Crear y asociar directivas de punto de conexión de servicio

Las directivas de puntos de conexión de servicio le permiten filtrar el tráfico de red virtual a recursos específicos de Azure, sobre puntos de conexión de servicio. Si no está familiarizado con estas directivas, consulte Directivas de punto de conexión de servicio para más información.

En este tutorial, aprenderá a:

• Cree una red virtual.
• Agregue una subred y habilite un punto de conexión de servicio para Azure Storage.
• Crear dos cuentas de Azure Storage y permita el acceso de red desde la subred de la red virtual.
• Crear una directiva de punto de conexión de servicio para permitir el acceso solo a una de las cuentas de almacenamiento.
• Implementar una máquina virtual (VM) en la subred.
• Confirmar el acceso a la cuenta de almacenamiento permitida desde la subred.
• Confirmar que se deniega el acceso a la cuenta de almacenamiento no permitida desde la subred.

Requisitos previos

Portal

• Una cuenta de Azure con una suscripción activa. También puede crear una cuenta de forma gratuita.

PowerShell

• Una cuenta de Azure con una suscripción activa. También puede crear una cuenta de forma gratuita.

Azure Cloud Shell

En Azure se hospeda Azure Cloud Shell, un entorno de shell interactivo que puede utilizar mediante el explorador. Puede usar Bash o PowerShell con Cloud Shell para trabajar con los servicios de Azure. Puede usar los comandos preinstalados de Cloud Shell para ejecutar el código de este artículo sin tener que instalar nada en su entorno local.

Para iniciar Azure Cloud Shell:

Opción	Ejemplo o vínculo
Seleccione Pruébelo en la esquina superior derecha de un bloque de código o de comandos. Solo con seleccionar Pruébelo no se copia automáticamente el código o comando en Cloud Shell.
Vaya a https://shell.azure.com o seleccione el botón Iniciar Cloud Shell para abrir Cloud Shell en el explorador.
Seleccione el botón Cloud Shell en la barra de menús de la esquina superior derecha de Azure Portal.

Para usar Azure Cloud Shell:

1. Inicie Cloud Shell.

2. Seleccione el botón Copiar en un bloque de código (o bloque de comandos) para copiar el código o comando.

3. Pegue el código o comando en la sesión de Cloud Shell. Para ello, seleccione Ctrl+Mayús+V en Windows y Linux, o bien seleccione Cmd+Mayús+V en macOS.

4. Seleccione Enter para ejecutar el código o comando.

Si decide instalar y usar PowerShell de forma local, para realizar los pasos de este artículo necesita la versión 1.0.0 del módulo de Azure PowerShell o cualquier versión posterior. Ejecute Get-Module -ListAvailable Az para buscar la versión instalada. Si necesita actualizarla, consulte Instalación del módulo de Azure PowerShell. Si PowerShell se ejecuta localmente, también debe ejecutar Connect-AzAccount para crear una conexión con Azure.

CLI

Si no tiene una suscripción a Azure, cree una cuenta gratuita de Azure antes de empezar.

• Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.

  

• Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.

  • Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.

  • En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.

  • Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.

• En este artículo se necesita la versión 2.0.28 o posterior de la CLI de Azure. Si usa Azure Cloud Shell, ya está instalada la versión más reciente.

Crear una red virtual y habilitación del punto de conexión de servicio

Crear una red virtual para contener los recursos que cree en este tutorial.

Portal

1. En el cuadro de búsqueda del portal, escriba Redes virtuales. En los resultados de la búsqueda, seleccione Redes virtuales.

2. Seleccione + Crear para crear una red virtual.

3. Escriba o seleccione la siguiente información en la pestaña Conceptos básicos de Crear red virtual.

   Configuración	Value
   Detalles del proyecto
   Subscription	Seleccione su suscripción.
   Resource group	Seleccione Crear nuevo. Escriba test-rg en Nombre. Seleccione Aceptar.
   Nombre	Escriba vnet-1.
   Region	Seleccione Oeste de EE. UU. 2.

