Azure Storage-tűzfalak és virtuális hálózatok konfigurálása

Az Azure Storage rétegekre osztott biztonsági modellt biztosít. Ez a modell lehetővé teszi a tárfiókok hozzáférési szintjének védelmét és szabályozását, amelyet az alkalmazások és a vállalati környezetek igényelnek a használt hálózatok vagy erőforrások típusa és részhalmaza alapján. Ha hálózati szabályok vannak konfigurálva, csak a megadott hálózatokon vagy a megadott Azure-erőforrásokon keresztül adatokat kérő alkalmazások férhetnek hozzá a tárfiókhoz. A tárfiókhoz való hozzáférést az Azure-Virtual Network (VNet) megadott IP-címéről, IP-címtartományából, alhálózataiból vagy egyes Azure-szolgáltatások erőforráspéldányaiból származó kérelmekre korlátozhatja.

A tárfiókok nyilvános végpontja az interneten keresztül érhető el. Privát végpontokat is létrehozhat a tárfiókhoz, amely privát IP-címet rendel a virtuális hálózatról a tárfiókhoz, és privát kapcsolaton keresztül biztosítja a virtuális hálózat és a tárfiók közötti összes forgalmat. Az Azure Storage tűzfal hozzáférés-vezérlést biztosít a tárfiók nyilvános végpontjához. A tűzfallal privát végpontok használata esetén a nyilvános végponton keresztüli összes hozzáférést letilthatja. A tárolási tűzfal konfigurációja lehetővé teszi a megbízható Azure-platformszolgáltatások kiválasztását is a tárfiók biztonságos eléréséhez.

Egy olyan alkalmazáshoz, amely hálózati szabályok alkalmazásakor fér hozzá a tárfiókhoz, továbbra is megfelelő engedélyezést igényel a kéréshez. Az engedélyezést az Azure Active Directory (Azure AD) hitelesítő adatai támogatják a blobokhoz és üzenetsorokhoz, érvényes fiókhozzáférési kulccsal vagy SAS-jogkivonattal. Ha egy blobtároló névtelen nyilvános hozzáférésre van konfigurálva, a tárolóban lévő adatok olvasására irányuló kéréseket nem kell engedélyezni, de a tűzfalszabályok érvényben maradnak, és blokkolják a névtelen forgalmat.

Fontos

A tárfiók tűzfalszabályainak bekapcsolása alapértelmezés szerint blokkolja a bejövő adatkéréseket, kivéve, ha a kérések egy Azure Virtual Network (VNet) szolgáltatásból vagy engedélyezett nyilvános IP-címekről származnak. A letiltott kérések közé tartoznak a többi Azure-szolgáltatásból, a Azure Portal, a naplózási és metrikaszolgáltatásokból stb. származó kérések.

A virtuális hálózaton belül működő Azure-szolgáltatásokhoz úgy adhat hozzáférést, hogy engedélyezi a szolgáltatáspéldányt futtató alhálózatról érkező forgalmat. Az alábbi kivételek mechanizmusával korlátozott számú forgatókönyvet is engedélyezhet. A tárfiók adatainak a Azure Portal keresztüli eléréséhez egy olyan gépen kell lennie, amely a beállított megbízható határon belül van (IP-cím vagy virtuális hálózat).

Megjegyzés

Javasoljuk, hogy az Azure Az PowerShell-modullal kommunikáljon az Azure-ral. Az első lépésekért lásd: Azure PowerShell telepítése. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Forgatókönyvek

A tárfiók biztonságossá tételéhez először konfigurálnia kell egy szabályt, amely alapértelmezés szerint megtagadja a nyilvános végponton lévő összes hálózat forgalmához való hozzáférést (beleértve az internetes forgalmat is). Ezután konfigurálnia kell azokat a szabályokat, amelyek hozzáférést biztosítanak az adott virtuális hálózatokról érkező forgalomhoz. Olyan szabályokat is konfigurálhat, amelyek hozzáférést biztosítanak a kiválasztott nyilvános internetes IP-címtartományokból érkező forgalomhoz, lehetővé téve az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatokat. Ez a konfiguráció lehetővé teszi, hogy biztonságos hálózati határt hozzon létre az alkalmazások számára.

Kombinálhatja azokat a tűzfalszabályokat, amelyek adott virtuális hálózatokról és ugyanazon tárfiók nyilvános IP-címtartományaiból engedélyezik a hozzáférést. A storage tűzfalszabályok meglévő tárfiókokra vagy új tárfiókok létrehozásakor alkalmazhatók.

