Azure Storage-firewalls en virtuele netwerken configureren

Azure Storage biedt een gelaagd beveiligingsmodel. Met dit model kunt u het niveau van toegang tot uw opslagaccounts dat uw toepassingen en bedrijfsomgevingen nodig hebben, beveiligen en beheren op basis van het type en de subset van de gebruikte netwerken of resources. Wanneer netwerkregels zijn geconfigureerd, hebben alleen toepassingen die gegevens aanvragen via de opgegeven set netwerken of via de opgegeven set Azure-resources, toegang tot een opslagaccount. U kunt de toegang tot uw opslagaccount beperken tot aanvragen die afkomstig zijn van opgegeven IP-adressen, IP-bereiken, subnetten in een Azure Virtual Network (VNet) of resource-exemplaren van bepaalde Azure-services.

Opslagaccounts hebben een openbaar eindpunt dat toegankelijk is via internet. U kunt ook privé-eindpunten maken voor uw opslagaccount, waarmee een privé-IP-adres van uw VNet wordt toegewezen aan het opslagaccount en al het verkeer tussen uw VNet en het opslagaccount wordt beveiligd via een privékoppeling. De Azure Storage-firewall biedt toegangsbeheer voor het openbare eindpunt van uw opslagaccount. U kunt ook de firewall gebruiken om alle toegang via het openbare eindpunt te blokkeren wanneer u privé-eindpunten gebruikt. Met de configuratie van uw opslagfirewall kunnen ook bepaalde vertrouwde Azure-platformservices veilig toegang krijgen tot het opslagaccount.

Een toepassing die toegang heeft tot een opslagaccount wanneer netwerkregels van kracht zijn, vereist nog steeds de juiste autorisatie voor de aanvraag. Autorisatie wordt ondersteund met Azure Active Directory-referenties (Azure AD) voor blobs en wachtrijen, met een geldige toegangssleutel voor accounts of met een SAS-token. Wanneer een blobcontainer is geconfigureerd voor anonieme openbare toegang, hoeven aanvragen voor het lezen van gegevens in die container niet te worden geautoriseerd, maar blijven de firewallregels van kracht en blokkeren anoniem verkeer.

Belangrijk

Als u firewallregels inschakelt voor uw opslagaccount, worden binnenkomende aanvragen voor gegevens standaard geblokkeerd, tenzij de aanvragen afkomstig zijn van een service die actief is binnen een Azure Virtual Network (VNet) of van toegestane openbare IP-adressen. Aanvragen die zijn geblokkeerd, zijn onder andere aanvragen van andere Azure-services, van de Azure Portal, van services voor logboekregistratie en metrische gegevens, enzovoort.

U kunt toegang verlenen tot Azure-services die werken vanuit een VNet door verkeer toe te staan vanaf het subnet dat als host fungeert voor het service-exemplaar. U kunt ook een beperkt aantal scenario's inschakelen via het uitzonderingenmechanisme dat hieronder wordt beschreven. Als u toegang wilt krijgen tot gegevens van het opslagaccount via de Azure Portal, moet u zich op een computer bevinden binnen de vertrouwde grens (IP of VNet) die u hebt ingesteld.

Notitie

U wordt aangeraden de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Scenario's

Als u uw opslagaccount wilt beveiligen, moet u eerst een regel configureren om standaard de toegang tot verkeer vanaf alle netwerken (inclusief internetverkeer) op het openbare eindpunt te weigeren. Vervolgens moet u regels configureren die toegang verlenen tot verkeer vanaf specifieke VNets. U kunt ook regels configureren om toegang te verlenen tot verkeer vanaf geselecteerde IP-adresbereiken voor openbare internet, waardoor verbindingen vanaf specifieke internet- of on-premises clients mogelijk worden gemaakt. Met deze configuratie kunt u een veilige netwerkgrens voor uw toepassingen bouwen.

U kunt firewallregels combineren die toegang toestaan vanuit specifieke virtuele netwerken en van openbare IP-adresbereiken in hetzelfde opslagaccount. Firewallregels voor opslag kunnen worden toegepast op bestaande opslagaccounts of bij het maken van nieuwe opslagaccounts.

Firewallregels voor opslag zijn van toepassing op het openbare eindpunt van een opslagaccount. U hebt geen firewalltoegangsregels nodig om verkeer toe te staan voor privé-eindpunten van een opslagaccount. Het proces voor het goedkeuren van het maken van een privé-eindpunt verleent impliciete toegang tot verkeer van het subnet dat als host fungeert voor het privé-eindpunt.

Netwerkregels worden afgedwongen op alle netwerkprotocollen voor Azure Storage, met inbegrip van REST en SMB. Als u toegang wilt krijgen tot gegevens met behulp van hulpprogramma's zoals de Azure Portal, Storage Explorer en AzCopy, moeten expliciete netwerkregels worden geconfigureerd.

Zodra netwerkregels zijn toegepast, worden ze afgedwongen voor alle aanvragen. SAS-tokens die toegang verlenen tot een specifiek IP-adres, beperken de toegang van de tokenhouder, maar verlenen geen nieuwe toegang buiten geconfigureerde netwerkregels.

Schijfverkeer van virtuele machines (inclusief koppel- en ontkoppelbewerkingen en schijf-IO) wordt niet beïnvloed door netwerkregels. REST-toegang tot pagina-blobs wordt beveiligd door netwerkregels.