4. Seleccione Siguiente.

5. Seleccione Siguiente.

6. En la pestaña Direcciones IP, en Subredes, seleccione la subred predeterminada.

7. Escriba o seleccione la siguiente información en Editar subred.

   Configuración	Value
   Nombre	Escriba subnet-1.
   Puntos de conexión de servicio
   Servicios
   En el menú desplegable, seleccione Microsoft.Storage.

8. Seleccione Guardar.

9. Seleccione Revisar + crear.

10. Seleccione Crear.

PowerShell

Antes de crear una red virtual, cree un grupo de recursos para ella y los demás recursos que se crearon en este artículo. Cree un grupo de recursos con New-AzResourceGroup. En el ejemplo siguiente se crea un grupo de recursos denominado test-rg:

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}
New-AzResourceGroup @rg

Cree una red virtual con New-AzVirtualNetwork. En el ejemplo siguiente se crea una red virtual denominada vnet-1 con un prefijo de la dirección 10.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Cree una configuración de subred con New-AzVirtualNetworkSubnetConfig y escríbala en la red virtual con Set-AzVirtualNetwork. En el siguiente ejemplo se agrega una subred denominada subnet-1 a la red virtual y se crea el punto de conexión de servicio para Microsoft.Storage.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

CLI

Antes de crear una red virtual, cree un grupo de recursos para ella y los demás recursos que se crearon en este artículo. Cree un grupo de recursos con az group create. En el ejemplo siguiente se crea un grupo de recursos denominado test-rg en la ubicación westus2.

az group create \
  --name test-rg \
  --location westus2

Cree una red virtual con una subred con az network vnet create.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefix 10.0.0.0/16 \
  --subnet-name subnet-1 \
  --subnet-prefix 10.0.0.0/24

En este ejemplo, se crea un punto de conexión de servicio para Microsoft.Storage para la subred subnet-1:

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24 \
  --service-endpoints Microsoft.Storage

Restricción del acceso de la red para la subred

Cree un grupo de seguridad de red y reglas que restrinjan el acceso de red a la subred.

Crear un grupo de seguridad de red

Portal

1. En el cuadro de búsqueda del portal, escriba Grupos de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

2. Seleccione + Crear para crear un nuevo grupo de seguridad de red.

3. En la pestaña Conceptos básicos de la opción Crear un grupo de seguridad de red, escriba o seleccione esta información.

   Configuración	Value
   Detalles del proyecto
   Subscription	Seleccione su suscripción.
   Resource group	Seleccione test-rg.
   Nombre	Escriba nsg-1.
   Region	Seleccione Oeste de EE. UU. 2.

4. Seleccione Revisar + crear.

5. Seleccione Crear.

Creación de reglas de grupo de seguridad de red

1. En el cuadro de búsqueda del portal, escriba Grupos de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

2. Seleccione nsg-1.

3. Expanda Ajustes. Seleccione Reglas de seguridad de salida.

4. Seleccione + Agregar para agregar una nueva regla de seguridad de salida.

5. En Agregar regla de seguridad de entrada, especifique o seleccione la siguiente información.

   Configuración	Valor
   Source	Seleccione Service Tag (Etiqueta de servicio).
   Etiqueta de servicio de origen	Seleccione VirtualNetwork.
   Intervalos de puertos de origen	Escriba *.
   Destino	Seleccione Service Tag (Etiqueta de servicio).
   Etiqueta de servicio de destino	Seleccione Storage.
   Service	seleccione Personalizada.
   Intervalos de puertos de destino	Escriba *.
   Protocolo	Seleccione Cualquiera.
   Acción	seleccione Permitir.
   Priority	Escriba 100.
   Nombre	Escriba allow-storage-all.

