico de esa subred no usará una dirección IP pública para comunicarse con una cuenta de almacenamiento. En su lugar, todo el tráfico usa una dirección IP privada como ip de origen. Como resultado, las reglas de red IP que permiten el tráfico de esas subredes ya no tienen ningún efecto.
Los tokens de SAS que conceden acceso a una dirección IP específica sirven para limitar el acceso del titular del token, pero no conceden un acceso nuevo más allá de las reglas de red configuradas.
Importante
Algunas restricciones se aplican a los intervalos de direcciones IP. Para obtener una lista de restricciones, consulte Restricciones para reglas de red IP.
Acceso desde una red local
Puede habilitar el tráfico desde una red local mediante una regla de red IP. En primer lugar, debe identificar las direcciones IP accesibles desde Internet que usa la red. Para obtener ayuda, póngase en contacto con el administrador de red.
Si usa Azure ExpressRoute desde el entorno local, tiene que identificar las direcciones IP de NAT usadas para el emparejamiento de Microsoft. El proveedor de servicios o el cliente proporcionan las direcciones IP de NAT.
Para permitir el acceso a sus recursos del servicio, debe permitir estas direcciones IP públicas en la configuración del firewall para las IP de recursos.
Reglas de instancia de recursos de Azure
Algunos recursos de Azure no se pueden aislar a través de una red virtual o una regla de direcciones IP. Puede habilitar el tráfico desde esos recursos mediante la creación de una regla de red de instancia de recursos. Las asignaciones de roles de Azure de la instancia de recurso determinan los tipos de operaciones que la instancia de recurso puede realizar en los datos de la cuenta de almacenamiento. Las instancias de recursos deben ser del mismo tenant que su cuenta de almacenamiento, pero pueden pertenecer a cualquier suscripción dentro del tenant.
Para obtener información sobre cómo configurar una regla de instancia de recurso, consulte Creación de una regla de red de instancia de recursos para Azure Storage.
Excepciones para servicios de Azure de confianza
Si necesita habilitar el tráfico desde un servicio de Azure fuera del límite de red, puede agregar una excepción de seguridad de red. Esto puede ser útil cuando un servicio de Azure funciona desde una red que no se puede incluir en la red virtual o en las reglas de red IP. Por ejemplo, es posible que algunos servicios necesiten leer los registros de recursos y las métricas de la cuenta. Puede permitir el acceso de lectura para los archivos de registro, las tablas de métricas o ambos mediante la creación de una excepción de regla de red. Estos servicios se conectan a la cuenta de almacenamiento mediante la autenticación segura.
Para más información sobre cómo agregar una excepción de seguridad de red, consulte Administración de excepciones de seguridad de red.
Para obtener una lista completa de los servicios de Azure para los que puede habilitar el tráfico, consulte Servicios de Azure de confianza.
Restricciones y consideraciones
Antes de implementar la seguridad de red para las cuentas de almacenamiento, asegúrese de revisar todas las restricciones y consideraciones. Para obtener una lista completa, consulte Restricciones y limitaciones para la configuración del firewall y la red virtual de Azure Storage.