A storage tűzfalszabályok a tárfiók nyilvános végpontjára vonatkoznak. Nincs szükség tűzfal-hozzáférési szabályokra a tárfiók privát végpontjainak forgalmának engedélyezéséhez. A privát végpont létrehozásának jóváhagyásának folyamata implicit hozzáférést biztosít a privát végpontot üzemeltető alhálózat forgalmához.

A hálózati szabályok az Azure Storage összes hálózati protokollján érvényesek, beleértve a REST-et és az SMB-t is. Az adatok olyan eszközökkel való eléréséhez, mint a Azure Portal, a Storage Explorer és az AzCopy, explicit hálózati szabályokat kell konfigurálni.

A hálózati szabályok alkalmazása után a rendszer minden kéréshez kényszeríti őket. Az adott IP-címhez hozzáférést biztosító SAS-jogkivonatok a jogkivonat-tulajdonos hozzáférésének korlátozására szolgálnak, de a konfigurált hálózati szabályokon túl nem biztosítanak új hozzáférést.

A hálózati szabályok nem befolyásolják a virtuális gépek lemezforgalmát (beleértve a csatlakoztatási és leválasztási műveleteket, valamint a lemez I/O-forgalmát). A lapblobokhoz való REST-hozzáférést hálózati szabályok védik.

A klasszikus tárfiókok nem támogatják a tűzfalakat és a virtuális hálózatokat.

A tárfiókokban nem felügyelt lemezeket használhat a virtuális gépek biztonsági mentésére és visszaállítására alkalmazott hálózati szabályokkal, kivétel létrehozásával. Ez a folyamat a cikk Kivételek kezelése szakaszában található. A tűzfalkivételeket nem lehet alkalmazni a felügyelt lemezekre, mivel azokat az Azure már kezeli.

Az alapértelmezett hálózati hozzáférési szabály módosítása

Alapértelmezés szerint a tárfiókok bármely hálózatban lévő ügyféltől érkező kapcsolatokat elfogadnak. Korlátozhatja a kiválasztott hálózatokhoz való hozzáférést , vagy megakadályozhatja az összes hálózat forgalmát, és csak privát végponton keresztül engedélyezheti a hozzáférést.

Figyelmeztetés

A beállítás módosítása hatással lehet az alkalmazás Azure Storage-hoz való csatlakozásának képességére. A beállítás módosítása előtt mindenképpen adjon hozzáférést az engedélyezett hálózatokhoz, vagy állítson be privát végponton keresztüli hozzáférést.

  1. Lépjen a megvédeni kívánt tárfiókra.

  2. Keresse meg a Hálózatkezelési beállításokat a Biztonság + hálózatkezelés területen.

  3. Adja meg, hogy milyen típusú nyilvános hálózati hozzáférést szeretne engedélyezni.

    • Az összes hálózat forgalmának engedélyezéséhez válassza az Engedélyezve az összes hálózatból lehetőséget.

    • Ha csak bizonyos virtuális hálózatokról szeretné engedélyezni a forgalmat, válassza a Kiválasztott virtuális hálózatok és IP-címek engedélyezve lehetőséget.

    • Az összes hálózat forgalmának letiltásához válassza a Letiltva lehetőséget.

  4. A módosítások alkalmazásához kattintson a Mentés gombra.

Figyelemfelhívás

A tárfiókokhoz megbízható szolgáltatások általi hozzáférés szándékosan lehetséges az egyéb hálózati hozzáférési korlátozások ellenére. Ezért ha a nyilvános hálózati hozzáféréstLetiltva értékre állítja, miután korábban Engedélyezve értékre állította a kiválasztott virtuális hálózatokról és IP-címekről, a korábban konfigurált erőforráspéldányok és kivételek , beleértve a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférésének engedélyezése ehhez a tárfiókhoz beállítást, továbbra is érvényben maradnak. Ennek eredményeképpen előfordulhat, hogy ezek az erőforrások és szolgáltatások továbbra is hozzáférhetnek a tárfiókhoz, miután a nyilvános hálózati hozzáféréstLetiltva értékre állítja.

Hozzáférés biztosítása virtuális hálózatról

A tárfiókokat úgy konfigurálhatja, hogy csak bizonyos alhálózatokról engedélyezzenek hozzáférést. Az engedélyezett alhálózatok tartozhatnak ugyanahhoz az előfizetéshez vagy egy másik előfizetéshez tartozó virtuális hálózathoz, beleértve egy másik Azure Active Directory-bérlőhöz tartozó előfizetéseket is.

