Compartilhar via


Configurar redes virtuais e firewalls do Armazenamento do Microsoft Azure

O Armazenamento do Microsoft Azure fornece um modelo de segurança em camadas. Esse modelo permite que você controle o nível de acesso às suas contas de armazenamento que seus aplicativos e ambientes corporativos exigem, com base no tipo e no subconjunto de redes usadas.

Quando as regras de rede são configuradas, somente aplicativos que solicitam dados do conjunto especificado de redes ou por meio do conjunto especificado de recursos do Azure podem acessar uma conta de armazenamento. Você pode limitar o acesso à sua conta de armazenamento a solicitações originadas de endereços IP especificados, intervalos de IP, sub-redes em uma rede virtual do Azure, ou instâncias de recursos de alguns serviços do Azure.

As contas de armazenamento têm um ponto de extremidade público que pode ser acessado pela Internet. Também é possível criar pontos de extremidade privados para sua conta de armazenamento. A criação de pontos de extremidade privados atribui um endereço IP privado de sua rede virtual à conta de armazenamento. Isso protege todo o tráfego entre a rede virtual e a conta de armazenamento em um link privado.

O firewall do Armazenamento do Microsoft Azure fornece acesso de controle de acesso para o ponto de extremidade público da sua conta de armazenamento. Você também pode usar o firewall para bloquear todo o acesso por meio do ponto de extremidade público ao usar pontos de extremidades privados. A configuração do firewall de armazenamento também permite que serviços confiáveis da plataforma Azure acessem a conta de armazenamento.

Um aplicativo que acessa uma conta de armazenamento quando as regras de rede estão em vigor ainda requer autorização adequada para a solicitação. A autorização é compatível com as credenciais do Microsoft Entra para blobs, tabelas, compartilhamento de arquivos e filas, com uma chave de acesso de conta válida ou um token de assinatura de acesso compartilhado (SAS). Quando um contêiner de blob é configurado para acesso anônimo, as solicitações para ler dados nesse contêiner não precisam ser autorizadas. As regras de firewall permanecem em vigor e bloquearão o tráfego anônimo.

Ativar regras de firewall para sua conta de armazenamento bloqueia solicitações de entrada para os dados por padrão, a menos que as solicitações sejam provenientes de um serviço que esteja operando em uma rede virtual do Azure ou de endereços IP públicos permitidos. Solicitações que estão bloqueadas incluem as de outros serviços do Azure, do portal do Azure, de registro em log e serviços de métricas.

Você pode conceder acesso aos serviços do Azure que operam de dentro de uma rede virtual, permitindo tráfego da sub-rede que hospeda a instância do serviço. Você também pode habilitar um número limitado de cenários por meio do mecanismo de exceções que este artigo descreve. O acesso a dados da conta de armazenamento por meio do portal do Azure precisa ser feito de um computador dentro do limite confiável (IP ou rede virtual) que você configurou.

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Cenários

Para proteger sua conta de armazenamento, primeiro você deve configurar uma regra para negar o acesso ao tráfego de todas as redes (incluindo o tráfego da Internet) no ponto de extremidade público, por padrão. Em seguida, você deverá configurar regras que permitam acesso ao tráfego de redes virtuais específicas. Você também pode configurar regras para permitir acesso ao tráfego de intervalos de endereços IP públicos da Internet selecionados, permitindo conexões de clientes locais ou da Internet específicos. Essa configuração permite que você crie um limite de rede seguro para seus aplicativos.

Você pode combinar regras de firewall que permitem o acesso de redes virtuais específicas e de intervalos de endereços IP públicos na mesma conta de armazenamento. Você pode aplicar as regras de firewall de armazenamento para contas de armazenamento existentes ou ao criar novas contas de armazenamento.

As regras de firewall de armazenamento se aplicam ao ponto de extremidade público de uma conta de armazenamento. Você não precisa de nenhuma regra de acesso de firewall para permitir o tráfego para pontos de extremidade privados de uma conta de armazenamento. O processo de aprovar a criação de um ponto de extremidade privado concede acesso implícito ao tráfego da sub-rede que hospeda o ponto de extremidade privado.

Importante

As regras de firewall do Armazenamento do Azure se aplicam apenas a operações de plano de dados. As operações do Painel de controle não estão sujeitas às restrições especificadas nas regras de firewall.

Algumas operações, como as operações de contêineres de blob, podem ser executadas por meio do painel de controle e do plano de dados. Portanto, se você tentar executar uma operação, como listar contêineres no portal do Azure, a operação será bem-sucedida, a menos que seja bloqueada por outro mecanismo. As tentativas de acessar dados de blob de um aplicativo como o Gerenciador de Armazenamento do Azure são controladas pelas restrições do firewall.

