Configurar redes virtuais e firewalls do Armazenamento do Microsoft Azure

O Armazenamento do Microsoft Azure fornece um modelo de segurança em camadas. Esse modelo permite que você proteja e controle o nível de acesso às suas contas de armazenamento que seus aplicativos e ambientes corporativos exigem, com base no tipo e no subconjunto de redes usadas. Quando as regras de rede são configuradas, somente aplicativos que solicitam dados do conjunto especificado de redes ou por meio do conjunto especificado de recursos do Azure podem acessar uma conta de armazenamento. Você pode limitar o acesso à sua conta de armazenamento a solicitações originadas de endereços IP especificados, intervalos de IP, sub-redes em uma Rede Virtual do Azure (VNet), ou instâncias de recursos de alguns serviços do Azure.

As contas de armazenamento têm um ponto de extremidade público que pode ser acessado pela Internet. Você também pode criar pontos de extremidade privados para sua conta de armazenamento, que atribui um endereço IP privado de sua VNet à conta de armazenamento e protege todo o tráfego entre a VNet e a conta de armazenamento por meio de um link privado. O firewall do Armazenamento do Azure fornece acesso de controle de acesso para o ponto de extremidade público da sua conta de armazenamento. Você também pode usar o firewall para bloquear todo o acesso por meio do ponto de extremidade público ao usar pontos de extremidades privados. A configuração do firewall de armazenamento também permite selecionar serviços confiáveis da plataforma Azure para acessar a conta de armazenamento com segurança.

Um aplicativo que acessa uma conta de armazenamento quando as regras de rede estão em vigor ainda requer autorização adequada para a solicitação. A autorização é compatível com as credenciais do Azure AD (Azure Active Directory) para blobs e filas, com uma chave de acesso de conta válida ou um token SAS. Quando um contêiner de blob é configurado para acesso público anônimo, as solicitações de leitura de dados nesse contêiner não precisam ser autorizadas, mas as regras de firewall permanecerão em vigor e bloquearão o tráfego anônimo.

Importante

Ativar regras de firewall para sua conta de armazenamento bloqueia solicitações de entrada para os dados por padrão, a menos que as solicitações sejam provenientes de um serviço que está operando em uma VNet (Rede Virtual) do Azure ou de endereços IP públicos permitidos. Solicitações que estão bloqueadas incluem as de outros serviços do Azure, do portal do Azure, de registro em log e serviços de métricas e assim por diante.

Você pode permitir acesso aos serviços do Azure que operam de dentro de uma rede virtual, permitindo tráfego da sub-rede hospedando a instância do serviço. Você também pode habilitar um número limitado de cenários por meio do mecanismo de exceções descrito abaixo. O acesso a dados da conta de armazenamento por meio do portal do Azure precisa ser feito de um computador dentro do limite confiável (IP ou VNet) que você configurou.

Observação

Para interagir com o Azure, é recomendável o módulo do PowerShell do Azure Az. Confira Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Cenários

Para proteger sua conta de armazenamento, primeiro você deve configurar uma regra para negar o acesso ao tráfego de todas as redes (incluindo o tráfego da Internet) no ponto de extremidade público, por padrão. Em seguida, você deve configurar regras que permitem acesso ao tráfego de VNets específicas. Você também pode configurar regras para permitir acesso ao tráfego de intervalos de endereços IP públicos da Internet selecionados, permitindo conexões de clientes locais ou da Internet específicos. Essa configuração permite que você crie um limite de rede seguro para seus aplicativos.

Você pode combinar regras de firewall que permitem o acesso de redes virtuais específicas e de intervalos de endereços IP públicos na mesma conta de armazenamento. As regras de firewall de armazenamento podem ser aplicadas a contas de armazenamento existentes ou durante a criação de contas de armazenamento.

As regras de firewall de armazenamento se aplicam ao ponto de extremidade público de uma conta de armazenamento. Você não precisa de nenhuma regra de acesso de firewall para permitir o tráfego para pontos de extremidade privados de uma conta de armazenamento. O processo de aprovar a criação de um ponto de extremidade privado concede acesso implícito ao tráfego da sub-rede que hospeda o ponto de extremidade privado.

