Configurar as firewalls e as redes virtuais do Armazenamento do Microsoft Azure

O Armazenamento do Microsoft Azure proporciona um modelo de segurança em camadas. Este modelo permite-lhe proteger e controlar o nível de acesso às suas contas de armazenamento que as suas aplicações e ambientes empresariais exigem, com base no tipo e subconjunto de redes ou recursos utilizados. Quando as regras de rede são configuradas, apenas as aplicações que solicitam dados através do conjunto especificado de redes ou através do conjunto especificado de recursos do Azure podem aceder a uma conta de armazenamento. Pode limitar o acesso à sua conta de armazenamento a pedidos provenientes de endereços IP especificados, intervalos de IP, sub-redes num Rede Virtual do Azure (VNet) ou instâncias de recursos de alguns serviços do Azure.

As contas de armazenamento têm um ponto final público acessível através da Internet. Também pode criar Pontos Finais Privados para a sua conta de armazenamento, que atribui um endereço IP privado da sua VNet à conta de armazenamento e protege todo o tráfego entre a VNet e a conta de armazenamento através de uma ligação privada. A firewall de armazenamento do Azure fornece controlo de acesso para o ponto final público da sua conta de armazenamento. Também pode utilizar a firewall para bloquear todo o acesso através do ponto final público ao utilizar pontos finais privados. A configuração da firewall de armazenamento também permite selecionar serviços de plataforma fidedignos do Azure para aceder à conta de armazenamento de forma segura.

Uma aplicação que acede a uma conta de armazenamento quando as regras de rede estão em vigor ainda requer autorização adequada para o pedido. A autorização é suportada com credenciais do Azure Active Directory (Azure AD) para blobs e filas, com uma chave de acesso de conta válida ou com um token de SAS. Quando um contentor de blobs está configurado para acesso público anónimo, os pedidos de leitura de dados nesse contentor não precisam de ser autorizados, mas as regras de firewall permanecem em vigor e bloqueiam o tráfego anónimo.

Importante

Ativar as regras de firewall para a sua conta de armazenamento bloqueia os pedidos de dados recebidos por predefinição, a menos que os pedidos tenham origem num serviço que opera num Rede Virtual do Azure (VNet) ou a partir de endereços IP públicos permitidos. Os pedidos bloqueados incluem os de outros serviços do Azure, do portal do Azure, dos serviços de registo e métricas, etc.

Pode conceder acesso aos serviços do Azure que operam a partir de uma VNet ao permitir o tráfego da sub-rede que aloja a instância de serviço. Também pode ativar um número limitado de cenários através do mecanismo de exceções descrito abaixo. Para aceder aos dados da conta de armazenamento através do portal do Azure, teria de estar num computador dentro do limite fidedigno (IP ou VNet) que configurou.

Nota

Recomendamos que utilize o módulo Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Cenários

Para proteger a sua conta de armazenamento, primeiro deve configurar uma regra para negar o acesso ao tráfego de todas as redes (incluindo tráfego de Internet) no ponto final público, por predefinição. Em seguida, deve configurar regras que concedem acesso ao tráfego de VNets específicas. Também pode configurar regras para conceder acesso ao tráfego a partir de intervalos de endereços IP públicos selecionados, permitindo ligações a partir de clientes específicos da Internet ou no local. Esta configuração permite-lhe criar um limite de rede seguro para as suas aplicações.

Pode combinar regras de firewall que permitem o acesso a partir de redes virtuais específicas e de intervalos de endereços IP públicos na mesma conta de armazenamento. As regras de firewall de armazenamento podem ser aplicadas a contas de armazenamento existentes ou ao criar novas contas de armazenamento.

As regras de firewall de armazenamento aplicam-se ao ponto final público de uma conta de armazenamento. Não precisa de regras de acesso à firewall para permitir o tráfego para pontos finais privados de uma conta de armazenamento. O processo de aprovação da criação de um ponto final privado concede acesso implícito ao tráfego da sub-rede que aloja o ponto final privado.

As regras de rede são impostas em todos os protocolos de rede do armazenamento do Azure, incluindo REST e SMB. Para aceder a dados com ferramentas como o portal do Azure, Explorador de Armazenamento e AzCopy, têm de ser configuradas regras de rede explícitas.

Assim que as regras de rede são aplicadas, são impostas para todos os pedidos. Os tokens de SAS que concedem acesso a um endereço IP específico servem para limitar o acesso do titular do token, mas não concedem novo acesso para além das regras de rede configuradas.

O tráfego de disco da máquina virtual (incluindo operações de montagem e desmontagem e E/S de disco) não é afetado pelas regras de rede. O acesso REST aos blobs de páginas está protegido por regras de rede.

As contas de armazenamento clássicas não suportam firewalls e redes virtuais.