Para obter uma lista de operações de plano de dados, confira a Referência da API REST do Armazenamento do Azure. Para obter uma lista das operações do painel de controle, confira a Referência da API REST do Provedor de Recursos de Armazenamento do Azure.

Configurar o acesso à rede para o Armazenamento do Azure

Você pode controlar o acesso aos dados em sua conta de armazenamento por meio de pontos de extremidade de rede ou por meio de serviços ou recursos confiáveis em qualquer combinação, incluindo:

Sobre os pontos de extremidade de rede virtual

Há dois tipos de pontos de extremidade de rede virtual para contas de armazenamento:

Os pontos de extremidade de serviço de rede virtual são públicos e acessíveis pela Internet. O firewall do Armazenamento do Azure oferece a capacidade de controlar o acesso à conta de armazenamento nos pontos de extremidade públicos. Ao habilitar o acesso à rede pública para a conta de armazenamento, todas as solicitações de entrada de dados são bloqueadas por padrão. Somente os aplicativos que solicitarem dados de fontes permitidas que você definir nas configurações de firewall da conta de armazenamento poderão acessar seus dados. As fontes podem incluir o endereço IP de origem ou a sub-rede de rede virtual de um cliente, ou um serviço ou instância de recurso do Azure por meio do qual clientes ou serviços acessam seus dados. As solicitações bloqueadas incluem as de outros serviços do Azure, do portal do Azure e de serviços de registro em log e métricas, a menos que você permita explicitamente o acesso na configuração do firewall.

Um ponto de extremidade privado usa um endereço IP privado da rede virtual para acessar uma conta de armazenamento na rede de backbone da Microsoft. Com um ponto de extremidade privado, o tráfego entre sua rede virtual e a conta de armazenamento é protegido por um link privado. As regras de firewall de armazenamento só se aplicam aos pontos de extremidade públicos de uma conta de armazenamento, não aos pontos de extremidade privados. O processo de aprovar a criação de um ponto de extremidade privado concede acesso implícito ao tráfego da sub-rede que hospeda o ponto de extremidade privado. Você pode usar as Políticas de Rede para controlar o tráfego em pontos de extremidade privados se quiser refinar as regras de acesso. Se quiser usar exclusivamente pontos de extremidade privados, você pode usar o firewall para bloquear todo o acesso por meio do ponto de extremidade público.

Para ajudar você a decidir quando usar cada tipo de ponto de extremidade em seu ambiente, confira Comparar Pontos de Extremidade Privados e Pontos de Extremidade de Serviço.

Como abordar a segurança de rede para a conta de armazenamento

Para proteger a conta de armazenamento e criar um limite de rede seguro para os aplicativos:

  1. Comece desabilitando todo o acesso à rede pública para a conta de armazenamento na configuração Acesso à rede pública no firewall da conta de armazenamento.

  2. Sempre que possível, configure links privados para a conta de armazenamento a partir de pontos de extremidade privados em sub-redes de rede virtual onde residem os clientes que precisam acessar seus dados.

  3. Se os aplicativos clientes exigirem acesso pelos pontos de extremidade públicos, altere a configuração Acesso à rede pública para Habilitado nas redes virtuais e endereços IP selecionados. Em seguida, conforme necessário:

    1. Especifique as sub-redes de rede virtual das quais você deseja permitir o acesso.
    2. Especifique os intervalos de endereços IP públicos dos clientes dos quais deseja permitir o acesso, como os que estão em redes locais.
    3. Permita o acesso a partir de instâncias de recursos do Azure selecionadas.
    4. Adicione exceções para permitir o acesso de serviços confiáveis necessários para operações como o backup de dados.
    5. Adicione exceções para registro em log e métricas.

Depois de aplicar regras de rede, elas serão impostas para todas as solicitações. Os tokens SAS que concedem acesso a um serviço de endereço IP específico limitam o acesso do proprietário do token, mas não concedem um novo acesso além das regras de rede configuradas.

Restrições e considerações

Antes de implementar a segurança de rede para suas contas de armazenamento, examine as restrições e considerações importantes discutidas nesta seção.