As regras de rede são aplicadas em todos os protocolos de rede para o armazenamento do Azure, incluindo REST e SMB. Para acessar os dados usando ferramentas como o portal do Azure, o Gerenciador de Armazenamento e o AzCopy, é necessário configurar regras de rede explícitas.

Depois que as regras de rede são aplicadas, elas são impostas para todas as solicitações. Os tokens SAS que concedem acesso a um serviço de endereço IP específico limitam o acesso do proprietário do token, mas não concedem um novo acesso além das regras de rede configuradas.

O tráfego de disco da máquina virtual (incluindo as operações de montagem e desmontagem e E/S de disco) não é afetado pelas regras de rede. O acesso REST a blobs de página é protegido pelas regras de rede.

As contas de armazenamento clássicas não dão suporte a firewalls e redes virtuais.

Você pode usar discos não gerenciados nas contas de armazenamento com regras de rede aplicadas para fazer backup e restaurar VMs criando uma exceção. Esse processo está documentado na seção Gerenciar exceções deste artigo. Exceções de firewall não são aplicáveis com discos gerenciados, pois eles já são gerenciados pelo Azure.

Alterar a regra de acesso de rede padrão

Por padrão, as contas de armazenamento aceitam conexões de clientes em qualquer rede. É possível limitar o acesso a redes selecionadas ou impedir o tráfego de todas as redes e permitir o acesso somente por meio de um ponto de extremidade privado.

Aviso

Alterar essa configuração pode afetar a capacidade do aplicativo de se conectar ao Armazenamento do Microsoft Azure. Certifique-se de conceder acesso a todas as redes permitidas ou configurar o acesso por meio de um ponto de extremidade privado antes de alterar essa configuração.

  1. Acesse a conta de armazenamento que você deseja proteger.

  2. Localize as Configurações de Rede em Segurança + rede.

  3. Escolha qual tipo de acesso à rede pública você deseja permitir.

    • Para permitir o tráfego de todas as redes, selecione Habilitado de todas as redes.

    • Para permitir o tráfego somente de redes virtuais específicas, selecione Habilitado nas redes virtuais e endereços IP selecionados.

    • Para bloquear o tráfego em todas as redes, selecione Desabilitado.

  4. Selecione Salvar para salvar suas alterações.

Conceder acesso de uma rede virtual

Você pode configurar as contas de armazenamento para permitir o acesso somente de sub-redes específicas. As sub-redes permitidas podem pertencer a uma VNet na mesma assinatura ou àquelas em uma assinatura diferente, incluindo assinaturas que pertençam a um locatário diferente do Azure Active Directory.

Você pode habilitar um Ponto de extremidade de serviço do Armazenamento do Microsoft Azure dentro da VNet. O ponto de extremidade de serviço roteia o tráfego da VNet por meio de um caminho ideal para o serviço de Armazenamento do Azure. As identidades da rede virtual e da sub-rede também são transmitidas com cada solicitação. Em seguida, os administradores podem configurar as regras de rede para a conta de armazenamento que as solicitações sejam recebidas de sub-redes específicas em uma VNet. Os clientes com o acesso concedido por meio dessas regras de rede devem continuar a atender aos requisitos de autorização da conta de armazenamento para acessar os dados.

Cada conta de armazenamento dá suporte a até 200 regras de rede virtual que podem ser combinadas com regras de rede IP.

Importante

Se você excluir uma sub-rede que foi incluída em uma regra de rede, ela será removida das regras de rede da conta de armazenamento. Se você criar uma sub-rede com o mesmo nome, ela não terá acesso à conta de armazenamento. Para permitir o acesso, você precisa autorizar explicitamente a nova sub-rede nas regras de rede da conta de armazenamento.

Permissões necessárias

Para aplicar uma regra da rede virtual a uma conta de armazenamento, o usuário deve ter permissão para as sub-redes sendo adicionadas. A aplicação de uma regra pode ser executada por um Colaborador da conta de armazenamento ou um usuário que tenha recebido permissão para a Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionoperação do provedor de recursos do Azure por meio de uma função personalizada do Azure.

A conta de armazenamento e o acesso concedido às redes virtuais podem estar em assinaturas diferentes, incluindo assinaturas que são parte do mesmo locatário do Azure AD.

