Mengonfigurasi firewall dan jaringan virtual Azure Storage
Penyimpanan Azure menyediakan model keamanan berlapis. Model ini memungkinkan Anda untuk mengontrol tingkat akses ke akun penyimpanan yang diminta oleh aplikasi dan lingkungan perusahaan Anda, berdasarkan jenis dan subset jaringan atau sumber daya yang Anda digunakan.
Saat Anda mengonfigurasi aturan jaringan, hanya aplikasi yang meminta data melalui set jaringan yang ditentukan atau melalui kumpulan sumber daya Azure yang ditentukan yang dapat mengakses akun penyimpanan. Anda dapat membatasi akses ke akun penyimpanan Anda ke permintaan yang berasal dari alamat IP, rentang IP, subnet tertentu di jaringan virtual Azure, atau instans sumber daya dari beberapa layanan Azure.
Akun penyimpanan memiliki titik akhir publik yang dapat diakses melalui internet. Anda juga dapat membuat titik akhir privat untuk akun penyimpanan Anda. Membuat titik akhir privat menetapkan alamat IP privat dari jaringan virtual Anda ke akun penyimpanan. Ini membantu mengamankan lalu lintas antara jaringan virtual Anda dan akun penyimpanan melalui tautan privat.
Firewall Azure Storage menyediakan kontrol akses untuk titik akhir publik akun penyimpanan Anda. Anda juga dapat menggunakan firewall untuk memblokir semua akses melalui titik akhir publik saat Anda menggunakan titik akhir privat. Konfigurasi firewall Anda juga memungkinkan layanan platform Azure tepercaya untuk mengakses akun penyimpanan.
Aplikasi yang mengakses akun penyimpanan saat aturan jaringan diberlakukan masih memerlukan otorisasi yang tepat untuk permintaan tersebut. Otorisasi didukung dengan kredensial Microsoft Entra untuk blob, tabel, berbagi file, dan antrean, dengan kunci akses akun yang valid, atau dengan token tanda tangan akses bersama (SAS). Saat Anda mengonfigurasi kontainer blob untuk akses anonim, permintaan untuk membaca data dalam kontainer tersebut tidak perlu diotorisasi. Aturan firewall tetap berlaku dan akan memblokir lalu lintas anonim.
Mengaktifkan aturan firewall untuk akun penyimpanan Anda memblokir permintaan masuk untuk data secara default, kecuali permintaan berasal dari layanan yang beroperasi dalam jaringan virtual Azure atau dari alamat IP publik yang diizinkan. Permintaan yang diblokir termasuk yang berasal dari layanan Azure lainnya, dari portal Azure, dan dari layanan pengelogan dan metrik.
Anda dapat memberikan akses ke layanan Azure yang beroperasi dari dalam jaringan virtual dengan mengizinkan lalu lintas dari subnet yang menghosting instans layanan. Anda juga dapat mengaktifkan sejumlah skenario terbatas melalui mekanisme pengecualian yang dijelaskan artikel ini. Untuk mengakses data dari akun penyimpanan melalui portal Azure, Anda harus berada di komputer dalam batas tepercaya (baik IP atau jaringan virtual) yang Anda siapkan.
Catatan
Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.
Skenario
Untuk mengamankan akun penyimpanan, Anda harus terlebih dahulu mengonfigurasi aturan untuk menolak akses ke lalu lintas dari semua jaringan (termasuk lalu lintas internet) di titik akhir publik, secara default. Kemudian, Anda harus mengonfigurasi aturan yang memberikan akses ke lalu lintas dari jaringan virtual tertentu. Anda juga dapat mengonfigurasi aturan untuk memberikan akses ke lalu lintas dari rentang alamat IP internet publik yang dipilih, memungkinkan koneksi dari internet tertentu atau klien lokal. Konfigurasi ini membantu Anda membangun batas jaringan yang aman untuk aplikasi Anda.
Anda dapat menggabungkan aturan firewall yang mengizinkan akses dari jaringan virtual tertentu dan dari rentang alamat IP publik pada akun penyimpanan yang sama. Anda dapat menerapkan aturan firewall penyimpanan ke akun penyimpanan yang sudah ada atau saat Membuat akun penyimpanan baru.
Aturan firewall penyimpanan berlaku untuk titik akhir publik akun penyimpanan. Anda tidak memerlukan aturan akses firewall apa pun untuk mengizinkan lalu lintas untuk titik akhir privat akun penyimpanan. Proses menyetujui pembuatan titik akhir privat memberikan akses implisit ke lalu lintas dari subnet yang menghosting titik akhir privat.
Penting
Aturan firewall Azure Storage hanya berlaku untuk operasi sarana data. Operasi sarana kontrol tidak tunduk pada batasan yang ditentukan dalam aturan firewall.
Beberapa operasi, seperti operasi kontainer blob, dapat dilakukan melalui sarana kontrol dan sarana data. Jadi, jika Anda mencoba melakukan operasi seperti mencantumkan kontainer dari portal Azure, operasi akan berhasil kecuali diblokir oleh mekanisme lain. Upaya untuk mengakses data blob dari aplikasi seperti Azure Storage Explorer dikontrol oleh pembatasan firewall.
