Azure Storage-tűzfalak és virtuális hálózatok konfigurálása

Az Azure Storage rétegekre osztott biztonsági modellt biztosít. Ez a modell lehetővé teszi az alkalmazások és a vállalati környezetek által igényelt tárfiókokhoz való hozzáférés szintjének szabályozását a használt hálózatok vagy erőforrások típusa és részhalmaza alapján.

Hálózati szabályok konfigurálásakor csak azok az alkalmazások férhetnek hozzá a tárfiókhoz, amelyek a megadott hálózatokon vagy a megadott Azure-erőforrásokon keresztül kérnek adatokat. A tárfiókhoz való hozzáférést korlátozhatja a megadott IP-címekről, IP-tartományokból, Azure-beli virtuális hálózatok alhálózataiból vagy egyes Azure-szolgáltatások erőforráspéldányaiból érkező kérelmekre.

A tárfiókok nyilvános végpontja az interneten keresztül érhető el. Privát végpontokat is létrehozhat a tárfiókhoz. A privát végpontok létrehozása egy privát IP-címet rendel a virtuális hálózathoz a tárfiókhoz. Segít a virtuális hálózat és a tárfiók közötti forgalom biztonságossá tételében egy privát kapcsolaton keresztül.

Az Azure Storage tűzfal hozzáférés-vezérlést biztosít a tárfiók nyilvános végpontjához. A tűzfallal a nyilvános végponton keresztüli összes hozzáférést letilthatja privát végpontok használatakor. A tűzfal konfigurációja lehetővé teszi a megbízható Azure-platformszolgáltatások számára a tárfiók elérését is.

A tárfiókhoz a hálózati szabályok érvénybe lépésekor hozzáférő alkalmazásokhoz továbbra is megfelelő engedélyezésre van szükség a kéréshez. Az engedélyezést a Microsoft Entra hitelesítő adatai támogatják blobokhoz, táblákhoz, fájlmegosztásokhoz és üzenetsorokhoz, érvényes fiókhozzáférési kulccsal vagy közös hozzáférésű jogosultságkóddal (SAS) rendelkező jogkivonattal. Ha névtelen hozzáférésre konfigurál egy blobtárolót, a tárolóban lévő adatok olvasására irányuló kéréseket nem kell engedélyezni. A tűzfalszabályok érvényben maradnak, és blokkolják a névtelen forgalmat.

A tárfiók tűzfalszabályainak bekapcsolása alapértelmezés szerint blokkolja a bejövő adatkéréseket, kivéve, ha a kérések egy Azure-beli virtuális hálózaton belül működő szolgáltatásból vagy engedélyezett nyilvános IP-címekről származnak. A letiltott kérések közé tartoznak a többi Azure-szolgáltatásból, az Azure Portalról, valamint a naplózási és metrikaszolgáltatásokból érkező kérések.

A virtuális hálózaton belül működő Azure-szolgáltatásokhoz úgy adhat hozzáférést, hogy engedélyezi a szolgáltatáspéldányt üzemeltető alhálózat forgalmát. A cikk által leírt kivételek mechanizmusával korlátozott számú forgatókönyvet is engedélyezhet. A tárfiókból az Azure Portalon keresztüli adatok eléréséhez a beállított megbízható határon (IP- vagy virtuális hálózaton) belül kell lennie.

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Forgatókönyvek

A tárfiók biztonságossá tételéhez először konfigurálnia kell egy szabályt, amely alapértelmezés szerint megtagadja a nyilvános végponton lévő összes hálózat forgalmához való hozzáférést (beleértve az internetes forgalmat is). Ezután konfigurálnia kell azokat a szabályokat, amelyek hozzáférést biztosítanak az adott virtuális hálózatokból érkező forgalomhoz. A szabályokat úgy is konfigurálhatja, hogy hozzáférést biztosítsanak a kiválasztott nyilvános internetes IP-címtartományokból érkező forgalomhoz, lehetővé téve az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatokat. Ezzel a konfigurációval biztonságos hálózati határt hozhat létre az alkalmazások számára.

Egyesítheti azokat a tűzfalszabályokat, amelyek lehetővé teszik a hozzáférést adott virtuális hálózatokról és ugyanazon tárfiók nyilvános IP-címtartományaiból. A meglévő tárfiókokra vagy új tárfiókok létrehozásakor is alkalmazhat tárolási tűzfalszabályokat.

A tárterület tűzfalszabályai a tárfiók nyilvános végpontjára vonatkoznak. Nincs szükség tűzfal-hozzáférési szabályokra a tárfiók privát végpontjainak forgalmának engedélyezéséhez. A privát végpont létrehozásának jóváhagyásának folyamata implicit hozzáférést biztosít a privát végpontot üzemeltető alhálózat forgalmához.

Fontos

Az Azure Storage tűzfalszabályai csak az adatsík-műveletekre vonatkoznak. A vezérlősík műveleteire nem vonatkoznak a tűzfalszabályokban meghatározott korlátozások.

Egyes műveletek, például a blobtároló műveletei a vezérlősíkon és az adatsíkon keresztül is végrehajthatók. Ha tehát egy olyan műveletet kísérel meg végrehajtani, mint például a tárolók listázása az Azure Portalról, a művelet sikeres lesz, hacsak egy másik mechanizmus nem blokkolja. A blobadatok egy alkalmazásból, például az Azure Storage Explorerből való elérésére tett kísérleteket a tűzfalkorlátozások szabályozzák.

Az adatsík-műveletek listáját az Azure Storage REST API-referenciájában találja. A vezérlősík-műveletek listáját az Azure Storage-erőforrás-szolgáltató REST API-referenciájában találja.

Hálózati hozzáférés konfigurálása az Azure Storage-hoz

A tárfiókban lévő adatokhoz való hozzáférést hálózati végpontokon vagy megbízható szolgáltatásokon vagy erőforrásokon keresztül szabályozhatja, beleértve a következőket:

• Hozzáférés engedélyezése a kijelölt virtuális hálózati alhálózatokról privát végpontok használatával.
• Hozzáférés engedélyezése a kijelölt virtuális hálózati alhálózatokról szolgáltatásvégpontok használatával.
• Adott nyilvános IP-címekről vagy tartományokról való hozzáférés engedélyezése.
• Hozzáférés engedélyezése a kijelölt Azure-erőforráspéldányokból.
• Hozzáférés engedélyezése megbízható Azure-szolgáltatásokból (a kivételek kezelése használatával).
• A naplózási és metrikaszolgáltatások kivételeinek konfigurálása.