Observação

A configuração de regras que concedem acesso a sub-redes em redes virtuais que fazem parte de um locatário diferente do Azure Active Directory só tem suporte por meio do PowerShell, da CLI e de APIs REST. Essas regras não podem ser configuradas por meio do portal do Azure, embora ele possa exibi-las.

Regiões de rede virtual disponíveis

Por padrão, os pontos de extremidade de serviço funcionam entre redes virtuais e instâncias de serviço na mesma região do Azure. Ao usar pontos de extremidade de serviço com o Armazenamento do Azure, os pontos de extremidade de serviço também funcionam entre redes virtuais e instâncias de serviço em uma região emparelhada. Se você quiser usar um ponto de extremidade de serviço para conceder acesso a redes virtuais em outras regiões, registre o recurso AllowGlobalTagsForStorage na assinatura da rede virtual. Esse recurso está atualmente em visualização pública.

Pontos de extremidade de serviço permitem continuidade durante um failover regional e acesso a instâncias de armazenamento com redundância geográfica somente leitura (RA-GRS). As regras de rede que concedem acesso de uma rede virtual para uma conta de armazenamento também concedem acesso a qualquer instância de RA-GRS.

Ao planejar a recuperação de desastre durante uma interrupção regional, você deve criar as VNets na região emparelhada com antecedência. Habilite pontos de extremidade de serviço para o Armazenamento do Microsoft Azure, com as regras de rede concedendo acesso dessas redes virtuais alternativas. Em seguida, aplica essas regras às contas de armazenamento com redundância geográfica.

Como habilitar o acesso a redes virtuais em outras regiões (versão prévia)

Importante

Este recurso está na VERSÃO PRÉVIA no momento.

Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Para habilitar o acesso de uma rede virtual localizada em outra região em pontos de extremidade de serviço, registre o recurso AllowGlobalTagsForStorage na assinatura da rede virtual. Todas as sub-redes na assinatura que tem o recurso AllowedGlobalTagsForStorage habilitado não usarão mais um endereço IP público para se comunicar com nenhuma conta de armazenamento. Em vez disso, todo o tráfego dessas sub-redes para contas de armazenamento usará um endereço IP privado como um IP de origem. Como resultado, todas as contas de armazenamento que usam regras de rede IP para permitir o tráfego dessas sub-redes não terão mais efeito.

Observação

Para atualizar os pontos de extremidade de serviço existentes para acessar uma conta de armazenamento em outra região, execute uma operação de atualização de sub-rede na sub-rede depois de registrar a assinatura com o recurso AllowGlobalTagsForStorage. Da mesma forma, para voltar à configuração antiga, execute uma operação de atualização de sub-rede depois de cancelar o registro da assinatura com o recurso AllowGlobalTagsForStorage.

Durante a versão prévia, você deve usar o PowerShell ou a CLI do Azure para habilitar esse recurso.

Gerenciando regras da rede virtual

Você pode gerenciar as regras da rede virtual para contas de armazenamento através do portal do Azure, PowerShell ou CIv2.

Observação

Se você registrou o recurso AllowGlobalTagsForStorage e deseja habilitar o acesso à sua conta de armazenamento de uma rede virtual/sub-rede em outro locatário do Azure AD ou em uma região diferente da região da conta de armazenamento ou de sua região emparelhada, você deve usar o PowerShell ou a CLI do Azure. O portal do Azure não mostra sub-redes em outros locatários do Azure AD ou em regiões diferentes da região da conta de armazenamento ou de sua região emparelhada e, portanto, não pode ser usado para configurar regras de acesso para redes virtuais em outras regiões.

  1. Acesse a conta de armazenamento que você deseja proteger.

  2. Selecione Rede no menu configurações.

  3. Certifique-se de que você optou por permitir o acesso de Redes selecionadas.

  4. Para conceder acesso a uma rede virtual com uma nova regra de rede, em Redes virtuais, selecione Adicionar rede virtual existente, selecione Redes virtuais e as opções Sub-redes e, em seguida, selecione Adicionar. Para criar uma nova rede virtual e conceder acesso, clique em Adicionar nova rede virtual. Forneça as informações necessárias para criar a nova rede virtual e, em seguida, clique em Criar.