Untuk daftar operasi data plane, lihat Referensi REST API Azure Storage. Untuk daftar operasi sarana kontrol, lihat Referensi REST API Penyedia Sumber Daya Azure Storage.
Mengonfigurasi akses jaringan ke Azure Storage
Anda dapat mengontrol akses ke data di akun penyimpanan Anda melalui titik akhir jaringan, atau melalui layanan atau sumber daya tepercaya dalam kombinasi apa pun termasuk:
- Izinkan akses dari subnet jaringan virtual yang dipilih menggunakan titik akhir privat.
- Izinkan akses dari subnet jaringan virtual yang dipilih menggunakan titik akhir layanan.
- Izinkan akses dari alamat ATAU rentang IP publik tertentu.
- Izinkan akses dari instans sumber daya Azure yang dipilih.
- Izinkan akses dari layanan Azure tepercaya (menggunakan Kelola pengecualian).
- Mengonfigurasi pengecualian untuk layanan pengelogan dan metrik.
Tentang titik akhir jaringan virtual
Ada dua jenis titik akhir jaringan virtual untuk akun penyimpanan:
Titik akhir layanan jaringan virtual bersifat publik dan dapat diakses melalui internet. Firewall Azure Storage menyediakan kemampuan untuk mengontrol akses ke akun penyimpanan Anda melalui titik akhir publik tersebut. Saat Anda mengaktifkan akses jaringan publik ke akun penyimpanan Anda, semua permintaan masuk untuk data diblokir secara default. Hanya aplikasi yang meminta data dari sumber yang diizinkan yang Anda konfigurasi di pengaturan firewall akun penyimpanan Anda yang dapat mengakses data Anda. Sumber dapat mencakup alamat IP sumber atau subnet jaringan virtual klien, atau layanan Azure atau instans sumber daya tempat klien atau layanan mengakses data Anda. Permintaan yang diblokir termasuk yang berasal dari layanan Azure lainnya, dari portal Azure, dan dari layanan pengelogan dan metrik, kecuali Anda secara eksplisit mengizinkan akses dalam konfigurasi firewall Anda.
Titik akhir privat menggunakan alamat IP privat dari jaringan virtual Anda untuk mengakses akun penyimpanan melalui jaringan backbone Microsoft. Dengan titik akhir privat, lalu lintas antara jaringan virtual Anda dan akun penyimpanan diamankan melalui tautan privat. Aturan firewall penyimpanan hanya berlaku untuk titik akhir publik akun penyimpanan, bukan titik akhir privat. Proses menyetujui pembuatan titik akhir privat memberikan akses implisit ke lalu lintas dari subnet yang menghosting titik akhir privat. Anda dapat menggunakan Kebijakan Jaringan untuk mengontrol lalu lintas melalui titik akhir privat jika Anda ingin menyempurnakan aturan akses. Jika Anda ingin menggunakan titik akhir privat secara eksklusif, Anda dapat menggunakan firewall untuk memblokir semua akses melalui titik akhir publik.
Untuk membantu Anda memutuskan kapan menggunakan setiap jenis titik akhir di lingkungan Anda, lihat Membandingkan Titik Akhir Privat dan Titik Akhir Layanan.
Cara mendekati keamanan jaringan untuk akun penyimpanan Anda
Untuk mengamankan akun penyimpanan Anda dan membangun batas jaringan yang aman untuk aplikasi Anda:
Mulailah dengan menonaktifkan semua akses jaringan publik untuk akun penyimpanan di bawah Pengaturan akses jaringan publik di firewall akun penyimpanan.
Jika memungkinkan, konfigurasikan tautan privat ke akun penyimpanan Anda dari titik akhir privat pada subnet jaringan virtual tempat klien berada yang memerlukan akses ke data Anda.
Jika aplikasi klien memerlukan akses melalui titik akhir publik, ubah pengaturan Akses jaringan publik menjadi Diaktifkan dari jaringan virtual dan alamat IP yang dipilih. Kemudian, sesuai kebutuhan:
- Tentukan subnet jaringan virtual tempat Anda ingin mengizinkan akses.
- Tentukan rentang alamat IP publik klien tempat Anda ingin mengizinkan akses, seperti yang ada di jaringan lokal.
- Izinkan akses dari instans sumber daya Azure yang dipilih.
- Tambahkan pengecualian untuk mengizinkan akses dari layanan tepercaya yang diperlukan untuk operasi seperti mencadangkan data.
- Tambahkan pengecualian untuk pengelogan dan metrik.
Setelah Anda menerapkan aturan jaringan, aturan tersebut diberlakukan untuk semua permintaan. Token SAS yang memberikan akses ke alamat IP tertentu berfungsi untuk membatasi akses pemegang token, tetapi mereka tidak memberikan akses baru di luar aturan jaringan yang dikonfigurasi.
Pembatasan dan pertimbangan
Sebelum menerapkan keamanan jaringan untuk akun penyimpanan Anda, tinjau pembatasan dan pertimbangan penting yang dibahas di bagian ini.
- Aturan firewall Azure Storage hanya berlaku untuk operasi sarana data. Operasi sarana kontrol tidak tunduk pada batasan yang ditentukan dalam aturan firewall.