Klassieke opslagaccounts bieden geen ondersteuning voor firewalls en virtuele netwerken.

U kunt onbeheerde schijven in opslagaccounts gebruiken waarop netwerkregels zijn toegepast om back-ups van VM's te maken en deze te herstellen door een uitzondering te maken. Dit proces wordt beschreven in de sectie Uitzonderingen beheren van dit artikel. Firewalluitzonderingen zijn niet van toepassing op beheerde schijven, omdat deze al worden beheerd door Azure.

Standaardregel voor netwerktoegang wijzigen

Standaard accepteren opslagaccounts verbindingen van clients in elk netwerk. U kunt de toegang tot geselecteerde netwerken beperken of verkeer van alle netwerken voorkomen en alleen toegang via een privé-eindpunt toestaan.

Waarschuwing

Als u deze instelling wijzigt, kan dit van invloed zijn op de mogelijkheid van uw toepassing om verbinding te maken met Azure Storage. Zorg ervoor dat u toegang verleent tot alle toegestane netwerken of toegang instelt via een privé-eindpunt voordat u deze instelling wijzigt.

Portal

1. Ga naar het opslagaccount dat u wilt beveiligen.

2. Zoek de netwerkinstellingen onder Beveiliging en netwerken.

3. Kies welk type openbare netwerktoegang u wilt toestaan.

   • Als u verkeer van alle netwerken wilt toestaan, selecteert u Ingeschakeld vanuit alle netwerken.

   • Als u alleen verkeer van specifieke virtuele netwerken wilt toestaan, selecteert u Ingeschakeld vanuit geselecteerde virtuele netwerken en IP-adressen.

   • Als u verkeer van alle netwerken wilt blokkeren, selecteert u Uitgeschakeld.

4. Klik op Opslaan om uw wijzigingen toe te passen.

PowerShell

1. Installeer de Azure PowerShell en meld u aan.

2. Kies welk type openbare netwerktoegang u wilt toestaan.

   • Als u verkeer van alle netwerken wilt toestaan, gebruikt u de Update-AzStorageAccountNetworkRuleSet opdracht en stelt u de -DefaultAction parameter in op Allow.

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
     

   • Als u alleen verkeer van specifieke virtuele netwerken wilt toestaan, gebruikt u de Update-AzStorageAccountNetworkRuleSet opdracht en stelt u de -DefaultAction parameter in op Deny.

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
     

   • Als u verkeer van alle netwerken wilt blokkeren, gebruikt u de Set-AzStorageAccount opdracht en stelt u de -PublicNetworkAccess parameter in op Disabled. Verkeer wordt alleen toegestaan via een privé-eindpunt. U moet dat privé-eindpunt maken.

     Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
     

Azure-CLI

1. Installeer de Azure CLI en meld u aan.

2. Kies welk type openbare netwerktoegang u wilt toestaan.

   • Als u verkeer van alle netwerken wilt toestaan, gebruikt u de az storage account update opdracht en stelt u de --default-action parameter in op Allow.

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
     

   • Als u alleen verkeer van specifieke virtuele netwerken wilt toestaan, gebruikt u de az storage account update opdracht en stelt u de --default-action parameter in op Deny.

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
     

   • Als u verkeer van alle netwerken wilt blokkeren, gebruikt u de az storage account update opdracht en stelt u de --public-network-access parameter in op Disabled. Verkeer wordt alleen toegestaan via een privé-eindpunt. U moet dat privé-eindpunt maken.

     az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
     

Waarschuwing

Standaard heeft toegang tot een opslagaccount via vertrouwde services de hoogste prioriteit boven andere netwerktoegangsbeperkingen. Als u Openbare netwerktoegang instelt op Uitgeschakeld nadat u deze eerder hebt ingesteld op Ingeschakeld vanuit geselecteerde virtuele netwerken en IP-adressen, blijven alle resource-exemplaren en uitzonderingen die u eerder hebt geconfigureerd, inclusief Toestaan dat Azure-services in de lijst met vertrouwde services toegang hebben tot dit opslagaccount, van kracht. Als gevolg hiervan hebben deze resources en services mogelijk nog steeds toegang tot het opslagaccount nadat openbare netwerktoegang is ingesteld op Uitgeschakeld.

Toegang verlenen vanuit een virtueel netwerk

U kunt opslagaccounts configureren om alleen toegang toe te staan vanuit specifieke subnetten. De toegestane subnetten kunnen deel uitmaken van een VNet in hetzelfde abonnement of van een ander abonnement, inclusief abonnementen die behoren tot een andere Azure Active Directory-tenant.

U kunt een service-eindpunt inschakelen voor Azure Storage binnen het VNet. Het service-eindpunt routeert verkeer van het VNet via een optimaal pad naar de Azure Storage-service. De identiteiten van het subnet en het virtuele netwerk worden ook bij elke aanvraag verzonden. Beheerders kunnen vervolgens netwerkregels configureren voor het opslagaccount waarmee aanvragen kunnen worden ontvangen van specifieke subnetten in een VNet. Clients die toegang krijgen via deze netwerkregels, moeten blijven voldoen aan de autorisatievereisten van het opslagaccount om toegang te krijgen tot de gegevens.