Pode utilizar discos não geridos em contas de armazenamento com regras de rede aplicadas para fazer cópias de segurança e restaurar VMs ao criar uma exceção. Este processo está documentado na secção Gerir Exceções deste artigo. As exceções de firewall não são aplicáveis aos discos geridos, uma vez que já são geridas pelo Azure.

Change the default network access rule (Alterar a regra de acesso de rede predefinida)

Por predefinição, as contas de armazenamento aceitam ligações de clientes em qualquer rede. Pode limitar o acesso a redes selecionadas ou impedir o tráfego de todas as redes e permitir o acesso apenas através de um ponto final privado.

Aviso

Alterar esta definição pode afetar a capacidade da sua aplicação de se ligar ao Armazenamento do Azure. Certifique-se de que concede acesso a quaisquer redes permitidas ou configura o acesso através de um ponto final privado antes de alterar esta definição.

Portal

1. Aceda à conta de armazenamento que pretende proteger.

2. Localize as definições de Rede em Segurança + rede.

3. Escolha o tipo de acesso à rede pública que pretende permitir.

   • Para permitir o tráfego de todas as redes, selecione Ativado a partir de todas as redes.

   • Para permitir tráfego apenas a partir de redes virtuais específicas, selecione Ativado a partir de redes virtuais e endereços IP selecionados.

   • Para bloquear o tráfego de todas as redes, selecione Desativado.

4. Selecione Guardar para aplicar as suas alterações.

PowerShell

1. Instale o Azure PowerShell e inicie sessão.

2. Escolha o tipo de acesso à rede pública que pretende permitir.

   • Para permitir o tráfego de todas as redes, utilize o Update-AzStorageAccountNetworkRuleSet comando e defina o -DefaultAction parâmetro como Allow.

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
     

   • Para permitir tráfego apenas a partir de redes virtuais específicas, utilize o Update-AzStorageAccountNetworkRuleSet comando e defina o -DefaultAction parâmetro como Deny.

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
     

   • Para bloquear o tráfego de todas as redes, utilize o Set-AzStorageAccount comando e defina o -PublicNetworkAccess parâmetro como Disabled. O tráfego só será permitido através de um ponto final privado. Terá de criar esse ponto final privado.

     Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
     

CLI do Azure

1. Instale a CLI do Azure e inicie sessão.

2. Escolha o tipo de acesso à rede pública que pretende permitir.

   • Para permitir o tráfego de todas as redes, utilize o az storage account update comando e defina o --default-action parâmetro como Allow.

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
     

   • Para permitir tráfego apenas a partir de redes virtuais específicas, utilize o az storage account update comando e defina o --default-action parâmetro como Deny.

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
     

   • Para bloquear o tráfego de todas as redes, utilize o az storage account update comando e defina o --public-network-access parâmetro como Disabled. O tráfego só será permitido através de um ponto final privado. Terá de criar esse ponto final privado.

     az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
     

Atenção

Por predefinição, o acesso a uma conta de armazenamento a partir de serviços fidedignos tem maior precedência sobre outras restrições de acesso da rede. Por este motivo, se definir Acesso de rede pública como Desativado depois de defini-lo anteriormente como Ativado a partir de redes virtuais e endereços IP selecionados, quaisquer instâncias de recursos e exceções que tenha configurado anteriormente, incluindo Permitir que os serviços do Azure na lista de serviços fidedignos acedam a esta conta de armazenamento, permanecerão em vigor. Como resultado, esses recursos e serviços ainda podem ter acesso à conta de armazenamento depois de definir o acesso à Rede pública como Desativado.

Conceder acesso a partir de uma rede virtual

Pode configurar contas de armazenamento para permitir o acesso apenas a partir de sub-redes específicas. As sub-redes permitidas podem pertencer a uma VNet na mesma subscrição ou a uma subscrição diferente, incluindo subscrições pertencentes a um inquilino do Azure Active Directory diferente.

Pode ativar um Ponto final de serviço para o Armazenamento do Azure na VNet. O ponto final de serviço encaminha o tráfego da VNet através de um caminho ideal para o serviço de Armazenamento do Azure. As identidades da sub-rede e da rede virtual também são transmitidas com cada pedido. Em seguida, os administradores podem configurar regras de rede para a conta de armazenamento que permitem que os pedidos sejam recebidos de sub-redes específicas numa VNet. Os clientes com acesso concedido através destas regras de rede têm de continuar a cumprir os requisitos de autorização da conta de armazenamento para aceder aos dados.

Cada conta de armazenamento suporta até 200 regras de rede virtual, que podem ser combinadas com regras de rede IP.

Importante

Se eliminar uma sub-rede incluída numa regra de rede, esta será removida das regras de rede da conta de armazenamento. Se criar uma nova sub-rede com o mesmo nome, esta não terá acesso à conta de armazenamento. Para permitir o acesso, tem de autorizar explicitamente a nova sub-rede nas regras de rede para a conta de armazenamento.

