Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Penyimpanan Azure menyediakan model keamanan berlapis. Model ini memungkinkan Anda untuk mengontrol tingkat akses ke akun penyimpanan yang diminta oleh aplikasi dan lingkungan perusahaan Anda, berdasarkan jenis dan subset jaringan atau sumber daya yang Anda digunakan.
Saat Anda mengonfigurasi aturan jaringan, hanya aplikasi yang meminta data melalui set jaringan yang ditentukan atau melalui kumpulan sumber daya Azure yang ditentukan yang dapat mengakses akun penyimpanan. Anda dapat membatasi akses ke akun penyimpanan Anda ke permintaan yang berasal dari alamat IP, rentang IP, subnet tertentu di jaringan virtual Azure, atau instans sumber daya dari beberapa layanan Azure.
Akun penyimpanan memiliki titik akhir publik yang dapat diakses melalui internet. Anda juga dapat membuat titik akhir privat untuk akun penyimpanan Anda. Membuat titik akhir privat menetapkan alamat IP privat dari jaringan virtual Anda ke akun penyimpanan. Ini membantu mengamankan lalu lintas antara jaringan virtual Anda dan akun penyimpanan melalui tautan privat.
Firewall Azure Storage menyediakan kontrol akses untuk titik akhir publik akun penyimpanan Anda. Anda juga dapat menggunakan firewall untuk memblokir semua akses melalui titik akhir publik saat Anda menggunakan titik akhir privat. Konfigurasi firewall Anda juga memungkinkan layanan platform Azure tepercaya untuk mengakses akun penyimpanan.
Aplikasi yang mengakses akun penyimpanan saat aturan jaringan diberlakukan masih memerlukan otorisasi yang tepat untuk permintaan tersebut. Otorisasi didukung dengan kredensial Microsoft Entra untuk blob, tabel, berbagi file, dan antrean, dengan kunci akses akun yang valid, atau dengan token tanda tangan akses bersama (SAS). Saat Anda mengonfigurasi kontainer blob untuk akses anonim, permintaan untuk membaca data dalam kontainer tersebut tidak perlu diotorisasi. Aturan firewall tetap berlaku dan akan memblokir lalu lintas anonim.
Mengaktifkan aturan firewall untuk akun penyimpanan Anda memblokir permintaan masuk untuk data secara default, kecuali permintaan berasal dari layanan yang beroperasi dalam jaringan virtual Azure atau dari alamat IP publik yang diizinkan. Permintaan yang diblokir termasuk yang berasal dari layanan Azure lainnya, dari portal Azure, dan dari layanan pengelogan dan metrik.
Anda dapat memberikan akses ke layanan Azure yang beroperasi dari dalam jaringan virtual dengan mengizinkan lalu lintas dari subnet yang menghosting instans layanan. Anda juga dapat mengaktifkan sejumlah skenario terbatas melalui mekanisme pengecualian yang dijelaskan artikel ini. Untuk mengakses data dari akun penyimpanan melalui portal Azure, Anda harus berada di komputer dalam batas tepercaya (baik IP atau jaringan virtual) yang Anda siapkan.
Catatan
Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.
Skenario
Untuk mengamankan akun penyimpanan, Anda harus terlebih dahulu mengonfigurasi aturan untuk menolak akses ke lalu lintas dari semua jaringan (termasuk lalu lintas internet) di titik akhir publik, secara default. Kemudian, Anda harus mengonfigurasi aturan yang memberikan akses ke lalu lintas dari jaringan virtual tertentu. Anda juga dapat mengonfigurasi aturan untuk memberikan akses ke lalu lintas dari rentang alamat IP internet publik yang dipilih, memungkinkan koneksi dari internet tertentu atau klien lokal. Konfigurasi ini membantu Anda membangun batas jaringan yang aman untuk aplikasi Anda.
Anda dapat menggabungkan aturan firewall yang mengizinkan akses dari jaringan virtual tertentu dan dari rentang alamat IP publik pada akun penyimpanan yang sama. Anda dapat menerapkan aturan firewall penyimpanan ke akun penyimpanan yang sudah ada atau saat Membuat akun penyimpanan baru.
Aturan firewall penyimpanan berlaku untuk titik akhir publik akun penyimpanan. Anda tidak memerlukan aturan akses firewall apa pun untuk mengizinkan lalu lintas untuk titik akhir privat akun penyimpanan. Proses menyetujui pembuatan titik akhir privat memberikan akses implisit ke lalu lintas dari subnet yang menghosting titik akhir privat.
Penting
Aturan firewall Azure Storage hanya berlaku untuk operasi sarana data . Operasi sarana kontrol tidak tunduk pada batasan yang ditentukan dalam aturan firewall.
Beberapa operasi, seperti operasi kontainer blob, dapat dilakukan melalui sarana kontrol dan sarana data. Jadi, jika Anda mencoba melakukan operasi seperti mencantumkan kontainer dari portal Azure, operasi akan berhasil kecuali diblokir oleh mekanisme lain. Upaya untuk mengakses data blob dari aplikasi seperti Azure Storage Explorer dikontrol oleh pembatasan firewall.
Untuk daftar operasi data plane, lihat Referensi REST API Azure Storage. Untuk daftar operasi sarana kontrol, lihat Referensi REST API Penyedia Sumber Daya Azure Storage.
Mengonfigurasi akses jaringan ke Azure Storage
Anda dapat mengontrol akses ke data di akun penyimpanan Anda melalui titik akhir jaringan, atau melalui layanan atau sumber daya tepercaya dalam kombinasi apa pun termasuk:
- Izinkan akses dari subnet jaringan virtual yang dipilih menggunakan titik akhir privat.
