Partekatu honen bidez:


Crear y asociar directivas de punto de conexión de servicio

Las directivas de puntos de conexión de servicio le permiten filtrar el tráfico de red virtual a recursos específicos de Azure, sobre puntos de conexión de servicio. Si no está familiarizado con estas directivas, consulte Directivas de punto de conexión de servicio para más información.

En este tutorial, aprenderá a:

  • Cree una red virtual.
  • Agregue una subred y habilite un punto de conexión de servicio para Azure Storage.
  • Crear dos cuentas de Azure Storage y permita el acceso de red desde la subred de la red virtual.
  • Crear una directiva de punto de conexión de servicio para permitir el acceso solo a una de las cuentas de almacenamiento.
  • Implementar una máquina virtual (VM) en la subred.
  • Confirmar el acceso a la cuenta de almacenamiento permitida desde la subred.
  • Confirmar que se deniega el acceso a la cuenta de almacenamiento no permitida desde la subred.

Requisitos previos

Crear una red virtual y habilitación del punto de conexión de servicio

Crear una red virtual para contener los recursos que cree en este tutorial.

  1. En el cuadro de búsqueda del portal, escriba Redes virtuales. En los resultados de la búsqueda, seleccione Redes virtuales.

  2. Seleccione + Crear para crear una red virtual.

  3. Escriba o seleccione la siguiente información en la pestaña Conceptos básicos de Crear red virtual.

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione Crear nuevo.
    Escriba test-rg en Nombre.
    Seleccione Aceptar.
    Nombre Escriba vnet-1.
    Region Seleccione Oeste de EE. UU. 2.
  4. Seleccione Siguiente.

  5. Seleccione Siguiente.

  6. En la pestaña Direcciones IP, en Subredes, seleccione la subred predeterminada.

  7. Escriba o seleccione la siguiente información en Editar subred.

    Configuración Value
    Nombre Escriba subnet-1.
    Puntos de conexión de servicio
    Servicios
    En el menú desplegable, seleccione Microsoft.Storage.
  8. Seleccione Guardar.

  9. Seleccione Revisar + crear.

  10. Seleccione Crear.

Restricción del acceso de la red para la subred

Cree un grupo de seguridad de red y reglas que restrinjan el acceso de red a la subred.

Crear un grupo de seguridad de red

  1. En el cuadro de búsqueda del portal, escriba Grupos de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

  2. Seleccione + Crear para crear un nuevo grupo de seguridad de red.

  3. En la pestaña Conceptos básicos de la opción Crear un grupo de seguridad de red, escriba o seleccione esta información.

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione test-rg.
    Nombre Escriba nsg-1.
    Region Seleccione Oeste de EE. UU. 2.
  4. Seleccione Revisar + crear.

  5. Seleccione Crear.

Creación de reglas de grupo de seguridad de red

  1. En el cuadro de búsqueda del portal, escriba Grupos de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

  2. Seleccione nsg-1.

  3. Expanda Ajustes. Seleccione Reglas de seguridad de salida.

  4. Seleccione + Agregar para agregar una nueva regla de seguridad de salida.

  5. En Agregar regla de seguridad de entrada, especifique o seleccione la siguiente información.

    Configuración Valor
    Source Seleccione Service Tag (Etiqueta de servicio).
    Etiqueta de servicio de origen Seleccione VirtualNetwork.
    Intervalos de puertos de origen Escriba *.
    Destino Seleccione Service Tag (Etiqueta de servicio).
    Etiqueta de servicio de destino Seleccione Storage.
    Service seleccione Personalizada.
    Intervalos de puertos de destino Escriba *.
    Protocolo Seleccione Cualquiera.
    Acción seleccione Permitir.
    Priority Escriba 100.
    Nombre Escriba allow-storage-all.
  6. Seleccione Agregar.