A virtuális hálózaton belül engedélyezheti az Azure Storage szolgáltatásvégpontját . A szolgáltatásvégpont a virtuális hálózat forgalmát egy optimális útvonalon irányítja át az Azure Storage szolgáltatáshoz. Az egyes kérésekkel az alhálózat és a virtuális hálózat identitását is továbbítja a rendszer. A rendszergazdák ezután olyan hálózati szabályokat konfigurálhatnak a tárfiókhoz, amelyek lehetővé teszik a kérések fogadását egy virtuális hálózat adott alhálózataitól. Az ezen hálózati szabályokon keresztül hozzáférést kapó ügyfeleknek továbbra is meg kell felelniük a tárfiók engedélyezési követelményeinek az adatok eléréséhez.

Minden tárfiók legfeljebb 200 virtuális hálózati szabályt támogat, amelyek ip-hálózati szabályokkal kombinálhatók.

Fontos

Ha töröl egy hálózati szabályban szereplő alhálózatot, az el lesz távolítva a tárfiók hálózati szabályaiból. Ha ugyanazzal a névvel hoz létre új alhálózatot, az nem fog hozzáférni a tárfiókhoz. A hozzáférés engedélyezéséhez explicit módon engedélyeznie kell az új alhálózatot a tárfiók hálózati szabályaiban.

Szükséges engedélyek

Ahhoz, hogy egy felhasználó virtuális hálózati szabályt alkalmazhasson egy tárfiókra, rendelkeznie kell a hozzáadni kívánt alhálózatokra vonatkozó megfelelő engedélyekkel. A szabályok alkalmazását egy tárfiók-közreműködő vagy egy olyan felhasználó végezheti el, aki engedélyt kapott az Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure-erőforrás-szolgáltatói műveletre egy egyéni Azure-szerepkör használatával.

A tárfiók és a hozzáférést biztosító virtuális hálózatok különböző előfizetésekben lehetnek, beleértve azokat az előfizetéseket is, amelyek egy másik Azure AD bérlő részét képezik.

Megjegyzés

A más Azure Active Directory-bérlőhöz tartozó virtuális hálózatok alhálózataihoz hozzáférést biztosító szabályok konfigurálása jelenleg csak a PowerShell, a PARANCSSORI és a REST API-k használatával támogatott. Ezek a szabályok nem konfigurálhatók a Azure Portal keresztül, bár azok megtekinthetők a portálon.

Elérhető virtuális hálózati régiók

Alapértelmezés szerint a szolgáltatásvégpontok ugyanabban az Azure-régióban működő virtuális hálózatok és szolgáltatáspéldányok között működnek. Ha szolgáltatásvégpontokat használ az Azure Storage-ral, a szolgáltatásvégpontok a párosított régióban lévő virtuális hálózatok és szolgáltatáspéldányok között is működnek. Ha szolgáltatásvégpontot szeretne használni a más régiókban lévő virtuális hálózatokhoz való hozzáférés biztosításához, regisztrálnia kell a AllowGlobalTagsForStorage funkciót a virtuális hálózat előfizetésében. Ez a képesség jelenleg nyilvános előzetes verzióban érhető el.

A szolgáltatásvégpontok biztosítják a folytonosságot a regionális feladatátvétel során, és hozzáférést biztosítanak az írásvédett georedundáns tárolási (RA-GRS) példányokhoz. Azok a hálózati szabályok, amelyek hozzáférést biztosítanak egy virtuális hálózatról egy tárfiókhoz, bármely RA-GRS-példányhoz is hozzáférést biztosítanak.

Ha egy regionális kimaradás során vészhelyreállítást tervez, előzetesen létre kell hoznia a virtuális hálózatokat a párosított régióban. Engedélyezze a szolgáltatásvégpontokat az Azure Storage-hoz, és a hálózati szabályok hozzáférést biztosítanak ezekből az alternatív virtuális hálózatokból. Ezután alkalmazza ezeket a szabályokat a georedundáns tárfiókokra.

Virtuális hálózatokhoz való hozzáférés engedélyezése más régiókban (előzetes verzió)

Fontos

Ez a képesség jelenleg előzetes verzióban érhető el.