Tudnivalók a virtuális hálózati végpontokról

A tárfiókokhoz kétféle virtuális hálózati végpont használható:

• Virtuális hálózati szolgáltatásvégpontok
• Privát végpontok

A virtuális hálózati szolgáltatásvégpontok nyilvánosak és elérhetők az interneten keresztül. Az Azure Storage tűzfal lehetővé teszi a tárfiókhoz való hozzáférés szabályozását az ilyen nyilvános végpontokon keresztül. Amikor engedélyezi a nyilvános hálózati hozzáférést a tárfiókhoz, alapértelmezés szerint minden bejövő adatkérés le lesz tiltva. Csak azok az alkalmazások férhetnek hozzá az adatokhoz, amelyek a tárfiók tűzfalbeállításaiban konfigurált engedélyezett forrásokból kérnek adatokat. A források tartalmazhatják az ügyfél forrás IP-címét vagy virtuális hálózati alhálózatát, illetve egy Azure-szolgáltatás vagy erőforráspéldány nevét, amelyen keresztül az ügyfelek vagy szolgáltatások hozzáférnek az adatokhoz. A letiltott kérések közé tartoznak a többi Azure-szolgáltatásból, az Azure Portalról, valamint a naplózási és metrikai szolgáltatásokból érkező kérések, kivéve, ha kifejezetten engedélyezi a hozzáférést a tűzfal konfigurációjában.

A privát végpontok a virtuális hálózatból származó privát IP-címet használnak egy tárfiók eléréséhez a Microsoft gerinchálózatán keresztül. Privát végpont esetén a virtuális hálózat és a tárfiók közötti forgalom privát kapcsolaton keresztül van biztosítva. A tárolási tűzfalszabályok csak a tárfiók nyilvános végpontjaira vonatkoznak, a privát végpontokra nem. A privát végpont létrehozásának jóváhagyásának folyamata implicit hozzáférést biztosít a privát végpontot üzemeltető alhálózat forgalmához. Ha pontosítani szeretné a hozzáférési szabályokat, a hálózati házirendek használatával szabályozhatja a privát végpontok forgalmát. Ha kizárólag privát végpontokat szeretne használni, a tűzfallal letilthatja a nyilvános végponton keresztüli összes hozzáférést.

A privát végpontok és szolgáltatásvégpontok összehasonlítása című témakör segít eldönteni, hogy mikor érdemes az egyes típusú végpontokat használni a környezetben.

A tárfiók hálózati biztonságának megközelítése

A tárfiók biztonságossá tételéhez és az alkalmazások biztonságos hálózati határának kiépítéséhez:

1. Először is tiltsa le a tárfiók összes nyilvános hálózati hozzáférését a tárfiók tűzfalának nyilvános hálózati hozzáférési beállításában.

2. Ahol lehetséges, konfigurálja a tárfiókra mutató privát hivatkozásokat olyan virtuális hálózati alhálózatok privát végpontjairól, ahol az ügyfelek az adatokhoz való hozzáférést igénylik.

3. Ha az ügyfélalkalmazások hozzáférést igényelnek a nyilvános végpontokon, módosítsa a nyilvános hálózat hozzáférési beállítását engedélyezettre a kiválasztott virtuális hálózatokról és IP-címekről. Ezután szükség szerint:

   1. Adja meg azokat a virtuális hálózati alhálózatokat, amelyekből engedélyezni szeretné a hozzáférést.
   2. Adja meg azoknak az ügyfeleknek a nyilvános IP-címtartományait, amelyekből engedélyezni szeretné a hozzáférést, például a helyszíni hálózatokon.
   3. Hozzáférés engedélyezése a kijelölt Azure-erőforráspéldányokból.
   4. Adjon hozzá kivételeket az olyan műveletekhez szükséges megbízható szolgáltatásokból való hozzáférés engedélyezéséhez, mint például az adatok biztonsági mentése.
   5. Adjon hozzá kivételeket a naplózáshoz és a metrikákhoz.

A hálózati szabályok alkalmazása után a rendszer minden kéréshez kényszeríti őket. Az adott IP-címhez hozzáférést biztosító SAS-jogkivonatok a jogkivonat-tulajdonos hozzáférésének korlátozására szolgálnak, de a konfigurált hálózati szabályokon túl nem adnak új hozzáférést.

Korlátozások és szempontok

A tárfiókok hálózati biztonságának megvalósítása előtt tekintse át az ebben a szakaszban tárgyalt fontos korlátozásokat és szempontokat.

• Az Azure Storage tűzfalszabályai csak az adatsík-műveletekre vonatkoznak. A vezérlősík műveleteire nem vonatkoznak a tűzfalszabályokban meghatározott korlátozások.
• Tekintse át az IP-hálózati szabályokra vonatkozó korlátozásokat.
• Ha olyan eszközökkel szeretne hozzáférni az adatokhoz, mint az Azure Portal, az Azure Storage Explorer és az AzCopy, a hálózati biztonsági szabályok konfigurálásakor létrehozott megbízható határon belül kell lennie.
• A hálózati szabályok az Azure Storage összes hálózati protokolljára vonatkoznak, beleértve a REST-et és az SMB-t is.
• A hálózati szabályok nem befolyásolják a virtuális gépek (VM) lemezforgalmát, beleértve a csatlakoztatási és leválasztási műveleteket, valamint a lemez I/O-ját, de segítenek megvédeni a lapblobok REST-hozzáférését.
• A nem felügyelt lemezeket a tárfiókokban olyan hálózati szabályokkal használhatja, amelyeket a virtuális gépek biztonsági mentésére és visszaállítására alkalmaz egy kivétel létrehozásával. A tűzfalak kivételei nem alkalmazhatók a felügyelt lemezekre, mert az Azure már kezeli őket.
• A klasszikus tárfiókok nem támogatják a tűzfalakat és a virtuális hálózatokat.
• Ha töröl egy virtuális hálózati szabályban szereplő alhálózatot, az el lesz távolítva a tárfiók hálózati szabályaiból. Ha ugyanazzal a névvel hoz létre új alhálózatot, az nem fér hozzá a tárfiókhoz. A hozzáférés engedélyezéséhez explicit módon engedélyeznie kell az új alhálózatot a tárfiók hálózati szabályaiban.
• Amikor szolgáltatásvégpontra hivatkozik egy ügyfélalkalmazásban, javasoljuk, hogy kerülje a gyorsítótárazott IP-címek függőségét. A tárfiók IP-címe változhat, és a gyorsítótárazott IP-címekre való támaszkodás váratlan viselkedést eredményezhet. Emellett ajánlott tiszteletben tartani a DNS-rekord élettartamát (TTL), és kerülnie kell a felülküldést. A DNS TTL felülbírálása váratlan viselkedést eredményezhet.
• A tárfiókokhoz megbízható szolgáltatások általi hozzáférés szándékosan lehetséges az egyéb hálózati hozzáférési korlátozások ellenére. Ha azt követően állítja be a nyilvános hálózati hozzáférést, hogy korábban engedélyezve lett a kiválasztott virtuális hálózatokról és IP-címekről, a korábban konfigurált erőforráspéldányok és kivételek, beleértve a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférését a tárfiókhoz, érvényben maradnak. Ennek eredményeképpen előfordulhat, hogy ezek az erőforrások és szolgáltatások továbbra is hozzáférnek a tárfiókhoz.