  7. Seleccione + Agregar para agregar otra regla de seguridad de salida.

  8. En Agregar regla de seguridad de entrada, especifique o seleccione la siguiente información.

    Configuración Valor
    Source Seleccione Service Tag (Etiqueta de servicio).
    Etiqueta de servicio de origen Seleccione VirtualNetwork.
    Intervalos de puertos de origen Escriba *.
    Destino Seleccione Service Tag (Etiqueta de servicio).
    Etiqueta de servicio de destino seleccione Internet.
    Service seleccione Personalizada.
    Intervalos de puertos de destino Escriba *.
    Protocolo Seleccione Cualquiera.
    Acción Seleccione Denegar.
    Priority Escriba 110.
    Nombre Escriba deny-internet-all.
  9. Seleccione Agregar.

  10. Expanda Ajustes. Seleccione Subredes.

  11. Seleccione Asociar.

  12. En Asociar subred, escriba o seleccione la siguiente información.

    Configuración Value
    Virtual network Seleccione vnet-1 (test-rg).
    Subnet Seleccione subnet-1.
  13. Seleccione Aceptar.

Restricción del acceso de red a las cuentas de Azure Storage

Los pasos que deben seguirse para restringir el acceso de la red a los recursos creados con servicios de Azure habilitados para puntos de conexión de servicio varían en función del servicio. Consulte en la documentación de cada servicio concreto los pasos necesarios para dicho servicio. Como ejemplo, de aquí en adelante se explican los pasos necesarios para restringir el acceso de red en una cuenta de Azure Storage.

Creación de dos cuentas de almacenamiento

  1. En el cuadro de búsqueda del portal, escriba Cuentas de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.

  2. Seleccione + Crear para crear una cuenta de almacenamiento.

  3. En Crear una cuenta de almacenamiento, escriba o seleccione la siguiente información.

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione test-rg.
    Detalles de instancia
    Nombre de la cuenta de almacenamiento Escriba allowedaccount(random-number).
    Nota: El nombre de la cuenta de almacenamiento debe ser único. Agregue un número aleatorio al final del nombre allowedaccount.
    Region Seleccione Oeste de EE. UU. 2.
    Rendimiento Seleccione Estándar.
    Redundancia Seleccione Almacenamiento con redundancia local (LRS) .
  4. Seleccione Siguiente hasta llegar a la pestaña Protección de datos.

  5. En Recuperación, anule la selección de todas las opciones.

  6. Seleccione Revisar + crear.

  7. Seleccione Crear.

  8. Repita los pasos anteriores para crear otra cuenta de almacenamiento con la siguiente información.

    Configuración Valor
    Nombre de cuenta de almacenamiento Escriba deniedaccount(random-number).

Creación de recursos compartidos de archivos

  1. En el cuadro de búsqueda del portal, escriba Cuentas de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.

  2. Seleccione allowedaccount(random-number).

  3. Expanda la sección Almacenamiento de datos y seleccione Recursos compartidos de archivos.

  4. Seleccione + Recurso compartido de archivos.

  5. En Nuevo recurso compartido de archivos, escriba o seleccione la siguiente información.

    Configuración Value
    Nombre Escriba file-share.
  6. Deje el resto de la configuración como predeterminada y seleccione Revisar y crear.

  7. Seleccione Crear.

  8. Repita los pasos anteriores para crear un recurso compartido de archivos en deniedaccount(random-number).

Denegar todo el acceso de red a las cuentas de almacenamiento

De forma predeterminada, las cuentas de almacenamiento aceptan conexiones de red procedentes de clientes de cualquier red. Para restringir el acceso de red a las cuentas de almacenamiento, puede configurar la cuenta de almacenamiento para que acepte conexiones solo desde redes específicas. En este ejemplo, configurará la cuenta de almacenamiento para que acepte conexiones solo desde la subred de red virtual que creó anteriormente.

  1. En el cuadro de búsqueda del portal, escriba Cuentas de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.

  2. Seleccione allowedaccount(random-number).

  3. Expanda Seguridad y redes y seleccione Redes.

  4. En Firewalls y redes virtuales, en Acceso a red pública, seleccione Habilitado en redes virtuales seleccionadas y direcciones IP.