A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

A szolgáltatásvégpontokon keresztül egy másik régióban található virtuális hálózatról való hozzáférés engedélyezéséhez regisztrálja a AllowGlobalTagsForStorage szolgáltatást a virtuális hálózat előfizetésében. Az előfizetés összes olyan alhálózata, amelyen engedélyezve van az AllowedGlobalTagsForStorage funkció, a továbbiakban nem használ nyilvános IP-címet a tárfiókokkal való kommunikációhoz. Ehelyett az alhálózatokról a tárfiókokba érkező összes forgalom magánhálózati IP-címet használ forrás IP-címként. Ennek következtében azok a tárfiókok, amelyek IP-hálózati szabályokat használnak az alhálózatokról érkező forgalom engedélyezéséhez, a továbbiakban nem lesznek hatással.

Megjegyzés

Ha frissíteni szeretné a meglévő szolgáltatásvégpontokat egy másik régióban található tárfiók eléréséhez, végezzen egy frissítési alhálózati műveletet az alhálózaton, miután regisztrálta az előfizetést a AllowGlobalTagsForStorage szolgáltatással. Hasonlóképpen, ha vissza szeretne lépni a régi konfigurációhoz, végezzen egy frissítési alhálózati műveletet, miután megszüntette az előfizetés regisztrációját a AllowGlobalTagsForStorage funkcióval.

Az előzetes verzióban a PowerShellt vagy az Azure CLI-t kell használnia a funkció engedélyezéséhez.

Virtuális hálózati szabályok kezelése

A tárfiókok virtuális hálózati szabályait a Azure Portal, a PowerShell vagy a CLIv2 használatával kezelheti.

Megjegyzés

Ha regisztrálta a AllowGlobalTagsForStorage szolgáltatást, és engedélyezni szeretné a tárfiókhoz való hozzáférést egy másik Azure AD bérlő virtuális hálózatáról/alhálózatáról, vagy a tárfiók vagy a párosított régió régiójától eltérő régióban, akkor a PowerShellt vagy az Azure CLI-t kell használnia. A Azure Portal nem jelenít meg alhálózatokat más Azure AD bérlőkben vagy a tárfiók régióján vagy párosított régióján kívüli régiókban, ezért nem használhatók más régiókban lévő virtuális hálózatok hozzáférési szabályainak konfigurálására.

  1. Lépjen a megvédeni kívánt tárfiókra.

  2. Válassza a Beállítások menüBen a Hálózat lehetőséget.

  3. Ellenőrizze, hogy a kijelölt hálózatról engedélyezi-e a hozzáférést.

  4. Ha új hálózati szabománnyal szeretne hozzáférést adni egy virtuális hálózathoz, válassza a Virtuális hálózatok területen a Meglévő virtuális hálózat hozzáadása lehetőséget, válassza a Virtuális hálózatok és alhálózatok lehetőségek lehetőséget, majd válassza a Hozzáadás lehetőséget. Új virtuális hálózat létrehozásához és hozzáférésének biztosításához válassza az Új virtuális hálózat hozzáadása lehetőséget. Adja meg az új virtuális hálózat létrehozásához szükséges információkat, majd válassza a Létrehozás lehetőséget.

    Megjegyzés

    Ha az Azure Storage szolgáltatásvégpontja korábban nem lett konfigurálva a kiválasztott virtuális hálózathoz és alhálózatokhoz, a művelet részeként konfigurálhatja.

    Jelenleg csak az ugyanahhoz az Azure Active Directory-bérlőhöz tartozó virtuális hálózatok jelennek meg a szabály létrehozásakor. Ha egy másik bérlőhöz tartozó virtuális hálózaton lévő alhálózathoz szeretne hozzáférést biztosítani, használja a PowerShellt, a parancssori felületet vagy a REST API-kat.

    Még ha regisztrálta is a AllowGlobalTagsForStorageOnly funkciót, a tárfiók régiójától vagy párosított régiójától eltérő régiókban lévő alhálózatok nem jelennek meg a kijelöléshez. Ha egy másik régióban lévő virtuális hálózatról/alhálózatról szeretné engedélyezni a tárfiókhoz való hozzáférést, használja a PowerShell vagy az Azure CLI lap utasításait.

  5. Virtuális hálózat vagy alhálózati szabály eltávolításához válassza a ... lehetőséget a virtuális hálózat vagy alhálózat helyi menüjének megnyitásához, majd válassza az Eltávolítás lehetőséget.

  6. a módosítások alkalmazásához válassza a Mentés lehetőséget.