6. Seleccione Agregar.

7. Seleccione + Agregar para agregar otra regla de seguridad de salida.

8. En Agregar regla de seguridad de entrada, especifique o seleccione la siguiente información.

   Configuración	Valor
   Source	Seleccione Service Tag (Etiqueta de servicio).
   Etiqueta de servicio de origen	Seleccione VirtualNetwork.
   Intervalos de puertos de origen	Escriba *.
   Destino	Seleccione Service Tag (Etiqueta de servicio).
   Etiqueta de servicio de destino	seleccione Internet.
   Service	seleccione Personalizada.
   Intervalos de puertos de destino	Escriba *.
   Protocolo	Seleccione Cualquiera.
   Acción	Seleccione Denegar.
   Priority	Escriba 110.
   Nombre	Escriba deny-internet-all.

9. Seleccione Agregar.

10. Expanda Ajustes. Seleccione Subredes.

11. Seleccione Asociar.

12. En Asociar subred, escriba o seleccione la siguiente información.

    Configuración	Value
    Virtual network	Seleccione vnet-1 (test-rg).
    Subnet	Seleccione subnet-1.

13. Seleccione Aceptar.

PowerShell

Cree reglas de seguridad de grupo de seguridad de red con New-AzNetworkSecurityRuleConfig. La siguiente regla permite el acceso de salida a las direcciones IP públicas asignadas al servicio Azure Storage:

$r1 = @{
    Name = "Allow-Storage-All"
    Access = "Allow"
    DestinationAddressPrefix = "Storage"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 100
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule1 = New-AzNetworkSecurityRuleConfig @r1

La siguiente regla deniega el acceso a todas las direcciones IP públicas. La regla anterior invalida esta regla porque su prioridad es más alta, lo que permite el acceso a las direcciones IP públicas de Azure Storage.

$r2 = @{
    Name = "Deny-Internet-All"
    Access = "Deny"
    DestinationAddressPrefix = "Internet"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 110
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule2 = New-AzNetworkSecurityRuleConfig @r2

Cree un grupo de seguridad de red con New-AzNetworkSecurityGroup. En el siguiente ejemplo se crea un grupo de seguridad de red denominado nsg-1.

$securityRules = @($rule1, $rule2)

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
    SecurityRules = $securityRules
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Asocie el grupo de seguridad de red a la subred subnet-1 con Set-AzVirtualNetworkSubnetConfig y escriba la configuración de subred en la red virtual. El siguiente ejemplo asocia el grupo de seguridad de red nsg-1 a la subred subnet-1:

$subnetConfig = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
    NetworkSecurityGroup = $nsg
}
Set-AzVirtualNetworkSubnetConfig @subnetConfig

$virtualNetwork | Set-AzVirtualNetwork

CLI

Cree un grupo de seguridad de red con az network nsg create. En el siguiente ejemplo se crea un grupo de seguridad de red denominado nsg-1.

az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Asocie el grupo de seguridad de red a la subred subnet-1 con az network vnet subnet update. El siguiente ejemplo asocia el grupo de seguridad de red nsg-1 a la subred subnet-1:

az network vnet subnet update \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --resource-group test-rg \
  --network-security-group nsg-1

Cree reglas de seguridad con az network nsg rule create. La regla siguiente permite el acceso de salida a las direcciones IP públicas asignadas al servicio Azure Storage:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Storage-All \
  --access Allow \
  --protocol "*" \
  --direction Outbound \
  --priority 100 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Storage" \
  --destination-port-range "*"

Cada grupo de seguridad de red contiene varias reglas de seguridad predeterminadas. La regla siguiente invalida una regla de seguridad predeterminada que permite el acceso de salida a todas las direcciones IP públicas. La opción destination-address-prefix "Internet" deniega el acceso de salida a todas las direcciones IP públicas. La regla anterior invalida esta regla porque su prioridad es más alta, lo que permite el acceso a las direcciones IP públicas de Azure Storage.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Deny-Internet-All \
  --access Deny \
  --protocol "*" \
  --direction Outbound \
  --priority 110 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Internet" \
  --destination-port-range "*"

Restricción del acceso de red a las cuentas de Azure Storage

Los pasos que deben seguirse para restringir el acceso de la red a los recursos creados con servicios de Azure habilitados para puntos de conexión de servicio varían en función del servicio. Consulte en la documentación de cada servicio concreto los pasos necesarios para dicho servicio. Como ejemplo, de aquí en adelante se explican los pasos necesarios para restringir el acceso de red en una cuenta de Azure Storage.