Elk opslagaccount ondersteunt maximaal 200 regels voor virtuele netwerken, die kunnen worden gecombineerd met IP-netwerkregels.

Belangrijk

Als u een subnet verwijdert dat is opgenomen in een netwerkregel, wordt het uit de netwerkregels voor het opslagaccount verwijderd. Als u een nieuw subnet met dezelfde naam maakt, heeft het geen toegang tot het opslagaccount. Als u toegang wilt toestaan, moet u het nieuwe subnet expliciet autoriseren in de netwerkregels voor het opslagaccount.

Vereiste machtigingen

Als u een regel voor een virtueel netwerk wilt toepassen op een opslagaccount, moet de gebruiker over de juiste machtigingen beschikken voor de subnetten die worden toegevoegd. Het toepassen van een regel kan worden uitgevoerd door een inzender voor opslagaccounts of een gebruiker die via een aangepaste Azure-rol toestemming heeft gekregen voor de bewerking van de Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure-resourceprovider .

Het opslagaccount en de virtuele netwerken die toegang krijgen, kunnen zich in verschillende abonnementen bevinden, inclusief abonnementen die deel uitmaken van een andere Azure AD tenant.

Notitie

Configuratie van regels die toegang verlenen tot subnetten in virtuele netwerken die deel uitmaken van een andere Azure Active Directory-tenant, wordt momenteel alleen ondersteund via PowerShell, CLI en REST API's. Dergelijke regels kunnen niet worden geconfigureerd via de Azure Portal, hoewel ze wel in de portal kunnen worden weergegeven.

Beschikbare regio's voor virtuele netwerken

Service-eindpunten werken standaard tussen virtuele netwerken en service-exemplaren in dezelfde Azure-regio. Wanneer u service-eindpunten gebruikt met Azure Storage, werken service-eindpunten ook tussen virtuele netwerken en service-exemplaren in een gekoppelde regio. Als u een service-eindpunt wilt gebruiken om toegang te verlenen tot virtuele netwerken in andere regio's, moet u de AllowGlobalTagsForStorage functie registreren in het abonnement van het virtuele netwerk. Deze mogelijkheid is momenteel beschikbaar als openbare preview-versie.

Service-eindpunten bieden continuïteit tijdens een regionale failover en toegang tot alleen-lezen geografisch redundante opslagexemplaren (RA-GRS). Netwerkregels die toegang verlenen vanuit een virtueel netwerk tot een opslagaccount, verlenen ook toegang tot elk RA-GRS-exemplaar.

Bij het plannen van herstel na noodgevallen tijdens een regionale storing, moet u de VNets van tevoren in de gekoppelde regio maken. Schakel service-eindpunten in voor Azure Storage, met netwerkregels die toegang verlenen vanuit deze alternatieve virtuele netwerken. Pas deze regels vervolgens toe op uw geografisch redundante opslagaccounts.

Toegang tot virtuele netwerken in andere regio's inschakelen (preview)

Belangrijk

Deze mogelijkheid is momenteel beschikbaar als PREVIEW-versie.

Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Als u toegang wilt inschakelen vanuit een virtueel netwerk dat zich in een andere regio bevindt via service-eindpunten, registreert u de AllowGlobalTagsForStorage functie in het abonnement van het virtuele netwerk. Alle subnetten in het abonnement waarvoor de functie AllowedGlobalTagsForStorage is ingeschakeld, gebruiken geen openbaar IP-adres meer om te communiceren met een opslagaccount. In plaats daarvan gebruikt al het verkeer van deze subnetten naar opslagaccounts een privé-IP-adres als bron-IP-adres. Als gevolg hiervan hebben opslagaccounts die IP-netwerkregels gebruiken om verkeer van die subnetten toe te laten, geen effect meer.

Notitie

Als u de bestaande service-eindpunten wilt bijwerken voor toegang tot een opslagaccount in een andere regio, voert u een updatesubnetbewerking uit op het subnet nadat u het abonnement bij de AllowGlobalTagsForStorage functie hebt geregistreerd. Als u terug wilt gaan naar de oude configuratie, voert u een updatesubnetbewerking uit nadat u de registratie van het abonnement met de AllowGlobalTagsForStorage functie hebt opgeheven.

Portal

Tijdens de preview moet u PowerShell of de Azure CLI gebruiken om deze functie in te schakelen.

PowerShell

1. Open een Windows PowerShell opdrachtvenster.

2. Meld u aan bij uw Azure-abonnement met de opdracht Connect-AzAccount en volg de instructies op het scherm.

   Connect-AzAccount
   

3. Als uw identiteit is gekoppeld aan meer dan één abonnement, stelt u uw actieve abonnement in op het abonnement van het virtuele netwerk.

   $context = Get-AzSubscription -SubscriptionId <subscription-id>
   Set-AzContext $context
   

   Vervang de waarde van de <subscription-id> tijdelijke aanduiding door de id van uw abonnement.

4. Registreer de AllowGlobalTagsForStorage functie met behulp van de opdracht Register-AzProviderFeature .

   Register-AzProviderFeature -ProviderNamespace Microsoft.Network -FeatureName AllowGlobalTagsForStorage
   

   Notitie

   Het registratieproces wordt mogelijk niet onmiddellijk voltooid. Zorg ervoor dat u controleert of de functie is geregistreerd voordat u deze gebruikt.