Permissões obrigatórias

Para aplicar uma regra de rede virtual a uma conta de armazenamento, o utilizador tem de ter as permissões adequadas para que as sub-redes sejam adicionadas. A aplicação de uma regra pode ser efetuada por um Contribuidor da Conta de Armazenamento ou por um utilizador ao qual foi dada permissão para a operação do fornecedor de recursos do Azure através de uma função personalizada do Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Azure.

A conta de armazenamento e as redes virtuais com acesso concedido podem estar em subscrições diferentes, incluindo subscrições que fazem parte de um inquilino Azure AD diferente.

Nota

A configuração de regras que concedem acesso a sub-redes em redes virtuais que fazem parte de um inquilino do Azure Active Directory diferente são atualmente suportadas apenas através do PowerShell, da CLI e das APIs REST. Estas regras não podem ser configuradas através do portal do Azure, embora possam ser vistas no portal.

Regiões de rede virtual disponíveis

Por predefinição, os pontos finais de serviço funcionam entre redes virtuais e instâncias de serviço na mesma região do Azure. Ao utilizar pontos finais de serviço com o Armazenamento do Azure, os pontos finais de serviço também funcionam entre redes virtuais e instâncias de serviço numa região emparelhada. Se quiser utilizar um ponto final de serviço para conceder acesso a redes virtuais noutras regiões, tem de registar a AllowGlobalTagsForStorage funcionalidade na subscrição da rede virtual. Esta funcionalidade está atualmente em modo de pré-visualização pública.

Os pontos finais de serviço permitem a continuidade durante uma ativação pós-falha regional e o acesso a instâncias de armazenamento georredundante georredundante só de leitura (RA-GRS). As regras de rede que concedem acesso de uma rede virtual a uma conta de armazenamento também concedem acesso a qualquer instância RA-GRS.

Ao planear a recuperação após desastre durante uma falha regional, deve criar as VNets na região emparelhada com antecedência. Ative os pontos finais de serviço para o Armazenamento do Azure, com as regras de rede a concederem acesso a partir destas redes virtuais alternativas. Em seguida, aplique estas regras às suas contas de armazenamento georredundantes.

Ativar o acesso a redes virtuais noutras regiões (pré-visualização)

Importante

Esta capacidade está atualmente em PRÉ-VISUALIZAÇÃO.

Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Para ativar o acesso a partir de uma rede virtual localizada noutra região através de pontos finais de serviço, registe a AllowGlobalTagsForStorage funcionalidade na subscrição da rede virtual. Todas as sub-redes na subscrição que tem a funcionalidade AllowedGlobalTagsForStorage ativada deixarão de utilizar um endereço IP público para comunicar com qualquer conta de armazenamento. Em vez disso, todo o tráfego destas sub-redes para contas de armazenamento utilizará um endereço IP privado como IP de origem. Como resultado, quaisquer contas de armazenamento que utilizem regras de rede IP para permitir o tráfego dessas sub-redes deixarão de ter efeito.

Nota

Para atualizar os pontos finais de serviço existentes para aceder a uma conta de armazenamento noutra região, execute uma operação de sub-rede de atualização na sub-rede depois de registar a subscrição com a AllowGlobalTagsForStorage funcionalidade. Da mesma forma, para voltar à configuração antiga, execute uma operação de sub-rede de atualização depois de anular o registo da subscrição com a AllowGlobalTagsForStorage funcionalidade.

Portal

Durante a pré-visualização, tem de utilizar o PowerShell ou a CLI do Azure para ativar esta funcionalidade.

PowerShell

1. Abra uma janela de comando Windows PowerShell.

2. Inicie sessão na sua subscrição do Azure com o comando Connect-AzAccount e siga as instruções no ecrã.

   Connect-AzAccount
   

3. Se a sua identidade estiver associada a mais do que uma subscrição, defina a sua subscrição ativa para a subscrição da rede virtual.

   $context = Get-AzSubscription -SubscriptionId <subscription-id>
   Set-AzContext $context
   

   Substitua o valor do <subscription-id> marcador de posição pelo ID da sua subscrição.

4. Registe a AllowGlobalTagsForStorage funcionalidade com o comando Register-AzProviderFeature .

   Register-AzProviderFeature -ProviderNamespace Microsoft.Network -FeatureName AllowGlobalTagsForStorage
   

   Nota

   O processo de registo pode não ser concluído imediatamente. Certifique-se de que verifica se a funcionalidade está registada antes de a utilizar.