Creación de dos cuentas de almacenamiento

Portal

1. En el cuadro de búsqueda del portal, escriba Cuentas de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.

2. Seleccione + Crear para crear una cuenta de almacenamiento.

3. En Crear una cuenta de almacenamiento, escriba o seleccione la siguiente información.

   Configuración	Value
   Detalles del proyecto
   Subscription	Seleccione su suscripción.
   Resource group	Seleccione test-rg.
   Detalles de instancia
   Nombre de la cuenta de almacenamiento	Escriba allowedaccount(random-number). Nota: El nombre de la cuenta de almacenamiento debe ser único. Agregue un número aleatorio al final del nombre allowedaccount.
   Region	Seleccione Oeste de EE. UU. 2.
   Rendimiento	Seleccione Estándar.
   Redundancia	Seleccione Almacenamiento con redundancia local (LRS) .

4. Seleccione Siguiente hasta llegar a la pestaña Protección de datos.

5. En Recuperación, anule la selección de todas las opciones.

6. Seleccione Revisar + crear.

7. Seleccione Crear.

8. Repita los pasos anteriores para crear otra cuenta de almacenamiento con la siguiente información.

   Configuración	Valor
   Nombre de cuenta de almacenamiento	Escriba deniedaccount(random-number).

PowerShell

Cree la cuenta de Azure Storage permitida con New-AzStorageAccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'allowedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Use el mismo comando para crear la cuenta de almacenamiento de Azure denegada, pero cambie el nombre a deniedaccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'deniedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

CLI

Cree dos cuentas de almacenamiento de Azure con az storage account create.

storageAcctName1="allowedaccount"

az storage account create \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Use el mismo comando para crear la cuenta de almacenamiento de Azure denegada, pero cambie el nombre a deniedaccount.

storageAcctName2="deniedaccount"

az storage account create \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Creación de recursos compartidos de archivos

Portal

1. En el cuadro de búsqueda del portal, escriba Cuentas de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.

2. Seleccione allowedaccount(random-number).

3. Expanda la sección Almacenamiento de datos y seleccione Recursos compartidos de archivos.

4. Seleccione + Recurso compartido de archivos.

5. En Nuevo recurso compartido de archivos, escriba o seleccione la siguiente información.

   Configuración	Value
   Nombre	Escriba file-share.

6. Deje el resto de la configuración como predeterminada y seleccione Revisar y crear.

7. Seleccione Crear.

8. Repita los pasos anteriores para crear un recurso compartido de archivos en deniedaccount(random-number).

PowerShell

Crear cuenta de almacenamiento permitida de recursos compartidos

Use Get-AzStorageAccountKey para obtener la clave de la cuenta de almacenamiento de la cuenta de almacenamiento permitida. Usará esta clave en el paso siguiente para crear un recurso compartido de archivos en la cuenta de almacenamiento permitida.

$storageAcctName1 = "allowedaccount"
$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName1
}
$storageAcctKey1 = (Get-AzStorageAccountKey @storageAcctParams1).Value[0]

Cree un contexto para la clave y la cuenta de almacenamiento con New-AzStorageContext. El contexto encapsula el nombre y la clave de cuenta de almacenamiento.

$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1

Cree un recurso compartido de archivos con New-AzStorageShare.

$share1 = New-AzStorageShare file-share -Context $storageContext1

Crear un recurso compartido de archivos de cuenta de almacenamiento denegado

Use Get-AzStorageAccountKey para obtener la clave de la cuenta de almacenamiento de la cuenta de almacenamiento permitida. Usará esta clave en el paso siguiente para crear un recurso compartido de archivos en la cuenta de almacenamiento denegada.

$storageAcctName2 = "deniedaccount"
$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName2
}
$storageAcctKey2 = (Get-AzStorageAccountKey @storageAcctParams2).Value[0]

Cree un contexto para la clave y la cuenta de almacenamiento con New-AzStorageContext. El contexto encapsula el nombre y la clave de cuenta de almacenamiento.