5. Gebruik de opdracht Get-AzProviderFeature om te controleren of de registratie is voltooid.

   Get-AzProviderFeature -ProviderNamespace Microsoft.Network -FeatureName AllowGlobalTagsForStorage
   

Azure-CLI

1. Open de Azure Cloud Shell of open een opdrachtconsoletoepassing, zoals Windows PowerShell, als u de Azure CLI lokaal hebt geïnstalleerd.

2. Als uw identiteit is gekoppeld aan meer dan één abonnement, stelt u uw actieve abonnement in op abonnement van het virtuele netwerk.

   az account set --subscription <subscription-id>
   

   Vervang de waarde van de <subscription-id> tijdelijke aanduiding door de id van uw abonnement.

3. Registreer de AllowGlobalTagsForStorage functie met behulp van de opdracht az feature register .

   az feature register --namespace Microsoft.Network --name AllowGlobalTagsForStorage
   

   Notitie

   Het registratieproces wordt mogelijk niet onmiddellijk voltooid. Zorg ervoor dat u controleert of de functie is geregistreerd voordat u deze gebruikt.

4. Gebruik de opdracht az feature om te controleren of de registratie is voltooid.

   az feature show --namespace Microsoft.Network --name AllowGlobalTagsForStorage
   

Regels voor virtuele netwerken beheren

U kunt regels voor virtuele netwerken voor opslagaccounts beheren via de Azure Portal, PowerShell of CLIv2.

Notitie

Als u de AllowGlobalTagsForStorage functie hebt geregistreerd en u toegang tot uw opslagaccount wilt inschakelen vanuit een virtueel netwerk/subnet in een andere Azure AD tenant of in een andere regio dan de regio van het opslagaccount of de gekoppelde regio, moet u PowerShell of de Azure CLI gebruiken. De Azure Portal geeft geen subnetten weer in andere Azure AD tenants of in andere regio's dan de regio van het opslagaccount of de gekoppelde regio, en kan daarom niet worden gebruikt voor het configureren van toegangsregels voor virtuele netwerken in andere regio's.

Portal

1. Ga naar het opslagaccount dat u wilt beveiligen.

2. Selecteer in het instellingenmenu Netwerken.

3. Controleer of u hebt geselecteerd om toegang toe te staan vanuit geselecteerde netwerken.

4. Als u toegang wilt verlenen tot een virtueel netwerk met een nieuwe netwerkregel, selecteert u onder Virtuele netwerken de optie Bestaand virtueel netwerk toevoegen, selecteert u Opties voor virtuele netwerken en subnetten en selecteert u vervolgens Toevoegen. Als u een nieuw virtueel netwerk wilt maken en toegang wilt verlenen, selecteert u Nieuw virtueel netwerk toevoegen. Geef de informatie op die nodig is om het nieuwe virtuele netwerk te maken en selecteer vervolgens Maken.

   Notitie

   Als een service-eindpunt voor Azure Storage niet eerder is geconfigureerd voor het geselecteerde virtuele netwerk en subnetten, kunt u dit als onderdeel van deze bewerking configureren.

   Momenteel worden alleen virtuele netwerken die tot dezelfde Azure Active Directory-tenant behoren, weergegeven voor selectie tijdens het maken van de regel. Als u toegang wilt verlenen tot een subnet in een virtueel netwerk dat deel uitmaakt van een andere tenant, gebruikt u , PowerShell, CLI of REST API's.

   Zelfs als u de AllowGlobalTagsForStorageOnly functie hebt geregistreerd, worden subnetten in andere regio's dan de regio van het opslagaccount of de gekoppelde regio niet weergegeven voor selectie. Als u toegang tot uw opslagaccount wilt inschakelen vanuit een virtueel netwerk/subnet in een andere regio, gebruikt u de instructies op de tabbladen PowerShell of Azure CLI.

5. Als u een virtueel netwerk of subnetregel wilt verwijderen, selecteert u ... om het contextmenu voor het virtuele netwerk of subnet te openen en selecteert u Verwijderen.

6. Selecteer Opslaan om uw wijzigingen toe te passen.

PowerShell

1. Installeer de Azure PowerShell en meld u aan.

2. Regels voor virtuele netwerken weergeven.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
   

3. Schakel het service-eindpunt in voor Azure Storage in een bestaand virtueel netwerk en subnet.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzVirtualNetwork
   

4. Voeg een netwerkregel toe voor een virtueel netwerk en subnet.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

   Tip

   Als u een netwerkregel wilt toevoegen voor een subnet in een VNet dat behoort tot een andere Azure AD tenant, gebruikt u een volledig gekwalificeerde VirtualNetworkResourceId-parameter in de vorm "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

5. Verwijder een netwerkregel voor een virtueel netwerk en subnet.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

Belangrijk

Zorg ervoor dat u de standaardregel instelt op weigeren, anders hebben netwerkregels geen effect.

Azure-CLI

1. Installeer de Azure CLI en meld u aan.

2. Regels voor virtuele netwerken weergeven.

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
   

3. Schakel het service-eindpunt in voor Azure Storage in een bestaand virtueel netwerk en subnet.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
   

4. Voeg een netwerkregel toe voor een virtueel netwerk en subnet.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

   Tip

   Als u een regel wilt toevoegen voor een subnet in een VNet dat deel uitmaakt van een andere Azure AD tenant, gebruikt u een volledig gekwalificeerde subnet-id in de vorm '/subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>'.