5. Para verificar se o registo está concluído, utilize o comando Get-AzProviderFeature .

   Get-AzProviderFeature -ProviderNamespace Microsoft.Network -FeatureName AllowGlobalTagsForStorage
   

CLI do Azure

1. Abra o Cloud Shell do Azure ou, se tiver instalado a CLI do Azure localmente, abra uma aplicação de consola de comandos, como Windows PowerShell.

2. Se a sua identidade estiver associada a mais do que uma subscrição, defina a sua subscrição ativa para a subscrição da rede virtual.

   az account set --subscription <subscription-id>
   

   Substitua o valor do <subscription-id> marcador de posição pelo ID da sua subscrição.

3. Registe a AllowGlobalTagsForStorage funcionalidade com o comando az feature register .

   az feature register --namespace Microsoft.Network --name AllowGlobalTagsForStorage
   

   Nota

   O processo de registo pode não ser concluído imediatamente. Certifique-se de que verifica se a funcionalidade está registada antes de a utilizar.

4. Para verificar se o registo está concluído, utilize o comando az feature .

   az feature show --namespace Microsoft.Network --name AllowGlobalTagsForStorage
   

Gerir regras de rede virtual

Pode gerir regras de rede virtual para contas de armazenamento através do portal do Azure, PowerShell ou CLIv2.

Nota

Se registou a funcionalidade e pretender ativar o AllowGlobalTagsForStorage acesso à sua conta de armazenamento a partir de uma rede virtual/sub-rede noutro inquilino Azure AD ou numa região diferente da região da conta de armazenamento ou da respetiva região emparelhada, tem de utilizar o PowerShell ou a CLI do Azure. O portal do Azure não mostra sub-redes noutros inquilinos Azure AD ou em regiões diferentes da região da conta de armazenamento ou da região emparelhada, pelo que não pode ser utilizado para configurar regras de acesso para redes virtuais noutras regiões.

Portal

1. Aceda à conta de armazenamento que pretende proteger.

2. Selecione no menu de definições denominado Rede.

3. Verifique se selecionou para permitir o acesso a partir de Redes selecionadas.

4. Para conceder acesso a uma rede virtual com uma nova regra de rede, em Redes virtuais, selecione Adicionar rede virtual existente, selecione Redes virtuais e Opções de sub-redes e, em seguida, selecione Adicionar. Para criar uma nova rede virtual e conceder-lhe acesso, selecione Adicionar nova rede virtual. Forneça as informações necessárias para criar a nova rede virtual e, em seguida, selecione Criar.

   Nota

   Se um ponto final de serviço do Armazenamento do Azure não tiver sido configurado anteriormente para a rede virtual e sub-redes selecionadas, pode configurá-lo como parte desta operação.

   Atualmente, apenas as redes virtuais pertencentes ao mesmo inquilino do Azure Active Directory são apresentadas para seleção durante a criação da regra. Para conceder acesso a uma sub-rede numa rede virtual pertencente a outro inquilino, utilize , PowerShell, CLI ou APIs REST.

   Mesmo que tenha registado a AllowGlobalTagsForStorageOnly funcionalidade, as sub-redes em regiões que não sejam a região da conta de armazenamento ou a respetiva região emparelhada não são apresentadas para seleção. Se quiser ativar o acesso à sua conta de armazenamento a partir de uma rede virtual/sub-rede numa região diferente, utilize as instruções nos separadores PowerShell ou CLI do Azure.

5. Para remover uma rede virtual ou regra de sub-rede, selecione ... para abrir o menu de contexto da rede virtual ou sub-rede e selecione Remover.

6. selecione Guardar para aplicar as alterações.

PowerShell

1. Instale o Azure PowerShell e inicie sessão.

2. Listar regras de rede virtual.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
   

3. Ative o ponto final de serviço para o Armazenamento do Azure numa rede virtual e sub-rede existentes.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzVirtualNetwork
   

4. Adicione uma regra de rede para uma rede virtual e sub-rede.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

   Dica

   Para adicionar uma regra de rede para uma sub-rede numa VNet pertencente a outro inquilino Azure AD, utilize um parâmetro VirtualNetworkResourceId completamente qualificado no formulário "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

5. Remova uma regra de rede para uma rede virtual e sub-rede.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

Importante

Certifique-se de que define a regra predefinida para negar ou as regras de rede não têm qualquer efeito.

CLI do Azure

1. Instale a CLI do Azure e inicie sessão.

2. Listar regras de rede virtual.

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
   

3. Ative o ponto final de serviço para o Armazenamento do Azure numa rede virtual e sub-rede existentes.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
   

4. Adicione uma regra de rede para uma rede virtual e sub-rede.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

   Dica

   Para adicionar uma regra para uma sub-rede numa VNet pertencente a outro inquilino Azure AD, utilize um ID de sub-rede completamente qualificado no formulário "/subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>".

   Pode utilizar o parâmetro de subscrição para obter o ID da sub-rede de uma VNet pertencente a outro inquilino Azure AD.