  • As regras de firewall do Armazenamento do Azure se aplicam apenas a operações de plano de dados. As operações do Painel de controle não estão sujeitas às restrições especificadas nas regras de firewall.
  • Examine as Restrições para regras de rede IP.
  • Para acessar os dados usando ferramentas como o portal do Azure, o Gerenciador de Armazenamento do Azure e o AzCopy, você deve estar em um computador dentro do limite confiável estabelecido ao configurar as regras de segurança de rede.
  • As regras de rede são impostas em todos os protocolos de rede para o Armazenamento do Microsoft Azure, incluindo REST e SMB.
  • As regras de rede não afetam o tráfego de disco da VM (máquina virtual), incluindo operações de montagem e desmontagem e E/S de disco, mas ajudam a proteger o acesso REST aos blobs de páginas.
  • Você pode usar discos não gerenciados em contas de armazenamento com regras de rede aplicadas para fazer backup e restaurar VMs criando uma exceção. As exceções de firewall não se aplicam a discos gerenciados, pois o Azure já os gerencia.
  • As contas de armazenamento clássicas não dão suporte a firewalls e redes virtuais.
  • Se você excluir uma sub-rede que esteja incluída em uma regra de rede virtual, ela será removida das regras de rede da conta de armazenamento. Se você criar uma sub-rede nova com o mesmo nome, ela não terá acesso à conta de armazenamento. Para permitir o acesso, você precisa autorizar explicitamente a nova sub-rede nas regras de rede da conta de armazenamento.
  • Ao fazer referência a um ponto de extremidade de serviço em um aplicativo cliente, é recomendável evitar a dependência de um endereço IP armazenado em cache. O endereço IP da conta de armazenamento está sujeito a alterações, e confiar em um endereço IP armazenado em cache pode resultar em um comportamento inesperado. Além disso, é recomendável respeite a vida útil (TTL) do registro DNS e evite substituí-la. A substituição do TTL do DNS pode resultar em um comportamento inesperado.
  • O acesso a uma conta de armazenamento de serviços confiáveis tem maior precedência do que outras restrições de acesso à rede, por padrão. Se você definir o Acesso à rede pública como Desabilitado depois de já ter definido como Habilitado de redes virtuais selecionadas e endereços IP, todas as instâncias de recurso e exceções que você configurou anteriormente, incluindo Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento, permanecerão em vigor. Com isso, esses recursos e serviços ainda poderão ter acesso à conta de armazenamento.

Autorização

Os clientes com acesso concedido por meio de regras de rede devem continuar a atender aos requisitos de autorização da conta de armazenamento para acessar os dados. A autorização é compatível com as credenciais do Microsoft Entra para blobs e filas, com uma chave de acesso de conta válida ou um token de assinatura de acesso compartilhado (SAS).

Ao configurar um contêiner de blob para acesso público anônimo, as solicitações de leitura de dados nesse contêiner não precisam ser autorizadas, mas as regras de firewall permanecem em vigor e bloquearão o tráfego anônimo.

Alterar a regra de acesso de rede padrão

Por padrão, as contas de armazenamento aceitam conexões de clientes em qualquer rede. É possível limitar o acesso a redes selecionadas ou impedir o tráfego de todas as redes e permitir o acesso somente por meio de um ponto de extremidade privado.

Não se esqueça de definir a regra padrão para negar ou as regras de rede não terão efeito. Alterar essa configuração poderá afetar a capacidade do aplicativo de se conectar ao Armazenamento do Microsoft Azure. Certifique-se de conceder acesso a todas as redes permitidas ou configurar o acesso por meio de um ponto de extremidade privado antes de alterar essa configuração.

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

  1. Vá até a conta de armazenamento que você deseja proteger.

  2. Localize as Configurações de Rede em Segurança + rede.

  3. Escolha qual tipo de acesso à rede pública você deseja permitir:

    • Para permitir o tráfego de todas as redes, selecione Habilitado de todas as redes.

    • Para permitir o tráfego somente de redes virtuais específicas, selecione Habilitado nas redes virtuais e endereços IP selecionados.

    • Para bloquear o tráfego em todas as redes, selecione Desabilitado.

  4. Selecione Salvar para salvar suas alterações.

Cuidado

O acesso a uma conta de armazenamento de serviços confiáveis tem maior precedência do que outras restrições de acesso à rede, por padrão. Se você definir o Acesso à rede pública como Desabilitado depois de já ter definido como Habilitado de redes virtuais selecionadas e endereços IP, todas as instâncias de recurso e exceções que você configurou anteriormente, incluindo Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento, permanecerão em vigor. Com isso, esses recursos e serviços ainda poderão ter acesso à conta de armazenamento.

Conceder acesso de uma rede virtual

Você pode configurar as contas de armazenamento para permitir o acesso somente de sub-redes específicas. As sub-redes permitidas podem pertencer a uma rede virtual na mesma assinatura ou em uma assinatura diferente, incluindo as que pertencem a um locatário diferente do Microsoft Entra. Com pontos de extremidade de serviço entre regiões, as sub-redes permitidas também podem estar em regiões diferentes da conta de armazenamento.