Engedélyezés

A hálózati szabályokon keresztül hozzáférést kapó ügyfeleknek továbbra is meg kell felelniük a tárfiók engedélyezési követelményeinek az adatok eléréséhez. Az engedélyezés a Blobok és üzenetsorok Microsoft Entra-hitelesítő adataival, érvényes fiókhozzáférési kulccsal vagy közös hozzáférésű jogosultságkóddal (SAS) támogatott.

Ha blobtárolót konfigurál névtelen nyilvános hozzáféréshez, a tárolóban lévő adatok olvasására irányuló kéréseket nem kell engedélyezni, de a tűzfalszabályok érvényben maradnak, és blokkolják a névtelen forgalmat.

Az alapértelmezett hálózati hozzáférési szabály módosítása

Alapértelmezés szerint a tárfiókok bármely hálózatban lévő ügyféltől érkező kapcsolatokat elfogadnak. Korlátozhatja a kijelölt hálózatokhoz való hozzáférést, vagy megakadályozhatja az összes hálózat forgalmát, és csak privát végponton keresztül engedélyezheti a hozzáférést.

Az alapértelmezett szabályt meg kell tagadni, vagy a hálózati szabályoknak nincs hatása. A beállítás módosítása azonban befolyásolhatja, hogy az alkalmazás képes-e csatlakozni az Azure Storage-hoz. A beállítás módosítása előtt mindenképpen adjon hozzáférést az engedélyezett hálózatokhoz, vagy állítson be hozzáférést egy privát végponton keresztül.

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Portál

1. Lépjen a megvédeni kívánt tárfiókra.

2. Keresse meg a Hálózatkezelési beállításokat a Biztonság + hálózatkezelés területen.

3. Válassza ki, hogy milyen típusú nyilvános hálózati hozzáférést szeretne engedélyezni:

   • Az összes hálózatról érkező forgalom engedélyezéséhez válassza az Összes hálózatról engedélyezett lehetőséget.

   • Ha csak a bizonyos virtuális hálózatokról érkező forgalmat szeretné engedélyezni, válassza a Kiválasztott virtuális hálózatokból és IP-címekről engedélyezett lehetőséget.

   • Az összes hálózat forgalmának letiltásához válassza a Letiltva lehetőséget.

4. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

PowerShell

1. Telepítse az Azure PowerShellt , és jelentkezzen be.

2. Válassza ki, hogy milyen típusú nyilvános hálózati hozzáférést szeretne engedélyezni:

   • Az összes hálózat forgalmának engedélyezéséhez használja a Update-AzStorageAccountNetworkRuleSet parancsot, és állítsa a paramétert a -DefaultAction következőre Allow:

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
     

   • Ha csak bizonyos virtuális hálózatokról szeretné engedélyezni a forgalmat, használja a Update-AzStorageAccountNetworkRuleSet parancsot, és állítsa a paramétert a -DefaultAction következőre Deny:

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
     

   • Az összes hálózat forgalmának letiltásához használja a Set-AzStorageAccount parancsot, és állítsa a paramétert a -PublicNetworkAccess következőre Disabled: . A forgalom csak privát végponton keresztül lesz engedélyezve. Ezt a privát végpontot létre kell hoznia.

     Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
     

Azure CLI

1. Telepítse az Azure CLI-t , és jelentkezzen be.

2. Válassza ki, hogy milyen típusú nyilvános hálózati hozzáférést szeretne engedélyezni:

   • Az összes hálózat forgalmának engedélyezéséhez használja a az storage account update parancsot, és állítsa a paramétert a --default-action következőre Allow:

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
     

   • Ha csak bizonyos virtuális hálózatokról szeretné engedélyezni a forgalmat, használja a az storage account update parancsot, és állítsa a paramétert a --default-action következőre Deny:

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
     

   • Az összes hálózat forgalmának letiltásához használja a az storage account update parancsot, és állítsa a paramétert a --public-network-access következőre Disabled: . A forgalom csak privát végponton keresztül lesz engedélyezve. Ezt a privát végpontot létre kell hoznia.

     az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
     

Figyelemfelhívás

A tárfiókokhoz megbízható szolgáltatások általi hozzáférés szándékosan lehetséges az egyéb hálózati hozzáférési korlátozások ellenére. Ha azt követően állítja be a nyilvános hálózati hozzáférést, hogy korábban engedélyezve lett a kiválasztott virtuális hálózatokról és IP-címekről, a korábban konfigurált erőforráspéldányok és kivételek, beleértve a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférését a tárfiókhoz, érvényben maradnak. Ennek eredményeképpen előfordulhat, hogy ezek az erőforrások és szolgáltatások továbbra is hozzáférnek a tárfiókhoz.

Hozzáférés biztosítása virtuális hálózatról

A tárfiókokat úgy konfigurálhatja, hogy csak bizonyos alhálózatokból engedélyezze a hozzáférést. Az engedélyezett alhálózatok tartozhatnak egy virtuális hálózathoz ugyanabban az előfizetésben vagy egy másik előfizetésben, beleértve azokat is, amelyek egy másik Microsoft Entra-bérlőhöz tartoznak. Régiók közötti szolgáltatásvégpontok esetén az engedélyezett alhálózatok a tárfióktól eltérő régiókban is lehetnek.

