Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage
Usługa Azure Storage zapewnia warstwowy model zabezpieczeń. Ten model umożliwia kontrolę poziomu dostępu do kont magazynowania używanych przez aplikacje i środowiska przedsiębiorstw na podstawie typu i podzbioru używanych sieci lub zasobów.
Podczas konfigurowania reguł sieci tylko aplikacje żądające danych za pośrednictwem określonego zestawu sieci lub za pośrednictwem określonego zestawu zasobów platformy Azure mogą uzyskiwać dostęp do konta magazynu. Dostęp do konta magazynu można ograniczyć do żądań pochodzących z określonych adresów IP, zakresów adresów IP, podsieci w sieci wirtualnej platformy Azure lub wystąpień zasobów niektórych usług platformy Azure.
Konta magazynu mają publiczny punkt końcowy dostępny za pośrednictwem Internetu. Możesz również utworzyć prywatne punkty końcowe dla konta magazynu. Tworzenie prywatnych punktów końcowych przypisuje prywatny adres IP z sieci wirtualnej do konta magazynu. Pomaga zabezpieczyć ruch między siecią wirtualną a kontem magazynu za pośrednictwem łącza prywatnego.
Zapora usługi Azure Storage zapewnia kontrolę dostępu dla publicznego punktu końcowego konta magazynu. Zapora umożliwia również zablokowanie całego dostępu za pośrednictwem publicznego punktu końcowego podczas korzystania z prywatnych punktów końcowych. Konfiguracja zapory umożliwia również zaufanym usługom platformy Azure dostęp do konta magazynu.
Aplikacja, która uzyskuje dostęp do konta magazynu, gdy reguły sieciowe są w mocy, nadal wymagają odpowiedniej autoryzacji dla żądania. Autoryzacja jest obsługiwana przy użyciu poświadczeń entra firmy Microsoft dla obiektów blob, tabel, udziałów plików i kolejek, z prawidłowym kluczem dostępu do konta lub tokenem sygnatury dostępu współdzielonego (SAS). Podczas konfigurowania kontenera obiektów blob na potrzeby dostępu anonimowego żądania odczytu danych w tym kontenerze nie muszą być autoryzowane. Reguły zapory pozostaną w mocy i zablokują ruch anonimowy.
Włączenie reguł zapory dla konta magazynu domyślnie blokuje przychodzące żądania dotyczące danych, chyba że żądania pochodzą z usługi działającej w sieci wirtualnej platformy Azure lub z dozwolonych publicznych adresów IP. Żądania, które są zablokowane, obejmują te z innych usług platformy Azure, z witryny Azure Portal oraz z usług rejestrowania i metryk.
Dostęp do usług platformy Azure działających z poziomu sieci wirtualnej można udzielić, zezwalając na ruch z podsieci hostujących wystąpienie usługi. Można również włączyć ograniczoną liczbę scenariuszy za pomocą mechanizmu wyjątków opisanego w tym artykule. Aby uzyskać dostęp do danych z konta magazynu za pośrednictwem witryny Azure Portal, musisz znajdować się na maszynie w ramach skonfigurowanej zaufanej granicy (adresu IP lub sieci wirtualnej).
Uwaga
Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Scenariusze
Aby zabezpieczyć konto magazynu, należy najpierw skonfigurować regułę w celu odmowy dostępu do ruchu ze wszystkich sieci (w tym ruchu internetowego) w publicznym punkcie końcowym domyślnie. Następnie należy skonfigurować reguły, które udzielają dostępu do ruchu z określonych sieci wirtualnych. Można również skonfigurować reguły udzielania dostępu do ruchu z wybranych zakresów publicznych adresów IP internetowych, umożliwiając połączenia z określonych klientów internetowych lub lokalnych. Ta konfiguracja ułatwia tworzenie bezpiecznej granicy sieci dla aplikacji.
Możesz połączyć reguły zapory, które zezwalają na dostęp z określonych sieci wirtualnych i z zakresów publicznych adresów IP na tym samym koncie magazynu. Reguły zapory magazynu można stosować do istniejących kont magazynu lub podczas tworzenia nowych kont magazynu.
Reguły zapory magazynu dotyczą publicznego punktu końcowego konta magazynu. Nie potrzebujesz żadnych reguł dostępu do zapory, aby zezwolić na ruch dla prywatnych punktów końcowych konta magazynu. Proces zatwierdzania tworzenia prywatnego punktu końcowego udziela niejawnego dostępu do ruchu z podsieci, która hostuje prywatny punkt końcowy.
Ważne
Reguły zapory usługi Azure Storage dotyczą tylko operacji płaszczyzny danych. Operacje płaszczyzny sterowania nie podlegają ograniczeniom określonym w regułach zapory.
Niektóre operacje, takie jak operacje kontenera obiektów blob, można wykonywać zarówno za pośrednictwem płaszczyzny sterowania, jak i płaszczyzny danych. Dlatego jeśli spróbujesz wykonać operację, taką jak wyświetlanie listy kontenerów z witryny Azure Portal, operacja powiedzie się, chyba że zostanie ona zablokowana przez inny mechanizm. Próby uzyskania dostępu do danych obiektów blob z aplikacji, takiej jak Eksplorator usługi Azure Storage, są kontrolowane przez ograniczenia zapory.