Hozzáférés biztosítása internetes IP-címtartományról

IP-hálózati szabályok használatával ip-hálózati szabályok létrehozásával engedélyezheti a hozzáférést adott nyilvános internetes IP-címtartományokból. Minden tárfiók legfeljebb 200 szabályt támogat. Ezek a szabályok bizonyos internetes szolgáltatásokhoz és helyszíni hálózatokhoz biztosítanak hozzáférést, és blokkolják az általános internetes forgalmat.

A következő korlátozások az IP-címtartományokra vonatkoznak.

  • Az IP-hálózati szabályok csak nyilvános internetes IP-címekre engedélyezettek.

    A magánhálózatokhoz fenntartott IP-címtartományok (az RFC 1918-ban meghatározottak szerint) nem engedélyezettek az IP-szabályokban. A magánhálózatok tartalmazzák a 10.**, 172.16. – *172.31 címmel kezdődő címeket. és *192.168..

  • A 16.17.18.0/24 formátumú CIDR-jelöléssel vagy egyéni IP-címként( például 16.17.18.19) meg kell adnia az engedélyezett internetes címtartományokat.

  • A "/31" vagy a "/32" előtagméretet használó kis címtartományok nem támogatottak. Ezeket a tartományokat egyéni IP-címszabályok használatával kell konfigurálni.

  • Csak az IPV4-címek támogatottak a tárolási tűzfalszabályok konfigurációjához.

Az IP-hálózati szabályok nem használhatók a következő esetekben:

  • Az ügyfelek hozzáférésének korlátozása ugyanabban az Azure-régióban, mint a tárfiók.

    Az IP-hálózati szabályok nem befolyásolják a tárfiókkal azonos Azure-régióból származó kéréseket. Használja a virtuális hálózati szabályokat az azonos régióra vonatkozó kérések engedélyezéséhez.

  • A szolgáltatásvégponttal rendelkező virtuális hálózaton található párosított régióban lévő ügyfelek hozzáférésének korlátozása.

  • A tárfiókhoz tartozó régióban üzembe helyezett Azure-szolgáltatásokhoz való hozzáférés korlátozása.

    A tárfiókhoz tartozó régióban üzembe helyezett szolgáltatások privát Azure IP-címeket használnak a kommunikációhoz. Így nem korlátozhatja az egyes Azure-szolgáltatásokhoz való hozzáférést a nyilvános kimenő IP-címtartományuk alapján.

Hozzáférés konfigurálása helyszíni hálózatokról

Ha ip-hálózati szabvánnyal szeretne hozzáférést biztosítani a helyszíni hálózatokról a tárfiókhoz, azonosítania kell a hálózat által használt internetkapcsolattal rendelkező IP-címeket. Segítségért forduljon a hálózati rendszergazdához.

Ha a helyszínen, nyilvános társviszony-létesítéshez vagy Microsoft-társviszony-létesítéshez használja az ExpressRoute-ot , azonosítania kell a használt NAT IP-címeket. Nyilvános társviszony-létesítés esetén alapértelmezés szerint minden ExpressRoute-kapcsolatcsoport két NAT IP-címet használ, amelyeket akkor alkalmaz az Azure-szolgáltatások forgalmára, amikor a forgalom belép a Microsoft Azure gerinchálózatába. Microsoft-társviszony-létesítés esetén a használt NAT IP-címeket vagy az ügyfél adja meg, vagy a szolgáltató biztosítja. A szolgáltatási erőforrások hozzáférésének engedélyezéséhez engedélyeznie kell ezeket a nyilvános IP-címeket az erőforrás IP-tűzfalának beállításai között. A nyilvános társviszony-létesítési ExpressRoute-kapcsolatcsoport IP-címeinek megkereséséhez hozzon létre egy támogatási jegyet az ExpressRoute-tal az Azure Portalon. További információk az ExpressRoute NAT nyilvános és Microsoft-társviszony-létesítéséről.

IP-hálózati szabályok kezelése

A tárfiókok IP-hálózati szabályait a Azure Portal, a PowerShell vagy a CLIv2 használatával kezelheti.

  1. Lépjen a megvédeni kívánt tárfiókra.

  2. Válassza ki a Beállítások menü hálózatkezelés nevű elemét.

  3. Ellenőrizze, hogy kiválasztotta-e, hogy engedélyezi-e a hozzáférést a kijelölt hálózatokról.

  4. Internetes IP-címtartományhoz való hozzáférés biztosításához adja meg az IP-címet vagy a címtartományt (CIDR formátumban) a Tűzfal>címtartománya területen.