A virtuális hálózaton belül engedélyezheti az Azure Storage szolgáltatásvégpontjainak használatát. A szolgáltatásvégpont egy optimális útvonalon irányítja át a forgalmat a virtuális hálózatról az Azure Storage szolgáltatáshoz. Az egyes kérésekkel az alhálózat és a virtuális hálózat identitását is továbbítja a rendszer. A rendszergazdák ezután konfigurálhatják a tárfiókra vonatkozó hálózati szabályokat, amelyek lehetővé teszik a kérések fogadását egy virtuális hálózat adott alhálózataitól. Az ezen hálózati szabályokon keresztül hozzáférést kapó ügyfeleknek továbbra is meg kell felelniük a tárfiók engedélyezési követelményeinek az adatok eléréséhez.

Minden tárfiók legfeljebb 400 virtuális hálózati szabályt támogat. Ezeket a szabályokat ip-hálózati szabályokkal kombinálhatja.

Fontos

Amikor szolgáltatásvégpontra hivatkozik egy ügyfélalkalmazásban, javasoljuk, hogy kerülje a gyorsítótárazott IP-címek függőségét. A tárfiók IP-címe változhat, és a gyorsítótárazott IP-címekre való támaszkodás váratlan viselkedést eredményezhet.

Emellett ajánlott tiszteletben tartani a DNS-rekord élettartamát (TTL), és kerülnie kell a felülküldést. A DNS TTL felülbírálása váratlan viselkedést eredményezhet.

Szükséges engedélyek

Ha virtuális hálózati szabályt szeretne alkalmazni egy tárfiókra, a felhasználónak rendelkeznie kell a hozzáadandó alhálózatok megfelelő engedélyével. A tárfiók közreműködője vagy az Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Azure-erőforrás-szolgáltatói művelethez engedéllyel rendelkező felhasználó egy egyéni Azure-szerepkör használatával alkalmazhat szabályt.

A tárfiók és a hozzáférést kapó virtuális hálózatok különböző előfizetésekben lehetnek, beleértve azokat az előfizetéseket is, amelyek egy másik Microsoft Entra-bérlő részét képezik.

A más Microsoft Entra-bérlőhöz tartozó virtuális hálózatok alhálózataihoz hozzáférést biztosító szabályok konfigurációja jelenleg csak a PowerShell, az Azure CLI és a REST API-k segítségével támogatott. Ezeket a szabályokat nem konfigurálhatja az Azure Portalon keresztül, de megtekintheti őket a portálon.

Az Azure Storage régióközi szolgáltatásvégpontjai

Az Azure Storage régióközi szolgáltatásvégpontjai 2023 áprilisában általánosan elérhetővé váltak. Bármely régióban működnek a virtuális hálózatok és a tárolási szolgáltatáspéldányok között. Régiók közötti szolgáltatásvégpontok esetén az alhálózatok már nem használnak nyilvános IP-címet a tárfiókokkal való kommunikációhoz, beleértve a másik régióban lévőket is. Ehelyett az alhálózatok és tárfiókok közötti összes forgalom egy magánhálózati IP-címet használ forrás IP-címként. Ennek eredményeképpen az olyan tárfiókok, amelyek IP-hálózati szabályokat használnak az alhálózatok forgalmának engedélyezéséhez, már nem lesznek hatással.

A szolgáltatásvégpontok virtuális hálózatok és szolgáltatáspéldányok közötti konfigurálása egy párosított régióban fontos része lehet a vészhelyreállítási tervnek. A szolgáltatásvégpontok lehetővé teszik a folyamatosságot a regionális feladatátvétel során, és hozzáférést biztosítanak az írásvédett georedundáns tárolási (RA-GRS) példányokhoz. Azok a hálózati szabályok, amelyek hozzáférést biztosítanak egy virtuális hálózatról egy tárfiókhoz, bármely RA-GRS-példányhoz is hozzáférést biztosítanak.

Ha regionális kimaradás esetén vészhelyreállítást tervez, előzetesen hozza létre a virtuális hálózatokat a párosított régióban. Engedélyezze az Azure Storage szolgáltatásvégpontjait, és a hálózati szabályok hozzáférést biztosítanak ezekből az alternatív virtuális hálózatokból. Ezután alkalmazza ezeket a szabályokat a georedundáns tárfiókokra.

A helyi és a régiók közötti szolgáltatásvégpontok nem létezhetnek ugyanazon az alhálózaton. Ha a meglévő szolgáltatásvégpontokat régiók közötti végpontokra szeretné cserélni, törölje a meglévő Microsoft.Storage végpontokat, és hozza létre újra régiók közötti végpontként (Microsoft.Storage.Global).

Virtuális hálózati szabályok kezelése

A tárfiókok virtuális hálózati szabályait az Azure Portalon, a PowerShellen vagy az Azure CLI 2-es verzióján keresztül kezelheti.

Ha engedélyezni szeretné a tárfiókhoz való hozzáférést egy másik Microsoft Entra-bérlő virtuális hálózatáról vagy alhálózatáról, a PowerShellt vagy az Azure CLI-t kell használnia. Az Azure Portal nem jelenít meg alhálózatokat más Microsoft Entra-bérlőkben.

Portál

1. Lépjen a megvédeni kívánt tárfiókra.

2. Válassza a Hálózat lehetőséget.

3. Ellenőrizze, hogy a kiválasztott hálózatokról való hozzáférés engedélyezését választotta-e.

4. Ha új hálózati szabály használatával szeretne hozzáférést biztosítani egy virtuális hálózathoz, a Virtuális hálózatok területen válassza a Meglévő virtuális hálózat hozzáadása lehetőséget. Válassza ki a virtuális hálózatok és alhálózatok beállításait, majd válassza a Hozzáadás lehetőséget.

   Új virtuális hálózat létrehozásához és hozzáférésének biztosításához válassza az Új virtuális hálózat hozzáadása lehetőséget. Adja meg az új virtuális hálózat létrehozásához szükséges információkat, majd válassza a Létrehozás lehetőséget.

   Ha az Azure Storage szolgáltatásvégpontja korábban nem lett konfigurálva a kiválasztott virtuális hálózathoz és alhálózatokhoz, a művelet részeként konfigurálhatja.