5. Remova uma regra de rede para uma rede virtual e sub-rede.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

Importante

Certifique-se de que define a regra predefinida para negar ou as regras de rede não têm qualquer efeito.

Conceder acesso a partir de um intervalo de IP da Internet

Pode utilizar regras de rede IP para permitir o acesso a partir de intervalos de endereços IP públicos específicos através da criação de regras de rede IP. Cada conta de armazenamento suporta até 200 regras. Estas regras concedem acesso a serviços específicos baseados na Internet e redes no local e bloqueiam o tráfego geral da Internet.

As seguintes restrições aplicam-se aos intervalos de endereços IP.

• As regras de rede IP são permitidas apenas para endereços IP públicos da Internet .

  Os intervalos de endereços IP reservados para redes privadas (conforme definido em RFC 1918) não são permitidos nas regras de IP. As redes privadas incluem endereços que começam com 10.**, 172.16. - *172.31. e *192.168..

• Tem de fornecer intervalos de endereços de Internet permitidos através da notação CIDR no formato 16.17.18.0/24 ou como endereços IP individuais, como 16.17.18.19.

• Os intervalos de endereços pequenos com tamanhos de prefixo "/31" ou "/32" não são suportados. Estes intervalos devem ser configurados com regras de endereços IP individuais.

• Apenas os endereços IPV4 são suportados para configuração de regras de firewall de armazenamento.

As regras de rede IP não podem ser utilizadas nos seguintes casos:

• Para restringir o acesso a clientes na mesma região do Azure que a conta de armazenamento.

  As regras de rede IP não têm qualquer efeito nos pedidos provenientes da mesma região do Azure que a conta de armazenamento. Utilize as Regras de rede virtual para permitir pedidos da mesma região.

• Para restringir o acesso a clientes numa região emparelhada que estão numa VNet que tem um ponto final de serviço.

• Para restringir o acesso aos serviços do Azure implementados na mesma região que a conta de armazenamento.

  Os serviços implementados na mesma região que a conta de armazenamento utilizam endereços IP privados do Azure para comunicação. Assim, não pode restringir o acesso a serviços específicos do Azure com base no respetivo intervalo de endereços IP de saída públicos.

Configurar o acesso a partir de redes no local

Para conceder acesso a partir das suas redes no local à sua conta de armazenamento com uma regra de rede IP, tem de identificar os endereços IP com acesso à Internet utilizados pela sua rede. Contacte o administrador de rede para obter ajuda.

Se estiver a utilizar o ExpressRoute a partir do seu local, para peering público ou peering da Microsoft, terá de identificar os endereços IP NAT que são utilizados. Para peering público, cada circuito ExpressRoute, por predefinição, utiliza dois endereços IP NAT que são aplicados ao tráfego de serviço do Azure quando o tráfego entra no backbone de rede do Microsoft Azure. Para o peering da Microsoft, os endereços IP NAT utilizados são fornecidos pelo cliente ou são fornecidos pelo fornecedor de serviços. Para permitir o acesso aos recursos de serviço, tem de permitir estes endereços IP públicos na definição da firewall do IP dos recursos. Para localizar os endereços IP do circuito ExpressRoute de peering público, abra um pedido de suporte no ExpressRoute através do portal do Azure. Saiba mais sobre NAT para peering público e da Microsoft do ExpressRoute.

Gerir regras de rede IP

Pode gerir regras de rede IP para contas de armazenamento através do portal do Azure, PowerShell ou CLIv2.

Portal

1. Aceda à conta de armazenamento que pretende proteger.

2. Selecione no menu de definições denominado Rede.

3. Verifique se selecionou para permitir o acesso a partir de Redes selecionadas.

4. Para conceder acesso a um intervalo de IP da Internet, introduza o endereço IP ou intervalo de endereços (no formato CIDR) emIntervalo de Endereços da Firewall>.

5. Para remover uma regra de rede IP, selecione o ícone de caixote do lixo junto ao intervalo de endereços.

6. Selecione Guardar para aplicar as suas alterações.

PowerShell

1. Instale o Azure PowerShell e inicie sessão.

2. Listar regras de rede IP.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
   

3. Adicione uma regra de rede para um endereço IP individual.

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

4. Adicione uma regra de rede para um intervalo de endereços IP.

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

5. Remova uma regra de rede para um endereço IP individual.

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

6. Remova uma regra de rede para um intervalo de endereços IP.

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

Importante

Certifique-se de que define a regra predefinida para negar ou as regras de rede não têm qualquer efeito.