Aby uzyskać listę operacji płaszczyzny danych, zobacz Dokumentację interfejsu API REST usługi Azure Storage. Aby uzyskać listę operacji płaszczyzny sterowania, zobacz Dokumentację interfejsu API REST dostawcy zasobów usługi Azure Storage.
Konfigurowanie dostępu sieciowego do usługi Azure Storage
Dostęp do danych na koncie magazynu można kontrolować za pośrednictwem punktów końcowych sieci lub za pośrednictwem zaufanych usług lub zasobów w dowolnej kombinacji, w tym:
- Zezwalaj na dostęp z wybranych podsieci sieci wirtualnej przy użyciu prywatnych punktów końcowych.
- Zezwalaj na dostęp z wybranych podsieci sieci wirtualnej przy użyciu punktów końcowych usługi.
- Zezwalaj na dostęp z określonych publicznych adresów IP lub ich zakresów.
- Zezwalaj na dostęp z wybranych wystąpień zasobów platformy Azure.
- Zezwalaj na dostęp z zaufanych usług platformy Azure (przy użyciu opcji Zarządzaj wyjątkami).
- Konfigurowanie wyjątków dla usług rejestrowania i metryk.
Informacje o punktach końcowych sieci wirtualnej
Istnieją dwa typy punktów końcowych sieci wirtualnej dla kont magazynu:
Punkty końcowe usługi sieci wirtualnej są publiczne i dostępne za pośrednictwem Internetu. Zapora usługi Azure Storage zapewnia możliwość kontrolowania dostępu do konta magazynu za pośrednictwem takich publicznych punktów końcowych. Po włączeniu dostępu do sieci publicznej do konta magazynu wszystkie przychodzące żądania dotyczące danych są domyślnie blokowane. Tylko aplikacje, które żądają danych z dozwolonych źródeł skonfigurowanych w ustawieniach zapory konta magazynu, będą mogły uzyskiwać dostęp do danych. Źródła mogą obejmować źródłowy adres IP lub podsieć sieci wirtualnej klienta albo usługę platformy Azure lub wystąpienie zasobu, za pośrednictwem którego klienci lub usługi uzyskują dostęp do danych. Żądania, które są zablokowane, obejmują te z innych usług platformy Azure, z witryny Azure Portal oraz z usług rejestrowania i metryk, chyba że jawnie zezwolisz na dostęp w konfiguracji zapory.
Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej do uzyskiwania dostępu do konta magazynu za pośrednictwem sieci szkieletowej firmy Microsoft. W przypadku prywatnego punktu końcowego ruch między siecią wirtualną a kontem magazynu jest zabezpieczony za pośrednictwem łącza prywatnego. Reguły zapory magazynu dotyczą tylko publicznych punktów końcowych konta magazynu, a nie prywatnych punktów końcowych. Proces zatwierdzania tworzenia prywatnego punktu końcowego udziela niejawnego dostępu do ruchu z podsieci, która hostuje prywatny punkt końcowy. Zasady sieciowe umożliwiają kontrolowanie ruchu za pośrednictwem prywatnych punktów końcowych, jeśli chcesz uściślić reguły dostępu. Jeśli chcesz używać wyłącznie prywatnych punktów końcowych, możesz użyć zapory, aby zablokować cały dostęp za pośrednictwem publicznego punktu końcowego.
Aby ułatwić podjęcie decyzji, kiedy używać każdego typu punktu końcowego w danym środowisku, zobacz Porównanie prywatnych punktów końcowych i punktów końcowych usługi.
Jak podejść do zabezpieczeń sieci dla konta magazynu
Aby zabezpieczyć konto magazynu i utworzyć bezpieczną granicę sieci dla aplikacji:
Zacznij od wyłączenia dostępu do całej sieci publicznej dla konta magazynu w ustawieniach Dostęp do sieci publicznej w zaporze konta magazynu.
Jeśli to możliwe, skonfiguruj prywatne linki do konta magazynu z prywatnych punktów końcowych w podsieciach sieci wirtualnej, w których znajdują się klienci, którzy wymagają dostępu do danych.
Jeśli aplikacje klienckie wymagają dostępu za pośrednictwem publicznych punktów końcowych, zmień ustawienie Dostęp do sieci publicznej na Włączone z wybranych sieci wirtualnych i adresów IP. Następnie, zgodnie z potrzebami:
- Określ podsieci sieci wirtualnej, z których chcesz zezwolić na dostęp.
- Określ zakresy publicznych adresów IP klientów, z których chcesz zezwolić na dostęp, takich jak te w sieciach lokalnych.
- Zezwalaj na dostęp z wybranych wystąpień zasobów platformy Azure.
- Dodaj wyjątki umożliwiające dostęp z zaufanych usług wymaganych do wykonywania operacji, takich jak tworzenie kopii zapasowych danych.
- Dodaj wyjątki dotyczące rejestrowania i metryk.
Po zastosowaniu reguł sieci są wymuszane dla wszystkich żądań. Tokeny SAS, które udzielają dostępu do określonego adresu IP, służą do ograniczania dostępu właściciela tokenu, ale nie udzielają nowego dostępu poza skonfigurowanymi regułami sieciowymi.
Ograniczenia i zagadnienia
Przed zaimplementowaniem zabezpieczeń sieci dla kont magazynu zapoznaj się z ważnymi ograniczeniami i zagadnieniami omówionymi w tej sekcji.