$storageContext2= New-AzStorageContext $storageAcctName2 $storageAcctKey2

Cree un recurso compartido de archivos con New-AzStorageShare.

$share2 = New-AzStorageShare file-share -Context $storageContext2

CLI

Crear cuenta de almacenamiento permitida de recursos compartidos

Recupere la cadena de conexión de las cuentas de almacenamiento en una variable con az storage account show-connection-string. La cadena de conexión se utiliza para crear un recurso compartido de archivos en un paso posterior.

saConnectionString1=$(az storage account show-connection-string \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Cree un recurso compartido de archivos en la cuenta de almacenamiento con az storage share create. En un paso posterior, este recurso compartido de archivos está montado para confirmar el acceso de red a él.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString1 > /dev/null

Crear un recurso compartido de archivos de cuenta de almacenamiento denegado

Recupere la cadena de conexión de las cuentas de almacenamiento en una variable con az storage account show-connection-string. La cadena de conexión se utiliza para crear un recurso compartido de archivos en un paso posterior.

saConnectionString2=$(az storage account show-connection-string \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Cree un recurso compartido de archivos en la cuenta de almacenamiento con az storage share create. En un paso posterior, este recurso compartido de archivos está montado para confirmar el acceso de red a él.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString2 > /dev/null

Denegar todo el acceso de red a las cuentas de almacenamiento

De forma predeterminada, las cuentas de almacenamiento aceptan conexiones de red procedentes de clientes de cualquier red. Para restringir el acceso de red a las cuentas de almacenamiento, puede configurar la cuenta de almacenamiento para que acepte conexiones solo desde redes específicas. En este ejemplo, configurará la cuenta de almacenamiento para que acepte conexiones solo desde la subred de red virtual que creó anteriormente.

Portal

1. En el cuadro de búsqueda del portal, escriba Cuentas de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.

2. Seleccione allowedaccount(random-number).

3. Expanda Seguridad y redes y seleccione Redes.

4. En Firewalls y redes virtuales, en Acceso a red pública, seleccione Habilitado en redes virtuales seleccionadas y direcciones IP.

5. En Redes virtuales, seleccione + Agregar red virtual existente.

6. En Agregar redes, escriba o seleccione la siguiente información.

   Configuración	Valor
   Suscripción	Seleccione su suscripción.
   Redes virtuales	Seleccione vnet-1.
   Subredes	Seleccione subnet-1.

7. Seleccione Agregar.

8. Seleccione Guardar.

9. Repita los pasos anteriores para denegar el acceso de red a deniedaccount(random-number).

PowerShell

Use Update-AzStorageAccountNetworkRuleSet para denegar el acceso a las cuentas de almacenamiento, excepto desde la red virtual y la subred que creó anteriormente. Una vez que se deniega el acceso a la red, no se puede acceder a la cuenta de almacenamiento desde ninguna red.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams1

$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams2

Habilitar del acceso de red solo desde la subred de red virtual

Recupere la red virtual creada con Get-AzVirtualNetwork y recupere el objeto de subred privada en una variable con Get-AzVirtualNetworkSubnetConfig:

$privateSubnetParams = @{
    ResourceGroupName = "test-rg"
    Name = "vnet-1"
}
$privateSubnet = Get-AzVirtualNetwork @privateSubnetParams | Get-AzVirtualNetworkSubnetConfig -Name "subnet-1"

Permitir el acceso de red a la cuenta de almacenamiento desde la subnet-1 con Add-AzStorageAccountNetworkRule.

$networkRuleParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams1

$networkRuleParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams2

CLI

De forma predeterminada, las cuentas de almacenamiento aceptan conexiones de red procedentes de clientes de cualquier red. Para limitar el acceso a redes seleccionadas, cambie la acción predeterminada a Deny con az storage account update. Una vez que se deniega el acceso a la red, no se puede acceder a la cuenta de almacenamiento desde ninguna red.

az storage account update \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --default-action Deny

az storage account update \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --default-action Deny

Habilitar del acceso de red solo desde la subred de red virtual

Permitir el acceso de red a la cuenta de almacenamiento desde la subred subred 1 con az storage account network-rule add.