- Tinjau Pembatasan untuk aturan jaringan IP.
- Untuk mengakses data dengan menggunakan alat seperti portal Azure, Azure Storage Explorer, dan AzCopy, Anda harus berada di komputer dalam batas tepercaya yang Anda tetapkan saat mengonfigurasi aturan keamanan jaringan.
- Aturan jaringan diberlakukan pada semua protokol jaringan untuk Azure Storage, termasuk REST dan SMB.
- Aturan jaringan tidak memengaruhi lalu lintas disk komputer virtual (VM), termasuk operasi pemasangan dan lepas dan I/O disk, tetapi mereka membantu melindungi akses REST ke blob halaman.
- Anda dapat menggunakan disk yang tidak dikelola di akun penyimpanan dengan aturan jaringan yang diterapkan untuk mencadangkan dan memulihkan VM dengan membuat pengecualian. Pengecualian firewall tidak berlaku untuk disk terkelola, karena Azure sudah mengelolanya.
- Akun penyimpanan klasik tidak mendukung firewall dan jaringan virtual.
- Jika Anda menghapus subnet yang disertakan dalam aturan jaringan virtual, subnet tersebut akan dihapus dari aturan jaringan untuk akun penyimpanan. Jika Anda membuat subnet baru dengan nama yang sama, subnet tersebut tidak akan memiliki akses ke akun penyimpanan. Untuk mengizinkan akses, Anda harus secara eksplisit mengotorisasi subnet baru ini di aturan jaringan untuk akun penyimpanan.
- Saat mereferensikan titik akhir layanan dalam aplikasi klien, disarankan agar Anda menghindari mengambil dependensi pada alamat IP yang di-cache. Alamat IP akun penyimpanan dapat berubah, dan mengandalkan alamat IP yang di-cache dapat mengakibatkan perilaku yang tidak terduga. Selain itu, disarankan agar Anda menghormati time-to-live (TTL) catatan DNS dan menghindari penimpaan. Mengambil alih TTL DNS dapat mengakibatkan perilaku yang tidak terduga.
- Secara desain, akses ke akun penyimpanan dari layanan tepercaya lebih diutamakan daripada pembatasan akses jaringan lainnya. Jika Anda mengatur Akses jaringan publik ke Dinonaktifkan setelah sebelumnya mengaturnya ke Diaktifkan dari jaringan virtual dan alamat IP yang dipilih, instans sumber daya dan pengecualian apa pun yang sebelumnya Anda konfigurasi, termasuk Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini, akan tetap berlaku. Akibatnya, sumber daya dan layanan tersebut mungkin masih memiliki akses ke akun penyimpanan.
Authorization
Klien yang diberikan akses melalui aturan jaringan harus terus memenuhi persyaratan otorisasi akun penyimpanan untuk mengakses data. Otorisasi didukung dengan kredensial Microsoft Entra untuk blob dan antrean, dengan kunci akses akun yang valid, atau dengan token tanda tangan akses bersama (SAS).
Saat Anda mengonfigurasi kontainer blob untuk akses publik anonim, permintaan untuk membaca data dalam kontainer tersebut tidak perlu diotorisasi, tetapi aturan firewall tetap berlaku dan akan memblokir lalu lintas anonim.
Mengubah aturan akses jaringan default
Secara default, akun penyimpanan menerima koneksi dari klien di jaringan apa pun. Anda dapat membatasi akses ke jaringan yang dipilih atau mencegah lalu lintas dari semua jaringan dan mengizinkan akses hanya melalui titik akhir privat.
Anda harus mengatur aturan default untuk ditolak, atau aturan jaringan tidak berpengaruh. Namun, mengubah pengaturan ini dapat memengaruhi kemampuan aplikasi Anda untuk terhubung ke Azure Storage. Pastikan untuk memberikan akses ke jaringan yang diizinkan atau menyiapkan akses melalui titik akhir privat sebelum Anda mengubah pengaturan ini.
Catatan
Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.
Buka akun penyimpanan yang ingin Anda amankan.
Temukan pengaturan Jaringan di bawah Keamanan + jaringan.
Pilih jenis akses jaringan publik mana yang ingin Anda izinkan:
Untuk mengizinkan lalu lintas dari semua jaringan, pilih Diaktifkan dari semua jaringan.
Untuk mengizinkan lalu lintas hanya dari jaringan virtual tertentu, pilih Diaktifkan dari jaringan virtual dan alamat IP yang dipilih.
Untuk memblokir lalu lintas dari semua jaringan, pilih Dinonaktifkan.
Pilih Simpan untuk menerapkan perubahan Anda.
Perhatian
Secara desain, akses ke akun penyimpanan dari layanan tepercaya lebih diutamakan daripada pembatasan akses jaringan lainnya. Jika Anda mengatur Akses jaringan publik ke Dinonaktifkan setelah sebelumnya mengaturnya ke Diaktifkan dari jaringan virtual dan alamat IP yang dipilih, instans sumber daya dan pengecualian apa pun yang sebelumnya Anda konfigurasi, termasuk Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini, akan tetap berlaku. Akibatnya, sumber daya dan layanan tersebut mungkin masih memiliki akses ke akun penyimpanan.