- Reguły zapory usługi Azure Storage dotyczą tylko operacji płaszczyzny danych. Operacje płaszczyzny sterowania nie podlegają ograniczeniom określonym w regułach zapory.
- Przejrzyj ograniczenia dotyczące reguł sieci ip.
- Aby uzyskać dostęp do danych przy użyciu narzędzi, takich jak witryna Azure Portal, Eksplorator usługi Azure Storage i narzędzie AzCopy, musisz znajdować się na maszynie w ramach zaufanej granicy ustanowionej podczas konfigurowania reguł zabezpieczeń sieci.
- Reguły sieci są wymuszane na wszystkich protokołach sieciowych dla usługi Azure Storage, w tym rest i SMB.
- Reguły sieciowe nie wpływają na ruch dyskowy maszyny wirtualnej, w tym operacje instalacji i odinstalowywanie operacji oraz we/wy dysku, ale pomagają chronić dostęp REST do stronicowych obiektów blob.
- Dyski niezarządzane można używać na kontach magazynu z regułami sieci stosowanymi do tworzenia kopii zapasowych i przywracania maszyn wirtualnych, tworząc wyjątek. Wyjątki zapory nie mają zastosowania do dysków zarządzanych, ponieważ platforma Azure już nimi zarządza.
- Klasyczne konta magazynu nie obsługują zapór i sieci wirtualnych.
- Jeśli usuniesz podsieć zawartą w regule sieci wirtualnej, zostanie ona usunięta z reguł sieci dla konta magazynu. Jeśli utworzysz nową podsieć o tej samej nazwie, nie będzie ona miała dostępu do konta magazynu. Aby zezwolić na dostęp, musisz jawnie autoryzować nową podsieć w regułach sieci dla konta magazynu.
- W przypadku odwoływania się do punktu końcowego usługi w aplikacji klienckiej zaleca się unikanie zależności od buforowanego adresu IP. Adres IP konta magazynu może ulec zmianie, a poleganie na buforowanym adresie IP może spowodować nieoczekiwane zachowanie. Ponadto zaleca się honorowanie czasu wygaśnięcia (TTL) rekordu DNS i unikanie zastępowania go. Zastąpienie czasu wygaśnięcia DNS może spowodować nieoczekiwane zachowanie.
- Zgodnie z projektem dostęp do konta magazynu z zaufanych usług ma pierwszeństwo przed innymi ograniczeniami dostępu do sieci. Jeśli ustawisz opcję Dostęp do sieci publicznej na Wyłączone po wcześniejszym ustawieniu go na Włączone z wybranych sieci wirtualnych i adresów IP, wszystkie wystąpienia zasobów i wyjątki , które zostały wcześniej skonfigurowane, w tym Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu, pozostaną w mocy. W związku z tym te zasoby i usługi mogą nadal mieć dostęp do konta magazynu.
Autoryzacja
Klienci, którym udzielono dostępu za pośrednictwem reguł sieci, muszą nadal spełniać wymagania autoryzacji konta magazynu w celu uzyskania dostępu do danych. Autoryzacja jest obsługiwana przy użyciu poświadczeń entra firmy Microsoft dla obiektów blob i kolejek, z prawidłowym kluczem dostępu do konta lub tokenem sygnatury dostępu współdzielonego (SAS).
Podczas konfigurowania kontenera obiektów blob na potrzeby anonimowego dostępu publicznego żądania odczytu danych w tym kontenerze nie muszą być autoryzowane, ale reguły zapory pozostaną w mocy i zablokują ruch anonimowy.
Zmienianie domyślnej reguły dostępu do sieci
Domyślnie konta magazynu akceptują połączenia od klientów w dowolnej sieci. Możesz ograniczyć dostęp do wybranych sieci lub uniemożliwić ruch ze wszystkich sieci i zezwolić na dostęp tylko za pośrednictwem prywatnego punktu końcowego.
Należy ustawić regułę domyślną na odmowę lub reguły sieciowe nie mają wpływu. Jednak zmiana tego ustawienia może mieć wpływ na możliwość łączenia aplikacji z usługą Azure Storage. Przed zmianą tego ustawienia pamiętaj, aby udzielić dostępu do dowolnych dozwolonych sieci lub skonfigurować dostęp za pośrednictwem prywatnego punktu końcowego.
Uwaga
Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Przejdź do konta magazynu, które chcesz zabezpieczyć.
Znajdź ustawienia sieci w obszarze Zabezpieczenia i sieć.
Wybierz typ dostępu do sieci publicznej, na który chcesz zezwolić:
Aby zezwolić na ruch ze wszystkich sieci, wybierz pozycję Włączone ze wszystkich sieci.
Aby zezwolić na ruch tylko z określonych sieci wirtualnych, wybierz pozycję Włączone z wybranych sieci wirtualnych i adresów IP.
Aby zablokować ruch ze wszystkich sieci, wybierz pozycję Wyłączone.
Wybierz pozycję Zapisz, aby zastosować zmiany.