- Izinkan akses dari subnet jaringan virtual yang dipilih menggunakan titik akhir layanan.
- Izinkan akses dari alamat atau rentang IP publik tertentu.
- Izinkan akses dari instans sumber daya Azure yang dipilih.
- Izinkan akses dari layanan Azure tepercaya (menggunakan Kelola pengecualian).
- Mengonfigurasi pengecualian untuk layanan pengelogan dan metrik.
Tentang titik akhir jaringan virtual
Ada dua jenis titik akhir jaringan virtual untuk akun penyimpanan:
Titik akhir layanan jaringan virtual bersifat publik dan dapat diakses melalui internet. Firewall Azure Storage menyediakan kemampuan untuk mengontrol akses ke akun penyimpanan Anda melalui titik akhir publik tersebut. Saat Anda menonaktifkan akses jaringan publik ke akun penyimpanan Anda, semua permintaan masuk untuk data diblokir secara default. Hanya aplikasi yang meminta data dari sumber yang diizinkan yang Anda konfigurasi di pengaturan firewall akun penyimpanan Anda yang dapat mengakses data Anda. Sumber dapat mencakup alamat IP sumber atau subnet jaringan virtual klien, atau layanan Azure atau instans sumber daya tempat klien atau layanan mengakses data Anda. Permintaan yang diblokir termasuk yang berasal dari layanan Azure lainnya, dari portal Azure, dan dari layanan pengelogan dan metrik, kecuali Anda secara eksplisit mengizinkan akses dalam konfigurasi firewall Anda.
Titik akhir privat menggunakan alamat IP privat dari jaringan virtual Anda untuk mengakses akun penyimpanan melalui jaringan backbone Microsoft. Dengan titik akhir privat, lalu lintas antara jaringan virtual Anda dan akun penyimpanan diamankan melalui tautan privat. Aturan firewall penyimpanan hanya berlaku untuk titik akhir publik akun penyimpanan, bukan titik akhir privat. Proses menyetujui pembuatan titik akhir privat memberikan akses implisit ke lalu lintas dari subnet yang menghosting titik akhir privat. Anda dapat menggunakan Kebijakan Jaringan untuk mengontrol lalu lintas melalui titik akhir privat jika Anda ingin menyempurnakan aturan akses. Jika Anda ingin menggunakan titik akhir privat secara eksklusif, Anda dapat menggunakan firewall untuk memblokir semua akses melalui titik akhir publik.
Untuk membantu Anda memutuskan kapan menggunakan setiap jenis titik akhir di lingkungan Anda, lihat Membandingkan Titik Akhir Privat dan Titik Akhir Layanan.
Cara mendekati keamanan jaringan untuk akun penyimpanan Anda
Untuk mengamankan akun penyimpanan Anda dan membangun batas jaringan yang aman untuk aplikasi Anda:
Mulailah dengan menonaktifkan semua akses jaringan publik untuk akun penyimpanan di bawah Pengaturan akses jaringan publik di firewall akun penyimpanan.
Jika memungkinkan, konfigurasikan tautan privat ke akun penyimpanan Anda dari titik akhir privat pada subnet jaringan virtual tempat klien berada yang memerlukan akses ke data Anda.
Jika aplikasi klien memerlukan akses melalui titik akhir publik, ubah pengaturan Akses jaringan publik menjadi Diaktifkan dari jaringan virtual dan alamat IP yang dipilih. Kemudian, sesuai kebutuhan:
- Tentukan subnet jaringan virtual tempat Anda ingin mengizinkan akses.
- Tentukan rentang alamat IP publik klien tempat Anda ingin mengizinkan akses, seperti yang ada di jaringan lokal.
- Izinkan akses dari instans sumber daya Azure yang dipilih.
- Tambahkan pengecualian untuk memungkinkan akses dari layanan tepercaya yang diperlukan untuk operasi seperti pencadangan data.
- Tambahkan pengecualian untuk pengelogan dan metrik.
Setelah Anda menerapkan aturan jaringan, aturan tersebut diberlakukan untuk semua permintaan. Token SAS yang memberikan akses ke alamat IP tertentu berfungsi untuk membatasi akses pemegang token, tetapi mereka tidak memberikan akses baru di luar aturan jaringan yang dikonfigurasi.
Perimeter keamanan jaringan (pratinjau)
Perimeter keamanan jaringan (pratinjau) memungkinkan organisasi untuk menentukan batas isolasi jaringan logis untuk sumber daya PaaS (misalnya, Azure Blob Storage dan SQL Database) yang disebarkan di luar jaringan virtual mereka. Fitur ini membatasi akses jaringan publik ke sumber daya PaaS di luar perimeter. Namun, Anda dapat membebaskan akses dengan menggunakan aturan akses eksplisit untuk lalu lintas masuk dan keluar publik. Secara desain, akses ke akun penyimpanan dari dalam perimeter keamanan jaringan lebih diutamakan daripada pembatasan akses jaringan lainnya.
Saat ini, perimeter keamanan jaringan berada dalam pratinjau publik untuk Azure Blob Storage, Azure Files (REST), Azure Tables, dan Azure Queues. Lihat Transisi ke perimeter keamanan jaringan.
Daftar layanan yang telah di-onboard ke perimeter keamanan jaringan dapat ditemukan di sini.
Untuk layanan yang tidak ada dalam daftar ini, karena belum di-onboard ke perimeter keamanan jaringan, jika Anda ingin mengizinkan akses, Anda dapat menggunakan aturan berbasis langganan pada perimeter keamanan jaringan. Semua sumber daya dalam langganan tersebut kemudian akan diberikan akses ke perimeter keamanan jaringan tersebut. Untuk informasi selengkapnya tentang menambahkan aturan akses berbasis langganan, lihat di sini.