   U kunt de abonnementsparameter gebruiken om de subnet-id op te halen voor een VNet dat deel uitmaakt van een andere Azure AD tenant.

5. Verwijder een netwerkregel voor een virtueel netwerk en subnet.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

Belangrijk

Zorg ervoor dat u de standaardregel instelt op weigeren, anders hebben netwerkregels geen effect.

Toegang verlenen vanuit een IP-bereik

U kunt IP-netwerkregels gebruiken om toegang toe te staan vanuit specifieke openbare IP-adresbereiken voor internet door IP-netwerkregels te maken. Elk opslagaccount ondersteunt maximaal 200 regels. Deze regels verlenen toegang tot specifieke internetservices en on-premises netwerken en blokkeren algemeen internetverkeer.

De volgende beperkingen zijn van toepassing op IP-adresbereiken.

• IP-netwerkregels zijn alleen toegestaan voor openbare internet-IP-adressen.

  IP-adresbereiken die zijn gereserveerd voor particuliere netwerken (zoals gedefinieerd in RFC 1918) zijn niet toegestaan in IP-regels. Privénetwerken bevatten adressen die beginnen met 10.**, 172.16. - *172.31. en *192.168..

• U moet toegestane internetadresbereiken opgeven met behulp van CIDR-notatie in het formulier 16.17.18.0/24 of als afzonderlijke IP-adressen, zoals 16.17.18.19.

• Kleine adresbereiken met voorvoegselgrootten '/31' of '/32' worden niet ondersteund. Deze bereiken moeten worden geconfigureerd met behulp van afzonderlijke IP-adresregels.

• Alleen IPV4-adressen worden ondersteund voor het configureren van firewallregels voor opslag.

IP-netwerkregels kunnen niet worden gebruikt in de volgende gevallen:

• Toegang beperken tot clients in dezelfde Azure-regio als het opslagaccount.

  IP-netwerkregels hebben geen invloed op aanvragen die afkomstig zijn uit dezelfde Azure-regio als het opslagaccount. Gebruik regels voor virtuele netwerken om aanvragen in dezelfde regio toe te staan.

• De toegang beperken tot clients in een gekoppelde regio die zich in een VNet met een service-eindpunt bevinden.

• De toegang beperken tot Azure-services die zijn geïmplementeerd in dezelfde regio als het opslagaccount.

  Services die zijn geïmplementeerd in dezelfde regio als het opslagaccount, gebruiken privé-IP-adressen van Azure voor communicatie. U kunt de toegang tot specifieke Azure-services dus niet beperken op basis van hun openbare uitgaande IP-adresbereik.

Toegang vanaf on-premises netwerken configureren

Als u vanuit uw on-premises netwerken toegang wilt verlenen tot uw opslagaccount met een IP-netwerkregel, moet u de internetgerichte IP-adressen identificeren die door uw netwerk worden gebruikt. Neem contact op met uw netwerkbeheerder voor hulp.

Als u ExpressRoute gebruikt vanuit uw on-premises netwerk voor openbare peering of Microsoft-peering, moet u de NAT IP-adressen opgeven die worden gebruikt. Voor openbare peering gebruikt elk ExpressRoute-circuit standaard twee NAT IP-adressen. Deze worden toegepast op Azure-serviceverkeer wanneer het verkeer het Microsoft Azure-backbone-netwerk binnenkomt. Voor Microsoft-peering worden de nat-IP-adressen die worden gebruikt, geleverd door de klant of door de serviceprovider. Voor toegang tot uw serviceresources moet u deze openbare IP-adressen toestaan in de instelling voor IP-firewall voor de resource. Wanneer u op zoek bent naar de IP-adressen van uw ExpressRoute-circuit voor openbare peering, opent u een ondersteuningsticket met ExpressRoute via de Azure-portal. Meer informatie over NAT voor openbare peering en Microsoft-peering met ExpressRoute.

IP-netwerkregels beheren

U kunt IP-netwerkregels voor opslagaccounts beheren via de Azure Portal, PowerShell of CLIv2.

Portal

1. Ga naar het opslagaccount dat u wilt beveiligen.

2. Selecteer in het instellingenmenu Netwerken.

3. Controleer of u hebt geselecteerd om toegang toe te staan vanuit Geselecteerde netwerken.

4. Als u toegang wilt verlenen tot een IP-adresbereik op internet, voert u het IP-adres of adresbereik (in CIDR-indeling) in onderFirewalladresbereik>.

5. Als u een IP-netwerkregel wilt verwijderen, selecteert u het prullenbakpictogram naast het adresbereik.

6. Klik op Opslaan om uw wijzigingen toe te passen.

PowerShell

1. Installeer de Azure PowerShell en meld u aan.

2. IP-netwerkregels weergeven.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
   

3. Voeg een netwerkregel toe voor een afzonderlijk IP-adres.

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

4. Voeg een netwerkregel toe voor een IP-adresbereik.

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

5. Verwijder een netwerkregel voor een afzonderlijk IP-adres.

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

6. Verwijder een netwerkregel voor een IP-adresbereik.

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

Belangrijk

Zorg ervoor dat u de standaardregel instelt op weigeren, anders hebben netwerkregels geen effect.