Uwaga
Zgodnie z projektem dostęp do konta magazynu z zaufanych usług ma pierwszeństwo przed innymi ograniczeniami dostępu do sieci. Jeśli ustawisz opcję Dostęp do sieci publicznej na Wyłączone po wcześniejszym ustawieniu go na Włączone z wybranych sieci wirtualnych i adresów IP, wszystkie wystąpienia zasobów i wyjątki , które zostały wcześniej skonfigurowane, w tym Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu, pozostaną w mocy. W związku z tym te zasoby i usługi mogą nadal mieć dostęp do konta magazynu.
Udzielanie dostępu z sieci wirtualnej
Konta magazynu można skonfigurować tak, aby zezwalały na dostęp tylko z określonych podsieci. Dozwolone podsieci mogą należeć do sieci wirtualnej w tej samej subskrypcji lub innej subskrypcji, w tym do innej dzierżawy firmy Microsoft Entra. W przypadku punktów końcowych usługi między regionami dozwolone podsieci mogą również znajdować się w różnych regionach niż konto magazynu.
Punkt końcowy usługi dla usługi Azure Storage można włączyć w sieci wirtualnej. Punkt końcowy usługi kieruje ruch z sieci wirtualnej przez optymalną ścieżkę do usługi Azure Storage. Tożsamości podsieci i sieci wirtualnej są również przesyłane z każdym żądaniem. Administracja istratory mogą następnie skonfigurować reguły sieci dla konta magazynu, które zezwalają na odbieranie żądań z określonych podsieci w sieci wirtualnej. Klienci, którym udzielono dostępu za pośrednictwem tych reguł sieciowych, muszą nadal spełniać wymagania autoryzacji konta magazynu w celu uzyskania dostępu do danych.
Każde konto magazynu obsługuje maksymalnie 400 reguł sieci wirtualnej. Te reguły można połączyć z regułami sieci ip.
Ważne
W przypadku odwoływania się do punktu końcowego usługi w aplikacji klienckiej zaleca się unikanie zależności od buforowanego adresu IP. Adres IP konta magazynu może ulec zmianie, a poleganie na buforowanym adresie IP może spowodować nieoczekiwane zachowanie.
Ponadto zaleca się honorowanie czasu wygaśnięcia (TTL) rekordu DNS i unikanie zastępowania go. Zastąpienie czasu wygaśnięcia DNS może spowodować nieoczekiwane zachowanie.
Wymagane uprawnienia
Aby zastosować regułę sieci wirtualnej do konta magazynu, użytkownik musi mieć odpowiednie uprawnienia dla dodawanych podsieci. Współautor konta magazynu lub użytkownik mający uprawnienia do Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionoperacji dostawcy zasobów platformy Azure może zastosować regułę przy użyciu niestandardowej roli platformy Azure.
Konto magazynu i sieci wirtualne, które uzyskują dostęp, mogą znajdować się w różnych subskrypcjach, w tym subskrypcjach należących do innej dzierżawy firmy Microsoft Entra.
Konfiguracja reguł, które udzielają dostępu do podsieci w sieciach wirtualnych, które są częścią innej dzierżawy firmy Microsoft Entra, są obecnie obsługiwane tylko za pośrednictwem programu PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsów API REST. Nie można skonfigurować takich reguł za pośrednictwem witryny Azure Portal, ale można je wyświetlić w portalu.
Punkty końcowe usługi Azure Storage między regionami
Punkty końcowe usługi między regionami dla usługi Azure Storage stały się ogólnie dostępne w kwietniu 2023 r. Działają one między sieciami wirtualnymi i wystąpieniami usługi magazynu w dowolnym regionie. W przypadku punktów końcowych usługi między regionami podsieci nie używają już publicznego adresu IP do komunikowania się z żadnym kontem magazynu, w tym z tymi w innym regionie. Zamiast tego cały ruch z podsieci do kont magazynu używa prywatnego adresu IP jako źródłowego adresu IP. W związku z tym wszystkie konta magazynu korzystające z reguł sieci IP zezwalają na ruch z tych podsieci, nie mają już wpływu.
Konfigurowanie punktów końcowych usługi między sieciami wirtualnymi i wystąpieniami usług w sparowanym regionie może być ważną częścią planu odzyskiwania po awarii. Punkty końcowe usługi umożliwiają ciągłość pracy w trybie failover w regionie i dostęp do wystąpień magazynu geograficznie nadmiarowego tylko do odczytu (RA-GRS). Reguły sieci, które udzielają dostępu z sieci wirtualnej do konta magazynu, również udzielają dostępu do dowolnego wystąpienia RA-GRS.
Jeśli planujesz odzyskiwanie po awarii podczas awarii regionalnej, utwórz sieci wirtualne w sparowanym regionie z wyprzedzeniem. Włącz punkty końcowe usługi dla usługi Azure Storage, a reguły sieci udzielają dostępu z tych alternatywnych sieci wirtualnych. Następnie zastosuj te reguły do kont magazynu geograficznie nadmiarowego.
Punkty końcowe usługi lokalnej i między regionami nie mogą współistnieć w tej samej podsieci. Aby zamienić istniejące punkty końcowe usługi na punkty końcowe między regionami, usuń istniejące Microsoft.Storage punkty końcowe i utwórz je ponownie jako punkty końcowe między regionami (Microsoft.Storage.Global).
Zarządzanie regułami sieci wirtualnej
Reguły sieci wirtualnej dla kont magazynu można zarządzać za pośrednictwem witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure w wersji 2.