Penting
Lalu lintas titik akhir privat dianggap sangat aman dan oleh karena itu tidak tunduk pada aturan perimeter keamanan jaringan. Semua lalu lintas lainnya, termasuk layanan tepercaya, akan tunduk pada aturan perimeter keamanan jaringan jika akun penyimpanan dikaitkan dengan perimeter.
Batasan
Pratinjau ini tidak mendukung layanan, operasi, dan protokol berikut pada akun penyimpanan:
Replikasi objek untuk Azure Blob Storage
Manajemen siklus hidup untuk Azure Blob Storage
Protokol transfer file (SFTP) SSH pada Azure Blob Storage
Protokol sistem file jaringan (NFS) dengan Azure Blob Storage dan Azure Files.
Protokol blok pesan server (SMB) dengan Azure Files hanya dapat dicapai melalui daftar IP yang diizinkan saat ini.
Disk yang tidak dikelola tidak mematuhi aturan perimeter keamanan jaringan.
Cadangan berlapis untuk Azure Blob Storage
Sebaiknya Anda tidak mengaktifkan perimeter keamanan jaringan jika Anda perlu menggunakan salah satu layanan, operasi, atau protokol ini. Hal ini untuk mencegah potensi kehilangan data atau risiko penyelundupan data.
Peringatan
Untuk akun penyimpanan yang terkait dengan perimeter keamanan jaringan, agar skenario kunci yang dikelola pelanggan (CMK) berfungsi, pastikan bahwa Azure Key Vault dapat diakses dari dalam perimeter tempat akun penyimpanan telah dikaitkan.
Mengaitkan perimeter keamanan jaringan dengan akun penyimpanan
Untuk mengaitkan perimeter keamanan jaringan dengan akun penyimpanan, ikuti instruksi umum ini untuk semua sumber daya PaaS.
Pembatasan dan pertimbangan
Sebelum menerapkan keamanan jaringan untuk akun penyimpanan Anda, tinjau pembatasan dan pertimbangan penting yang dibahas di bagian ini.
- Aturan firewall Azure Storage hanya berlaku untuk operasi sarana data . Operasi sarana kontrol tidak tunduk pada batasan yang ditentukan dalam aturan firewall.
- Tinjau Pembatasan untuk aturan jaringan IP.
- Untuk mengakses data dengan menggunakan alat seperti portal Azure, Azure Storage Explorer, dan AzCopy, Anda harus berada di komputer dalam batas tepercaya yang Anda tetapkan saat mengonfigurasi aturan keamanan jaringan.
- Aturan jaringan diberlakukan pada semua protokol jaringan untuk Azure Storage, termasuk REST dan SMB.
- Aturan jaringan tidak memengaruhi lalu lintas disk komputer virtual (VM), termasuk operasi pemasangan dan pelepasan serta I/O disk, tetapi mereka membantu melindungi akses REST ke page blob.
- Anda dapat menggunakan disk yang tidak dikelola di akun penyimpanan dengan aturan jaringan yang diterapkan untuk mencadangkan dan memulihkan VM dengan membuat pengecualian. Pengecualian firewall tidak berlaku untuk disk terkelola, karena Azure sudah mengelolanya.
- Akun penyimpanan klasik tidak mendukung firewall dan jaringan virtual.
- Jika Anda menghapus subnet yang disertakan dalam aturan jaringan virtual, subnet tersebut akan dihapus dari aturan jaringan untuk akun penyimpanan. Jika Anda membuat subnet baru dengan nama yang sama, subnet tersebut tidak akan memiliki akses ke akun penyimpanan. Untuk mengizinkan akses, Anda harus secara eksplisit mengotorisasi subnet baru ini di aturan jaringan untuk akun penyimpanan.
- Saat mereferensikan titik akhir layanan dalam aplikasi klien, disarankan agar Anda menghindari mengambil dependensi pada alamat IP yang di-cache. Alamat IP akun penyimpanan dapat berubah, dan mengandalkan alamat IP yang di-cache dapat mengakibatkan perilaku yang tidak terduga. Selain itu, disarankan agar Anda mematuhi time-to-live (TTL) dari catatan DNS dan menghindari mengesampingkannya. Mengubah TTL DNS dapat mengakibatkan perilaku yang tidak terduga.
- Secara desain, akses ke akun penyimpanan dari layanan tepercaya lebih diutamakan daripada pembatasan akses jaringan lainnya. Jika Anda mengatur Akses jaringan publik ke Dinonaktifkan setelah sebelumnya mengaturnya ke Diaktifkan dari jaringan virtual dan alamat IP yang dipilih, instans sumber daya dan pengecualian apa pun yang sebelumnya Anda konfigurasi, termasuk Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini, akan tetap berlaku. Akibatnya, sumber daya dan layanan tersebut mungkin masih memiliki akses ke akun penyimpanan.
Otorisasi
Klien yang diberikan akses melalui aturan jaringan harus terus memenuhi persyaratan otorisasi akun penyimpanan untuk mengakses data. Otorisasi didukung dengan kredensial Microsoft Entra untuk blob dan antrean, menggunakan kunci akses akun yang valid, atau dengan token tanda tangan akses bersama (SAS).
Saat Anda mengonfigurasi kontainer blob untuk akses publik anonim, permintaan untuk membaca data dalam kontainer tersebut tidak perlu diotorisasi, tetapi aturan firewall tetap berlaku dan akan memblokir lalu lintas anonim.