    Observação

    Se um ponto de extremidade de Armazenamento do Microsoft Azure não foi configurado anteriormente para a rede virtual selecionada e as sub-redes, você pode configurá-lo como parte dessa operação.

    Atualmente, somente as redes virtuais que pertencem ao mesmo locatário do Azure Active Directory são mostradas para seleção durante a criação de regras. Para conceder acesso a uma sub-rede em uma rede virtual pertencente a outro locatário, use o PowerShell, a CLI ou as APIs REST.

    Ainda que você tenha registrado o recurso AllowGlobalTagsForStorageOnly, as sub-redes em regiões diferentes da região da conta de armazenamento ou de sua região emparelhada não são mostradas para seleção. Se você quiser habilitar o acesso à sua conta de armazenamento a partir de uma rede virtual/sub-rede em uma região diferente, use as instruções nas guias do PowerShell ou da CLI do Azure.

  5. Para remover uma regra de rede virtual ou sub-rede, clique em ... para abrir o menu de contexto para a rede virtual ou sub-rede e clique em Remover.

  6. Selecione Salvar para aplicar suas alterações.

Conceder acesso de um intervalo de IP de Internet

Você pode usar regras de rede IP para permitir o acesso de intervalos de endereços IP públicos da Internet específicos criando regras de rede IP. Cada conta de armazenamento suporta até 200 regras. Essas regras concedem acesso a serviços específicos baseados na Internet e redes locais e bloqueia o tráfego geral da Internet.

As restrições a seguir se aplicam a intervalos de endereços IP.

  • As regras de rede IP são permitidas apenas para endereços IP públicos da internet.

    Intervalos de endereços IP reservados para redes privadas (conforme definido em RFC 1918) não são permitidos nas regras de IP. Redes privadas incluem endereços que começam com 10.**, 172.16. - *172.31. e *192.168..

  • Forneça intervalos de endereços de Internet permitidos usando a notação CIDR no formulário 16.17.18.0/24 ou como endereços IP individuas como 16.17.18.19.

  • Os intervalos de endereços pequenos usando o prefixo "/31" ou "/32" não têm suporte. Esses intervalos devem ser configurados usando regras de endereço IP individuais.

  • Somente endereços IPV4 são compatíveis com a configuração de regras de firewall de armazenamento.

As regras de rede IP não podem ser usadas nos seguintes casos:

  • Para restringir o acesso a clientes na mesma região do Azure que a conta de armazenamento.

    As regras de rede IP não terão efeito sobre solicitações originadas da mesma região do Azure que a conta de armazenamento. Use as regras de rede Virtual para permitir solicitações da mesma região.

  • Para restringir o acesso a clientes em uma região emparelhada que está em uma VNet que tem um ponto de extremidade de serviço.

  • Para restringir o acesso aos serviços do Azure implantados na mesma região que a conta de armazenamento.

    Os serviços implantados na mesma região que a conta de armazenamento usam endereços IP privados do Azure para comunicação. Portanto, você não pode restringir o acesso a serviços específicos do Azure com base nos respectivos intervalos de endereços IP de saída públicos.

Configurando o acesso de redes locais

Para conceder acesso de suas redes locais para sua conta de armazenamento com uma regra de rede IP, você deve identificar os endereços IP voltados para Internet usados por sua rede. Entre em contato com o administrador de rede para obter ajuda.

Se você estiver usando ExpressRoute de suas instalações, para emparelhamento público ou emparelhamento da Microsoft, será necessário identificar os endereços IP NAT usados. Para emparelhamento público, cada circuito do ExpressRoute usará dois endereços IP de NAT, que serão aplicados ao tráfego do serviço do Azure quando o tráfego entrar no backbone da rede do Microsoft Azure. Para emparelhamento da Microsoft, os endereços IP de NAT usados são fornecidos pelo cliente ou são fornecidos pelo provedor de serviço. Para permitir o acesso aos recursos do serviço, você deve permitir estes endereços IP públicos na configuração do firewall de IP do recurso. Para localizar os endereços IP do circuito do ExpressRoute de emparelhamento público, abra um tíquete de suporte com o ExpressRoute por meio do Portal do Azure. Saiba mais sobre NAT para emparelhamento público de ExpressRoute e emparelhamento da Microsoft.