  5. IP-hálózati szabály eltávolításához válassza a címtartomány melletti kuka ikont.

  6. A módosítások alkalmazásához kattintson a Mentés gombra.

Hozzáférés engedélyezése Azure-erőforráspéldányokról

Bizonyos esetekben az alkalmazások olyan Azure-erőforrásoktól függhetnek, amelyek nem különíthetők el virtuális hálózaton vagy IP-címszabályon keresztül. A tárfiókok hozzáférését azonban továbbra is csak az alkalmazás Azure-erőforrásaira szeretné biztosítani és korlátozni. A tárfiókokat úgy konfigurálhatja, hogy egyes Azure-szolgáltatások adott erőforráspéldányaihoz engedélyezze a hozzáférést egy erőforráspéldány-szabály létrehozásával.

Az erőforráspéldány által a tárfiók adatain végrehajtható műveletek típusait az erőforráspéldány Azure-beli szerepkör-hozzárendelései határozzák meg. Az erőforráspéldányoknak ugyanabból a bérlőből kell származniuk, mint a tárfiókjuk, de a bérlő bármely előfizetéséhez tartozhatnak.

A Azure Portal erőforrás-hálózati szabályokat adhat hozzá vagy távolíthat el.

  1. Az első lépésekhez jelentkezzen be a Azure Portal.

  2. Keresse meg a tárfiókot, és jelenítse meg a fiók áttekintését.

  3. Válassza a Hálózat lehetőséget a hálózatkezelés konfigurációs oldalának megjelenítéséhez.

  4. A Tűzfalak és virtuális hálózatok területen válassza a Kiválasztott hálózatok lehetőséget a hozzáférés engedélyezéséhez.

  5. Görgessen le az Erőforráspéldányok megkereséséhez, és az Erőforrás típusa legördülő listában válassza ki az erőforráspéldány erőforrástípusát.

  6. A Példánynév legördülő listában válassza ki az erőforráspéldányt. Dönthet úgy is, hogy az összes erőforráspéldányt belefoglalja az aktív bérlőbe, előfizetésbe vagy erőforráscsoportba.

  7. A módosítások alkalmazásához kattintson a Mentés gombra. Az erőforráspéldány a hálózati beállítások lap Erőforráspéldányok szakaszában jelenik meg.

Az erőforráspéldány eltávolításához válassza a törlés ikont ( ) az erőforráspéldány mellett.

Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz

Egyes Azure-szolgáltatások olyan hálózatokról működnek, amelyek nem vehetők fel a hálózati szabályokba. Az ilyen megbízható Azure-szolgáltatások egy részhalmazának hozzáférést adhat a tárfiókhoz, miközben más alkalmazások hálózati szabályait is fenntarthatja. Ezek a megbízható szolgáltatások ezután erős hitelesítést használnak a tárfiókhoz való biztonságos csatlakozáshoz.

A megbízható Azure-szolgáltatásokhoz hálózatiszabály-kivétel létrehozásával adhat hozzáférést. Részletes útmutatásért tekintse meg a cikk Kivételek kezelése szakaszát.

Amikor hozzáférést ad a megbízható Azure-szolgáltatásokhoz, a következő típusú hozzáférést adja meg:

  • Megbízható hozzáférés bizonyos műveletekhez az előfizetésben regisztrált erőforrásokhoz.
  • Felügyelt identitáson alapuló megbízható hozzáférés az erőforrásokhoz.

Megbízható hozzáférés az előfizetésben regisztrált erőforrásokhoz

Egyes szolgáltatások erőforrásai, amikor regisztrálva vannak az előfizetésben, elérhetik az ugyanabban az előfizetésben lévő tárfiókot bizonyos műveletekhez, például naplók írásához vagy biztonsági mentéshez. Az alábbi táblázat az egyes szolgáltatásokat és az engedélyezett műveleteket ismerteti.