Você deve habilitar um ponto de extremidade de serviço do Armazenamento do Microsoft Azure dentro da rede virtual. O ponto de extremidade de serviço roteia o tráfego da rede virtual por meio de um caminho ideal para o serviço de Armazenamento do Azure. As identidades da rede virtual e da sub-rede também são transmitidas com cada solicitação. Em seguida, os administradores poderão configurar as regras de rede para a conta de armazenamento que permite que as solicitações sejam recebidas de sub-redes específicas em uma rede virtual. Os clientes com o acesso concedido por meio dessas regras de rede devem continuar a atender aos requisitos de autorização da conta de armazenamento para acessar os dados.

Cada conta de armazenamento dá suporte a até 400 regras de rede virtual. Você pode combinar essas regras com regras de rede IP.

Importante

Ao fazer referência a um ponto de extremidade de serviço em um aplicativo cliente, é recomendável evitar a dependência de um endereço IP armazenado em cache. O endereço IP da conta de armazenamento está sujeito a alterações, e confiar em um endereço IP armazenado em cache pode resultar em um comportamento inesperado.

Além disso, é recomendável respeite a vida útil (TTL) do registro DNS e evite substituí-la. A substituição do TTL do DNS pode resultar em um comportamento inesperado.

Permissões necessárias

Para aplicar uma regra da rede virtual a uma conta de armazenamento, o usuário deverá ter permissão para as sub-redes que estão sendo adicionadas. Um Colaborador da Conta de Armazenamento ou um usuário que tenha permissão para a Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action operação de provedor de recursos do Azure pode aplicar uma regra usando uma função personalizada do Azure.

A conta de armazenamento e o acesso concedido às redes virtuais podem estar em assinaturas diferentes, incluindo assinaturas que são parte do mesmo locatário do Microsoft Entra.

A configuração de regras que concedem acesso a sub-redes em redes virtuais que fazem parte de um locatário diferente do Microsoft Entra atualmente só é compatível por meio do PowerShell, da CLI do Azure e de APIs REST. Você não pode configurar essas regras por meio do portal do Azure, embora possa exibi-las no portal.

Pontos de extremidade de serviço entre regiões do Armazenamento do Azure

Os pontos de extremidade de serviço entre regiões para o Armazenamento do Microsoft Azure ficaram em disponibilidade geral em abril de 2023. Eles funcionam entre redes virtuais e instâncias de serviço de armazenamento em qualquer região. Com pontos de extremidade de serviço entre regiões, as sub-redes não usarão mais um endereço IP público para se comunicar com qualquer conta de armazenamento, incluindo aquelas em outra região. Em vez disso, todo o tráfego de sub-redes para contas de armazenamento usará um endereço IP privado como um IP de origem. Como resultado, todas as contas de armazenamento que usam regras de rede IP para permitir o tráfego dessas sub-redes não terão mais efeito.

Configurar pontos de extremidade de serviço entre redes virtuais e instâncias de serviço em uma região emparelhada pode ser uma parte importante do seu plano de recuperação de desastre. Pontos de extremidade de serviço permitem continuidade durante um failover regional e acesso a instâncias de armazenamento com redundância geográfica somente leitura (RA-GRS). As regras de rede que concedem acesso de uma rede virtual para uma conta de armazenamento também concedem acesso a qualquer instância de RA-GRS.

Ao planejar a recuperação de desastre durante uma interrupção regional, crie as redes virtuais na região emparelhada com antecedência. Habilite pontos de extremidade de serviço para o Armazenamento do Microsoft Azure, com as regras de rede concedendo acesso dessas redes virtuais alternativas. Em seguida, aplica essas regras às contas de armazenamento com redundância geográfica.

Os pontos de extremidade de serviço locais e entre regiões não podem coexistir na mesma sub-rede. Para substituir os pontos de extremidade de serviço existentes por entre regiões, exclua os pontos de extremidade existentes Microsoft.Storage e recrie-os como pontos de extremidade entre regiões (Microsoft.Storage.Global).

Gerenciando regras da rede virtual

Você pode gerenciar as regras da rede virtual para contas de armazenamento através do portal do Azure, do PowerShell ou da CLI do Azure v2.

Se você quiser habilitar o acesso à sua conta de armazenamento a partir de uma rede virtual ou sub-rede em um locatário diferente do Microsoft Entra, deverá usar o PowerShell ou a CLI do Azure. O portal do Azure não mostra sub-redes em outros locatários do Microsoft Entra.