Gerenciando regras de rede IP

Você pode gerenciar as regras de rede IP para contas de armazenamento através do portal do Azure, PowerShell ou CIv2.

  1. Acesse a conta de armazenamento que você deseja proteger.

  2. Selecione Rede no menu configurações.

  3. Certifique-se de que você optou por permitir o acesso de Redes selecionadas.

  4. Para conceder acesso a um intervalo de IP de Internet, insira o endereço IP ou o intervalo de endereços (no formato CIDR) em Firewall>Intervalos de Endereços.

  5. Para remover uma regra de rede IP, clique no ícone de lixeira próximo do intervalo de endereço.

  6. Selecione Salvar para salvar suas alterações.

Permitir acesso de instâncias de recursos do Azure

Em alguns casos, um aplicativo pode depender de recursos do Azure que não podem ser isolados por meio de uma rede virtual ou de uma regra de endereço IP. No entanto, você ainda gostaria de proteger e restringir o acesso à conta de armazenamento somente aos recursos do Azure de seu aplicativo. Você pode configurar contas de armazenamento para permitir o acesso a instâncias de recursos específicas de alguns serviços do Azure criando uma regra de instância de recurso.

Os tipos de operações que uma instância de recurso pode executar nos dados da conta de armazenamento são determinados pelas atribuições de função do Azure da instância de recurso. As instâncias de recurso devem ser do mesmo locatário como sua conta de armazenamento, mas podem pertencer a qualquer assinatura no locatário.

Você pode adicionar ou remover regras de rede de recursos no portal do Azure.

  1. Entre no portal do Azure para começar.

  2. Localize sua conta de armazenamento e exiba a visão geral dela.

  3. Selecione Rede para exibir a página de configuração para rede.

  4. Em Firewalls e redes virtuais, para Redes selecionadas, selecione Permitir o acesso.

  5. Role para baixo para localizar Instâncias do recurso e na lista suspensa Tipo de recurso, escolha o tipo de recurso de sua instância de recurso.

  6. Na lista suspensa Nome da instância, escolha a instância de recurso. Você também pode optar por incluir todas as instâncias de recurso no locatário ativo, na assinatura ou no grupo de recursos.

  7. Selecione Salvar para salvar suas alterações. A instância de recurso aparece na seção Instâncias de recurso da página de configurações de rede.

Para remover a instância de recurso, selecione o ícone excluir ( ) ao lado da instância de recurso.

Conceder acesso a serviços confiáveis do Azure

Alguns serviços do Azure operam a partir de redes que não podem ser incluídas em suas regras de rede. Você pode conceder, a um subconjunto desses serviços confiáveis do Azure, acesso à conta de armazenamento, mantendo as regras de rede para outros aplicativos. Esses serviços confiáveis usarão a autenticação forte para se conectar à sua conta de armazenamento com segurança.

Você pode conceder acesso a serviços confiáveis do Azure criando uma exceção de regra de rede. Para obter diretrizes passo a passo, consulte a seção Gerenciar exceções deste artigo.

Ao conceder acesso a serviços confiáveis do Azure, você concede os seguintes tipos de acesso:

  • Acesso confiável para operações select para recursos que são registrados em sua assinatura.
  • Acesso confiável a recursos com base em uma identidade gerenciada.

Acesso confiável para recursos registrados em sua assinatura

Os recursos de alguns serviços, quando registrados em sua assinatura, podem acessar sua conta de armazenamento na mesma assinatura para um conjunto limitado de operações, como gravar logs ou fazer backup. A tabela a seguir descreve cada serviço e as operações permitidas.