  5. En Redes virtuales, seleccione + Agregar red virtual existente.

  6. En Agregar redes, escriba o seleccione la siguiente información.

    Configuración Valor
    Suscripción Seleccione su suscripción.
    Redes virtuales Seleccione vnet-1.
    Subredes Seleccione subnet-1.
  7. Seleccione Agregar.

  8. Seleccione Guardar.

  9. Repita los pasos anteriores para denegar el acceso de red a deniedaccount(random-number).

Aplicación de la directiva para permitir el acceso a una cuenta de almacenamiento válida

Puede crear una directiva de punto de conexión de servicio. La directiva garantiza que los usuarios de la red virtual solo puedan acceder a cuentas de Azure Storage seguras y permitidas. Esta directiva contiene una lista de cuentas de almacenamiento permitidas aplicadas a la subred de red virtual que está conectada al almacenamiento mediante puntos de conexión de servicio.

Creación de una directiva de punto de conexión de servicio

En esta sección se crea la definición de directiva con la lista de recursos permitidos para el acceso a través del punto de conexión de servicio.

  1. En el cuadro de búsqueda del portal, escriba Directiva de punto de conexión de servicio. Seleccione Directivas de punto de conexión de servicio en los resultados de búsqueda.

  2. Seleccione + Crear para crear una nueva directiva de punto de conexión de servicio.

  3. Escriba o seleccione la siguiente información en la pestaña Conceptos básicos de Crear una directiva de punto de conexión de servicio.

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione test-rg.
    Detalles de instancia
    Nombre Escriba service-endpoint-policy.
    Location Seleccione Oeste de EE. UU. 2.
  4. Seleccione Siguiente: definiciones de directiva.

  5. Seleccione + Agregar un recurso en Recursos.

  6. En Agregar un recurso, escriba o seleccione la siguiente información:

    Configuración Valor
    Servicio Seleccione Microsoft.Storage.
    Ámbito Seleccione Cuenta única
    Suscripción Seleccione su suscripción.
    Resource group Seleccione test-rg.
    Resource Seleccionar allowedaccount(random-number)
  7. Seleccione Agregar.

  8. Seleccione Revisar + crear.

  9. Seleccione Crear.

Asociación una directiva de punto de conexión de servicio a una subred

Después de crear la directiva de punto de conexión de servicio, deberá asociarla a la subred de destino con la configuración del punto de conexión de servicio de Azure Storage.

  1. En el cuadro de búsqueda del portal, escriba Directiva de punto de conexión de servicio. Seleccione Directivas de punto de conexión de servicio en los resultados de búsqueda.

  2. Seleccione service-endpoint-policy.

  3. Expanda Configuración y seleccione subredes asociadas.

  4. Seleccione + Editar asociación de subred.

  5. En Editar asociación de subred, seleccione vnet-1 y subnet-1.

  6. Seleccione Aplicar.

Advertencia

Asegúrese de que todos los recursos a los que se accede desde la subred se agregan a la directiva antes de asociarla a la subred especificada. Una vez que la directiva está asociada, solo se permitirá el acceso a los recursos de la lista de permitidos en los puntos de conexión de servicio.

Asegúrese de que no existen servicios administrados de Azure en la subred que se está asociando a la directiva de punto de conexión de servicio.

El acceso a los recursos de Azure Storage en todas las regiones se restringe según la directiva de punto de conexión de servicio de esta subred.

Validación de la restricción de acceso a las cuentas de Azure Storage

Para probar el acceso de red a una cuenta de almacenamiento, implemente una VM en la subred.

Implementación de la máquina virtual

  1. En el cuadro de búsqueda del portal, escriba Máquinas virtuales. En los resultados de la búsqueda, seleccione Máquinas virtuales.

  2. En la pestaña Conceptos básicos de Crear una máquina virtual, escriba o seleccione la siguiente información:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione test-rg.
    Detalles de instancia
    Nombre de la máquina virtual Escriba vm-1.
    Region Seleccione (EE. UU.) Oeste de EE. UU. 2.
    Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura.
    Tipo de seguridad Seleccione Estándar.
    Imagen Seleccione Windows Server 2022 Datacenter - x64 Gen2.
    Size Seleccione un tamaño.
    Cuenta de administrador
    Nombre de usuario Especifique un nombre de usuario.
    Contraseña Escriba una contraseña.
    Confirmación de la contraseña Vuelva a escribir la contraseña.
    Reglas de puerto de entrada
  3. Seleccione Siguiente: Discos y después, seleccione Siguiente: Redes.

