Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Aturan firewall Azure Storage memberikan kontrol terperinci atas akses jaringan ke titik akhir publik akun penyimpanan Anda. Secara default, akun penyimpanan mengizinkan koneksi dari jaringan apa pun, tetapi Anda dapat membatasi akses dengan mengonfigurasi aturan jaringan yang menentukan sumber mana yang dapat terhubung ke akun penyimpanan Anda.
Anda dapat mengonfigurasi empat jenis aturan jaringan:
- Aturan jaringan virtual: Mengizinkan lalu lintas dari subnet tertentu dalam Azure Virtual Networks
- Aturan jaringan IP: Mengizinkan lalu lintas dari rentang alamat IP publik tertentu
- Aturan instans sumber daya: Mengizinkan lalu lintas dari instans sumber daya Azure tertentu yang tidak dapat diisolasi melalui jaringan virtual atau aturan IP
- Pengecualian layanan tepercaya: Mengizinkan lalu lintas dari layanan Azure tertentu yang beroperasi di luar batas jaringan Anda
Saat aturan jaringan dikonfigurasi, hanya lalu lintas dari sumber yang diizinkan secara eksplisit yang dapat mengakses akun penyimpanan Anda melalui titik akhir publiknya. Semua lalu lintas lainnya ditolak.
Catatan
Klien yang membuat permintaan dari sumber yang diizinkan juga harus memenuhi persyaratan otorisasi akun penyimpanan. Untuk mempelajari selengkapnya tentang otorisasi akun, lihat Mengotorisasi akses ke data di Azure Storage.
Aturan jaringan virtual
Anda dapat mengaktifkan lalu lintas dari subnet di Azure Virtual Network apa pun. Jaringan virtual dapat berasal dari langganan apa pun di dalam penyewa Microsoft Entra di wilayah Azure mana pun. Untuk mengaktifkan lalu lintas dari subnet, tambahkan aturan jaringan virtual. Anda dapat menambahkan hingga 400 aturan jaringan virtual per akun penyimpanan.
Di pengaturan jaringan virtual subnet, Anda juga harus mengaktifkan titik akhir layanan Virtual Network. Titik akhir ini dirancang untuk menyediakan konektivitas yang aman dan langsung ke akun penyimpanan Anda.
Saat Anda membuat aturan jaringan menggunakan portal Microsoft Azure, titik akhir layanan ini secara otomatis dibuat saat Anda memilih setiap subnet target. PowerShell dan Azure CLI menyediakan perintah yang dapat Anda gunakan untuk membuatnya secara manual. Untuk mempelajari selengkapnya tentang titik akhir layanan, lihat Titik akhir layanan Virtual Network.
Tabel berikut ini menjelaskan setiap jenis titik akhir layanan yang bisa Anda aktifkan untuk Azure Storage:
| Titik akhir layanan | Nama sumber daya | Deskripsi |
|---|---|---|
| Titik akhir Azure Storage | Microsoft.Storage | Menyediakan konektivitas ke akun penyimpanan di wilayah yang sama dengan jaringan virtual. |
| Titik akhir layanan lintas wilayah Azure Storage | Microsoft.Storage.Global | Menyediakan konektivitas ke akun penyimpanan di wilayah mana pun. |
Catatan
Anda hanya dapat mengaitkan salah satu jenis titik akhir ini dengan subnet. Jika salah satu titik akhir ini sudah dikaitkan dengan subnet, Anda harus menghapus titik akhir tersebut sebelum menambahkan yang lain.
Untuk mempelajari cara mengonfigurasi aturan jaringan virtual dan mengaktifkan titik akhir layanan, lihat Membuat aturan jaringan virtual untuk Azure Storage.
Akses dari wilayah terhubung
Titik akhir layanan juga berfungsi antara jaringan virtual dan instans layanan di wilayah yang dipasangkan.
Mengonfigurasi titik akhir layanan antara jaringan virtual dan instans layanan di wilayah yang dipasangkan dapat menjadi bagian penting dari rencana pemulihan bencana Anda. Titik akhir layanan memungkinkan kelangsungan selama failover regional dan menyediakan akses ke instans penyimpanan geo-redundan baca-saja (RA-GRS). Aturan jaringan virtual yang memberikan akses dari jaringan virtual ke akun penyimpanan juga memberikan akses ke instans RA-GRS apa pun.