Serviço Nome do provedor de recursos Operações permitidas
Serviço de Backup do Azure Microsoft.RecoveryServices Execute backups e restaurações de discos não gerenciados em máquinas virtuais IAAS. (não é necessário para discos gerenciados). Saiba mais.
Azure Data Box Microsoft.DataBox Permite a importação de dados para o Azure usando o Data Box. Saiba mais.
Azure DevTest Labs Microsoft.DevTestLab Criação de imagem personalizada e instalação de artefato. Saiba mais.
Grade de Eventos do Azure Microsoft.EventGrid Habilite a publicação de eventos do Armazenamento de Blobs e permita que a Grade de Eventos publique em filas de armazenamento. Saiba mais sobre eventos de Armazenamento de Blobs e publicação em filas.
Hubs de eventos do Azure Microsoft.EventHub Arquivar dados com a Captura de Hubs de Evento. Saiba mais.
Sincronização de Arquivos do Azure Microsoft.StorageSync Permite transformar seu servidor de arquivos local em um cache para compartilhamentos de Arquivos do Azure. Isso permite a sincronização de vários sites, recuperação rápida de desastre e backup no lado da nuvem. Saiba mais
Azure HDInsight Microsoft.HDInsight Provisione o conteúdo inicial do sistema de arquivos padrão para um novo cluster HDInsight. Saiba mais.
Importação/Exportação do Azure Microsoft.ImportExport Permite a importação de dados para o Armazenamento do Azure e a exportação de dados do Armazenamento do Azure usando o serviço de Importação/Exportação do Armazenamento do Azure. Saiba mais.
Azure Monitor Microsoft.insights Permite gravar dados de monitoramento em uma conta de armazenamento protegida, incluindo logs de recursos, logs de entrada e de auditoria do Azure Active Directory e logs do Microsoft Intune. Saiba mais.
Rede do Azure Microsoft.Network Armazene e analise logs de tráfego de rede, incluindo por meio do observador de rede e serviços de Análise de Tráfego. Saiba mais.
Azure Site Recovery Microsoft.SiteRecovery Habilite a replicação para recuperação de desastre de máquinas virtuais de IaaS do Azure ao usar as contas de armazenamento de cache, origem ou destino habilitadas para firewall. Saiba mais.

Acesso confiável com base em uma identidade gerenciada

A tabela a seguir lista os serviços que podem ter acesso aos dados da sua conta de armazenamento se as instâncias de recurso desses serviços receberem a permissão apropriada.

Se a sua conta não tiver o recurso de namespace hierárquico habilitado, você poderá conceder permissão atribuindo explicitamente uma função do Azure à identidade gerenciada de cada instância de recurso. Nesse caso, o escopo de acesso para a instância corresponde à função do Azure atribuída à identidade gerenciada.

Você pode usar a mesma técnica para uma conta que tenha a habilitação do recurso de namespace hierárquico. No entanto, você não precisa atribuir uma função do Azure se adicionar a identidade gerenciada à ACL (lista de controle de acesso) de qualquer diretório ou blob contido na conta de armazenamento. Nesse caso, o escopo de acesso da instância corresponde ao diretório ou ao arquivo ao qual a identidade gerenciada recebeu acesso. Você também pode combinar funções e ACLs do Azure. Para saber mais sobre como combiná-las para conceder acesso, consulte Modelo de controle de acesso no Azure Data Lake Storage Gen2.

Dica

A maneira recomendada para conceder acesso a recursos específicos é usar regras de instância de recurso. Para conceder acesso a instâncias de recurso específicas, consulte a seção Conceder acesso de instâncias de recursos do Azure deste artigo.