Mengubah aturan akses jaringan default
Secara default, akun penyimpanan menerima koneksi dari klien di jaringan apa pun. Anda dapat membatasi akses ke jaringan yang dipilih atau mencegah lalu lintas dari semua jaringan dan mengizinkan akses hanya melalui titik akhir privat.
Anda harus mengatur aturan default untuk ditolak, atau aturan jaringan tidak berpengaruh. Namun, mengubah pengaturan ini dapat memengaruhi kemampuan aplikasi Anda untuk terhubung ke Azure Storage. Pastikan untuk memberikan akses ke jaringan yang diizinkan atau menyiapkan akses melalui titik akhir privat sebelum Anda mengubah pengaturan ini.
Catatan
Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.
Buka akun penyimpanan yang ingin Anda amankan.
Di menu layanan, di bawah Keamanan + jaringan, pilih Jaringan.
Pilih akses jaringan apa yang diaktifkan melalui titik akhir publik akun penyimpanan:
Pilih Diaktifkan dari semua jaringan atau Diaktifkan dari jaringan virtual dan alamat IP yang dipilih. Jika Anda memilih opsi kedua, Anda akan diminta untuk menambahkan jaringan virtual dan rentang alamat IP.
Untuk membatasi akses masuk saat mengizinkan akses keluar, pilih Dinonaktifkan.
Pilih Simpan untuk menerapkan perubahan Anda.
Memberikan akses dari jaringan virtual
Anda dapat mengonfigurasi akun penyimpanan untuk mengizinkan akses hanya dari subnet tertentu. Subnet yang diizinkan dapat menjadi bagian dari jaringan virtual dalam langganan yang sama atau langganan yang berbeda, termasuk yang menjadi bagian dari tenant Microsoft Entra yang berbeda. Dengan titik akhir layanan lintas wilayah, subnet yang diizinkan juga dapat berada di wilayah yang berbeda dari akun penyimpanan.
Anda dapat mengaktifkan titik akhir layanan untuk Azure Storage dalam jaringan virtual. Titik akhir layanan merutekan lalu lintas dari jaringan virtual melalui jalur optimal ke layanan Azure Storage. Identitas subnet dan jaringan virtual juga ditransmisikan dengan setiap permintaan. Administrator kemudian dapat mengonfigurasi aturan jaringan untuk akun penyimpanan yang memungkinkan permintaan diterima dari subnet tertentu dalam jaringan virtual. Klien yang diberikan akses melalui aturan jaringan ini harus terus memenuhi persyaratan otorisasi akun penyimpanan untuk mengakses data.
Setiap akun penyimpanan mendukung hingga 400 aturan jaringan virtual. Anda dapat menggabungkan aturan ini dengan aturan jaringan IP.
Penting
Saat mereferensikan titik akhir layanan dalam aplikasi klien, disarankan agar Anda menghindari mengambil dependensi pada alamat IP yang di-cache. Alamat IP akun penyimpanan dapat berubah, dan mengandalkan alamat IP yang di-cache dapat mengakibatkan perilaku yang tidak terduga.
Selain itu, disarankan agar Anda mematuhi time-to-live (TTL) dari catatan DNS dan menghindari mengesampingkannya. Mengubah TTL DNS dapat mengakibatkan perilaku yang tidak terduga.
Izin yang diperlukan
Untuk menerapkan aturan jaringan virtual ke akun penyimpanan, pengguna harus memiliki izin yang sesuai untuk subnet yang sedang ditambahkan.
Kontributor Akun Penyimpanan atau pengguna yang memiliki izin ke Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionoperasi penyedia sumber daya Azure dapat menerapkan aturan dengan menggunakan peran Azure kustom.
Akun penyimpanan dan jaringan virtual yang mendapatkan akses dapat berada di langganan yang berbeda, termasuk langganan yang merupakan bagian dari penyewa Microsoft Entra yang berbeda.
Konfigurasi aturan yang memberikan akses ke subnet di jaringan virtual yang merupakan bagian dari penyewa Microsoft Entra yang berbeda saat ini hanya didukung melalui PowerShell, Azure CLI, dan REST API. Anda tidak dapat mengonfigurasi aturan tersebut melalui portal Azure, meskipun Anda dapat melihatnya di portal.
Titik akhir layanan lintas wilayah Azure Storage
Titik akhir layanan lintas wilayah untuk Azure Storage menjadi tersedia secara umum pada bulan April 2023. Mereka bekerja antara jaringan virtual dan instans layanan penyimpanan di wilayah mana pun. Dengan titik akhir layanan lintas wilayah, subnet tidak lagi menggunakan alamat IP publik untuk berkomunikasi dengan akun penyimpanan apa pun, termasuk yang ada di wilayah lain. Sebagai gantinya, semua lalu lintas dari subnet ke akun penyimpanan menggunakan alamat IP privat sebagai IP sumber. Akibatnya, setiap akun penyimpanan yang menggunakan aturan jaringan IP untuk mengizinkan lalu lintas dari subnet tersebut tidak lagi berpengaruh.
Mengonfigurasi titik akhir layanan antara jaringan virtual dan instans layanan di wilayah yang dipasangkan dapat menjadi bagian penting dari rencana pemulihan bencana Anda. Ujung layanan memungkinkan kontinuitas saat terjadinya failover regional serta akses ke instance penyimpanan geo-redundan baca-saja (RA-GRS). Aturan jaringan yang memberikan akses dari jaringan virtual ke akun penyimpanan juga memberikan akses ke instans RA-GRS mana pun.