Azure-CLI

1. Installeer de Azure CLI en meld u aan.

2. IP-netwerkregels weergeven.

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
   

3. Voeg een netwerkregel toe voor een afzonderlijk IP-adres.

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

4. Voeg een netwerkregel toe voor een IP-adresbereik.

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

5. Verwijder een netwerkregel voor een afzonderlijk IP-adres.

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

6. Verwijder een netwerkregel voor een IP-adresbereik.

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

Belangrijk

Zorg ervoor dat u de standaardregel instelt op weigeren, anders hebben netwerkregels geen effect.

Toegang verlenen vanuit Azure-resource-exemplaren

In sommige gevallen kan een toepassing afhankelijk zijn van Azure-resources die niet kunnen worden geïsoleerd via een virtueel netwerk of een IP-adresregel. U wilt echter nog steeds de toegang tot het opslagaccount beveiligen en beperken tot alleen de Azure-resources van uw toepassing. U kunt opslagaccounts configureren om toegang tot specifieke resource-exemplaren van sommige Azure-services toe te staan door een regel voor het resource-exemplaar te maken.

De typen bewerkingen die een resource-exemplaar kan uitvoeren op opslagaccountgegevens, worden bepaald door de Azure-roltoewijzingen van het resource-exemplaar. Resource-exemplaren moeten afkomstig zijn van dezelfde tenant als uw opslagaccount, maar ze kunnen deel uitmaken van elk abonnement in de tenant.

Portal

U kunt resourcenetwerkregels toevoegen of verwijderen in de Azure Portal.

1. Meld u aan bij de Azure-portal om aan de slag te gaan.

2. Zoek uw opslagaccount en geef het accountoverzicht weer.

3. Selecteer Netwerken om de configuratiepagina voor netwerken weer te geven.

4. Selecteer onder Firewalls en virtuele netwerken de optie Geselecteerde netwerken om toegang toe te staan.

5. Schuif omlaag om Resource-exemplaren te zoeken en kies in de vervolgkeuzelijst Resourcetype het resourcetype van uw resource-exemplaar.

6. Kies in de vervolgkeuzelijst Exemplaarnaam het resource-exemplaar. U kunt er ook voor kiezen om alle resource-exemplaren op te nemen in de actieve tenant, het actieve abonnement of de resourcegroep.

7. Klik op Opslaan om uw wijzigingen toe te passen. Het resource-exemplaar wordt weergegeven in de sectie Resource-exemplaren van de pagina met netwerkinstellingen.

Als u het resource-exemplaar wilt verwijderen, selecteert u het pictogram verwijderen ( ) naast het resource-exemplaar.

PowerShell

U kunt PowerShell-opdrachten gebruiken om resourcenetwerkregels toe te voegen of te verwijderen.

Belangrijk

Zorg ervoor dat u de standaardregel instelt op weigeren, anders hebben netwerkregels geen effect.

Toegang verlenen

Voeg een netwerkregel toe die toegang verleent vanuit een resource-exemplaar.

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Geef meerdere resource-exemplaren tegelijk op door de netwerkregelset te wijzigen.

$resourceId1 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$resourceId2 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/mySQLServer"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule (@{ResourceId=$resourceId1;TenantId=$tenantId},@{ResourceId=$resourceId2;TenantId=$tenantId}) 

Toegang intrekken

Verwijder een netwerkregel die toegang verleent vanuit een resource-exemplaar.

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Remove-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId  

Verwijder alle netwerkregels die toegang verlenen vanaf resource-exemplaren.

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule @()  

Een lijst met toegestane resource-exemplaren weergeven

Bekijk een volledige lijst met resource-exemplaren die toegang hebben gekregen tot het opslagaccount.

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

$rule = Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName
$rule.ResourceAccessRules 

Azure-CLI

U kunt Azure CLI-opdrachten gebruiken om resourcenetwerkregels toe te voegen of te verwijderen.

Toegang verlenen

Voeg een netwerkregel toe die toegang verleent vanuit een resource-exemplaar.

az storage account network-rule add \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Toegang intrekken

Verwijder een netwerkregel die toegang verleent vanuit een resource-exemplaar.

az storage account network-rule remove \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Een lijst met toegestane resource-exemplaren weergeven

Bekijk een volledige lijst met resource-exemplaren die toegang hebben gekregen tot het opslagaccount.

az storage account network-rule list \
    -g myResourceGroup \
    --account-name mystorageaccount

Toegang verlenen tot vertrouwde Azure-services

Sommige Azure-services werken vanuit netwerken die niet kunnen worden opgenomen in uw netwerkregels. U kunt een subset van dergelijke vertrouwde Azure-services toegang verlenen tot het opslagaccount, met behoud van netwerkregels voor andere apps. Deze vertrouwde services gebruiken vervolgens sterke verificatie om veilig verbinding te maken met uw opslagaccount.

U kunt toegang verlenen tot vertrouwde Azure-services door een netwerkregeluitzondering te maken. Zie de sectie Uitzonderingen beheren van dit artikel voor stapsgewijze instructies.