CLI do Azure

1. Instale a CLI do Azure e inicie sessão.

2. Listar regras de rede IP.

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
   

3. Adicione uma regra de rede para um endereço IP individual.

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

4. Adicione uma regra de rede para um intervalo de endereços IP.

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

5. Remova uma regra de rede para um endereço IP individual.

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

6. Remova uma regra de rede para um intervalo de endereços IP.

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

Importante

Certifique-se de que define a regra predefinida para negar ou as regras de rede não têm qualquer efeito.

Conceder acesso a partir de instâncias de recursos do Azure

Em alguns casos, uma aplicação pode depender de recursos do Azure que não podem ser isolados através de uma rede virtual ou de uma regra de endereço IP. No entanto, ainda gostaria de proteger e restringir o acesso da conta de armazenamento apenas aos recursos do Azure da sua aplicação. Pode configurar contas de armazenamento para permitir o acesso a instâncias de recursos específicas de alguns serviços do Azure ao criar uma regra de instância de recurso.

Os tipos de operações que uma instância de recurso pode realizar nos dados da conta de armazenamento são determinados pelas atribuições de funções do Azure da instância de recurso. As instâncias de recursos têm de ser do mesmo inquilino que a sua conta de armazenamento, mas podem pertencer a qualquer subscrição no inquilino.

Portal

Pode adicionar ou remover regras de rede de recursos no portal do Azure.

1. Inicie sessão na portal do Azure para começar.

2. Localize a sua conta de armazenamento e apresente a descrição geral da conta.

3. Selecione Rede para apresentar a página de configuração da rede.

4. Em Firewalls e redes virtuais, em Redes selecionadas, selecione para permitir o acesso.

5. Desloque-se para baixo para localizar Instâncias de recursos e, na lista pendente Tipo de recurso, escolha o tipo de recurso da instância de recurso.

6. Na lista pendente Nome da instância, selecione a instância de recurso. Também pode optar por incluir todas as instâncias de recursos no inquilino ativo, subscrição ou grupo de recursos.

7. Selecione Guardar para aplicar as suas alterações. A instância de recurso aparece na secção Instâncias de recursos da página de definições de rede.

Para remover a instância de recurso, selecione o ícone eliminar ( ) junto à instância de recurso.

PowerShell

Pode utilizar comandos do PowerShell para adicionar ou remover regras de rede de recursos.

Importante

Certifique-se de que define a regra predefinida para negar ou as regras de rede não têm qualquer efeito.

Conceder acesso

Adicione uma regra de rede que conceda acesso a partir de uma instância de recurso.

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Especifique várias instâncias de recursos ao mesmo tempo ao modificar o conjunto de regras de rede.

$resourceId1 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$resourceId2 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/mySQLServer"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule (@{ResourceId=$resourceId1;TenantId=$tenantId},@{ResourceId=$resourceId2;TenantId=$tenantId}) 

Remover o acesso

Remova uma regra de rede que conceda acesso a partir de uma instância de recurso.

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Remove-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId  

Remova todas as regras de rede que concedem acesso a partir de instâncias de recursos.

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule @()  

Ver uma lista de instâncias de recursos permitidas

Veja uma lista completa das instâncias de recursos às quais foi concedido acesso à conta de armazenamento.

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

$rule = Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName
$rule.ResourceAccessRules 

CLI do Azure

Pode utilizar comandos da CLI do Azure para adicionar ou remover regras de rede de recursos.

Conceder acesso

Adicione uma regra de rede que conceda acesso a partir de uma instância de recurso.

az storage account network-rule add \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Remover o acesso

Remova uma regra de rede que conceda acesso a partir de uma instância de recurso.

az storage account network-rule remove \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Ver uma lista de instâncias de recursos permitidas

Veja uma lista completa das instâncias de recursos às quais foi concedido acesso à conta de armazenamento.

az storage account network-rule list \
    -g myResourceGroup \
    --account-name mystorageaccount

Conceder acesso a serviços fidedignos do Azure

Alguns serviços do Azure operam a partir de redes que não podem ser incluídas nas regras de rede. Pode conceder a um subconjunto desses serviços fidedignos do Azure acesso à conta de armazenamento, mantendo regras de rede para outras aplicações. Estes serviços fidedignos utilizarão a autenticação forte para se ligarem de forma segura à sua conta de armazenamento.

Pode conceder acesso a serviços fidedignos do Azure ao criar uma exceção de regra de rede. Para obter orientações passo a passo, veja a secção Gerir exceções deste artigo.

Quando concede acesso a serviços fidedignos do Azure, concede os seguintes tipos de acesso:

• Acesso fidedigno para selecionar operações para recursos que estão registados na sua subscrição.
• Acesso fidedigno a recursos com base numa identidade gerida.

Acesso fidedigno para recursos registados na sua subscrição

Os recursos de alguns serviços, quando registados na sua subscrição, podem aceder à sua conta de armazenamento na mesma subscrição para operações selecionadas, como escrever registos ou cópias de segurança. A tabela seguinte descreve cada serviço e as operações permitidas.