Saat Anda merencanakan pemulihan bencana selama pemadaman regional, buat jaringan virtual di wilayah yang dipasangkan terlebih dahulu. Aktifkan endpoint layanan untuk Azure Storage dengan aturan jaringan yang mengizinkan akses dari jaringan virtual alternatif ini. Kemudian, terapkan aturan ini ke akun penyimpanan geo-redundan Anda.
Titik akhir layanan lokal dan lintas wilayah tidak dapat hidup berdampingan pada subnet yang sama. Untuk mengganti titik akhir layanan yang ada dengan titik akhir lintas wilayah, hapus titik akhir yang ada Microsoft.Storage dan buat ulang sebagai titik akhir lintas wilayah (Microsoft.Storage.Global).
Mengelola jaringan virtual dan aturan akses
Anda dapat mengelola jaringan virtual dan aturan akses untuk akun penyimpanan melalui portal Azure, PowerShell, atau Azure CLI v2.
Jika Anda ingin mengaktifkan akses ke akun penyimpanan Anda dari jaringan virtual atau subnet di penyewa Microsoft Entra lain, Anda harus menggunakan PowerShell atau Azure CLI. Portal Azure tidak menampilkan subnet di tenant Microsoft Entra lainnya.
Buka akun penyimpanan yang ingin Anda konfigurasikan jaringan virtual dan aturan aksesnya.
Di menu layanan, di bawah Keamanan + jaringan, pilih Jaringan.
Periksa apakah Anda telah memilih untuk mengaktifkan akses jaringan publik dari jaringan virtual dan alamat IP yang dipilih.
Untuk memberikan akses ke jaringan virtual dengan menggunakan aturan jaringan baru, di bawah Jaringan virtual, pilih Tambahkan jaringan virtual yang ada. Pilih opsi Jaringan virtual dan Subnet , lalu pilih Tambahkan. Untuk membuat jaringan virtual baru dan memberinya akses, pilih Tambahkan jaringan virtual baru. Berikan informasi yang diperlukan untuk membuat jaringan virtual baru, lalu pilih Buat. Saat ini, hanya jaringan virtual milik penyewa Microsoft Entra yang sama yang muncul untuk dipilih saat pembuatan aturan. Untuk memberikan akses ke subnet di jaringan virtual milik penyewa lain, gunakan PowerShell, Azure CLI, atau REST API.
Untuk menghapus aturan jaringan virtual atau subnet, pilih elipsis (...) untuk membuka menu konteks untuk jaringan virtual atau subnet, lalu pilih Hapus.
Pilih Simpan untuk menerapkan perubahan Anda.
Penting
Jika Anda menghapus subnet yang disertakan dalam aturan jaringan, subnet tersebut akan dihapus dari aturan jaringan untuk akun penyimpanan. Jika Anda membuat subnet baru dengan nama yang sama, subnet tersebut tidak akan memiliki akses ke akun penyimpanan. Untuk mengizinkan akses, Anda harus secara eksplisit mengotorisasi subnet baru ini di aturan jaringan untuk akun penyimpanan.
Memberikan akses dari rentang IP Internet
Anda dapat menggunakan aturan jaringan IP untuk mengizinkan akses dari rentang alamat IP internet publik tertentu dengan membuat aturan jaringan IP. Setiap akun penyimpanan mendukung hingga 400 aturan. Aturan ini memberikan akses ke layanan berbasis internet tertentu dan jaringan lokal dan memblokir lalu lintas internet umum.
Pembatasan untuk aturan jaringan IP
Pembatasan berikut berlaku untuk rentang alamat IP:
Aturan jaringan IP hanya diperbolehkan untuk alamat IP internet publik .
Rentang alamat IP yang dicadangkan untuk jaringan privat (seperti yang didefinisikan dalam RFC 1918) tidak diizinkan dalam aturan IP. Jaringan privat mencakup alamat yang dimulai dengan 10, 172,16 hingga 172,31, dan 192.168.
Anda harus menyediakan rentang alamat internet yang diizinkan dengan menggunakan notasi CIDR dalam formulir 16.17.18.0/24 atau sebagai alamat IP individual seperti 16.17.18.19.
Rentang alamat kecil yang menggunakan ukuran awalan /31 atau /32 tidak didukung. Konfigurasikan rentang ini dengan menggunakan aturan alamat IP individual.
Hanya alamat IPv4 yang didukung untuk konfigurasi aturan firewall penyimpanan.
Penting
Anda tidak dapat menggunakan aturan jaringan IP dalam kasus berikut:
- Untuk membatasi akses ke klien di wilayah Azure yang sama dengan akun penyimpanan. Aturan jaringan IP tidak berpengaruh pada permintaan yang berasal dari wilayah Azure yang sama dengan akun penyimpanan. Gunakan Aturan jaringan virtual untuk mengizinkan permintaan wilayah yang sama.
- Untuk membatasi akses ke klien di wilayah berpasangan yang berada di jaringan virtual yang memiliki titik akhir layanan.
- Untuk membatasi akses ke layanan Azure yang diterapkan di wilayah yang sama dengan akun penyimpanan. Layanan yang diterapkan di wilayah yang sama dengan akun penyimpanan menggunakan alamat IP Azure privat untuk komunikasi. Jadi, Anda tidak dapat membatasi akses ke layanan Azure tertentu berdasarkan rentang alamat IP keluar publik mereka.
Mengonfigurasi akses dari jaringan lokal
Untuk memberikan akses dari jaringan lokal Anda ke akun penyimpanan Anda dengan menggunakan aturan jaringan IP, Anda harus mengidentifikasi alamat IP yang terhubung ke internet yang digunakan jaringan Anda. Hubungi admin jaringan Anda untuk mendapatkan bantuan.