Wanneer u toegang verleent tot vertrouwde Azure-services, verleent u de volgende typen toegang:

• Vertrouwde toegang voor geselecteerde bewerkingen tot resources die zijn geregistreerd in uw abonnement.
• Vertrouwde toegang tot resources op basis van een beheerde identiteit.

Vertrouwde toegang voor resources die zijn geregistreerd in uw abonnement

Resources van sommige services hebben, wanneer ze zijn geregistreerd in uw abonnement, toegang tot uw opslagaccount in hetzelfde abonnement voor geselecteerde bewerkingen, zoals het schrijven van logboeken of back-ups. In de volgende tabel worden elke service en de toegestane bewerkingen beschreven.

Service	Naam van resourceprovider	Bewerkingen toegestaan
Azure Backup	Microsoft.RecoveryServices	Back-ups en herstelbewerkingen uitvoeren van niet-beheerde schijven in virtuele IAAS-machines. (niet vereist voor beheerde schijven). Meer informatie.
Azure Data Box	Microsoft.DataBox	Hiermee kunt u gegevens importeren in Azure met behulp van Data Box. Meer informatie.
Azure DevTest Labs	Microsoft.DevTestLab	Aangepaste installatiekopieën maken en artefacten installeren. Meer informatie.
Azure Event Grid	Microsoft.EventGrid	Schakel Blob Storage-gebeurtenispublicatie in en sta Event Grid toe om te publiceren naar opslagwachtrijen. Meer informatie over Blob Storage-gebeurtenissen en publiceren naar wachtrijen.
Azure Event Hubs	Microsoft.EventHub	Gegevens archiveren met Event Hubs Capture. Meer informatie.
Azure File Sync	Microsoft.StorageSync	Hiermee kunt u uw on-premises bestandsserver transformeren naar een cache voor Azure-bestandsshares. Hiermee kunt u multi-site synchroniseren, snel herstel na noodgevallen en back-ups aan de cloudzijde maken. Meer informatie
Azure HDInsight	Microsoft.HDInsight	Richt de oorspronkelijke inhoud van het standaardbestandssysteem in voor een nieuw HDInsight-cluster. Meer informatie.
Azure Import Export	Microsoft.ImportExport	Hiermee kunt u gegevens importeren in Azure Storage of gegevens exporteren vanuit Azure Storage met behulp van de Azure Storage Import/Export-service. Meer informatie.
Azure Monitor	Microsoft.Insights	Hiermee kunt u bewakingsgegevens schrijven naar een beveiligd opslagaccount, inclusief resourcelogboeken, Azure Active Directory-aanmeldings- en auditlogboeken en Microsoft Intune logboeken. Meer informatie.
Azure Networking	Microsoft.Network	Sla logboeken voor netwerkverkeer op en analyseer deze, inclusief via de services Network Watcher en Traffic Analytics. Meer informatie.
Azure Site Recovery	Microsoft.SiteRecovery	Schakel replicatie in voor herstel na noodgevallen van virtuele Azure IaaS-machines bij gebruik van cache-, bron- of doelopslagaccounts met firewall. Meer informatie.

Vertrouwde toegang op basis van een beheerde identiteit

De volgende tabel bevat services die toegang kunnen hebben tot uw opslagaccountgegevens als de resource-exemplaren van deze services de juiste machtiging krijgen.

Als voor uw account de hiërarchische naamruimtefunctie niet is ingeschakeld, kunt u machtigingen verlenen door expliciet een Azure-rol toe te wijzen aan de beheerde identiteit voor elk resource-exemplaar. In dit geval komt het toegangsbereik voor het exemplaar overeen met de Azure-rol die aan de beheerde identiteit is toegewezen.

U kunt dezelfde techniek gebruiken voor een account waarvoor de hiërarchische naamruimtefunctie is ingeschakeld. U hoeft echter geen Azure-rol toe te wijzen als u de beheerde identiteit toevoegt aan de toegangsbeheerlijst (ACL) van een map of blob in het opslagaccount. In dat geval komt het toegangsbereik voor het exemplaar overeen met de map of het bestand waartoe de beheerde identiteit toegang heeft gekregen. U kunt ook Azure-rollen en ACL's combineren. Zie Model voor toegangsbeheer in Azure Data Lake Storage Gen2 voor meer informatie over het combineren van deze opties om toegang te verlenen.

Tip

De aanbevolen manier om toegang te verlenen tot specifieke resources is het gebruik van resource-exemplaarregels. Als u toegang wilt verlenen aan specifieke resource-exemplaren, raadpleegt u de sectie Toegang verlenen vanuit Azure-resource-exemplaren van dit artikel.