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName1 \
  --vnet-name vnet-1 \
  --subnet subnet-1

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName2 \
  --vnet-name vnet-1 \
  --subnet subnet-1

Aplicación de la directiva para permitir el acceso a una cuenta de almacenamiento válida

Puede crear una directiva de punto de conexión de servicio. La directiva garantiza que los usuarios de la red virtual solo puedan acceder a cuentas de Azure Storage seguras y permitidas. Esta directiva contiene una lista de cuentas de almacenamiento permitidas aplicadas a la subred de red virtual que está conectada al almacenamiento mediante puntos de conexión de servicio.

Creación de una directiva de punto de conexión de servicio

En esta sección se crea la definición de directiva con la lista de recursos permitidos para el acceso a través del punto de conexión de servicio.

Portal

1. En el cuadro de búsqueda del portal, escriba Directiva de punto de conexión de servicio. Seleccione Directivas de punto de conexión de servicio en los resultados de búsqueda.

2. Seleccione + Crear para crear una nueva directiva de punto de conexión de servicio.

3. Escriba o seleccione la siguiente información en la pestaña Conceptos básicos de Crear una directiva de punto de conexión de servicio.

   Configuración	Value
   Detalles del proyecto
   Subscription	Seleccione su suscripción.
   Resource group	Seleccione test-rg.
   Detalles de instancia
   Nombre	Escriba service-endpoint-policy.
   Location	Seleccione Oeste de EE. UU. 2.

4. Seleccione Siguiente: definiciones de directiva.

5. Seleccione + Agregar un recurso en Recursos.

6. En Agregar un recurso, escriba o seleccione la siguiente información:

   Configuración	Valor
   Servicio	Seleccione Microsoft.Storage.
   Ámbito	Seleccione Cuenta única
   Suscripción	Seleccione su suscripción.
   Resource group	Seleccione test-rg.
   Resource	Seleccionar allowedaccount(random-number)

7. Seleccione Agregar.

8. Seleccione Revisar + crear.

9. Seleccione Crear.

PowerShell

Para recuperar el id. de recurso de la primera cuenta de almacenamiento (permitida), use Get-AzStorageAccount.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
}
$resourceId = (Get-AzStorageAccount @storageAcctParams1).id

Para crear la definición de directiva para permitir el recurso anterior, use New-AzServiceEndpointPolicyDefinition .

$policyDefinitionParams = @{
    Name = "policy-definition"
    Description = "Service Endpoint Policy Definition"
    Service = "Microsoft.Storage"
    ServiceResource = $resourceId
}
$policyDefinition = New-AzServiceEndpointPolicyDefinition @policyDefinitionParams

Use New-AzServiceEndpointPolicy para crear la directiva de punto de conexión de servicio con la definición de directiva.

$sepolicyParams = @{
    ResourceGroupName = "test-rg"
    Name = "service-endpoint-policy"
    Location = "westus2"
    ServiceEndpointPolicyDefinition = $policyDefinition
}
$sepolicy = New-AzServiceEndpointPolicy @sepolicyParams

CLI

Las directivas de punto de conexión de servicio se aplican a los puntos de conexión de servicio. Empiece por crear una directiva de punto de conexión de servicio. A continuación, cree las definiciones de directiva en esta directiva para que las cuentas de Azure Storage se aprueben para esta subred

Use az storage account show para obtener el id. de recurso de la cuenta de almacenamiento permitida.

serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)

Creación de una directiva de punto de conexión de servicio

az network service-endpoint policy create \
  --resource-group test-rg \
  --name service-endpoint-policy \
  --location westus2

Cree y agregue una definición de directiva para permitir que la cuenta de Azure Storage anterior a la directiva de punto de conexión de servicio

az network service-endpoint policy-definition create \
  --resource-group test-rg \
  --policy-name service-endpoint-policy \
  --name policy-definition \
  --service "Microsoft.Storage" \
  --service-resources $serviceResourceId

Asociación una directiva de punto de conexión de servicio a una subred

Después de crear la directiva de punto de conexión de servicio, deberá asociarla a la subred de destino con la configuración del punto de conexión de servicio de Azure Storage.