Memberikan akses dari jaringan virtual
Anda dapat mengonfigurasi akun penyimpanan untuk mengizinkan akses hanya dari subnet tertentu. Subnet yang diizinkan dapat termasuk dalam jaringan virtual dalam langganan yang sama atau langganan yang berbeda, termasuk yang termasuk dalam penyewa Microsoft Entra yang berbeda. Dengan titik akhir layanan lintas wilayah, subnet yang diizinkan juga dapat berada di wilayah yang berbeda dari akun penyimpanan.
Anda dapat mengaktifkan titik akhir layanan untuk Azure Storage dalam jaringan virtual. Titik akhir layanan merutekan lalu lintas dari jaringan virtual melalui jalur optimal ke layanan Azure Storage. Identitas subnet dan jaringan virtual juga ditransmisikan dengan setiap permintaan. Administrator kemudian dapat mengonfigurasi aturan jaringan untuk akun penyimpanan yang memungkinkan permintaan diterima dari subnet tertentu dalam jaringan virtual. Klien yang diberikan akses melalui aturan jaringan ini harus terus memenuhi persyaratan otorisasi akun penyimpanan untuk mengakses data.
Setiap akun penyimpanan mendukung hingga 400 aturan jaringan virtual. Anda dapat menggabungkan aturan ini dengan aturan jaringan IP.
Penting
Saat mereferensikan titik akhir layanan dalam aplikasi klien, disarankan agar Anda menghindari mengambil dependensi pada alamat IP yang di-cache. Alamat IP akun penyimpanan dapat berubah, dan mengandalkan alamat IP yang di-cache dapat mengakibatkan perilaku yang tidak terduga.
Selain itu, disarankan agar Anda menghormati time-to-live (TTL) catatan DNS dan menghindari penimpaan. Mengambil alih TTL DNS dapat mengakibatkan perilaku yang tidak terduga.
Izin yang diperlukan
Untuk menerapkan aturan jaringan virtual ke akun penyimpanan, pengguna harus memiliki izin yang sesuai untuk subnet yang sedang ditambahkan. Kontributor Akun Penyimpanan atau pengguna yang memiliki izin ke Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action
operasi penyedia sumber daya Azure dapat menerapkan aturan dengan menggunakan peran Azure kustom.
Akun penyimpanan dan jaringan virtual yang mendapatkan akses dapat berada di langganan yang berbeda, termasuk langganan yang merupakan bagian dari penyewa Microsoft Entra yang berbeda.
Konfigurasi aturan yang memberikan akses ke subnet di jaringan virtual yang merupakan bagian dari penyewa Microsoft Entra yang berbeda saat ini hanya didukung melalui PowerShell, Azure CLI, dan REST API. Anda tidak dapat mengonfigurasi aturan tersebut melalui portal Azure, meskipun Anda dapat melihatnya di portal.
Titik akhir layanan lintas wilayah Azure Storage
Titik akhir layanan lintas wilayah untuk Azure Storage menjadi tersedia secara umum pada bulan April 2023. Mereka bekerja antara jaringan virtual dan instans layanan penyimpanan di wilayah mana pun. Dengan titik akhir layanan lintas wilayah, subnet tidak lagi menggunakan alamat IP publik untuk berkomunikasi dengan akun penyimpanan apa pun, termasuk yang ada di wilayah lain. Sebagai gantinya, semua lalu lintas dari subnet ke akun penyimpanan menggunakan alamat IP privat sebagai IP sumber. Akibatnya, setiap akun penyimpanan yang menggunakan aturan jaringan IP untuk mengizinkan lalu lintas dari subnet tersebut tidak lagi berpengaruh.
Mengonfigurasi titik akhir layanan antara jaringan virtual dan instans layanan di wilayah yang dipasangkan dapat menjadi bagian penting dari rencana pemulihan bencana Anda. Titik akhir layanan mengizinkan kontinuitas selama kegagalan regional dan akses ke instans penyimpanan geo-redundan baca-saja (RA-GRS). Aturan jaringan yang memberikan akses dari jaringan virtual ke akun penyimpanan juga memberikan akses ke instans RA-GRS mana pun.
Saat Anda merencanakan pemulihan bencana selama pemadaman regional, buat jaringan virtual di wilayah yang dipasangkan terlebih dahulu. Aktifkan titik akhir layanan untuk Azure Storage dengan aturan jaringan yang memberikan akses dari jaringan virtual alternatif ini. Kemudian, terapkan aturan ini ke akun penyimpanan geo-redundan Anda.
Titik akhir layanan lokal dan lintas wilayah tidak dapat hidup berdampingan pada subnet yang sama. Untuk mengganti titik akhir layanan yang ada dengan titik akhir lintas wilayah, hapus titik akhir yang ada Microsoft.Storage
dan buat ulang sebagai titik akhir lintas wilayah (Microsoft.Storage.Global
).
Mengelola aturan jaringan virtual
Anda dapat mengelola aturan jaringan virtual untuk akun penyimpanan melalui portal Azure, PowerShell, atau Azure CLI v2.