Jeśli chcesz włączyć dostęp do konta magazynu z sieci wirtualnej lub podsieci w innej dzierżawie firmy Microsoft Entra, musisz użyć programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Witryna Azure Portal nie wyświetla podsieci w innych dzierżawach firmy Microsoft Entra.
Przejdź do konta magazynu, które chcesz zabezpieczyć.
Wybierz pozycję Sieć.
Sprawdź, czy wybrano opcję zezwalania na dostęp z wybranych sieci.
Aby udzielić dostępu do sieci wirtualnej przy użyciu nowej reguły sieci, w obszarze Sieci wirtualne wybierz pozycję Dodaj istniejącą sieć wirtualną. Wybierz opcje Sieci wirtualne i podsieci, a następnie wybierz pozycję Dodaj.
Aby utworzyć nową sieć wirtualną i przyznać jej dostęp, wybierz pozycję Dodaj nową sieć wirtualną. Podaj niezbędne informacje, aby utworzyć nową sieć wirtualną, a następnie wybierz pozycję Utwórz.
Jeśli punkt końcowy usługi dla usługi Azure Storage nie został wcześniej skonfigurowany dla wybranej sieci wirtualnej i podsieci, możesz skonfigurować go w ramach tej operacji.
Obecnie podczas tworzenia reguły są wyświetlane tylko sieci wirtualne należące do tej samej dzierżawy firmy Microsoft Entra. Aby udzielić dostępu do podsieci w sieci wirtualnej należącej do innej dzierżawy, użyj programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsów API REST.
Aby usunąć regułę sieci wirtualnej lub podsieci, wybierz wielokropek (...), aby otworzyć menu kontekstowe dla sieci wirtualnej lub podsieci, a następnie wybierz pozycję Usuń.
Wybierz pozycję Zapisz, aby zastosować zmiany.
Ważne
Usunięcie podsieci uwzględnionej w regule sieciowej spowoduje usunięcie jej z reguł sieci dla konta magazynu. Jeśli utworzysz nową podsieć o tej samej nazwie, nie będzie ona miała dostępu do konta magazynu. Aby zezwolić na dostęp, musisz jawnie autoryzować nową podsieć w regułach sieci dla konta magazynu.
Udzielanie dostępu z zakresu internetowych adresów IP
Reguły sieci IP umożliwiają dostęp z określonych zakresów publicznych adresów IP, tworząc reguły sieci IP. Każde konto magazynu obsługuje maksymalnie 400 reguł. Te reguły zapewniają dostęp do określonych usług internetowych i sieci lokalnych oraz blokują ogólny ruch internetowy.
Ograniczenia dotyczące reguł sieci ip
Następujące ograniczenia dotyczą zakresów adresów IP:
Reguły sieci IP są dozwolone tylko dla publicznych internetowych adresów IP.
Zakresy adresów IP zarezerwowane dla sieci prywatnych (zgodnie z definicją w dokumencie RFC 1918) nie są dozwolone w regułach adresów IP. Sieci prywatne obejmują adresy rozpoczynające się od 10, 172.16 do 172.31 i 192.168.
Należy podać dozwolone zakresy adresów internetowych przy użyciu notacji CIDR w postaci 16.17.18.0/24 lub jako pojedyncze adresy IP, takie jak 16.17.18.19.
Małe zakresy adresów używające /31 lub /32 rozmiarów prefiksów nie są obsługiwane. Skonfiguruj te zakresy przy użyciu poszczególnych reguł adresów IP.
Tylko adresy IPv4 są obsługiwane w przypadku konfiguracji reguł zapory magazynu.
Ważne
W następujących przypadkach nie można używać reguł sieci ip:
- Aby ograniczyć dostęp do klientów w tym samym regionie świadczenia usługi Azure co konto magazynu. Reguły sieci IP nie mają wpływu na żądania pochodzące z tego samego regionu świadczenia usługi Azure co konto magazynu. Użyj reguł sieci wirtualnej, aby zezwolić na żądania w tym samym regionie.
- Aby ograniczyć dostęp do klientów w sparowanym regionie , które znajdują się w sieci wirtualnej, która ma punkt końcowy usługi.
- Aby ograniczyć dostęp do usług platformy Azure wdrożonych w tym samym regionie co konto magazynu. Usługi wdrożone w tym samym regionie co konto magazynu używają prywatnych adresów IP platformy Azure do komunikacji. Dlatego nie można ograniczyć dostępu do określonych usług platformy Azure na podstawie ich publicznego zakresu adresów IP ruchu wychodzącego.
Konfigurowanie dostępu z sieci lokalnych
Aby udzielić dostępu z sieci lokalnych do konta magazynu przy użyciu reguły sieci IP, należy zidentyfikować adresy IP używane przez Sieć internetową. Skontaktuj się z administratorem sieci, aby uzyskać pomoc.
Jeśli używasz usługi Azure ExpressRoute ze środowiska lokalnego, w przypadku publicznej komunikacji równorzędnej lub komunikacji równorzędnej firmy Microsoft musisz zidentyfikować używane adresy IP translatora adresów sieciowych. W przypadku publicznej komunikacji równorzędnej każdy obwód usługi ExpressRoute (domyślnie) używa dwóch adresów IP translatora adresów sieciowych stosowanych do ruchu usługi platformy Azure, gdy ruch przechodzi do sieci szkieletowej platformy Microsoft Azure. W przypadku komunikacji równorzędnej firmy Microsoft dostawca usług lub klient udostępnia adresy IP translatora adresów sieciowych.