Portal

1. En el cuadro de búsqueda del portal, escriba Directiva de punto de conexión de servicio. Seleccione Directivas de punto de conexión de servicio en los resultados de búsqueda.

2. Seleccione service-endpoint-policy.

3. Expanda Configuración y seleccione subredes asociadas.

4. Seleccione + Editar asociación de subred.

5. En Editar asociación de subred, seleccione vnet-1 y subnet-1.

6. Seleccione Aplicar.

PowerShell

Use Set-AzVirtualNetworkSubnetConfig para asociar la directiva de punto de conexión de servicio a la subred.

$subnetConfigParams = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    NetworkSecurityGroup = $nsg
    ServiceEndpoint = "Microsoft.Storage"
    ServiceEndpointPolicy = $sepolicy
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

$virtualNetwork | Set-AzVirtualNetwork

CLI

Use az network vnet subnet update para asociar la directiva de punto de conexión de servicio a la subred.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --service-endpoints Microsoft.Storage \
  --service-endpoint-policy service-endpoint-policy

Advertencia

Asegúrese de que todos los recursos a los que se accede desde la subred se agregan a la directiva antes de asociarla a la subred especificada. Una vez que la directiva está asociada, solo se permitirá el acceso a los recursos de la lista de permitidos en los puntos de conexión de servicio.

Asegúrese de que no existen servicios administrados de Azure en la subred que se está asociando a la directiva de punto de conexión de servicio.

El acceso a los recursos de Azure Storage en todas las regiones se restringe según la directiva de punto de conexión de servicio de esta subred.

Validación de la restricción de acceso a las cuentas de Azure Storage

Para probar el acceso de red a una cuenta de almacenamiento, implemente una VM en la subred.

Implementación de la máquina virtual

Portal

1. En el cuadro de búsqueda del portal, escriba Máquinas virtuales. En los resultados de la búsqueda, seleccione Máquinas virtuales.

2. En la pestaña Conceptos básicos de Crear una máquina virtual, escriba o seleccione la siguiente información:

   Configuración	Value
   Detalles del proyecto
   Subscription	Seleccione su suscripción.
   Resource group	Seleccione test-rg.
   Detalles de instancia
   Nombre de la máquina virtual	Escriba vm-1.
   Region	Seleccione (EE. UU.) Oeste de EE. UU. 2.
   Opciones de disponibilidad	Seleccione No se requiere redundancia de la infraestructura.
   Tipo de seguridad	Seleccione Estándar.
   Imagen	Seleccione Windows Server 2022 Datacenter - x64 Gen2.
   Size	Seleccione un tamaño.
   Cuenta de administrador
   Nombre de usuario	Especifique un nombre de usuario.
   Contraseña	Escriba una contraseña.
   Confirmación de la contraseña	Vuelva a escribir la contraseña.
   Reglas de puerto de entrada

3. Seleccione Siguiente: Discos y después, seleccione Siguiente: Redes.

4. En la pestaña Redes, escriba o seleccione la siguiente información:

   Configuración	Valor
   Interfaz de red
   Virtual network	Seleccione vnet-1.
   Subnet	Seleccione subnet-1 (10.0.0.0/24).
   Dirección IP pública	Seleccione Ninguno.
   Grupo de seguridad de red de NIC	Seleccione Ninguno.

5. Deje el resto de la configuración como predeterminada y seleccione Revisar y crear.

6. Seleccione Crear.

PowerShell

Cree una máquina virtual en la subnet-1 con New-AzVM. Cuando ejecute el comando siguiente, se le solicitarán las credenciales. Los valores que especifique se configuran como el nombre de usuario y la contraseña de la máquina virtual.