Jika Anda ingin mengaktifkan akses ke akun penyimpanan Anda dari jaringan virtual atau subnet di penyewa Microsoft Entra lain, Anda harus menggunakan PowerShell atau Azure CLI. portal Azure tidak menampilkan subnet di penyewa Microsoft Entra lainnya.
Buka akun penyimpanan yang ingin Anda amankan.
Pilih Jaringan.
Periksa apakah Anda telah memilih untuk mengizinkan akses dari Jaringan terpilih.
Untuk memberikan akses ke jaringan virtual dengan menggunakan aturan jaringan baru, di bawah Jaringan virtual, pilih Tambahkan jaringan virtual yang ada. Pilih opsi Jaringan virtual dan Subnet , lalu pilih Tambahkan.
Untuk membuat jaringan virtual baru dan memberinya akses, pilih Tambahkan jaringan virtual baru. Berikan informasi yang diperlukan untuk membuat jaringan virtual baru, lalu pilih Buat.
Jika titik akhir layanan untuk Azure Storage sebelumnya tidak dikonfigurasi untuk jaringan virtual dan subnet yang dipilih, Anda dapat mengonfigurasinya sebagai bagian dari operasi ini.
Saat ini, hanya jaringan virtual milik penyewa Microsoft Entra yang sama yang muncul untuk pemilihan selama pembuatan aturan. Untuk memberikan akses ke subnet di jaringan virtual milik penyewa lain, gunakan PowerShell, Azure CLI, atau REST API.
Untuk menghapus aturan jaringan virtual atau subnet, pilih elipsis (...) untuk membuka menu konteks untuk jaringan virtual atau subnet, lalu pilih Hapus.
Pilih Simpan untuk menerapkan perubahan Anda.
Penting
Jika Anda menghapus subnet yang disertakan dalam aturan jaringan, subnet tersebut akan dihapus dari aturan jaringan untuk akun penyimpanan. Jika Anda membuat subnet baru dengan nama yang sama, subnet tersebut tidak akan memiliki akses ke akun penyimpanan. Untuk mengizinkan akses, Anda harus secara eksplisit mengotorisasi subnet baru ini di aturan jaringan untuk akun penyimpanan.
Memberikan akses dari rentang IP Internet
Anda dapat menggunakan aturan jaringan IP untuk mengizinkan akses dari rentang alamat IP internet publik tertentu dengan membuat aturan jaringan IP. Setiap akun penyimpanan mendukung hingga 400 aturan. Aturan ini memberikan akses ke layanan berbasis internet tertentu dan jaringan lokal dan memblokir lalu lintas internet umum.
Pembatasan untuk aturan jaringan IP
Pembatasan berikut berlaku untuk rentang alamat IP:
Aturan jaringan IP hanya diizinkan untuk alamat IP internet publik.
Rentang alamat IP yang dicadangkan untuk jaringan privat (sebagaimana ditentukan dalam RFC 1918) tidak diizinkan dalam aturan IP. Jaringan privat mencakup alamat yang dimulai dengan 10, 172,16 hingga 172,31, dan 192.168.
Anda harus menyediakan rentang alamat internet yang diizinkan dengan menggunakan notasi CIDR dalam formulir 16.17.18.0/24 atau sebagai alamat IP individual seperti 16.17.18.19.
Rentang alamat kecil yang menggunakan ukuran awalan /31 atau /32 tidak didukung. Konfigurasikan rentang ini dengan menggunakan aturan alamat IP individual.
Hanya alamat IPv4 yang didukung untuk konfigurasi aturan firewall penyimpanan.
Penting
Anda tidak dapat menggunakan aturan jaringan IP dalam kasus berikut:
- Untuk membatasi akses ke klien di wilayah Azure yang sama dengan akun penyimpanan. Aturan jaringan IP tidak berpengaruh pada permintaan yang berasal dari wilayah Azure yang sama dengan akun penyimpanan. Gunakan Aturan jaringan virtual untuk mengizinkan permintaan wilayah yang sama.
- Untuk membatasi akses ke klien di wilayah berpasangan yang berada di jaringan virtual yang memiliki titik akhir layanan.
- Untuk membatasi akses ke layanan Azure yang diterapkan di wilayah yang sama dengan akun penyimpanan. Layanan yang diterapkan di wilayah yang sama dengan akun penyimpanan menggunakan alamat IP Azure privat untuk komunikasi. Jadi, Anda tidak dapat membatasi akses ke layanan Azure tertentu berdasarkan rentang alamat IP keluar publik mereka.
Mengonfigurasi akses dari jaringan lokal
Untuk memberikan akses dari jaringan lokal Anda ke akun penyimpanan Anda dengan menggunakan aturan jaringan IP, Anda harus mengidentifikasi alamat IP yang terhubung ke internet yang digunakan jaringan Anda. Hubungi admin jaringan Anda untuk mendapatkan bantuan.
Jika Anda menggunakan Azure ExpressRoute dari lokal, Anda perlu mengidentifikasi alamat IP NAT yang digunakan untuk peering Microsoft. Baik penyedia layanan atau pelanggan menyediakan alamat IP NAT.