Szolgáltatás Erőforrás-szolgáltató neve Műveletek engedélyezettek
Azure Backup Microsoft.RecoveryServices Nem felügyelt lemezek biztonsági mentésének és visszaállításának futtatása IAAS virtuális gépeken. (a felügyelt lemezekhez nem szükséges). További információk.
Azure Data Box Microsoft.DataBox Engedélyezi az adatok Azure-ba történő importálását a Data Box használatával. További információk.
Azure DevTest Labs Microsoft.DevTestLab Egyéni képlétrehozás és -összetevők telepítése. További információk.
Azure Event Grid Microsoft.EventGrid Engedélyezze a Blob Storage-események közzétételét, és engedélyezze az Event Grid számára a közzétételt a tárolási várólistákon. Ismerje meg a Blob Storage-eseményeket és a közzétételt az üzenetsorokban.
Azure Event Hubs Microsoft.EventHub Adatok archiválása az Event Hubs Capture használatával. További információk.
Azure File Sync Microsoft.StorageSync Lehetővé teszi, hogy a helyszíni fájlkiszolgálót azure-fájlmegosztások gyorsítótárává alakítsa. Lehetővé teszi a többhelyes szinkronizálást, a gyors vészhelyreállítást és a felhőalapú biztonsági mentést. További információ
Azure HDInsight Microsoft.HDInsight Az új HDInsight-fürt alapértelmezett fájlrendszerének kezdeti tartalmának kiépítése. További információk.
Azure Import Export Microsoft.ImportExport Lehetővé teszi az adatok importálását az Azure Storage-ba, vagy adatexportálást az Azure Storage-ból az Azure Storage importálási/exportálási szolgáltatásával. További információk.
Azure Monitor Microsoft.Insights Lehetővé teszi a figyelési adatok biztonságos tárfiókba való írását, beleértve az erőforrásnaplókat, az Azure Active Directory bejelentkezési és naplózási naplóit, valamint Microsoft Intune naplókat. További információk.
Azure-hálózatkezelés Microsoft.Network Tárolja és elemezze a hálózati forgalmi naplókat, beleértve a Network Watcher és a Traffic Analytics-szolgáltatásokat is. További információk.
Azure Site Recovery Microsoft.SiteRecovery Engedélyezze a replikációt az Azure IaaS virtuális gépek vészhelyreállításához tűzfal-kompatibilis gyorsítótár, forrás vagy cél tárfiókok használatakor. További információk.

Felügyelt identitáson alapuló megbízható hozzáférés

Az alábbi táblázat felsorolja azokat a szolgáltatásokat, amelyek hozzáférhetnek a tárfiók adataihoz, ha a szolgáltatások erőforráspéldányai megfelelő engedéllyel rendelkeznek.

Ha a fiókban nincs engedélyezve a hierarchikus névtér funkció, engedélyt adhat, ha explicit módon hozzárendel egy Azure-szerepkört az egyes erőforráspéldányok felügyelt identitásához . Ebben az esetben a példány hozzáférési hatóköre a felügyelt identitáshoz rendelt Azure-szerepkörnek felel meg.

Ugyanazt a technikát használhatja egy olyan fiókhoz, amelyen engedélyezve van a hierarchikus névtér funkció. Azonban nem kell Azure-szerepkört hozzárendelnie, ha hozzáadja a felügyelt identitást a tárfiókban található címtárak vagy blobok hozzáférés-vezérlési listájához (ACL). Ebben az esetben a példány hozzáférési hatóköre annak a könyvtárnak vagy fájlnak felel meg, amelyhez a felügyelt identitás hozzáférést kapott. Az Azure-szerepköröket és az ACL-eket kombinálhatja is. Ha többet szeretne megtudni arról, hogyan kombinálhatja őket a hozzáférés biztosítása érdekében, olvassa el a Hozzáférés-vezérlési modell Azure Data Lake Storage Gen2 című témakört.

Tipp

Az egyes erőforrásokhoz való hozzáférés megadásának ajánlott módja az erőforráspéldány-szabályok használata. Az egyes erőforráspéldányokhoz való hozzáférés biztosításához tekintse meg a cikk Hozzáférés engedélyezése azure-erőforráspéldányokból szakaszát.