Jika Anda menggunakan Azure ExpressRoute dari lokal, Anda perlu mengidentifikasi alamat IP NAT yang digunakan untuk peering Microsoft. Baik penyedia layanan atau pelanggan menyediakan alamat IP NAT.
Untuk mengizinkan akses ke sumber daya layanan, Anda harus mengizinkan alamat IP publik ini di pengaturan firewall untuk IP sumber daya.
Mengelola aturan jaringan IP
Anda dapat mengelola aturan jaringan IP untuk akun penyimpanan melalui portal Azure, PowerShell, atau Azure CLI v2.
Buka akun penyimpanan tempat Anda ingin mengelola aturan jaringan IP.
Di menu layanan, di bawah Keamanan + jaringan, pilih Jaringan.
Periksa apakah Anda telah memilih untuk mengaktifkan akses jaringan publik dari jaringan virtual dan alamat IP yang dipilih.
Untuk memberikan akses ke rentang IP internet, masukkan alamat IP atau rentang alamat (dalam format CIDR) di bawahRentang Alamat>.
Untuk menghapus aturan jaringan IP, pilih ikon hapus (
) di samping rentang alamat.Pilih Simpan untuk menerapkan perubahan Anda.
Izinkan akses dari instans sumber daya Azure
Dalam beberapa kasus, aplikasi mungkin bergantung pada sumber daya Azure yang tidak dapat diisolasi melalui jaringan virtual atau aturan alamat IP. Tetapi Anda masih ingin mengamankan dan membatasi akses akun penyimpanan hanya ke sumber daya Azure aplikasi Anda. Anda dapat mengonfigurasi akun penyimpanan untuk memungkinkan akses ke instans sumber daya tertentu dari layanan Azure tepercaya dengan membuat aturan instans sumber daya.
Penetapan peran Azure dari instans sumber daya menentukan jenis operasi yang dapat dilakukan instans sumber daya pada data akun penyimpanan. Instans sumber daya harus berasal dari penyewa yang sama dengan akun penyimpanan Anda, tetapi mereka dapat dimiliki oleh langganan mana pun dalam penyewa tersebut.
Anda dapat menambahkan atau menghapus aturan jaringan sumber daya di portal Azure:
Masuk ke portal Microsoft Azure.
Temukan akun penyimpanan Anda dan tampilkan gambaran umum akun.
Di menu layanan, di bawah Keamanan + jaringan, pilih Jaringan.
Periksa apakah Anda telah memilih untuk mengaktifkan akses jaringan publik dari jaringan virtual dan alamat IP yang dipilih.
Gulir ke bawah untuk menemukan instans sumber daya. Di menu dropdown Jenis sumber daya, pilih jenis instans sumber daya Anda.
Di daftar dropdown Nama instans , pilih instans sumber daya. Anda juga dapat memilih untuk menyertakan semua instance sumber daya yang ada saat ini di penyewa, langganan, atau grup sumber daya.
Pilih Simpan untuk menerapkan perubahan Anda. Instans sumber daya muncul di bagian Instans sumber daya di halaman untuk pengaturan jaringan.
Untuk menghapus instans sumber daya, pilih ikon hapus ( ) di sebelah instans sumber daya.
Berikan akses ke layanan Azure tepercaya
Beberapa layanan Azure beroperasi dari jaringan yang tidak dapat Anda sertakan dalam aturan jaringan Anda. Anda dapat memberikan subset dari akses layanan Azure tepercaya tersebut ke akun penyimpanan sambil mempertahankan aturan jaringan untuk aplikasi lain. Layanan tepercaya ini kemudian akan menggunakan autentikasi yang kuat untuk terhubung ke akun penyimpanan Anda.
Anda dapat memberikan akses ke layanan Azure tepercaya dengan membuat pengecualian aturan jaringan. Bagian Kelola pengecualian dari artikel ini menyediakan panduan langkah demi langkah.
Akses tepercaya untuk sumber daya yang terdaftar di akun Microsoft Entra Anda
Beberapa sumber daya layanan dapat mengakses akun penyimpanan data Anda untuk operasi tertentu, seperti menulis log atau menjalankan pencadangan. Layanan tersebut harus terdaftar dalam langganan yang terletak di tenant Microsoft Entra yang sama dengan akun penyimpanan Anda. Tabel berikut ini menjelaskan setiap layanan dan operasi yang diizinkan.