   Jelenleg csak az ugyanahhoz a Microsoft Entra-bérlőhöz tartozó virtuális hálózatok jelennek meg kijelölésre a szabály létrehozásakor. Ha egy másik bérlőhöz tartozó virtuális hálózat alhálózatához szeretne hozzáférést biztosítani, használja a PowerShellt, az Azure CLI-t vagy a REST API-kat.

5. Virtuális hálózat vagy alhálózati szabály eltávolításához válassza a három pontot (...) a virtuális hálózat vagy alhálózat helyi menüjének megnyitásához, majd válassza az Eltávolítás lehetőséget.

6. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

Fontos

Ha egy hálózati szabályban szereplő alhálózatot töröl, az el lesz távolítva a tárfiók hálózati szabályaiból. Ha ugyanazzal a névvel hoz létre új alhálózatot, az nem fér hozzá a tárfiókhoz. A hozzáférés engedélyezéséhez explicit módon engedélyeznie kell az új alhálózatot a tárfiók hálózati szabályaiban.

PowerShell

1. Telepítse az Azure PowerShellt , és jelentkezzen be.

2. Virtuális hálózati szabályok listázása:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
   

3. Szolgáltatásvégpont engedélyezése az Azure Storage számára egy meglévő virtuális hálózaton és alhálózaton:

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
   

4. Adjon hozzá egy hálózati szabályt egy virtuális hálózathoz és alhálózathoz:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

   Ha egy másik Microsoft Entra-bérlőhöz tartozó virtuális hálózat alhálózatára vonatkozó hálózati szabályt szeretne hozzáadni, használjon egy teljesen minősített VirtualNetworkResourceId paramétert az űrlapon /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.

5. Távolítsa el a virtuális hálózat és alhálózat hálózati szabályát:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

Azure CLI

1. Telepítse az Azure CLI-t , és jelentkezzen be.

2. Virtuális hálózati szabályok listázása:

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
   

3. Szolgáltatásvégpont engedélyezése az Azure Storage számára egy meglévő virtuális hálózaton és alhálózaton:

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
   

4. Adjon hozzá egy hálózati szabályt egy virtuális hálózathoz és alhálózathoz:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

   Ha egy másik Microsoft Entra-bérlőhöz tartozó virtuális hálózat alhálózatára vonatkozó szabályt szeretne hozzáadni, használjon egy teljes alhálózat-azonosítót az űrlapon /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>. A paraméterrel subscription lekérheti egy másik Microsoft Entra-bérlőhöz tartozó virtuális hálózat alhálózat-azonosítóját.

5. Távolítsa el a virtuális hálózat és alhálózat hálózati szabályát:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

Hozzáférés biztosítása internetes IP-címtartományról

IP-hálózati szabályok használatával ip-hálózati szabályok létrehozásával engedélyezheti a hozzáférést adott nyilvános internetes IP-címtartományokból. Minden tárfiók legfeljebb 400 szabályt támogat. Ezek a szabályok hozzáférést biztosítanak bizonyos internetes szolgáltatásokhoz és helyszíni hálózatokhoz, és blokkolják az általános internetes forgalmat.

IP-hálózati szabályok korlátozásai

Az IP-címtartományokra a következő korlátozások vonatkoznak:

• Az IP-hálózati szabályok csak nyilvános internetes IP-címekre engedélyezettek.

  A magánhálózatokhoz fenntartott IP-címtartományok (az RFC 1918-ban meghatározottak szerint) nem engedélyezettek az IP-szabályokban. A magánhálózatok tartalmazzák a 10, 172,16 és 172,31 és 192,168 címekkel kezdődő címeket.

• Az engedélyezett internetes címtartományokat a 16.17.18.0/24 formátumú CIDR-jelöléssel vagy egyéni IP-címként kell megadnia, például 16.17.18.19.

• A /31 vagy /32 előtagméretet használó kis címtartományok nem támogatottak. Ezeket a tartományokat egyéni IP-címszabályok használatával konfigurálhatja.

• A tárolási tűzfalszabályok konfigurálása csak az IPv4-címeket támogatja.

Fontos

A következő esetekben nem használhat IP-hálózati szabályokat:

• A tárfiókokkal azonos Azure-régióban lévő ügyfelek hozzáférésének korlátozása. Az IP-hálózati szabályok nincsenek hatással a tárfiókkal azonos Azure-régióból származó kérelmekre. Virtuális hálózati szabályokkal engedélyezheti az azonos régióra vonatkozó kéréseket.
• A szolgáltatásvégponttal rendelkező virtuális hálózaton lévő párosított régióban lévő ügyfelek hozzáférésének korlátozása.
• A tárfiókhoz tartozó régióban üzembe helyezett Azure-szolgáltatásokhoz való hozzáférés korlátozása. A tárfiókhoz tartozó régióban üzembe helyezett szolgáltatások privát Azure IP-címeket használnak a kommunikációhoz. Így nem korlátozhatja az egyes Azure-szolgáltatásokhoz való hozzáférést a nyilvános kimenő IP-címtartományuk alapján.

Hozzáférés konfigurálása helyszíni hálózatokból

Ha IP-hálózati szabály használatával szeretne hozzáférést biztosítani a helyszíni hálózatokról a tárfiókhoz, azonosítania kell a hálózat által használt internetes IP-címeket. Segítségért forduljon a hálózati rendszergazdához.

Ha a helyszínről használja az Azure ExpressRoute-ot , azonosítania kell a Microsoft társviszony-létesítéshez használt NAT IP-címeket. A nat IP-címeket a szolgáltató vagy az ügyfél adja meg.

A szolgáltatás erőforrásaihoz való hozzáférés engedélyezéséhez engedélyeznie kell ezeket a nyilvános IP-címeket az erőforrás IP-címeinek tűzfalbeállításában.

IP-hálózati szabályok kezelése

A tárfiókok IP-hálózati szabályait az Azure Portalon, a PowerShellen vagy az Azure CLI 2-es verzióján keresztül kezelheti.

Portál

1. Lépjen a megvédeni kívánt tárfiókra.

2. Válassza a Hálózat lehetőséget.

3. Ellenőrizze, hogy a kiválasztott hálózatokról való hozzáférés engedélyezését választotta-e.

4. Internetes IP-címtartományhoz való hozzáférés biztosításához adja meg az IP-címet vagy a címtartományt (CIDR formátumban) a tűzfal>címtartománya alatt.