Service	Naam van resourceprovider	Doel
Azure API Management	Microsoft.ApiManagement/service	Hiermee maakt API Management servicetoegang tot opslagaccounts achter een firewall mogelijk met behulp van beleid. Meer informatie.
Azure Cache voor Redis	Microsoft.Cache/Redis	Staat toegang tot opslagaccounts toe via Azure Cache voor Redis. Meer informatie
Azure Cognitive Search	Microsoft.Search/searchServices	Hiermee kunnen Cognitive Search-services toegang krijgen tot opslagaccounts voor indexering, verwerking en query's.
Azure Cognitive Services	Microsoft.CognitiveService/accounts	Hiermee heeft Cognitive Services toegang tot opslagaccounts. Meer informatie.
Azure Container Registry Tasks	Microsoft.ContainerRegistry/registries	ACR-taken hebben toegang tot opslagaccounts bij het bouwen van containerinstallatiekopieën.
Azure Data Factory	Microsoft.DataFactory/factory's	Hiermee staat u toegang tot opslagaccounts toe via de ADF-runtime.
Azure Data Share	Microsoft.DataShare/accounts	Staat toegang tot opslagaccounts toe via Data Share.
Azure DevTest Labs	Microsoft.DevTestLab/labs	Hiermee staat u toegang tot opslagaccounts toe via DevTest Labs.
Azure Event Grid	Microsoft.EventGrid/topics	Staat toegang tot opslagaccounts toe via de Azure Event Grid.
Azure Healthcare APIs	Microsoft.HealthcareApis/services	Staat toegang tot opslagaccounts toe via Azure Healthcare API's.
Azure IoT Central-toepassingen	Microsoft.IoTCentral/IoTApps	Staat toegang tot opslagaccounts toe via Azure IoT Central-toepassingen.
Azure IoT Hub	Microsoft.Devices/IotHubs	Hiermee kunnen gegevens van een IoT-hub naar Blob Storage worden geschreven. Meer informatie
Azure Logic Apps	Microsoft.Logic/workflows	Hiermee kunnen logische apps toegang krijgen tot opslagaccounts. Meer informatie.
Azure Machine Learning-service	Microsoft.MachineLearningServices	Geautoriseerde Azure Machine Learning-werkruimten schrijven experimentuitvoer, modellen en logboeken naar Blob Storage en lezen de gegevens. Meer informatie.
Azure Media Services	Microsoft.Media/mediaservices	Hiermee staat u toegang tot opslagaccounts toe via Media Services.
Azure Migrate	Microsoft.Migrate/migrateprojects	Hiermee verleent u toegang tot opslagaccounts via Azure Migrate.
Microsoft Purview	Microsoft.Purview/accounts	Hiermee heeft Microsoft Purview toegang tot opslagaccounts.
Azure Site Recovery	Microsoft.RecoveryServices/vaults	Hiermee verleent u toegang tot opslagaccounts via Site Recovery.
Azure SQL Database	Microsoft.Sql	Hiermee kunt u controlegegevens schrijven naar opslagaccounts achter de firewall.
Azure Synapse Analytics	Microsoft.Sql	Hiermee kunt u gegevens uit specifieke SQL-databases importeren en exporteren met behulp van de COPY-instructie of PolyBase (in een toegewezen pool) of de openrowset functie en externe tabellen in een serverloze pool. Meer informatie.
Azure Stream Analytics	Microsoft.StreamAnalytics	Hiermee staat u toe dat gegevens van een streamingtaak naar blobopslag worden geschreven. Meer informatie.
Azure Synapse Analytics	Microsoft.Synapse/workspaces	Hiermee wordt toegang tot gegevens in Azure Storage mogelijk vanuit Azure Synapse Analytics.

Toegang verlenen tot opslaganalyses

In sommige gevallen is toegang tot het lezen van resourcelogboeken en metrische gegevens vereist van buiten de netwerkgrens. Wanneer u toegang tot het opslagaccount voor vertrouwde services configureert, kunt u leestoegang toestaan voor de logboekbestanden, tabellen met metrische gegevens of beide door een netwerkregeluitzondering te maken. Zie de sectie Uitzonderingen beheren hieronder voor stapsgewijze instructies. Zie Azure Storage Analytics gebruiken om logboeken en metrische gegevens te verzamelen voor meer informatie over het werken met opslaganalyses.

Uitzonderingen beheren

U kunt uitzonderingen voor netwerkregels beheren via de Azure Portal, PowerShell of Azure CLI v2.

Portal

1. Ga naar het opslagaccount dat u wilt beveiligen.

2. Selecteer in het instellingenmenu Netwerken.

3. Controleer of u hebt geselecteerd om toegang toe te staan vanuit geselecteerde netwerken.

4. Selecteer onder Uitzonderingen de uitzonderingen die u wilt verlenen.

5. Klik op Opslaan om uw wijzigingen toe te passen.

PowerShell

1. Installeer de Azure PowerShell en meld u aan.

2. Geef de uitzonderingen voor de netwerkregels voor het opslagaccount weer.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
   

3. Configureer de uitzonderingen op de netwerkregels van het opslagaccount.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
   

4. Verwijder de uitzonderingen op de netwerkregels van het opslagaccount.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
   

Belangrijk

Zorg ervoor dat u de standaardregel instelt op weigeren, anders heeft het verwijderen van uitzonderingen geen effect.

Azure-CLI

1. Installeer de Azure CLI en meld u aan.

2. Geef de uitzonderingen voor de netwerkregels voor het opslagaccount weer.

   az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
   

3. Configureer de uitzonderingen op de netwerkregels van het opslagaccount.

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
   

4. Verwijder de uitzonderingen op de netwerkregels van het opslagaccount.

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
   

Belangrijk

Zorg ervoor dat u de standaardregel instelt op weigeren, anders heeft het verwijderen van uitzonderingen geen effect.

Volgende stappen

Meer informatie over Azure Network-service-eindpunten vindt u in Service-eindpunten.

Meer informatie over de beveiligingshandleiding voor Azure Storage-beveiliging in Azure Storage.