  4. En la pestaña Redes, escriba o seleccione la siguiente información:

    Configuración Valor
    Interfaz de red
    Virtual network Seleccione vnet-1.
    Subnet Seleccione subnet-1 (10.0.0.0/24).
    Dirección IP pública Seleccione Ninguno.
    Grupo de seguridad de red de NIC Seleccione Ninguno.
  5. Deje el resto de la configuración como predeterminada y seleccione Revisar y crear.

  6. Seleccione Crear.

Espere a que la máquina virtual finalice la implementación antes de continuar con los pasos siguientes.

Confirmación del acceso a la cuenta de almacenamiento permitida

  1. Inicie sesión en Azure Portal.

  2. En el cuadro de búsqueda del portal, escriba Cuentas de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.

  3. Seleccione allowedaccount(random-number).

  4. Expanda Seguridad y redes y seleccione Claves de acceso.

  5. Copie el valor key1. Esta clave se utiliza para asignar una unidad a la cuenta de almacenamiento de la máquina virtual creada anteriormente.

  6. En el cuadro de búsqueda del portal, escriba Máquinas virtuales. En los resultados de la búsqueda, seleccione Máquinas virtuales.

  7. Seleccione vm-1.

  8. Expanda Operaciones. Seleccione Ejecutar comando.

  9. Seleccione RunPowerShellScript.

  10. Pegue el siguiente script en Ejecutar script de comandos.

    ## Enter the storage account key for the allowed storage account that you recorded earlier.
    $storageAcctKey1 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential
    
  11. Seleccione Ejecutar.

  12. Si la asignación de unidad se realiza correctamente, la salida del cuadro Salida es similar al ejemplo siguiente:

    Name           Used (GB)     Free (GB) Provider      Root
    ----           ---------     --------- --------      ----
    Z                                      FileSystem    \\allowedaccount.file.core.windows.net\fil..
    

Confirmar que se deniega el acceso a la cuenta de almacenamiento denegada

  1. En el cuadro de búsqueda del portal, escriba Cuentas de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.

  2. Seleccione deniedaccount(random-number).

  3. Expanda Seguridad y redes y seleccione Claves de acceso.

  4. Copie el valor key1. Esta clave se utiliza para asignar una unidad a la cuenta de almacenamiento de la máquina virtual creada anteriormente.

  5. En el cuadro de búsqueda del portal, escriba Máquinas virtuales. En los resultados de la búsqueda, seleccione Máquinas virtuales.

  6. Seleccione vm-1.

  7. Expanda Operaciones. Seleccione Ejecutar comando.

  8. Seleccione RunPowerShellScript.

  9. Pegue el siguiente script en Ejecutar script de comandos.

    ## Enter the storage account key for the denied storage account that you recorded earlier.
    $storageAcctKey2 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential
    
  10. Seleccione Ejecutar.

  11. Recibirá el siguiente mensaje de error en el cuadro Salida:

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
    + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    
  12. La asignación de unidades se deniega debido a la directiva de punto de conexión de servicio que restringe el acceso a la cuenta de almacenamiento.

Cuando termine de usar los recursos que creó, puede eliminar el grupo de recursos y todos sus recursos.

  1. En Azure Portal, busque y seleccione Grupos de recursos.

  2. En la página Grupos de recursos, seleccione el grupo de recursos test-rg.

  3. En la página test-rg, elija Eliminar grupo de recursos.

  4. Escriba test-rg en Introducir nombre del grupo de recursos para confirmar la eliminación y, luego, seleccione Eliminar.

Pasos siguientes

En este artículo, ha creado una directiva de punto de conexión de servicio y la ha asociado a una subred. Para saber más de las directivas de punto de conexión de servicio, consulte Directivas de punto de conexión de servicio de redes virtuales (versión preliminar).