5. IP-hálózati szabály eltávolításához válassza a címtartomány melletti törlés ikont ( ) .

6. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

PowerShell

1. Telepítse az Azure PowerShellt , és jelentkezzen be.

2. IP-hálózati szabályok listázása:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
   

3. Adjon hozzá egy hálózati szabályt egy egyéni IP-címhez:

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

4. Adjon hozzá egy hálózati szabályt egy IP-címtartományhoz:

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

5. Távolítsa el az egyes IP-címek hálózati szabályát:

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

6. Ip-címtartomány hálózati szabályának eltávolítása:

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

Azure CLI

1. Telepítse az Azure CLI-t , és jelentkezzen be.

2. IP-hálózati szabályok listázása:

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
   

3. Adjon hozzá egy hálózati szabályt egy egyéni IP-címhez:

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

4. Adjon hozzá egy hálózati szabályt egy IP-címtartományhoz:

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

5. Távolítsa el az egyes IP-címek hálózati szabályát:

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

6. Ip-címtartomány hálózati szabályának eltávolítása:

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

Hozzáférés engedélyezése Azure-erőforráspéldányokról

Bizonyos esetekben az alkalmazások olyan Azure-erőforrásoktól függhetnek, amelyeket nem lehet virtuális hálózaton vagy IP-címszabályon keresztül elkülöníteni. A tárfiókok hozzáférését azonban továbbra is csak az alkalmazás Azure-erőforrásaira szeretné biztosítani és korlátozni. A tárfiókokat úgy konfigurálhatja, hogy egy erőforráspéldány-szabály létrehozásával engedélyezze a hozzáférést a megbízható Azure-szolgáltatások adott erőforráspéldányaihoz.

Az erőforráspéldány Azure-szerepkör-hozzárendelései határozzák meg, hogy az erőforráspéldány milyen típusú műveleteket hajthat végre a tárfiók adatain. Az erőforráspéldányoknak ugyanabból a bérlőből kell származniuk, mint a tárfiókjuk, de a bérlő bármely előfizetéséhez tartozhatnak.

Portál

Az Azure Portalon erőforrás-hálózati szabályokat vehet fel vagy távolíthat el:

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg a tárfiókot, és jelenítse meg a fiók áttekintését.

3. Válassza a Hálózat lehetőséget.

4. A Tűzfalak és virtuális hálózatok területen válassza ki a hozzáférést engedélyező lehetőséget a kiválasztott hálózatok esetében.

5. Görgessen le az erőforráspéldányok megkereséséhez. Az Erőforrástípus legördülő listában válassza ki az erőforráspéldány erőforrástípusát.

6. A Példánynév legördülő listában válassza ki az erőforráspéldányt. Dönthet úgy is, hogy az összes erőforráspéldányt az aktív bérlőbe, előfizetésbe vagy erőforráscsoportba foglalja.

7. Válassza a Mentés lehetőséget a módosítások alkalmazásához. Az erőforráspéldány a lap Erőforráspéldányok szakaszában jelenik meg a hálózati beállításokhoz.

Az erőforráspéldány eltávolításához válassza a törlés ikont ( ) az erőforráspéldány mellett.

PowerShell

A PowerShell-parancsokkal erőforrás-hálózati szabályokat vehet fel vagy távolíthat el.

Hozzáférés megadása

Adjon hozzá egy hálózati szabályt, amely hozzáférést biztosít egy erőforráspéldányból:

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Egyszerre több erőforráspéldányt is megadhat a hálózati szabálykészlet módosításával:

$resourceId1 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$resourceId2 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/mySQLServer"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule (@{ResourceId=$resourceId1;TenantId=$tenantId},@{ResourceId=$resourceId2;TenantId=$tenantId}) 

Hozzáférés eltávolítása

Távolítsa el az erőforráspéldányból hozzáférést biztosító hálózati szabályt:

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Remove-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId  

Távolítsa el az erőforráspéldányokból hozzáférést biztosító összes hálózati szabályt:

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule @()  

Az engedélyezett erőforráspéldányok listájának megtekintése

Tekintse meg a tárfiókhoz hozzáféréssel rendelkező erőforráspéldányok teljes listáját:

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

$rule = Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName
$rule.ResourceAccessRules 

Azure CLI

Az Azure CLI-parancsokkal erőforrás-hálózati szabályokat adhat hozzá vagy távolíthat el.

Hozzáférés megadása

Adjon hozzá egy hálózati szabályt, amely hozzáférést biztosít egy erőforráspéldányból:

az storage account network-rule add \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Hozzáférés eltávolítása

Távolítsa el az erőforráspéldányból hozzáférést biztosító hálózati szabályt:

az storage account network-rule remove \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Az engedélyezett erőforráspéldányok listájának megtekintése

Tekintse meg a tárfiókhoz hozzáféréssel rendelkező erőforráspéldányok teljes listáját:

az storage account network-rule list \
    -g myResourceGroup \
    --account-name mystorageaccount

Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz

Egyes Azure-szolgáltatások olyan hálózatokból működnek, amelyeket nem lehet belefoglalni a hálózati szabályokba. Az ilyen megbízható Azure-szolgáltatások egy részhalmazának hozzáférést adhat a tárfiókhoz, miközben más alkalmazásokra vonatkozó hálózati szabályokat is fenntarthat. Ezek a megbízható szolgáltatások ezután erős hitelesítést használnak a tárfiókhoz való csatlakozáshoz.

A megbízható Azure-szolgáltatásokhoz hálózati szabálykivétel létrehozásával adhat hozzáférést. A cikk Kivételek kezelése szakasza részletes útmutatást nyújt.

Megbízható hozzáférés a Microsoft Entra-bérlőben regisztrált erőforrásokhoz

Egyes szolgáltatások erőforrásai hozzáférhetnek a tárfiókhoz a kiválasztott műveletekhez, például naplók írásához vagy biztonsági másolatok futtatásához. Ezeket a szolgáltatásokat egy olyan előfizetésben kell regisztrálni, amely ugyanabban a Microsoft Entra-bérlőben található, mint a tárfiókja. Az alábbi táblázat az egyes szolgáltatásokat és az engedélyezett műveleteket ismerteti.