| Layanan | Nama penyedia sumber daya | Operasi yang diizinkan |
|---|---|---|
| Azure Backup (Layanan Pencadangan Azure) | Microsoft.RecoveryServices |
Lakukan pencadangan dan pemulihan disk yang tidak dikelola di mesin virtual Infrastruktur sebagai Layanan (IaaS) (tidak diperlukan untuk disk terkelola). Pelajari lebih lanjut. |
| Azure Data Box | Microsoft.DataBox |
Mengimpor data ke Azure. Pelajari lebih lanjut. |
| Azure Data Explorer (layanan pencarian data) | Microsoft.Kusto |
Membaca data untuk input dan tabel eksternal, dan menulis data ke tabel eksternal. Pelajari lebih lanjut. |
| Azure DevTest Labs | Microsoft.DevTestLab |
Buat gambar kustom dan instal artefak. Pelajari lebih lanjut. |
| Azure Event Grid | Microsoft.EventGrid |
Aktifkan Azure Blob Storage event publishing dan izinkan penerbitan ke antrean penyimpanan. |
| Azure Event Hubs | Microsoft.EventHub |
Arsipkan data dengan menggunakan Azure Event Hubs Capture. Pelajari lebih lanjut. |
| Sinkronisasi File Azure | Microsoft.StorageSync |
Ubah server file lokal Anda menjadi cache untuk berbagi file Azure. Kemampuan ini memungkinkan sinkronisasi beberapa situs, pemulihan bencana cepat, dan pencadangan sisi cloud. Pelajari lebih lanjut. |
| Azure HDInsight | Microsoft.HDInsight |
Provisikan konten awal sistem file default untuk kluster HDInsight baru. Pelajari lebih lanjut. |
| Azure Import/Export (Impor/Ekspor Azure) | Microsoft.ImportExport |
Impor data ke Azure Storage atau ekspor data dari Azure Storage. Pelajari lebih lanjut. |
| Azure Monitor | Microsoft.Insights |
Tulis data pemantauan ke akun penyimpanan aman, termasuk log sumber daya, data Microsoft Defender untuk Titik Akhir, log masuk dan audit Microsoft Entra, dan log Microsoft Intune. Pelajari lebih lanjut. |
| Layanan jaringan Azure | Microsoft.Network |
Simpan dan analisis log lalu lintas jaringan, termasuk melalui layanan Azure Network Watcher dan Azure Traffic Manager. Pelajari lebih lanjut. |
| Pemulihan Situs Azure | Microsoft.SiteRecovery |
Aktifkan replikasi untuk pemulihan bencana mesin virtual Azure IaaS saat Anda menggunakan penyimpanan cache, sumber, atau target yang diaktifkan firewall. Pelajari lebih lanjut. |
Akses tepercaya berdasarkan identitas terkelola
Tabel berikut mencantumkan layanan yang dapat mengakses data akun penyimpanan Anda jika instans sumber daya layanan tersebut memiliki izin yang sesuai.
| Layanan | Nama penyedia sumber daya | Tujuan |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Mengaktifkan akses ke akun penyimpanan. |
| Azure API Management | Microsoft.ApiManagement/service |
Memungkinkan akses ke akun penyimpanan di belakang firewall melalui kebijakan. Pelajari lebih lanjut. |
| Sistem Otonom Microsoft | Microsoft.AutonomousSystems/workspaces |
Mengaktifkan akses ke akun penyimpanan. |
| Azure Cache for Redis (Layanan caching dari Microsoft yang menggunakan Redis) | Microsoft.Cache/Redis |
Mengaktifkan akses ke akun penyimpanan. Pelajari lebih lanjut. |
| Pencarian dengan Azure AI | Microsoft.Search/searchServices |
Memungkinkan akses ke akun penyimpanan untuk pengindeksan, pemrosesan, dan kueri. |
| Layanan Azure AI | Microsoft.CognitiveService/accounts |
Mengaktifkan akses ke akun penyimpanan. Pelajari lebih lanjut. |
| Microsoft Cost Management | Microsoft.CostManagementExports |
Memungkinkan ekspor ke akun penyimpanan di belakang firewall. Pelajari lebih lanjut. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
Mengaktifkan akses ke akun penyimpanan. Gudang SQL tanpa server memerlukan konfigurasi tambahan. Pelajari lebih lanjut. |
| Azure Data Factory | Microsoft.DataFactory/factories |
Memungkinkan akses ke akun penyimpanan melalui runtime Data Factory. |
| Azure Data Explorer (layanan pencarian data) | Microsoft.Kusto/Clusters |
Membaca data untuk input dan tabel eksternal, dan menulis data ke tabel eksternal. Pelajari lebih lanjut. |
| Ruangan Pencadangan Azure | Microsoft.DataProtection/BackupVaults |
Mengaktifkan akses ke akun penyimpanan. |
| Azure Data Share (Layanan Berbagi Data Azure) | Microsoft.DataShare/accounts |
Mengaktifkan akses ke akun penyimpanan. |
| Basis Data Azure untuk PostgreSQL | Microsoft.DBForPostgreSQL |
Mengaktifkan akses ke akun penyimpanan. |
| Azure Device Registry (Registri Perangkat Azure) | Microsoft.DeviceRegistry/schemaRegistries |
Mengaktifkan akses ke akun penyimpanan. |
| Azure IoT Hub | Microsoft.Devices/IotHubs |
Memungkinkan data dari hub IoT ditulis ke Blob Storage. Pelajari lebih lanjut. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
Mengaktifkan akses ke akun penyimpanan. |
| Azure Event Grid | Microsoft.EventGrid/domains |
Mengaktifkan akses ke akun penyimpanan. |
| Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Mengaktifkan akses ke akun penyimpanan. |
| Azure Event Grid | Microsoft.EventGrid/systemTopics |
Mengaktifkan akses ke akun penyimpanan. |
| Azure Event Grid | Microsoft.EventGrid/topics |
Mengaktifkan akses ke akun penyimpanan. |
| Microsoft Fabric | Microsoft.Fabric |
Mengaktifkan akses ke akun penyimpanan. |
| API Layanan Kesehatan Azure | Microsoft.HealthcareApis/services |
Mengaktifkan akses ke akun penyimpanan. |
| API Layanan Kesehatan Azure | Microsoft.HealthcareApis/workspaces |
Mengaktifkan akses ke akun penyimpanan. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Mengaktifkan akses ke akun penyimpanan. |