  1. Vá até a conta de armazenamento que você deseja proteger.

  2. Selecione Rede.

  3. Certifique-se de que você optou por permitir o acesso de Redes selecionadas.

  4. Para permitir acesso à rede virtual com uma nova regra de rede, em Redes virtuais, selecione Adicionar rede virtual existente. Selecione as opções em Redes virtuais e Sub-redes e depois selecione Adicionar.

    Para criar uma nova rede virtual e conceder acesso, clique em Adicionar nova rede virtual. Forneça as informações necessárias para criar a nova rede virtual e, em seguida, selecione Criar.

    Se um ponto de extremidade de Armazenamento do Microsoft Azure não foi configurado anteriormente para a rede virtual selecionada e as sub-redes, você pode configurá-lo como parte dessa operação.

    Atualmente, somente as redes virtuais que pertencem ao mesmo locatário do Microsoft Entra são mostradas para seleção durante a criação de regras. Para permitir acesso a uma sub-rede em uma rede virtual que pertence a outro locatário, use o PowerShell, a CLI do Azure ou as APIs REST.

  5. Para remover uma regra de rede virtual ou de sub-rede, clique em () para abrir o menu de contexto da rede virtual ou sub-rede e clique em Remover.

  6. Selecione Salvar para salvar suas alterações.

Importante

Se você excluir uma sub-rede que foi incluída em uma regra de rede, ela será removida das regras de rede da conta de armazenamento. Se você criar uma sub-rede nova com o mesmo nome, ela não terá acesso à conta de armazenamento. Para permitir o acesso, você precisa autorizar explicitamente a nova sub-rede nas regras de rede da conta de armazenamento.

Conceder acesso de um intervalo de IP de Internet

Você pode usar regras de rede IP para permitir o acesso de intervalos de endereços IP públicos da Internet específicos criando regras de rede IP. Cada conta de armazenamento dá suporte a até 400 regras. Essas regras concedem acesso a serviços específicos baseados na Internet e redes locais e bloqueia o tráfego geral da Internet.

Restrições para regras de rede IP

As restrições a seguir se aplicam a intervalos de endereços IP:

  • As regras de rede IP são permitidas apenas para endereços IP públicos da internet.

    Intervalos de endereços IP reservados para redes privadas (conforme definido em RFC 1918) não são permitidos nas regras de IP. Redes privadas incluem endereços que começam com 10, 172.16 a 172.31 e 192.168.

  • Forneça intervalos de endereços de Internet permitidos usando a notação CIDR no formulário 16.17.18.0/24 ou como endereços IP individuas como 16.17.18.19.

  • Intervalos de endereços pequenos que usam tamanhos de prefixo /31 ou /32 não têm suporte. Esses intervalos devem ser configurados usando regras de endereço IP individuais.

  • Somente endereços IPv4 são compatíveis com a configuração de regras de firewall de armazenamento.

Importante

As regras de rede IP não podem ser usadas nos seguintes casos:

  • Para restringir o acesso a clientes na mesma região do Azure que a conta de armazenamento. As regras de rede IP não terão efeito sobre solicitações originadas da mesma região do Azure que a conta de armazenamento. Use as regras de rede Virtual para permitir solicitações da mesma região.
  • Para restringir o acesso a clientes em uma região emparelhada que está em uma rede virtual que tem um ponto de extremidade de serviço.
  • Para restringir o acesso aos serviços do Azure implantados na mesma região que a conta de armazenamento. Os serviços implantados na mesma região que a conta de armazenamento usam endereços IP privados do Azure para comunicação. Portanto, você não pode restringir o acesso a serviços específicos do Azure com base nos respectivos intervalos de endereços IP de saída públicos.

Configurando o acesso de redes locais

Para conceder acesso de suas redes locais para sua conta de armazenamento com uma regra de rede IP, você deve identificar os endereços IP voltados para Internet usados por sua rede. Entre em contato com o administrador de rede para obter ajuda.

Se você estiver usando o Azure ExpressRoute do seu local, será necessário identificar os endereços IP NAT usados para emparelhamento da Microsoft. O provedor de serviços ou o cliente fornece os endereços IP NAT.

Para permitir o acesso aos recursos do serviço, você deve permitir estes endereços IP públicos na configuração do firewall de IPs do recurso.

Gerenciando regras de rede IP

Você pode gerenciar as regras de rede IP para contas de armazenamento através do portal do Azure, do PowerShell ou da CLI do Azure v2.

  1. Vá até a conta de armazenamento que você deseja proteger.

  2. Selecione Rede.

  3. Certifique-se de que você optou por permitir o acesso de Redes selecionadas.

  4. Para conceder acesso a um intervalo de IP de Internet, insira o endereço IP ou o intervalo de endereços (no formato CIDR) em Firewall>Intervalos de Endereços.