Szolgáltatás	Erőforrás-szolgáltató neve	Engedélyezett műveletek
Azure Backup	Microsoft.RecoveryServices	Futtassa a nem felügyelt lemezek biztonsági mentését és visszaállítását az infrastruktúrában szolgáltatásként (IaaS) működő virtuális gépeken (a felügyelt lemezekhez nem szükséges). További információ.
Azure Data Box	Microsoft.DataBox	Adatok importálása az Azure-ba. További információ.
Azure DevTest Labs	Microsoft.DevTestLab	Egyéni rendszerképeket hozhat létre, és összetevőket telepíthet. További információ.
Azure Event Grid	Microsoft.EventGrid	Engedélyezze az Azure Blob Storage-események közzétételét , és engedélyezze a közzétételt a tárolási várólistákon.
Azure-eseményközpontok	Microsoft.EventHub	Adatok archiválása az Event Hubs Capture használatával. További információ.
Azure File Sync	Microsoft.StorageSync	Alakítsa át a helyszíni fájlkiszolgálót azure-fájlmegosztások gyorsítótárává. Ez a funkció lehetővé teszi a többhelyes szinkronizálást, a gyors vészhelyreállítást és a felhőoldali biztonsági mentést. További információ.
Azure HDInsight	Microsoft.HDInsight	Az új HDInsight-fürt alapértelmezett fájlrendszerének kezdeti tartalmának kiépítése. További információ.
Azure Import/Export	Microsoft.ImportExport	Adatok importálása az Azure Storage-ba vagy adatok exportálása az Azure Storage-ból. További információ.
Azure Monitor	Microsoft.Insights	Monitorozási adatok írása biztonságos tárfiókba, beleértve az erőforrásnaplókat, a Microsoft Entra bejelentkezési és naplózási naplóit, valamint a Microsoft Intune-naplókat. További információ.
Azure-beli hálózatkezelési szolgáltatások	Microsoft.Network	Tárolja és elemezze a hálózati forgalmi naplókat, többek között az Azure Network Watcher és az Azure Traffic Manager szolgáltatáson keresztül. További információ.
Azure Site Recovery	Microsoft.SiteRecovery	Engedélyezze a replikációt az Azure IaaS virtuális gépek vészhelyreállításához, ha tűzfal-kompatibilis gyorsítótárat, forrás- vagy céltárolófiókokat használ. További információ.

Felügyelt identitáson alapuló megbízható hozzáférés

Az alábbi táblázat felsorolja azokat a szolgáltatásokat, amelyek hozzáférhetnek a tárfiók adataihoz, ha a szolgáltatások erőforráspéldányai rendelkeznek a megfelelő engedélyekkel.

Szolgáltatás	Erőforrás-szolgáltató neve	Cél
Azure FarmBeats	Microsoft.AgFoodPlatform/farmBeats	Engedélyezi a tárfiókok elérését.
Azure API Management	Microsoft.ApiManagement/service	Engedélyezi a tűzfalak mögötti tárfiókok elérését szabályzatokkal. További információ.
Microsoft Autonomous Systems	Microsoft.AutonomousSystems/workspaces	Engedélyezi a tárfiókok elérését.
Azure Cache for Redis	Microsoft.Cache/Redis	Engedélyezi a tárfiókok elérését. További információ.
Azure AI Keresés	Microsoft.Search/searchServices	Engedélyezi a tárfiókokhoz való hozzáférést indexeléshez, feldolgozáshoz és lekérdezéshez.
Azure AI services	Microsoft.CognitiveService/accounts	Engedélyezi a tárfiókok elérését. További információ.
Azure Container Registry	Microsoft.ContainerRegistry/registries	Az ACR Tasks szolgáltatáscsomagján keresztül tárolólemezképek készítésekor hozzáférést biztosít a tárfiókokhoz.
Microsoft Cost Management	Microsoft.CostManagementExports	Engedélyezi a tűzfal mögötti tárfiókokba való exportálást. További információ.
Azure Databricks	Microsoft.Databricks/accessConnectors	Engedélyezi a tárfiókok elérését.
Azure Data Factory	Microsoft.DataFactory/factories	Engedélyezi a tárfiókok elérését a Data Factory-futtatókörnyezeten keresztül.
Azure Backup-tároló	Microsoft.DataProtection/BackupVaults	Engedélyezi a tárfiókok elérését.
Azure Data Share	Microsoft.DataShare/accounts	Engedélyezi a tárfiókok elérését.
Azure Database for PostgreSQL	Microsoft.DBForPostgreSQL	Engedélyezi a tárfiókok elérését.
Azure IoT Hub	Microsoft.Devices/IotHubs	Lehetővé teszi az IoT Hub adatainak Blob Storage-ba való írását. További információ.
Azure DevTest Labs	Microsoft.DevTestLab/labs	Engedélyezi a tárfiókok elérését.
Azure Event Grid	Microsoft.EventGrid/domains	Engedélyezi a tárfiókok elérését.
Azure Event Grid	Microsoft.EventGrid/partnerTopics	Engedélyezi a tárfiókok elérését.
Azure Event Grid	Microsoft.EventGrid/systemTopics	Engedélyezi a tárfiókok elérését.
Azure Event Grid	Microsoft.EventGrid/topics	Engedélyezi a tárfiókok elérését.
Microsoft Fabric	Microsoft.Fabric	Engedélyezi a tárfiókok elérését.
Azure Egészségügyi célú API-k	Microsoft.HealthcareApis/services	Engedélyezi a tárfiókok elérését.
Azure Egészségügyi célú API-k	Microsoft.HealthcareApis/workspaces	Engedélyezi a tárfiókok elérését.
Azure IoT Central	Microsoft.IoTCentral/IoTApps	Engedélyezi a tárfiókok elérését.
Azure Key Vault Managed HSM	Microsoft.keyvault/managedHSMs	Engedélyezi a tárfiókok elérését.
Azure Logic Apps	Microsoft.Logic/integrationAccounts	Engedélyezi a logikai alkalmazások számára a tárfiókok elérését. További információ.
Azure Logic Apps	Microsoft.Logic/workflows	Engedélyezi a logikai alkalmazások számára a tárfiókok elérését. További információ.
Azure Machine Learning Studio	Microsoft.MachineLearning/registries	Lehetővé teszi az engedélyezett Azure Machine Learning-munkaterületek számára, hogy kísérleti kimeneteket, modelleket és naplókat írjanak a Blob Storage-ba, és beolvassák az adatokat. További információ.
Azure Machine Learning	Microsoft.MachineLearningServices	Lehetővé teszi az engedélyezett Azure Machine Learning-munkaterületek számára, hogy kísérleti kimeneteket, modelleket és naplókat írjanak a Blob Storage-ba, és beolvassák az adatokat. További információ.
Azure Machine Learning	Microsoft.MachineLearningServices/workspaces	Lehetővé teszi az engedélyezett Azure Machine Learning-munkaterületek számára, hogy kísérleti kimeneteket, modelleket és naplókat írjanak a Blob Storage-ba, és beolvassák az adatokat. További információ.
Azure Media Services	Microsoft.Media/mediaservices	Engedélyezi a tárfiókok elérését.
Azure Migrate	Microsoft.Migrate/migrateprojects	Engedélyezi a tárfiókok elérését.
Azure Spatial Anchors	Microsoft.MixedReality/remoteRenderingAccounts	Engedélyezi a tárfiókok elérését.
Azure ExpressRoute	Microsoft.Network/expressRoutePorts	Engedélyezi a tárfiókok elérését.
Microsoft Power Platform	Microsoft.PowerPlatform/enterprisePolicies	Engedélyezi a tárfiókok elérését.
Microsoft Project Arcadia	Microsoft.ProjectArcadia/workspaces	Engedélyezi a tárfiókok elérését.
Azure Data Catalog	Microsoft.ProjectBabylon/accounts	Engedélyezi a tárfiókok elérését.
Microsoft Purview	Microsoft.Purview/accounts	Engedélyezi a tárfiókok elérését.
Azure Site Recovery	Microsoft.RecoveryServices/vaults	Engedélyezi a tárfiókok elérését.
Security Center	Microsoft.Security/dataScanners	Engedélyezi a tárfiókok elérését.
Szingularitás	Microsoft.Singularity/accounts	Engedélyezi a tárfiókok elérését.
Azure SQL Database	Microsoft.Sql	Lehetővé teszi a naplózási adatok tűzfal mögötti tárfiókokba való írását.
Azure SQL-kiszolgálók	Microsoft.Sql/servers	Lehetővé teszi a naplózási adatok tűzfal mögötti tárfiókokba való írását.
Azure Synapse Analytics	Microsoft.Sql	Lehetővé teszi az adatok importálását és exportálását adott SQL-adatbázisokból az utasítás vagy a COPY PolyBase (dedikált készletben) vagy a openrowset kiszolgáló nélküli készletben lévő függvény és külső táblák használatával. További információ.
Azure Stream Analytics	Microsoft.StreamAnalytics	Lehetővé teszi a streamelési feladatokból származó adatok Blob Storage-ba való írását. További információ.
Azure Stream Analytics	Microsoft.StreamAnalytics/streamingjobs	Lehetővé teszi a streamelési feladatokból származó adatok Blob Storage-ba való írását. További információ.
Azure Synapse Analytics	Microsoft.Synapse/workspaces	Engedélyezi az adatokhoz való hozzáférést az Azure Storage-ban.
Azure Video Indexer	Microsoft.VideoIndexer/Accounts	Engedélyezi a tárfiókok elérését.