| HSM Terkelola oleh Azure Key Vault | Microsoft.keyvault/managedHSMs |
Mengaktifkan akses ke akun penyimpanan. |
| Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Memungkinkan aplikasi logika untuk mengakses akun penyimpanan. Pelajari lebih lanjut. |
| Azure Logic Apps | Microsoft.Logic/workflows |
Memungkinkan aplikasi logika untuk mengakses akun penyimpanan. Pelajari lebih lanjut. |
| Studio Azure Machine Learning | Microsoft.MachineLearning/registries |
Mengizinkan ruang kerja Azure Machine Learning yang diberi wewenang untuk menulis output eksperimen, model, dan log ke Blob Storage serta membaca data. Pelajari lebih lanjut. |
| Pembelajaran Mesin Azure | Microsoft.MachineLearningServices |
Mengizinkan ruang kerja Azure Machine Learning yang diberi wewenang untuk menulis output eksperimen, model, dan log ke Blob Storage serta membaca data. Pelajari lebih lanjut. |
| Pembelajaran Mesin Azure | Microsoft.MachineLearningServices/workspaces |
Mengizinkan ruang kerja Azure Machine Learning yang diberi wewenang untuk menulis output eksperimen, model, dan log ke Blob Storage serta membaca data. Pelajari lebih lanjut. |
| Azure Media Services | Microsoft.Media/mediaservices |
Mengaktifkan akses ke akun penyimpanan. |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
Mengaktifkan akses ke akun penyimpanan. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Mengaktifkan akses ke akun penyimpanan. |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Mengaktifkan akses ke akun penyimpanan. |
| Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Mengaktifkan akses ke akun penyimpanan. |
| Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Mengaktifkan akses ke akun penyimpanan. |
| Microsoft Purview | Microsoft.Purview/accounts |
Mengaktifkan akses ke akun penyimpanan. |
| Pemulihan Situs Azure | Microsoft.RecoveryServices/vaults |
Mengaktifkan akses ke akun penyimpanan. |
| Pusat Keamanan | Microsoft.Security/dataScanners |
Mengaktifkan akses ke akun penyimpanan. |
| Singularitas | Microsoft.Singularity/accounts |
Mengaktifkan akses ke akun penyimpanan. |
| Tindakan di Azure Storage | Microsoft.Storageactions/Storagetasks |
Mengaktifkan akses ke akun penyimpanan. |
| Azure SQL Database | Microsoft.Sql |
Memungkinkan penulisan data audit ke akun penyimpanan di belakang firewall. |
| Azure SQL Servers | Microsoft.Sql/servers |
Memungkinkan penulisan data audit ke akun penyimpanan di belakang firewall. |
| Azure Synapse Analytics | Microsoft.Sql |
Memungkinkan impor dan ekspor data dari database SQL tertentu melalui COPY pernyataan atau PolyBase (dalam kumpulan khusus), atau openrowset fungsi dan tabel eksternal dalam kumpulan tanpa server.
Pelajari lebih lanjut. |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
Memungkinkan data dari pekerjaan streaming untuk ditulis ke Blob Storage. Pelajari lebih lanjut. |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Memungkinkan data dari pekerjaan streaming untuk ditulis ke Blob Storage. Pelajari lebih lanjut. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Mengaktifkan akses ke data di Azure Storage. |
| Pengindeks Video Azure | Microsoft.VideoIndexer/Accounts |
Mengaktifkan akses ke akun penyimpanan. |
Jika akun Anda tidak mengaktifkan fitur namespace hierarkis di dalamnya, Anda dapat memberikan izin dengan secara eksplisit menetapkan peran Azure ke identitas terkelola untuk setiap instans sumber daya. Dalam hal ini, cakupan akses untuk instans ditentukan oleh peran Azure yang ditetapkan kepada identitas terkelola.
Anda dapat menggunakan teknik yang sama untuk akun yang memiliki fitur namespace hierarkis yang diaktifkan di dalamnya. Namun, Anda tidak perlu menetapkan peran Azure jika Anda menambahkan identitas terkelola ke daftar kontrol akses (ACL) direktori atau blob apa pun yang dimuat akun penyimpanan. Dalam hal ini, cakupan akses untuk instans sesuai dengan direktori atau file yang dapat diakses oleh identitas terkelola.
Anda juga dapat menggabungkan peran Azure dan ACL bersama-sama untuk memberikan akses. Untuk mempelajari selengkapnya, lihat Model kontrol akses di Azure Data Lake Storage.
Kami menyarankan agar Anda menggunakan aturan instans sumber daya untuk memberikan akses ke sumber daya tertentu.
Kelola pengecualian
Dalam beberapa kasus, seperti analitik penyimpanan, akses untuk membaca log sumber daya dan metrik diperlukan dari luar batas jaringan. Saat mengonfigurasi layanan tepercaya untuk mengakses akun penyimpanan, Anda dapat mengizinkan akses baca untuk file log, tabel metrik, atau keduanya dengan membuat pengecualian aturan jaringan. Anda dapat mengelola pengecualian aturan jaringan melalui portal Azure, PowerShell, atau Azure CLI v2.
Untuk mempelajari selengkapnya tentang bekerja dengan analitik penyimpanan, lihat Menggunakan analitik Azure Storage untuk mengumpulkan data log dan metrik.
Buka akun penyimpanan yang ingin Anda kelola pengecualiannya.
Di menu layanan, di bawah Keamanan + jaringan, pilih Jaringan.
Periksa apakah Anda telah memilih untuk mengaktifkan akses jaringan publik dari jaringan virtual dan alamat IP yang dipilih.
Di bawah Pengecualian, pilih pengecualian yang ingin Anda berikan.
Pilih Simpan untuk menerapkan perubahan Anda.
Langkah berikutnya
- Pelajari selengkapnya tentang titik akhir layanan jaringan Azure.
- Gali lebih dalam rekomendasi keamanan untuk penyimpanan Azure Blob.