Serviço	Nome do Fornecedor de Recursos	Operações permitidas
Azure Backup	Microsoft.RecoveryServices	Execute cópias de segurança e restauros de discos não geridos em máquinas virtuais IAAS. (não é necessário para discos geridos). Saiba mais.
Azure Data Box	Microsoft.DataBox	Permite a importação de dados para o Azure com o Data Box. Saiba mais.
Azure DevTest Labs	Microsoft.DevTestLab	Criação personalizada de imagens e instalação de artefactos. Saiba mais.
Azure Event Grid	Microsoft.EventGrid	Ative a publicação de eventos do Armazenamento de Blobs e permita que o Event Grid publique nas filas de armazenamento. Saiba mais sobre eventos de armazenamento de blobs e publicação em filas.
Azure Event Hubs	Microsoft.EventHub	Arquivar dados com a Captura de Hubs de Eventos. Saiba Mais.
Azure File Sync	Microsoft.StorageSync	Permite-lhe transformar o servidor de ficheiros no local numa cache para partilhas de Ficheiros do Azure. Permitir a sincronização de vários sites, recuperação após desastre rápida e cópia de segurança do lado da cloud. Saiba mais
Azure HDInsight	Microsoft.HDInsight	Aprovisione os conteúdos iniciais do sistema de ficheiros predefinido para um novo cluster do HDInsight. Saiba mais.
Exportação de Importação do Azure	Microsoft.ImportExport	Permite a importação de dados para o Armazenamento do Azure ou a exportação de dados do Armazenamento do Azure com o serviço Importar/Exportar do Armazenamento do Azure. Saiba mais.
Azure Monitor	Microsoft.Insights	Permite a escrita de dados de monitorização numa conta de armazenamento segura, incluindo registos de recursos, registos de início de sessão e auditoria do Azure Active Directory e registos de Microsoft Intune. Saiba mais.
Rede do Azure	Microsoft.Network	Armazene e analise os registos de tráfego de rede, incluindo através dos serviços Observador de Rede e Análise de Tráfego. Saiba mais.
Azure Site Recovery	Microsoft.SiteRecovery	Ative a replicação para recuperação após desastre de máquinas virtuais IaaS do Azure ao utilizar contas de armazenamento de cache, origem ou de destino ativadas pela firewall. Saiba mais.

Acesso fidedigno com base numa identidade gerida

A tabela seguinte lista os serviços que podem ter acesso aos dados da conta de armazenamento se as instâncias de recursos desses serviços tiverem a permissão adequada.

Se a sua conta não tiver a funcionalidade de espaço de nomes hierárquico ativada, pode conceder permissão ao atribuir explicitamente uma função do Azure à identidade gerida para cada instância de recurso. Neste caso, o âmbito de acesso da instância corresponde à função do Azure atribuída à identidade gerida.

Pode utilizar a mesma técnica para uma conta que tenha a funcionalidade de espaço de nomes hierárquico ativada na mesma. No entanto, não tem de atribuir uma função do Azure se adicionar a identidade gerida à lista de controlo de acesso (ACL) de qualquer diretório ou blob contido na conta de armazenamento. Nesse caso, o âmbito de acesso da instância corresponde ao diretório ou ficheiro ao qual foi concedido acesso à identidade gerida. Também pode combinar funções e ACLs do Azure. Para saber mais sobre como as combinar para conceder acesso, veja Modelo de controlo de acesso no Azure Data Lake Storage Gen2.

Dica

A forma recomendada de conceder acesso a recursos específicos é utilizar regras de instâncias de recursos. Para conceder acesso a instâncias de recursos específicas, veja a secção Conceder acesso a partir de instâncias de recursos do Azure deste artigo.