Aby zezwolić na dostęp do zasobów usługi, należy zezwolić na te publiczne adresy IP w ustawieniu zapory dla adresów IP zasobów. Aby znaleźć swoje adresy IP dla obwodów usługi ExpressRoute publicznej komunikacji równorzędnej, otwórz bilet pomocy technicznej w usłudze ExpressRoute za pośrednictwem witryny Azure Portal. Dowiedz się więcej o translatorze adresów sieciowych dla publicznej komunikacji równorzędnej usługi ExpressRoute i komunikacji równorzędnej firmy Microsoft.
Zarządzanie regułami sieci IP
Reguły sieci ip dla kont magazynu można zarządzać za pośrednictwem witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure w wersji 2.
Przejdź do konta magazynu, które chcesz zabezpieczyć.
Wybierz pozycję Sieć.
Sprawdź, czy wybrano opcję zezwalania na dostęp z wybranych sieci.
Aby udzielić dostępu do zakresu internetowych adresów IP, wprowadź adres IP lub zakres adresów (w formacie CIDR) w obszarze Zakres adresów zapory>.
Aby usunąć regułę sieci IP, wybierz ikonę usuwania (
) obok zakresu adresów.Wybierz pozycję Zapisz, aby zastosować zmiany.
Udzielanie dostępu z wystąpień zasobów platformy Azure
W niektórych przypadkach aplikacja może zależeć od zasobów platformy Azure, których nie można odizolować za pośrednictwem sieci wirtualnej lub reguły adresu IP. Nadal jednak chcesz zabezpieczyć i ograniczyć dostęp konta magazynu tylko do zasobów platformy Azure aplikacji. Możesz skonfigurować konta magazynu, aby zezwolić na dostęp do określonych wystąpień zasobów zaufanych usług platformy Azure, tworząc regułę wystąpienia zasobu.
Przypisania ról platformy Azure wystąpienia zasobu określają typy operacji, które wystąpienie zasobu może wykonywać na danych konta magazynu. Wystąpienia zasobów muszą należeć do tej samej dzierżawy co konto magazynu, ale mogą należeć do dowolnej subskrypcji w dzierżawie.
Reguły sieci zasobów można dodawać lub usuwać w witrynie Azure Portal:
Zaloguj się w witrynie Azure Portal.
Znajdź konto magazynu i wyświetl omówienie konta.
Wybierz pozycję Sieć.
W obszarze Zapory i sieci wirtualne w obszarze Wybrane sieci wybierz opcję zezwalania na dostęp.
Przewiń w dół, aby znaleźć wystąpienia zasobów. Z listy rozwijanej Typ zasobu wybierz typ zasobu wystąpienia zasobu.
Z listy rozwijanej Nazwa wystąpienia wybierz wystąpienie zasobu. Możesz również uwzględnić wszystkie wystąpienia zasobów w aktywnej dzierżawie, subskrypcji lub grupie zasobów.
Wybierz pozycję Zapisz, aby zastosować zmiany. Wystąpienie zasobu jest wyświetlane w sekcji Wystąpienia zasobów strony ustawień sieciowych.
Aby usunąć wystąpienie zasobu, wybierz ikonę usuwania ( ) obok wystąpienia zasobu.
Udzielanie dostępu do zaufanych usług platformy Azure
Niektóre usługi platformy Azure działają z sieci, których nie można uwzględnić w regułach sieci. Przy zachowaniu reguł sieci dla innych aplikacji można udzielić podzestawu takich zaufanych usług platformy Azure. Te zaufane usługi będą następnie używać silnego uwierzytelniania w celu nawiązania połączenia z kontem magazynu.
Dostęp do zaufanych usług platformy Azure można udzielić, tworząc wyjątek reguły sieci. Sekcja Zarządzanie wyjątkami w tym artykule zawiera szczegółowe wskazówki.
Zaufany dostęp do zasobów zarejestrowanych w subskrypcji
Zasoby niektórych usług zarejestrowanych w ramach subskrypcji mogą uzyskiwać dostęp do konta magazynu w tej samej subskrypcji dla wybranych operacji, takich jak zapisywanie dzienników lub uruchamianie kopii zapasowych. W poniższej tabeli opisano każdą usługę i dozwolone operacje.