  5. Para remover uma regra de rede IP, clique no ícone de excluir ( ) próximo do intervalo de endereços.

  6. Selecione Salvar para salvar suas alterações.

Permitir acesso de instâncias de recursos do Azure

Em alguns casos, um aplicativo pode depender de recursos do Azure que não podem ser isolados por meio de uma rede virtual ou de uma regra de endereço IP. No entanto, você ainda gostaria de proteger e restringir o acesso à conta de armazenamento somente aos recursos do Azure de seu aplicativo. Você pode configurar contas de armazenamento para permitir o acesso a instâncias de recursos específicas de serviços confiáveis do Azure criando uma regra de instância de recurso.

As atribuições de função do Azure da instância de recurso determinam os tipos de operações que uma instância de recurso pode executar nos dados da conta de armazenamento. As instâncias de recurso devem ser do mesmo locatário como sua conta de armazenamento, mas podem pertencer a qualquer assinatura no locatário.

Você pode adicionar ou remover regras de rede de recursos no portal do Azure:

  1. Entre no portal do Azure.

  2. Localize sua conta de armazenamento e exiba a visão geral dela.

  3. Selecione Rede.

  4. Em Firewalls e redes virtuais, para Redes selecionadas, selecione a opção para permitir o acesso.

  5. Role para baixo para localizar Instâncias de recurso. Na lista suspensa Tipo de recurso, escolha o tipo de recurso de sua instância de recurso.

  6. Na lista suspensa Nome da instância, escolha a instância de recurso. Você também pode optar por incluir todas as instâncias de recurso no locatário ativo, na assinatura ou no grupo de recursos.

  7. Selecione Salvar para salvar suas alterações. A instância de recurso aparece na seção Instâncias de recurso da página de configurações de rede.

Para remover a instância de recurso, selecione o ícone excluir ( ) ao lado da instância de recurso.

Conceder acesso a serviços confiáveis do Azure

Alguns serviços do Azure operam a partir de redes que não podem ser incluídas em suas regras de rede. Você pode conceder, a um subconjunto desses serviços confiáveis do Azure, acesso à conta de armazenamento, mantendo as regras de rede para outros aplicativos. Esses serviços confiáveis usarão a autenticação forte para se conectar à sua conta de armazenamento.

Você pode conceder acesso a serviços confiáveis do Azure criando uma exceção de regra de rede. A seção Gerenciar exceções deste artigo fornece diretrizes passo a passo.

Acesso confiável para recursos registrados em seu locatário do Microsoft Entra

Recursos de alguns serviços podem acessar sua conta de armazenamento para operações selecionadas, como gravar logs ou executar backups. Esses serviços precisam ser registrados em uma assinatura localizada no mesmo locatário do Microsoft Entra que sua conta de armazenamento. A tabela a seguir descreve cada serviço e as operações permitidas.

Serviço Nome do provedor de recursos Operações permitidas
Serviço de Backup do Azure Microsoft.RecoveryServices Execute backups e restaurações de discos não gerenciados em máquinas virtuais de IaaS (infraestrutura como serviço) (não necessárias para discos gerenciados). Saiba mais.
Azure Data Box Microsoft.DataBox Importar dados para o Azure. Saiba mais.
Azure DevTest Labs Microsoft.DevTestLab Crie imagens personalizadas e instale artefatos. Saiba mais.
Grade de Eventos do Azure Microsoft.EventGrid Habilite a publicação de eventos do Armazenamento de Blobs do Azure e permita a publicação em filas de armazenamento.
Hubs de eventos do Azure Microsoft.EventHub Arquivar dados com a Captura de Hubs de Eventos do Azure. Saiba mais.
Sincronização de Arquivos do Azure Microsoft.StorageSync Transforme o servidor de arquivos local em um cache para compartilhamentos de arquivos do Azure. Essa funcionalidade permite sincronização de vários sites, recuperação rápida de desastres e backup do lado da nuvem. Saiba mais.
Azure HDInsight Microsoft.HDInsight Provisione o conteúdo inicial do sistema de arquivos padrão para um novo cluster HDInsight. Saiba mais.
Importação/Exportação do Azure Microsoft.ImportExport Importe dados para o Armazenamento do Microsoft Azure ou exporte dados do Armazenamento do Microsoft Azure. Saiba mais.
Azure Monitor Microsoft.Insights Grave dados de monitoramento em uma conta de armazenamento protegida, incluindo logs de recursos, logs de entrada e de auditoria do Microsoft Entra e logs do Microsoft Intune. Saiba mais.
Serviços de rede do Azure Microsoft.Network Armazene e analise logs de tráfego de rede, incluindo por meio do Observador de Rede e serviços do Gerenciador de Tráfego do Azure. Saiba mais.
Azure Site Recovery Microsoft.SiteRecovery Habilite a replicação para recuperação de desastre de máquinas virtuais de IaaS do Azure ao usar as contas de armazenamento de cache, origem ou destino habilitadas para firewall. Saiba mais.

