Membuat aturan jaringan virtual untuk Azure Storage

Anda dapat menolak semua akses publik ke akun penyimpanan Anda lalu mengonfigurasi pengaturan jaringan Azure untuk menerima permintaan yang berasal dari subnet jaringan virtual tertentu. Untuk mempelajari lebih lanjut, lihat subnet jaringan virtual.

Untuk menerapkan aturan jaringan virtual ke akun penyimpanan, pengguna harus memiliki izin yang sesuai untuk subnet yang ditambahkan. Kontributor Akun Penyimpanan atau pengguna yang memiliki izin ke Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionoperasi penyedia sumber daya Azure dapat menerapkan aturan menggunakan peran Azure kustom.

Membuat aturan jaringan virtual

Portal

Nota

Jika Anda ingin mengaktifkan akses dari jaringan virtual di penyewa Microsoft Entra lain, Anda harus menggunakan PowerShell atau Azure CLI. Portal Azure tidak menampilkan subnet di tenant Microsoft Entra lainnya.

1. Buka akun penyimpanan yang ingin Anda konfigurasikan jaringan virtual dan aturan aksesnya.

2. Di menu layanan, di bawah Keamanan + jaringan, pilih Jaringan, lalu di bawah Pengaturan sumber daya: Jaringan virtual, alamat IP, dan pengecualian, pilih Tampilkan.

3. Di bawah Jaringan virtual, pilih Tambahkan jaringan virtual yang ada.

   Panel Tambahkan jaringan muncul.

4. Dari daftar drop-down Jaringan virtual, pilih jaringan virtual.

5. Dari daftar drop-down Subnet , pilih subnet yang diinginkan, lalu pilih Tambahkan.

6. Jika Anda perlu membuat jaringan virtual baru, pilih Tambahkan jaringan virtual baru. Berikan informasi yang diperlukan untuk membuat jaringan virtual baru, lalu pilih Buat. Hanya jaringan virtual milik penyewa Microsoft Entra yang sama yang muncul untuk pemilihan selama pembuatan aturan. Untuk memberikan akses ke subnet di jaringan virtual milik penyewa lain, gunakan PowerShell, Azure CLI, atau REST API.

7. Untuk menghapus aturan jaringan virtual atau subnet, pilih elipsis (...) untuk membuka menu konteks untuk jaringan virtual atau subnet, lalu pilih Hapus.

8. Pilih Simpan untuk menerapkan perubahan Anda.

Penting

Jika Anda menghapus subnet yang disertakan dalam aturan jaringan, subnet tersebut akan dihapus dari aturan jaringan untuk akun penyimpanan. Jika Anda membuat subnet baru dengan nama yang sama, subnet tersebut tidak akan memiliki akses ke akun penyimpanan. Untuk mengizinkan akses, Anda harus secara eksplisit mengotorisasi subnet baru ini di aturan jaringan untuk akun penyimpanan.

PowerShell

1. Pasang Microsoft Azure PowerShell dan masuk.

2. Untuk mengizinkan lalu lintas hanya dari jaringan virtual tertentu, gunakan Update-AzStorageAccountNetworkRuleSet perintah dan atur -DefaultAction parameter ke Deny:

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
   

   Penting

   Aturan jaringan tidak berpengaruh kecuali Anda mengatur parameter ke -DefaultActionDeny. Namun, mengubah pengaturan ini dapat memengaruhi kemampuan aplikasi Anda untuk terhubung ke Azure Storage. Pastikan untuk memberikan akses ke jaringan yang diizinkan atau menyiapkan akses melalui titik akhir privat sebelum Anda mengubah pengaturan ini.

3. Mencantumkan aturan jaringan virtual:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
   

4. Aktifkan titik akhir layanan untuk Azure Storage pada jaringan virtual dan subnet yang ada:

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
   

5. Tambahkan aturan jaringan untuk jaringan virtual dan subnet:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

   Untuk menambahkan aturan jaringan untuk subnet di jaringan virtual milik penyewa Microsoft Entra lain, gunakan parameter yang sepenuhnya memenuhi syarat VirtualNetworkResourceId dalam formulir /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.

6. Hapus aturan jaringan untuk jaringan virtual dan subnet:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

Azure CLI

1. Instal Azure CLI dan masuk.

2. Untuk mengizinkan lalu lintas hanya dari jaringan virtual tertentu, gunakan az storage account update perintah dan atur --default-action parameter ke Deny:

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
   

   Penting

   Aturan jaringan tidak berpengaruh kecuali Anda mengatur parameter ke --default-actionDeny. Namun, mengubah pengaturan ini dapat memengaruhi kemampuan aplikasi Anda untuk terhubung ke Azure Storage. Pastikan untuk memberikan akses ke jaringan yang diizinkan atau menyiapkan akses melalui titik akhir privat sebelum Anda mengubah pengaturan ini.

3. Mencantumkan aturan jaringan virtual:

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
   

4. Aktifkan titik akhir layanan untuk Azure Storage pada jaringan virtual dan subnet yang ada:

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
   

5. Tambahkan aturan jaringan untuk jaringan virtual dan subnet:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

   Untuk menambahkan aturan untuk subnet di jaringan virtual milik penyewa Microsoft Entra lain, gunakan ID subnet yang sepenuhnya memenuhi syarat dalam formulir /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>. Anda dapat menggunakan subscription parameter untuk mengambil ID subnet untuk jaringan virtual milik penyewa Microsoft Entra lain.

6. Hapus aturan jaringan untuk jaringan virtual dan subnet:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

Lihat juga

• Firewall Azure Storage dan aturan jaringan virtual