Saat merencanakan pemulihan bencana selama pemadaman regional, buat jaringan virtual di wilayah yang dipasangkan terlebih dahulu. Aktifkan titik akhir layanan untuk Azure Storage dengan aturan jaringan yang memberikan akses dari jaringan virtual alternatif ini. Kemudian, terapkan aturan ini ke akun penyimpanan geo-redundan Anda.
Aturan jaringan IP
Untuk klien dan layanan yang tidak terletak di jaringan virtual, Anda dapat mengaktifkan lalu lintas dengan membuat aturan jaringan IP. Setiap aturan jaringan IP memungkinkan lalu lintas dari rentang alamat IP publik tertentu. Misalnya, jika klien dari jaringan lokal perlu mengakses data penyimpanan, Anda dapat membuat aturan yang menyertakan alamat IP publik klien tersebut. Setiap akun penyimpanan mendukung hingga 400 aturan jaringan IP.
Untuk mempelajari cara membuat aturan jaringan IP, lihat Membuat aturan jaringan IP untuk Azure Storage.
Jika Anda mengaktifkan titik akhir layanan untuk subnet, lalu lintas dari subnet tersebut tidak akan menggunakan alamat IP publik untuk berkomunikasi dengan akun penyimpanan. Sebagai gantinya, semua lalu lintas menggunakan alamat IP privat sebagai IP sumber. Akibatnya, aturan jaringan IP yang mengizinkan lalu lintas dari subnet tersebut tidak lagi berpengaruh.
Token SAS yang memberikan akses ke alamat IP tertentu berfungsi untuk membatasi akses pemegang token, tetapi mereka tidak memberikan akses baru di luar aturan jaringan yang dikonfigurasi.
Penting
Beberapa batasan berlaku untuk rentang alamat IP. Untuk daftar pembatasan, lihat Pembatasan untuk aturan jaringan IP.
Akses dari jaringan lokal
Anda dapat mengaktifkan lalu lintas dari jaringan lokal dengan menggunakan aturan jaringan IP. Pertama, Anda harus mengidentifikasi alamat IP yang terhubung ke internet yang digunakan jaringan Anda. Hubungi administrator jaringan Anda untuk bantuan.
Jika Anda menggunakan Azure ExpressRoute dari lokal, Anda perlu mengidentifikasi alamat IP NAT yang digunakan untuk peering Microsoft. Baik penyedia layanan atau pelanggan menyediakan alamat IP NAT.
Untuk mengizinkan akses ke sumber daya layanan, Anda harus mengizinkan alamat IP publik ini di pengaturan firewall untuk IP sumber daya.
Aturan untuk instans sumber daya Azure
Beberapa sumber daya Azure tidak dapat diisolasi melalui jaringan virtual atau aturan alamat IP. Anda dapat mengaktifkan lalu lintas dari sumber daya tersebut dengan membuat aturan jaringan instans sumber daya. Penetapan peran Azure dari instans sumber daya menentukan jenis operasi yang dapat dilakukan instans sumber daya pada data akun penyimpanan. Instans sumber daya harus berasal dari penyewa yang sama dengan akun penyimpanan Anda, tetapi dapat menjadi milik langganan apa pun dalam penyewa.
Untuk mempelajari cara mengonfigurasi aturan instans sumber daya, lihat Membuat aturan jaringan instans sumber daya untuk Azure Storage.
Pengecualian untuk layanan Azure tepercaya
Jika Anda perlu mengaktifkan lalu lintas dari layanan Azure di luar batas jaringan, Anda dapat menambahkan pengecualian keamanan jaringan. Ini dapat berguna ketika layanan Azure beroperasi dari jaringan yang tidak dapat Anda sertakan dalam jaringan virtual atau aturan jaringan IP Anda. Misalnya, beberapa layanan mungkin perlu membaca log dan metrik sumber daya di akun Anda. Anda dapat mengizinkan akses baca untuk file log, tabel metrik, atau keduanya dengan membuat pengecualian aturan jaringan. Layanan ini terhubung ke akun penyimpanan Anda menggunakan autentikasi yang kuat.
Untuk mempelajari selengkapnya tentang cara menambahkan pengecualian keamanan jaringan, lihat Mengelola pengecualian keamanan jaringan.
Untuk daftar lengkap layanan Azure yang dapat Anda aktifkan lalu lintasnya, lihat Layanan Azure tepercaya.
Pembatasan dan pertimbangan
Sebelum menerapkan keamanan jaringan untuk akun penyimpanan Anda, pastikan untuk meninjau semua batasan dan pertimbangan. Untuk daftar lengkapnya, lihat Pembatasan dan batasan untuk firewall Azure Storage dan konfigurasi jaringan virtual.