Acesso confiável com base em uma identidade gerenciada

A tabela a seguir lista os serviços que podem ter acesso aos dados da sua conta de armazenamento se as instâncias de recurso desses serviços receberem a permissão apropriada.

Serviço Nome do provedor de recursos Finalidade
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats Habilita o acesso a contas de armazenamento.
Gerenciamento de API do Azure Microsoft.ApiManagement/service Habilita o acesso a contas de armazenamento por trás de firewalls por meio de políticas. Saiba mais.
Sistemas Autônomos da Microsoft Microsoft.AutonomousSystems/workspaces Habilita o acesso a contas de armazenamento.
Cache do Azure para Redis Microsoft.Cache/Redis Habilita o acesso a contas de armazenamento. Saiba mais.
Pesquisa de IA do Azure Microsoft.Search/searchServices Habilita o acesso a contas de armazenamento para indexação, processamento e consulta.
Serviços de IA do Azure Microsoft.CognitiveService/accounts Habilita o acesso a contas de armazenamento. Saiba mais.
Registro de Contêiner do Azure Microsoft.ContainerRegistry/registries Por meio do conjunto de recursos de Tarefas do ACR, habilita o acesso a contas de armazenamento quando estiver criando imagens de contêiner.
Gerenciamento de Custos da Microsoft Microsoft.CostManagementExports Habilita a exportação para contas de armazenamento por trás de um firewall. Saiba mais.
Azure Databricks Microsoft.Databricks/accessConnectors Habilita o acesso a contas de armazenamento.
Fábrica de dados do Azure Microsoft.DataFactory/factories Habilita o acesso a contas de armazenamento por meio do runtime do Data Factory.
Cofre de Backup do Azure Microsoft.DataProtection/BackupVaults Habilita o acesso a contas de armazenamento.
Azure Data Share Microsoft.DataShare/accounts Habilita o acesso a contas de armazenamento.
Banco de Dados do Azure para PostgreSQL Microsoft.DBForPostgreSQL Habilita o acesso a contas de armazenamento.
Hub IoT do Azure Microsoft.Devices/IotHubs Permite que os dados de um hub IoT sejam gravados no Armazenamento de Blobs. Saiba mais.
Azure DevTest Labs Microsoft.DevTestLab/labs Habilita o acesso a contas de armazenamento.
Grade de Eventos do Azure Microsoft.EventGrid/domains Habilita o acesso a contas de armazenamento.
Grade de Eventos do Azure Microsoft.EventGrid/partnerTopics Habilita o acesso a contas de armazenamento.
Grade de Eventos do Azure Microsoft.EventGrid/systemTopics Habilita o acesso a contas de armazenamento.
Grade de Eventos do Azure Microsoft.EventGrid/topics Habilita o acesso a contas de armazenamento.
Microsoft Fabric Microsoft.Fabric Habilita o acesso a contas de armazenamento.
APIs de Serviços de Saúde do Azure Microsoft.HealthcareApis/services Habilita o acesso a contas de armazenamento.
APIs de Serviços de Saúde do Azure Microsoft.HealthcareApis/workspaces Habilita o acesso a contas de armazenamento.
Azure IoT Central Microsoft.IoTCentral/IoTApps Habilita o acesso a contas de armazenamento.
Sobre o HSM Gerenciado do Azure Key Vault Microsoft.keyvault/managedHSMs Habilita o acesso a contas de armazenamento.
Aplicativos Lógicos do Azure Microsoft.Logic/integrationAccounts Permite que os aplicativos lógicos acessem contas de armazenamento. Saiba mais.
Aplicativos Lógicos do Azure Microsoft.Logic/workflows Permite que os aplicativos lógicos acessem contas de armazenamento. Saiba mais.
Azure Machine Learning Studio Microsoft.MachineLearning/registries Habilita os espaços de trabalho autorizados do Azure Machine Learning a gravar a saída, os modelos e os logs do experimento no Armazenamento de Blobs e leitura dos dados. Saiba mais.
Azure Machine Learning Microsoft.MachineLearningServices Habilita os espaços de trabalho autorizados do Azure Machine Learning a gravar a saída, os modelos e os logs do experimento no Armazenamento de Blobs e leitura dos dados. Saiba mais.
Azure Machine Learning Microsoft.MachineLearningServices/workspaces Habilita os espaços de trabalho autorizados do Azure Machine Learning a gravar a saída, os modelos e os logs do experimento no Armazenamento de Blobs e leitura dos dados. Saiba mais.
Serviços de Mídia do Azure Microsoft.Media/mediaservices Habilita o acesso a contas de armazenamento.
Migrações para Azure Microsoft.Migrate/migrateprojects Habilita o acesso a contas de armazenamento.
Âncoras Espaciais do Azure Microsoft.MixedReality/remoteRenderingAccounts Habilita o acesso a contas de armazenamento.
Azure ExpressRoute Microsoft.Network/expressRoutePorts Habilita o acesso a contas de armazenamento.
Microsoft Power Platform Microsoft.PowerPlatform/enterprisePolicies Habilita o acesso a contas de armazenamento.
Projeto Arcadia da Microsoft Microsoft.ProjectArcadia/workspaces Habilita o acesso a contas de armazenamento.
Catálogo de Dados do Azure Microsoft.ProjectBabylon/accounts Habilita o acesso a contas de armazenamento.
Microsoft Purview Microsoft.Purview/accounts Habilita o acesso a contas de armazenamento.
Azure Site Recovery Microsoft.RecoveryServices/vaults Habilita o acesso a contas de armazenamento.
Central de Segurança Microsoft.Security/dataScanners Habilita o acesso a contas de armazenamento.
Singularidade Microsoft.Singularity/accounts Habilita o acesso a contas de armazenamento.
Banco de Dados SQL do Azure Microsoft.Sql Permite gravar dados de auditoria em contas de armazenamento por trás do firewall.
Servidores SQL do Azure Microsoft.Sql/servers Permite gravar dados de auditoria em contas de armazenamento por trás do firewall.
Azure Synapse Analytics Microsoft.Sql Permite a importação e a exportação de dados de bancos de dado SQL específicos usando a instrução COPY ou PolyBase (no pool dedicado) ou a função openrowset e tabelas externas no pool sem servidor. Saiba mais.
Stream Analytics do Azure Microsoft.StreamAnalytics Permite que os dados de um trabalho de streaming sejam gravados no Armazenamento de Blobs. Saiba mais.
Stream Analytics do Azure Microsoft.StreamAnalytics/streamingjobs Permite que os dados de um trabalho de streaming sejam gravados no Armazenamento de Blobs. Saiba mais.
Azure Synapse Analytics Microsoft.Synapse/workspaces Habilita o acesso a dados no Armazenamento do Microsoft Azure
Azure Video Indexer Microsoft.VideoIndexer/Accounts Habilita o acesso a contas de armazenamento.