Szolgáltatás Erőforrás-szolgáltató neve Cél
Azure API Management Microsoft.ApiManagement/service Engedélyezi API Management szolgáltatás hozzáférését a tűzfal mögötti tárfiókokhoz szabályzatokkal. További információk.
Azure Cache for Redis Microsoft.Cache/Redis Engedélyezi a tárfiókok elérését Azure Cache for Redis keresztül. További információ
Azure Cognitive Search Microsoft.Search/searchServices Lehetővé teszi a Cognitive Search-szolgáltatások számára, hogy hozzáférjenek a tárfiókokhoz indexeléshez, feldolgozáshoz és lekérdezéshez.
Azure Cognitive Services Microsoft.CognitiveService/accounts Engedélyezi a Cognitive Services számára a tárfiókok elérését. További információk.
Azure Container Registry Tasks Microsoft.ContainerRegistry/regisztrációs adatbázisok Az ACR-feladatok tárolólemezképek létrehozásakor hozzáférhetnek a tárfiókokhoz.
Azure Data Factory Microsoft.DataFactory/factorys Engedélyezi a tárfiókok elérését az ADF-futtatókörnyezeten keresztül.
Azure Data Share Microsoft.DataShare/accounts Engedélyezi a tárfiókokhoz való hozzáférést Data Share keresztül.
Azure DevTest Labs Microsoft.DevTestLab/labs Engedélyezi a tárfiókok elérését a DevTest Labs használatával.
Azure Event Grid Microsoft.EventGrid/topics Engedélyezi a tárfiókok elérését a Azure Event Grid keresztül.
Azure Egészségügyi célú API-k Microsoft.HealthcareApis/services Lehetővé teszi a tárfiókokhoz való hozzáférést az Azure Healthcare API-kon keresztül.
Azure IoT Central-alkalmazások Microsoft.IoTCentral/IoTApps Lehetővé teszi a tárfiókokhoz való hozzáférést az Azure IoT Central-alkalmazásokon keresztül.
Azure IoT Hub Microsoft.Devices/IotHubs Lehetővé teszi az IoT Hubról származó adatok Blob Storage-ba való írását. További információ
Azure Logic Apps Microsoft.Logic/workflows Engedélyezi a logikai alkalmazások számára a tárfiókok elérését. További információk.
Azure Machine Learning szolgáltatás Microsoft.MachineLearningServices Az engedélyezett Azure Machine Learning-munkaterületek kísérletkimeneteket, modelleket és naplókat írnak a Blob Storage-ba, és beolvasják az adatokat. További információk.
Azure Media Services Microsoft.Media/mediaservices Lehetővé teszi a tárfiókokhoz való hozzáférést a Media Servicesen keresztül.
Azure Migrate Microsoft.Migrate/migrateprojects Lehetővé teszi a tárfiókokhoz való hozzáférést az Azure Migrate-ben.
Microsoft Purview Microsoft.Purview/accounts Lehetővé teszi, hogy a Microsoft Purview hozzáférjen a tárfiókokhoz.
Azure Site Recovery Microsoft.RecoveryServices/vaults Lehetővé teszi a tárfiókokhoz való hozzáférést Site Recovery keresztül.
Azure SQL Database Microsoft.Sql Lehetővé teszi a naplózási adatok tűzfal mögötti tárfiókokba való írását .
Azure Synapse Analytics Microsoft.Sql Lehetővé teszi az adatok importálását és exportálását adott SQL-adatbázisokból a COPY utasítás vagy a PolyBase (dedikált készletben) vagy a openrowset kiszolgáló nélküli készletben lévő függvény és külső táblák használatával. További információk.
Azure Stream Analytics Microsoft.StreamAnalytics Lehetővé teszi a streamelési feladatokból származó adatok Blob Storage-ba való írását. További információk.
Azure Synapse Analytics Microsoft.Synapse/workspaces Lehetővé teszi az Adatokhoz való hozzáférést az Azure Storage-ban az Azure Synapse Analyticsből.

Hozzáférés biztosítása a storage analyticshez

Bizonyos esetekben az olvasási erőforrásnaplókhoz és -metrikákhoz a hálózat határain kívülről kell hozzáférni. A megbízható szolgáltatások tárfiókhoz való hozzáférésének konfigurálásakor hálózati szabálykivétel létrehozásával engedélyezheti az olvasási hozzáférést a naplófájlokhoz, a metrikák tábláihoz vagy mindkettőhöz. Részletes útmutatásért tekintse meg az alábbi Kivételek kezelése szakaszt. A tárolási elemzésekkel kapcsolatos további információkért lásd: Naplók és metrikák adatainak gyűjtése az Azure Storage Analytics használatával.

Kivételek kezelése

A hálózati szabálykivételeket a Azure Portal, a PowerShell vagy az Azure CLI v2 használatával kezelheti.

  1. Lépjen a megvédeni kívánt tárfiókra.

  2. Válassza ki a Beállítások menü hálózatkezelés nevű elemét.

  3. Ellenőrizze, hogy kiválasztotta-e, hogy engedélyezi-e a hozzáférést a kijelölt hálózatokról.

  4. A Kivételek területen válassza ki azokat a kivételeket, amelyeket meg szeretne adni.

  5. A módosítások alkalmazásához kattintson a Mentés gombra.

Következő lépések

További információ az Azure Hálózati szolgáltatásvégpontokról a Szolgáltatásvégpontokban.

Részletesebben is megismeri az Azure Storage biztonságát az Azure Storage biztonsági útmutatójában.