$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    Name = "vm-1"
}
New-AzVm @vmParams

CLI

Cree una máquina virtual en la subnet-1 con az vm create.

az vm create \
  --resource-group test-rg \
  --name vm-1 \
  --image Win2022Datacenter \
  --admin-username azureuser \
  --vnet-name vnet-1 \
  --subnet subnet-1

Espere a que la máquina virtual finalice la implementación antes de continuar con los pasos siguientes.

Confirmación del acceso a la cuenta de almacenamiento permitida

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda del portal, escriba Cuentas de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.

3. Seleccione allowedaccount(random-number).

4. Expanda Seguridad y redes y seleccione Claves de acceso.

5. Copie el valor key1. Esta clave se utiliza para asignar una unidad a la cuenta de almacenamiento de la máquina virtual creada anteriormente.

6. En el cuadro de búsqueda del portal, escriba Máquinas virtuales. En los resultados de la búsqueda, seleccione Máquinas virtuales.

7. Seleccione vm-1.

8. Expanda Operaciones. Seleccione Ejecutar comando.

9. Seleccione RunPowerShellScript.

10. Pegue el siguiente script en Ejecutar script de comandos.

    ## Enter the storage account key for the allowed storage account that you recorded earlier.
    $storageAcctKey1 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential
    

11. Seleccione Ejecutar.

12. Si la asignación de unidad se realiza correctamente, la salida del cuadro Salida es similar al ejemplo siguiente:

    Name           Used (GB)     Free (GB) Provider      Root
    ----           ---------     --------- --------      ----
    Z                                      FileSystem    \\allowedaccount.file.core.windows.net\fil..
    

Confirmar que se deniega el acceso a la cuenta de almacenamiento denegada

1. En el cuadro de búsqueda del portal, escriba Cuentas de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.

2. Seleccione deniedaccount(random-number).

3. Expanda Seguridad y redes y seleccione Claves de acceso.

4. Copie el valor key1. Esta clave se utiliza para asignar una unidad a la cuenta de almacenamiento de la máquina virtual creada anteriormente.

5. En el cuadro de búsqueda del portal, escriba Máquinas virtuales. En los resultados de la búsqueda, seleccione Máquinas virtuales.

6. Seleccione vm-1.

7. Expanda Operaciones. Seleccione Ejecutar comando.

8. Seleccione RunPowerShellScript.

9. Pegue el siguiente script en Ejecutar script de comandos.

   ## Enter the storage account key for the denied storage account that you recorded earlier.
   $storageAcctKey2 = (pasted from procedure above)
   $acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
   ## Replace the login account with the name of the storage account you created.
   $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
   ## Replace the storage account name with the name of the storage account you created.
   New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential
   

10. Seleccione Ejecutar.

11. Recibirá el siguiente mensaje de error en el cuadro Salida:

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
    + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    

12. La asignación de unidades se deniega debido a la directiva de punto de conexión de servicio que restringe el acceso a la cuenta de almacenamiento.

Portal

Cuando termine de usar los recursos que creó, puede eliminar el grupo de recursos y todos sus recursos.

1. En Azure Portal, busque y seleccione Grupos de recursos.

2. En la página Grupos de recursos, seleccione el grupo de recursos test-rg.

3. En la página test-rg, elija Eliminar grupo de recursos.

4. Escriba test-rg en Introducir nombre del grupo de recursos para confirmar la eliminación y, luego, seleccione Eliminar.

PowerShell

Cuando ya no lo necesite, puede usar Remove-AzResourceGroup para quitar el grupo de recursos y todos los recursos que contiene:

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

CLI

Cuando ya no se necesiten, use az group delete para quitar el grupo de recursos y todos los recursos que contenga.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Pasos siguientes

En este artículo, ha creado una directiva de punto de conexión de servicio y la ha asociado a una subred. Para saber más de las directivas de punto de conexión de servicio, consulte Directivas de punto de conexión de servicio de redes virtuales (versión preliminar).