Se a sua conta não tiver o recurso de namespace hierárquico habilitado, você poderá conceder permissão atribuindo explicitamente uma função do Azure à identidade gerenciada de cada instância de recurso. Nesse caso, o escopo de acesso para a instância corresponde à função do Azure atribuída à identidade gerenciada.

Você pode usar a mesma técnica para uma conta que tenha a habilitação do recurso de namespace hierárquico. No entanto, você não precisa atribuir uma função do Azure se adicionar a identidade gerenciada à ACL (lista de controle de acesso) de qualquer diretório ou blob contido na conta de armazenamento. Nesse caso, o escopo de acesso da instância corresponde ao diretório ou ao arquivo ao qual a identidade gerenciada recebeu acesso.

Você também pode combinar funções e ACLs do Azure para conceder acesso. Para saber mais, consulte Modelo de controle de acesso no Azure Data Lake Storage.

A maneira recomendada para conceder acesso a recursos específicos é usar regras de instância de recurso.

Gerenciar exceções

Em alguns casos, como análise de armazenamento, o acesso para ler as métricas e logs de recurso é necessário de fora do limite de rede. Ao configurar o acesso de serviços confiáveis à conta de armazenamento, você pode permitir o acesso de leitura aos arquivos de log, às tabelas de métricas ou a ambos criando uma exceção de regra de rede. Você pode gerenciar as exceções de regra da rede através do portal do Azure, do PowerShell ou da CLI do Azure v2.

Para saber mais sobre como trabalhar com a análise de armazenamento, consulte Usar a análise de armazenamento do Azure para coletar dados de logs e métricas.

  1. Vá até a conta de armazenamento que você deseja proteger.

  2. Selecione Rede.

  3. Certifique-se de que você optou por permitir o acesso de Redes selecionadas.

  4. Em Exceções, selecione as exceções que deseja conceder.

  5. Selecione Salvar para salvar suas alterações.

Próximas etapas

Saiba mais sobre os Pontos de extremidade de serviço da rede do Azure. Aprofunde-se na segurança do Armazenamento do Microsoft Azure.