Untuk mengizinkan akses ke sumber daya layanan, Anda harus mengizinkan alamat IP publik ini di pengaturan firewall untuk IP sumber daya.
Mengelola aturan jaringan IP
Anda dapat mengelola aturan jaringan IP untuk akun penyimpanan melalui portal Azure, PowerShell, atau Azure CLI v2.
Buka akun penyimpanan yang ingin Anda amankan.
Pilih Jaringan.
Periksa apakah Anda telah memilih untuk mengizinkan akses dari Jaringan terpilih.
Untuk memberikan akses ke rentang IP internet, masukkan alamat IP atau rentang alamat (dalam format CIDR) di bawah Rentang>Alamat Firewall.
Untuk menghapus aturan jaringan IP, pilih ikon hapus ( ) di samping rentang alamat.
Pilih Simpan untuk menerapkan perubahan Anda.
Memberikan akses dari instans sumber daya Azure
Dalam beberapa kasus, aplikasi mungkin bergantung pada sumber daya Azure yang tidak dapat diisolasi melalui jaringan virtual atau aturan alamat IP. Tetapi Anda masih ingin mengamankan dan membatasi akses akun penyimpanan hanya ke sumber daya Azure aplikasi Anda. Anda dapat mengonfigurasi akun penyimpanan untuk memungkinkan akses ke instans sumber daya tertentu dari layanan Azure tepercaya dengan membuat aturan instans sumber daya.
Penetapan peran Azure dari instans sumber daya menentukan jenis operasi yang dapat dilakukan instans sumber daya pada data akun penyimpanan. Instans sumber daya harus dari penyewa yang sama dengan akun penyimpanan Anda, tetapi mereka dapat menjadi milik langganan apa pun di penyewa.
Anda dapat menambahkan atau menghapus aturan jaringan sumber daya di portal Azure:
Masuk ke portal Azure.
Temukan akun penyimpanan Anda dan tampilkan gambaran umum akun.
Pilih Jaringan.
Di bawah Firewall dan jaringan virtual, untuk Jaringan yang dipilih, pilih opsi untuk mengizinkan akses.
Gulir ke bawah untuk menemukan instans Sumber Daya. Di daftar dropdown Jenis sumber daya, pilih jenis sumber daya instans sumber daya Anda.
Di daftar dropdown Nama instans, pilih instans sumber daya. Anda juga dapat memilih untuk menyertakan semua instans sumber daya dalam penyewa aktif, langganan, atau grup sumber daya.
Pilih Simpan untuk menerapkan perubahan Anda. Instans sumber daya muncul di bagian Instans sumber daya di halaman untuk pengaturan jaringan.
Untuk menghapus instans sumber daya, pilih ikon hapus ( ) di sebelah instans sumber daya.
Berikan akses ke layanan Azure tepercaya
Beberapa layanan Azure beroperasi dari jaringan yang tidak dapat Anda sertakan dalam aturan jaringan Anda. Anda dapat memberikan subset dari akses layanan Azure tepercaya tersebut ke akun penyimpanan sambil mempertahankan aturan jaringan untuk aplikasi lain. Layanan tepercaya ini kemudian akan menggunakan autentikasi yang kuat untuk terhubung ke akun penyimpanan Anda.
Anda dapat memberikan akses ke layanan Azure tepercaya dengan membuat pengecualian aturan jaringan. Bagian Kelola pengecualian dari artikel ini menyediakan panduan langkah demi langkah.
Akses tepercaya untuk sumber daya yang terdaftar di penyewa Microsoft Entra Anda
Sumber daya beberapa layanan dapat mengakses akun penyimpanan Anda untuk operasi yang dipilih, seperti menulis log atau menjalankan pencadangan. Layanan tersebut harus terdaftar dalam langganan yang terletak di penyewa Microsoft Entra yang sama dengan akun penyimpanan Anda. Tabel berikut ini menjelaskan setiap layanan dan operasi yang diizinkan.