| Usługa | Nazwa dostawcy zasobów | Dozwolone operacje |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices |
Uruchamianie kopii zapasowych i przywracania dysków niezarządzanych na maszynach wirtualnych infrastruktury jako usługi (IaaS) (nie jest to wymagane w przypadku dysków zarządzanych). Dowiedz się więcej. |
| Azure Data Box | Microsoft.DataBox |
Importowanie danych na platformę Azure. Dowiedz się więcej. |
| Azure DevTest Labs | Microsoft.DevTestLab |
Tworzenie niestandardowych obrazów i instalowanie artefaktów. Dowiedz się więcej. |
| Azure Event Grid | Microsoft.EventGrid |
Włącz publikowanie zdarzeń usługi Azure Blob Storage i zezwalaj na publikowanie w kolejkach magazynu. |
| Azure Event Hubs | Microsoft.EventHub |
Archiwizowanie danych przy użyciu funkcji przechwytywania usługi Event Hubs. Dowiedz się więcej. |
| Azure File Sync | Microsoft.StorageSync |
Przekształć lokalny serwer plików w pamięć podręczną udziałów plików platformy Azure. Ta funkcja umożliwia synchronizację wielu lokacji, szybkie odzyskiwanie po awarii i tworzenie kopii zapasowych po stronie chmury. Dowiedz się więcej. |
| Azure HDInsight | Microsoft.HDInsight |
Aprowizuj początkową zawartość domyślnego systemu plików dla nowego klastra usługi HDInsight. Dowiedz się więcej. |
| Usługa Azure Import/Export | Microsoft.ImportExport |
Zaimportuj dane do usługi Azure Storage lub wyeksportuj dane z usługi Azure Storage. Dowiedz się więcej. |
| Azure Monitor | Microsoft.Insights |
Zapisywanie danych monitorowania na zabezpieczonym koncie magazynu, w tym dzienniki zasobów, dzienniki logowania i inspekcji firmy Microsoft oraz dzienniki usługi Microsoft Intune. Dowiedz się więcej. |
| Usługi sieciowe platformy Azure | Microsoft.Network |
Przechowywanie i analizowanie dzienników ruchu sieciowego, w tym za pośrednictwem usług Azure Network Watcher i Azure Traffic Manager. Dowiedz się więcej. |
| Azure Site Recovery | Microsoft.SiteRecovery |
Włącz replikację na potrzeby odzyskiwania po awarii maszyn wirtualnych IaaS platformy Azure, gdy używasz pamięci podręcznej z włączoną zaporą, źródłowych lub docelowych kont magazynu. Dowiedz się więcej. |
Zaufany dostęp na podstawie tożsamości zarządzanej
W poniższej tabeli wymieniono usługi, które mogą uzyskiwać dostęp do danych konta magazynu, jeśli wystąpienia zasobów tych usług mają odpowiednie uprawnienia.
| Usługa | Nazwa dostawcy zasobów | Purpose |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Umożliwia dostęp do kont magazynu. |
| Usługa Azure API Management | Microsoft.ApiManagement/service |
Umożliwia dostęp do kont magazynu za zaporami za pośrednictwem zasad. Dowiedz się więcej. |
| Systemy autonomiczne firmy Microsoft | Microsoft.AutonomousSystems/workspaces |
Umożliwia dostęp do kont magazynu. |
| Azure Cache for Redis | Microsoft.Cache/Redis |
Umożliwia dostęp do kont magazynu. Dowiedz się więcej. |
| Wyszukiwanie AI platformy Azure | Microsoft.Search/searchServices |
Umożliwia dostęp do kont magazynu na potrzeby indeksowania, przetwarzania i wykonywania zapytań. |
| Usługi platformy Azure AI | Microsoft.CognitiveService/accounts |
Umożliwia dostęp do kont magazynu. Dowiedz się więcej. |
| Azure Container Registry | Microsoft.ContainerRegistry/registries |
Za pośrednictwem zestawu funkcji usługi ACR Tasks umożliwia dostęp do kont magazynu podczas tworzenia obrazów kontenerów. |
| Microsoft Cost Management | Microsoft.CostManagementExports |
Umożliwia eksportowanie do kont magazynu za zaporą. Dowiedz się więcej. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
Umożliwia dostęp do kont magazynu. |
| Azure Data Factory | Microsoft.DataFactory/factories |
Umożliwia dostęp do kont magazynu za pośrednictwem środowiska uruchomieniowego usługi Data Factory. |
| Magazyn kopii zapasowych Azure | Microsoft.DataProtection/BackupVaults |
Umożliwia dostęp do kont magazynu. |
| Azure Data Share | Microsoft.DataShare/accounts |
Umożliwia dostęp do kont magazynu. |
| Azure Database for PostgreSQL | Microsoft.DBForPostgreSQL |
Umożliwia dostęp do kont magazynu. |
| Azure IoT Hub | Microsoft.Devices/IotHubs |
Umożliwia zapisywanie danych z centrum IoT w usłudze Blob Storage. Dowiedz się więcej. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
Umożliwia dostęp do kont magazynu. |
| Azure Event Grid | Microsoft.EventGrid/domains |
Umożliwia dostęp do kont magazynu. |
| Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Umożliwia dostęp do kont magazynu. |
| Azure Event Grid | Microsoft.EventGrid/systemTopics |
Umożliwia dostęp do kont magazynu. |
| Azure Event Grid | Microsoft.EventGrid/topics |
Umożliwia dostęp do kont magazynu. |
| Microsoft Fabric | Microsoft.Fabric |
Umożliwia dostęp do kont magazynu. |
| Azure Healthcare APIs | Microsoft.HealthcareApis/services |
Umożliwia dostęp do kont magazynu. |
| Azure Healthcare APIs | Microsoft.HealthcareApis/workspaces |
Umożliwia dostęp do kont magazynu. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Umożliwia dostęp do kont magazynu. |
| Zarządzany moduł HSM usługi Azure Key Vault | Microsoft.keyvault/managedHSMs |
Umożliwia dostęp do kont magazynu. |
| Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Umożliwia aplikacjom logiki dostęp do kont magazynu. Dowiedz się więcej. |
| Azure Logic Apps | Microsoft.Logic/workflows |
Umożliwia aplikacjom logiki dostęp do kont magazynu. Dowiedz się więcej. |
| Azure Machine Learning Studio | Microsoft.MachineLearning/registries |
Umożliwia autoryzowanym obszarom roboczym usługi Azure Machine Edukacja zapisywanie danych wyjściowych eksperymentu, modeli i dzienników w usłudze Blob Storage i odczytywanie danych. Dowiedz się więcej. |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Umożliwia autoryzowanym obszarom roboczym usługi Azure Machine Edukacja zapisywanie danych wyjściowych eksperymentu, modeli i dzienników w usłudze Blob Storage i odczytywanie danych. Dowiedz się więcej. |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Umożliwia autoryzowanym obszarom roboczym usługi Azure Machine Edukacja zapisywanie danych wyjściowych eksperymentu, modeli i dzienników w usłudze Blob Storage i odczytywanie danych. Dowiedz się więcej. |
| Azure Media Services | Microsoft.Media/mediaservices |
Umożliwia dostęp do kont magazynu. |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
Umożliwia dostęp do kont magazynu. |
| Azure Spatial Anchors | Microsoft.MixedReality/remoteRenderingAccounts |
Umożliwia dostęp do kont magazynu. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Umożliwia dostęp do kont magazynu. |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Umożliwia dostęp do kont magazynu. |
| Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Umożliwia dostęp do kont magazynu. |
| Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Umożliwia dostęp do kont magazynu. |
| Microsoft Purview | Microsoft.Purview/accounts |
Umożliwia dostęp do kont magazynu. |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Umożliwia dostęp do kont magazynu. |
| Security Center | Microsoft.Security/dataScanners |
Umożliwia dostęp do kont magazynu. |
| Osobliwość | Microsoft.Singularity/accounts |
Umożliwia dostęp do kont magazynu. |
| Azure SQL Database | Microsoft.Sql |
Umożliwia zapisywanie danych inspekcji na kontach magazynu za zaporą. |
| Serwery Azure SQL Server | Microsoft.Sql/servers |
Umożliwia zapisywanie danych inspekcji na kontach magazynu za zaporą. |
| Azure Synapse Analytics | Microsoft.Sql |
Umożliwia importowanie i eksportowanie danych z określonych baz danych SQL za pośrednictwem COPY instrukcji lub technologii PolyBase (w dedykowanej puli) lub openrowset funkcji i tabel zewnętrznych w puli bezserwerowej. Dowiedz się więcej. |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
Umożliwia zapisywanie danych z zadania przesyłania strumieniowego do usługi Blob Storage. Dowiedz się więcej. |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Umożliwia zapisywanie danych z zadania przesyłania strumieniowego do usługi Blob Storage. Dowiedz się więcej. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Umożliwia dostęp do danych w usłudze Azure Storage. |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Umożliwia dostęp do kont magazynu. |
Jeśli twoje konto nie ma włączonej funkcji hierarchicznej przestrzeni nazw, możesz udzielić uprawnień, jawnie przypisując rolę platformy Azure do tożsamości zarządzanej dla każdego wystąpienia zasobu. W takim przypadku zakres dostępu dla wystąpienia odpowiada roli platformy Azure przypisanej do tożsamości zarządzanej.
Możesz użyć tej samej techniki dla konta, które ma włączoną funkcję hierarchicznej przestrzeni nazw. Nie musisz jednak przypisywać roli platformy Azure, jeśli dodasz tożsamość zarządzaną do listy kontroli dostępu (ACL) dowolnego katalogu lub obiektu blob, który zawiera konto magazynu. W takim przypadku zakres dostępu dla wystąpienia odpowiada katalogowi lub plikowi, do którego ma dostęp tożsamość zarządzana.
Możesz również połączyć role platformy Azure i listy ACL w celu udzielenia dostępu. Aby dowiedzieć się więcej, zobacz Model kontroli dostępu w usłudze Azure Data Lake Storage Gen2.
Zalecamy używanie reguł wystąpień zasobów w celu udzielenia dostępu do określonych zasobów.
Zarządzanie wyjątkami
W niektórych przypadkach, takich jak analiza magazynu, dostęp do odczytu dzienników zasobów i metryk jest wymagany spoza granicy sieci. Podczas konfigurowania zaufanych usług w celu uzyskania dostępu do konta magazynu można zezwolić na dostęp do odczytu dla plików dziennika, tabel metryk lub obu tych usług, tworząc wyjątek reguły sieciowej. Wyjątki reguł sieci można zarządzać za pomocą witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure w wersji 2.
Aby dowiedzieć się więcej na temat pracy z analizą magazynu, zobacz Używanie analizy usługi Azure Storage do zbierania dzienników i danych metryk.
Przejdź do konta magazynu, które chcesz zabezpieczyć.
Wybierz pozycję Sieć.
Sprawdź, czy wybrano opcję zezwalania na dostęp z wybranych sieci.
W obszarze Wyjątki wybierz wyjątki, które chcesz udzielić.
Wybierz pozycję Zapisz, aby zastosować zmiany.
Następne kroki
Dowiedz się więcej o punktach końcowych usługi sieci platformy Azure. Szczegółowe informacje na temat zabezpieczeń usługi Azure Storage.