Ha a fiókja nem rendelkezik engedélyezve a hierarchikus névtér funkcióval, engedélyt adhat egy Azure-szerepkörnek az egyes erőforráspéldányok felügyelt identitásához való explicit hozzárendelésével. Ebben az esetben a példány hozzáférési hatóköre megfelel a felügyelt identitáshoz rendelt Azure-szerepkörnek.

Ugyanazt a technikát használhatja egy olyan fiókhoz, amelyen engedélyezve van a hierarchikus névtér funkció. Azonban nem kell Azure-szerepkört hozzárendelnie, ha hozzáadja a felügyelt identitást a tárfiókban található címtárak vagy blobok hozzáférés-vezérlési listájához (ACL). Ebben az esetben a példány hozzáférési hatóköre annak a könyvtárnak vagy fájlnak felel meg, amelyhez a felügyelt identitás hozzáféréssel rendelkezik.

Az Azure-szerepköröket és az ACL-eket is kombinálhatja a hozzáférés biztosításához. További információ: Hozzáférés-vezérlési modell az Azure Data Lake Storage-ban.

Javasoljuk, hogy erőforráspéldány-szabályokkal biztosítson hozzáférést adott erőforrásokhoz.

A kivételek kezelése

Bizonyos esetekben, például a tárelemzéshez, az olvasási erőforrásnaplókhoz és a metrikákhoz való hozzáférés a hálózat határain kívülről szükséges. Ha megbízható szolgáltatásokat konfigurál a tárfiók elérésére, hálózati szabálykivétel létrehozásával engedélyezheti a naplófájlok, metrikák táblázatai vagy mindkettő olvasási hozzáférését. A hálózati szabálykivételeket az Azure Portalon, a PowerShellben vagy az Azure CLI v2-ben kezelheti.

A tárolási elemzésekkel kapcsolatos további információkért lásd: Az Azure Storage-elemzés használata naplók és metrikák adatainak gyűjtéséhez.

Portál

1. Lépjen a megvédeni kívánt tárfiókra.

2. Válassza a Hálózat lehetőséget.

3. Ellenőrizze, hogy a kiválasztott hálózatokról való hozzáférés engedélyezését választotta-e.

4. A Kivételek csoportban válassza ki azokat a kivételeket, amelyeket engedélyezni szeretne.

5. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

PowerShell

1. Telepítse az Azure PowerShellt , és jelentkezzen be.

2. A tárfiók hálózati szabályainak kivételeinek megjelenítése:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
   

3. Konfigurálja a tárfiók hálózati szabályai alóli kivételeket:

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
   

4. Távolítsa el a tárfiók hálózati szabályai alóli kivételeket:

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
   

Azure CLI

1. Telepítse az Azure CLI-t , és jelentkezzen be.

2. A tárfiók hálózati szabályainak kivételeinek megjelenítése:

   az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
   

3. Konfigurálja a tárfiók hálózati szabályai alóli kivételeket:

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
   

4. Távolítsa el a tárfiók hálózati szabályai alóli kivételeket:

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
   

Következő lépések

További információ az Azure hálózati szolgáltatásvégpontjairól. Mélyebben megismeri az Azure Storage biztonságát.