Layanan | Nama penyedia sumber daya | Operasi yang diizinkan |
---|---|---|
Pencadangan Azure | Microsoft.RecoveryServices |
Jalankan pencadangan dan pemulihan disk yang tidak dikelola di komputer virtual infrastruktur sebagai layanan (IaaS) (tidak diperlukan untuk disk terkelola). Pelajari selengkapnya. |
Azure Data Box | Microsoft.DataBox |
Mengimpor data ke Azure. Pelajari selengkapnya. |
Azure DevTest Labs | Microsoft.DevTestLab |
Buat gambar kustom dan instal artefak. Pelajari selengkapnya. |
Kisi Aktivitas Azure | Microsoft.EventGrid |
Aktifkan penerbitan peristiwa Azure Blob Storage dan izinkan penerbitan ke antrean penyimpanan. |
Azure Event Hubs | Microsoft.EventHub |
Arsipkan data dengan menggunakan Azure Event Hubs Capture. Pelajari lebih lanjut. |
Azure File Sync | Microsoft.StorageSync |
Ubah server file lokal Anda menjadi cache untuk berbagi file Azure. Kemampuan ini memungkinkan sinkronisasi beberapa situs, pemulihan bencana cepat, dan pencadangan sisi cloud. Pelajari selengkapnya. |
Azure HDInsight | Microsoft.HDInsight |
Provisikan konten awal sistem file default untuk kluster HDInsight baru. Pelajari selengkapnya. |
Azure Import/Export | Microsoft.ImportExport |
Impor data ke Azure Storage atau ekspor data dari Azure Storage. Pelajari selengkapnya. |
Azure Monitor | Microsoft.Insights |
Tulis data pemantauan ke akun penyimpanan aman, termasuk log sumber daya, data Microsoft Defender untuk Titik Akhir, log masuk dan audit Microsoft Entra, dan log Microsoft Intune. Pelajari selengkapnya. |
Layanan jaringan Azure | Microsoft.Network |
Simpan dan analisis log lalu lintas jaringan, termasuk melalui layanan Azure Network Watcher dan Azure Traffic Manager. Pelajari selengkapnya. |
Azure Site Recovery | Microsoft.SiteRecovery |
Aktifkan replikasi untuk pemulihan bencana komputer virtual Azure IaaS saat Anda menggunakan akun penyimpanan cache, sumber, atau target yang diaktifkan firewall. Pelajari selengkapnya. |
Akses tepercaya berdasarkan identitas terkelola
Tabel berikut mencantumkan layanan yang dapat mengakses data akun penyimpanan Anda jika instans sumber daya layanan tersebut memiliki izin yang sesuai.
Layanan | Nama penyedia sumber daya | Tujuan |
---|---|---|
Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Mengaktifkan akses ke akun penyimpanan. |
Azure API Management | Microsoft.ApiManagement/service |
Memungkinkan akses ke akun penyimpanan di belakang firewall melalui kebijakan. Pelajari selengkapnya. |
Sistem Otonom Microsoft | Microsoft.AutonomousSystems/workspaces |
Mengaktifkan akses ke akun penyimpanan. |
Azure Cache untuk Redis | Microsoft.Cache/Redis |
Mengaktifkan akses ke akun penyimpanan. Pelajari selengkapnya. |
Pencarian Azure AI | Microsoft.Search/searchServices |
Memungkinkan akses ke akun penyimpanan untuk pengindeksan, pemrosesan, dan kueri. |
Layanan Azure AI | Microsoft.CognitiveService/accounts |
Mengaktifkan akses ke akun penyimpanan. Pelajari selengkapnya. |
Azure Container Registry | Microsoft.ContainerRegistry/registries |
Melalui rangkaian fitur Tugas ACR, memungkinkan akses ke akun penyimpanan saat Anda membuat gambar kontainer. |
Microsoft Cost Management | Microsoft.CostManagementExports |
Memungkinkan ekspor ke akun penyimpanan di belakang firewall. Pelajari selengkapnya. |
Azure Databricks | Microsoft.Databricks/accessConnectors |
Mengaktifkan akses ke akun penyimpanan. |
Azure Data Factory | Microsoft.DataFactory/factories |
Memungkinkan akses ke akun penyimpanan melalui runtime Data Factory. |
Vault Azure Backup | Microsoft.DataProtection/BackupVaults |
Mengaktifkan akses ke akun penyimpanan. |
Azure Data Share | Microsoft.DataShare/accounts |
Mengaktifkan akses ke akun penyimpanan. |
Azure Database untuk PostgreSQL | Microsoft.DBForPostgreSQL |
Mengaktifkan akses ke akun penyimpanan. |
Azure IoT Hub | Microsoft.Devices/IotHubs |
Memungkinkan data dari hub IoT ditulis ke Blob Storage. Pelajari selengkapnya. |
Azure DevTest Labs | Microsoft.DevTestLab/labs |
Mengaktifkan akses ke akun penyimpanan. |
Kisi Aktivitas Azure | Microsoft.EventGrid/domains |
Mengaktifkan akses ke akun penyimpanan. |
Kisi Aktivitas Azure | Microsoft.EventGrid/partnerTopics |
Mengaktifkan akses ke akun penyimpanan. |
Kisi Aktivitas Azure | Microsoft.EventGrid/systemTopics |
Mengaktifkan akses ke akun penyimpanan. |
Kisi Aktivitas Azure | Microsoft.EventGrid/topics |
Mengaktifkan akses ke akun penyimpanan. |
Microsoft Fabric | Microsoft.Fabric |
Mengaktifkan akses ke akun penyimpanan. |
API Azure Healthcare | Microsoft.HealthcareApis/services |
Mengaktifkan akses ke akun penyimpanan. |
API Azure Healthcare | Microsoft.HealthcareApis/workspaces |
Mengaktifkan akses ke akun penyimpanan. |
Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Mengaktifkan akses ke akun penyimpanan. |
HSM Terkelola Azure Key Vault | Microsoft.keyvault/managedHSMs |
Mengaktifkan akses ke akun penyimpanan. |
Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Memungkinkan aplikasi logika untuk mengakses akun penyimpanan. Pelajari selengkapnya. |
Azure Logic Apps | Microsoft.Logic/workflows |
Memungkinkan aplikasi logika untuk mengakses akun penyimpanan. Pelajari selengkapnya. |
Studio Azure Machine Learning | Microsoft.MachineLearning/registries |
Memungkinkan ruang kerja Azure Pembelajaran Mesin resmi untuk menulis output eksperimen, model, dan log ke Blob Storage dan membaca data. Pelajari selengkapnya. |
Pembelajaran Mesin Azure | Microsoft.MachineLearningServices |
Memungkinkan ruang kerja Azure Pembelajaran Mesin resmi untuk menulis output eksperimen, model, dan log ke Blob Storage dan membaca data. Pelajari selengkapnya. |
Pembelajaran Mesin Azure | Microsoft.MachineLearningServices/workspaces |
Memungkinkan ruang kerja Azure Pembelajaran Mesin resmi untuk menulis output eksperimen, model, dan log ke Blob Storage dan membaca data. Pelajari selengkapnya. |
Azure Media Services | Microsoft.Media/mediaservices |
Mengaktifkan akses ke akun penyimpanan. |
Azure Migrate | Microsoft.Migrate/migrateprojects |
Mengaktifkan akses ke akun penyimpanan. |
Azure Spatial Anchors | Microsoft.MixedReality/remoteRenderingAccounts |
Mengaktifkan akses ke akun penyimpanan. |
Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Mengaktifkan akses ke akun penyimpanan. |
Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Mengaktifkan akses ke akun penyimpanan. |
Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Mengaktifkan akses ke akun penyimpanan. |
Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Mengaktifkan akses ke akun penyimpanan. |
Microsoft Purview | Microsoft.Purview/accounts |
Mengaktifkan akses ke akun penyimpanan. |
Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Mengaktifkan akses ke akun penyimpanan. |
Security Center | Microsoft.Security/dataScanners |
Mengaktifkan akses ke akun penyimpanan. |
Singularitas | Microsoft.Singularity/accounts |
Mengaktifkan akses ke akun penyimpanan. |
Database Azure SQL | Microsoft.Sql |
Memungkinkan penulisan data audit ke akun penyimpanan di belakang firewall. |
Azure SQL Servers | Microsoft.Sql/servers |
Memungkinkan penulisan data audit ke akun penyimpanan di belakang firewall. |
Azure Synapse Analytics | Microsoft.Sql |
Memungkinkan impor dan ekspor data dari database SQL tertentu melalui COPY pernyataan atau PolyBase (dalam kumpulan khusus), atau openrowset fungsi dan tabel eksternal dalam kumpulan tanpa server. Pelajari selengkapnya. |
Azure Stream Analytics | Microsoft.StreamAnalytics |
Memungkinkan data dari pekerjaan streaming ditulis ke Blob Storage. Pelajari selengkapnya. |
Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Memungkinkan data dari pekerjaan streaming ditulis ke Blob Storage. Pelajari selengkapnya. |
Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Mengaktifkan akses ke data di Azure Storage. |
Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Mengaktifkan akses ke akun penyimpanan. |
Jika akun Anda tidak mengaktifkan fitur namespace hierarkis di dalamnya, Anda dapat memberikan izin dengan secara eksplisit menetapkan peran Azure ke identitas terkelola untuk setiap instans sumber daya. Dalam hal ini, cakupan akses untuk instans sesuai dengan peran Azure yang ditetapkan ke identitas terkelola.
Anda dapat menggunakan teknik yang sama untuk akun yang memiliki fitur namespace hierarkis yang diaktifkan di dalamnya. Namun, Anda tidak perlu menetapkan peran Azure jika Anda menambahkan identitas terkelola ke daftar kontrol akses (ACL) direktori atau blob apa pun yang dimuat akun penyimpanan. Dalam hal ini, cakupan akses untuk instans sesuai dengan direktori atau file yang dapat diakses oleh identitas terkelola.
Anda juga dapat menggabungkan peran Azure dan ACL bersama-sama untuk memberikan akses. Untuk mempelajari selengkapnya, lihat Model kontrol akses di Azure Data Lake Storage.
Kami menyarankan agar Anda menggunakan aturan instans sumber daya untuk memberikan akses ke sumber daya tertentu.
Kelola pengecualian
Dalam beberapa kasus, seperti analitik penyimpanan, akses untuk membaca log sumber daya dan metrik diperlukan dari luar batas jaringan. Saat mengonfigurasi layanan tepercaya untuk mengakses akun penyimpanan, Anda dapat mengizinkan akses baca untuk file log, tabel metrik, atau keduanya dengan membuat pengecualian aturan jaringan. Anda dapat mengelola pengecualian aturan jaringan melalui portal Azure, PowerShell, atau Azure CLI v2.
Untuk mempelajari selengkapnya tentang bekerja dengan analitik penyimpanan, lihat Menggunakan analitik Azure Storage untuk mengumpulkan data log dan metrik.
Buka akun penyimpanan yang ingin Anda amankan.
Pilih Jaringan.
Periksa apakah Anda telah memilih untuk mengizinkan akses dari Jaringan terpilih.
Di bawah Pengecualian, pilih pengecualian yang ingin Anda berikan.
Pilih Simpan untuk menerapkan perubahan Anda.
Langkah berikutnya
Pelajari selengkapnya tentang titik akhir layanan jaringan Azure. Gali lebih dalam keamanan Azure Storage.