Serviço Nome do provedor de recursos Finalidade
Gerenciamento de API do Azure Microsoft.ApiManagement/service Habilita o acesso do serviço de gerenciamento de API a contas de armazenamento por trás do firewall usando políticas. Saiba mais.
Cache do Azure para Redis Microsoft.Cache/Redis Permite o acesso a contas de armazenamento por meio do Cache do Azure para Redis. Saiba mais
Pesquisa Cognitiva do Azure Microsoft.Search/searchServices Permite que os serviços do Cognitive Search acessem contas de armazenamento para indexação, processamento e consulta.
Serviços Cognitivos do Azure Microsoft.CognitiveService/accounts Permite que serviços cognitivos acessem contas de armazenamento. Saiba mais.
Tarefas do Registro de Contêiner do Azure Microsoft.ContainerRegistry/registries As Tarefas do ACR podem acessar contas de armazenamento ao criar imagens de contêiner.
Fábrica de dados do Azure Microsoft.DataFactory/factories Permite o acesso a contas de armazenamento por meio do runtime do ADF.
Azure Data Share Microsoft.DataShare/accounts Permite o acesso a contas de armazenamento por meio do Data Share.
Azure DevTest Labs Microsoft.DevTestLab/labs Permite o acesso a contas de armazenamento por meio do DevTest Labs.
Grade de Eventos do Azure Microsoft.EventGrid/topics Permite o acesso a contas de armazenamento por meio da Grade de Eventos do Azure.
APIs de Serviços de Saúde do Azure Microsoft.HealthcareApis/services Permite o acesso a contas de armazenamento por meio das APIs de serviços de saúde do Azure.
Aplicativos do Azure IoT Central Microsoft.IoTCentral/IoTApps Permite o acesso a contas de armazenamento por meio do Aplicativos do Azure IoT Central.
Hub IoT do Azure Microsoft.Devices/IotHubs Permite que os dados de um hub IoT sejam gravados no Armazenamento de Blobs. Saiba mais
Aplicativos Lógicos do Azure Microsoft.Logic/workflows Permite que os aplicativos lógicos acessem contas de armazenamento. Saiba mais.
Serviço do Azure Machine Learning Microsoft.MachineLearningServices Os workspaces autorizados do Azure Machine Learning gravam a saída, os modelos e os logs do experimento no Armazenamento de Blobs e leem os dados. Saiba mais.
Serviços de Mídia do Azure Microsoft.Media/mediaservices Permite o acesso a contas de armazenamento por meio dos Serviços de Mídia.
Migrações para Azure Microsoft.Migrate/migrateprojects Permite o acesso a contas de armazenamento por meio de Migrações para Azure.
Microsoft Purview Microsoft.Purview/accounts Permite que o Microsoft Purview acesse contas de armazenamento.
Azure Remote Rendering Microsoft.MixedReality/remoteRenderingAccounts Permite o acesso a contas de armazenamento por meio de Remote Rendering.
Azure Site Recovery Microsoft.RecoveryServices/vaults Permite o acesso a contas de armazenamento por meio do Site Recovery.
Banco de Dados SQL do Azure Microsoft.Sql Permite gravar dados de auditoria em contas de armazenamento por trás do firewall.
Azure Synapse Analytics Microsoft.Sql Permite a importação e a exportação de dados de bancos de dado SQL específicos usando a instrução de cópia ou o PolyBase (no pool dedicado) ou a openrowset função e tabelas externas no pool sem servidor. Saiba mais.
Stream Analytics do Azure Microsoft.StreamAnalytics Permite que os dados de um trabalho de streaming sejam gravados no Armazenamento de Blobs. Saiba mais.
Azure Synapse Analytics Microsoft.Synapse/workspaces Habilita o acesso a dados no Armazenamento do Azure do Azure Synapse Analytics.

Conceder acesso à análise de armazenamento

Em alguns casos, o acesso para ler as métricas e logs de recurso é necessário de fora do limite de rede. Ao configurar o acesso de serviços confiáveis à conta de armazenamento, você pode permitir o acesso de leitura aos arquivos de log, às tabelas de métricas ou a ambos criando uma exceção de regra de rede. Para obter diretrizes passo a passo, consulte a seção Gerenciar exceções deste artigo. Para saber mais sobre como trabalhar com a análise de armazenamento, consulte Usar a análise de armazenamento do Azure para coletar dados de logs e métricas.

Gerenciar exceções

Você pode gerenciar as exceções de regra da rede através do portal do Azure, PowerShell ou CLI do Azure v2.

  1. Acesse a conta de armazenamento que você deseja proteger.

  2. Selecione Rede no menu configurações.

  3. Certifique-se de que você optou por permitir o acesso de Redes selecionadas.

  4. Em Exceções, selecione as exceções que deseja conceder.

  5. Selecione Salvar para salvar suas alterações.

Próximas etapas

Saiba mais sobre os Pontos de Extremidade do Serviço de Rede do Azure em Pontos de Extremidade de Serviço.

Aprofunde-se na segurança do Armazenamento do Microsoft Azure no Guia de segurança do Armazenamento do Azure.