Serviço	Nome do Fornecedor de Recursos	Objetivo
Gestão de API do Azure	Microsoft.ApiManagement/service	Permite Gestão de API acesso de serviço a contas de armazenamento por trás da firewall através de políticas. Saiba mais.
Cache do Azure para Redis	Microsoft.Cache/Redis	Permite o acesso a contas de armazenamento através de Cache do Azure para Redis. Saiba mais
Azure Cognitive Search	Microsoft.Search/searchServices	Permite que os serviços de Pesquisa Cognitiva acedam a contas de armazenamento para indexação, processamento e consulta.
Serviços Cognitivos do Azure	Microsoft.CognitiveService/accounts	Permite que os Serviços Cognitivos acedam a contas de armazenamento. Saiba mais.
Tarefas do Azure Container Registry	Microsoft.ContainerRegistry/registries	As Tarefas do ACR podem aceder a contas de armazenamento ao criar imagens de contentor.
Azure Data Factory	Microsoft.DataFactory/factorys	Permite o acesso a contas de armazenamento através do runtime do ADF.
Azure Data Share	Microsoft.DataShare/accounts	Permite o acesso a contas de armazenamento através de Data Share.
Azure DevTest Labs	Microsoft.DevTestLab/labs	Permite o acesso a contas de armazenamento através do DevTest Labs.
Azure Event Grid	Microsoft.EventGrid/topics	Permite o acesso a contas de armazenamento através do Azure Event Grid.
APIs de Cuidados de Saúde do Azure	Microsoft.HealthcareApis/services	Permite o acesso a contas de armazenamento através das APIs de Cuidados de Saúde do Azure.
Aplicações do Azure IoT Central	Microsoft.IoTCentral/IoTApps	Permite o acesso a contas de armazenamento através das Aplicações do Azure IoT Central.
Hub IoT do Azure	Microsoft.Devices/IotHubs	Permite que os dados de um hub IoT sejam escritos no armazenamento de Blobs. Saiba mais
Azure Logic Apps	Microsoft.Logic/fluxos de trabalho	Permite que as aplicações lógicas acedam a contas de armazenamento. Saiba mais.
Serviço Azure Machine Learning	Microsoft.MachineLearningServices	As áreas de trabalho do Azure Machine Learning autorizadas escrevem resultados de experimentação, modelos e registos no Armazenamento de blobs e leem os dados. Saiba mais.
Serviços de Multimédia do Azure	Microsoft.Media/mediaservices	Permite o acesso a contas de armazenamento através dos Serviços de Multimédia.
Azure Migrate	Microsoft.Migrate/migrateprojects	Permite o acesso a contas de armazenamento através do Azure Migrate.
Microsoft Purview	Microsoft.Purview/accounts	Permite que o Microsoft Purview aceda a contas de armazenamento.
Azure Site Recovery	Microsoft.RecoveryServices/vaults	Permite o acesso a contas de armazenamento através de Site Recovery.
Base de Dados SQL do Azure	Microsoft.Sql	Permite escrever dados de auditoria em contas de armazenamento protegidas por firewall.
Azure Synapse Analytics	Microsoft.Sql	Permite importar e exportar dados de bases de dados SQL específicas com a instrução COPY ou PolyBase (no conjunto dedicado) ou a openrowset função e tabelas externas no conjunto sem servidor. Saiba mais.
Azure Stream Analytics	Microsoft.StreamAnalytics	Permite que os dados de uma tarefa de transmissão em fluxo sejam escritos no armazenamento de Blobs. Saiba mais.
Azure Synapse Analytics	Microsoft.Synapse/workspaces	Permite o acesso a dados no Armazenamento do Azure a partir do Azure Synapse Analytics.

Conceder acesso à análise de armazenamento

Em alguns casos, o acesso à leitura de métricas e registos de recursos é necessário fora do limite de rede. Ao configurar o acesso de serviços fidedignos à conta de armazenamento, pode permitir o acesso de leitura para os ficheiros de registo, tabelas de métricas ou ambos ao criar uma exceção de regra de rede. Para obter orientações passo a passo, veja a secção Gerir exceções abaixo. Para saber mais sobre como trabalhar com a análise de armazenamento, veja Utilizar a análise do Armazenamento do Azure para recolher dados de registos e métricas.

Gerir exceções

Pode gerir exceções de regras de rede através do portal do Azure, do PowerShell ou da CLI v2 do Azure.

Portal

1. Aceda à conta de armazenamento que pretende proteger.

2. Selecione no menu de definições denominado Rede.

3. Verifique se selecionou para permitir o acesso a partir de Redes selecionadas.

4. Em Exceções, selecione as exceções que pretende conceder.

5. Selecione Guardar para aplicar as suas alterações.

PowerShell

1. Instale o Azure PowerShell e inicie sessão.

2. Apresentar as exceções para as regras de rede da conta de armazenamento.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
   

3. Configure as exceções às regras de rede da conta de armazenamento.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
   

4. Remova as exceções às regras de rede da conta de armazenamento.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
   

Importante

Certifique-se de que define a regra predefinida para negar ou a remoção de exceções não tem qualquer efeito.

CLI do Azure

1. Instale a CLI do Azure e inicie sessão.

2. Apresentar as exceções para as regras de rede da conta de armazenamento.

   az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
   

3. Configure as exceções às regras de rede da conta de armazenamento.

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
   

4. Remova as exceções às regras de rede da conta de armazenamento.

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
   

Importante

Certifique-se de que define a regra predefinida para negar ou a remoção de exceções não tem qualquer efeito.

Passos seguintes

Saiba mais sobre os pontos finais de serviço da Rede do Azure em Pontos finais de serviço.

Veja mais aprofundadamente a segurança do Armazenamento do Azure no Guia de segurança do Armazenamento do Azure.