Создание и связывание политик конечных точек службы

Политики конечной точки службы позволяют фильтровать трафик виртуальной сети, передаваемый к ресурсам Azure, с помощью конечных точек службы. Если вы не работали с политиками конечной точки службы, ознакомьтесь с обзором политик конечной точки службы, чтобы получить дополнительные сведения.

В этом руководстве описано следующее:

• Создайте виртуальную сеть.
• Добавьте подсеть и включите конечную точку службы для хранилища Azure.
• Создайте две служба хранилища Azure учетные записи и разрешите доступ к ней из подсети в виртуальной сети.
• Формирование политики для конечных точек службы для разрешения доступа только к одной из учетных записей хранения.
• Развертывание виртуальной машины в подсети.
• Подтверждение доступа из подсети к разрешенной учетной записи хранения.
• Убедитесь, что доступ запрещен к учетной записи хранения, отличной от подсети.

Необходимые компоненты

Портал

• Учетная запись Azure с активной подпиской. Вы можете создать учетную запись бесплатно.

PowerShell

• Учетная запись Azure с активной подпиской. Вы можете создать учетную запись бесплатно.

Azure Cloud Shell

В Azure есть Azure Cloud Shell, интерактивная оболочка среды, с которой можно работать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для запуска кода из этой статьи можно использовать предварительно установленные команды Cloud Shell. Ничего дополнительного в локальной среде устанавливать не нужно.

Начало работы с Azure Cloud Shell

Вариант	Пример и ссылка
Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически.
Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell.
Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure.

Чтобы использовать Azure Cloud Shell, выполните следующие действия:

1. Запустите Cloud Shell.

2. Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.

3. Вставьте код или команду в окно сеанса Cloud Shell, нажав клавиши CTRL+SHIFT+V в Windows и Linux или CMD+SHIFT+V в macOS.

4. Нажмите клавишу ВВОД, чтобы запустить код или команду.

Чтобы установить и использовать PowerShell локально для работы с этой статьей, вам понадобится модуль Azure PowerShell 1.0.0 или более поздней версии. Выполните командлет Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Connect-AzAccount, чтобы создать подключение к Azure.

CLI

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.

  

• Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

• Для работы с этой статьей требуется Azure CLI версии 2.0.28 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.

Создание виртуальной сети и включение конечной точки службы

Создайте виртуальную сеть для хранения ресурсов, создаваемых в этом руководстве.

Портал

1. В поле поиска на портале введите виртуальные сети. В результатах поиска выберите Виртуальные сети.

2. Нажмите кнопку +Создать , чтобы создать новую виртуальную сеть.

3. Введите или выберите следующие сведения на вкладке "Основные сведения" в разделе "Создание виртуальной сети".

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите Создать. Введите test-rg в name. Нажмите кнопку ОК.
   Имя.	Введите vnet-1.
   Область/регион	Выберите Западная часть США 2.

4. Выберите Далее.

5. Выберите Далее.

6. На вкладке IP-адресов в подсетях выберите подсеть по умолчанию.

7. Введите или выберите следующие сведения в подсети "Изменить".

   Параметр	Значение
   Имя.	Введите подсеть-1.
   Конечные точки службы
   Сервисы;
   В раскрывающемся меню выберите Microsoft.Storage.

8. Выберите Сохранить.

9. Выберите Review + Create (Просмотреть и создать).

10. Нажмите кнопку создания.

PowerShell

Перед созданием виртуальной сети необходимо создать для нее группу ресурсов и другие компоненты, указанные в этой статье. Создайте группу ресурсов с помощью командлета New-AzResourceGroup. В следующем примере создается группа ресурсов с именем test-rg:

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}
New-AzResourceGroup @rg

Создайте виртуальную сеть с помощью командлета New-AzVirtualNetwork. В следующем примере создается виртуальная сеть с именем vnet-1 с префиксом адреса 10.0.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Создайте конфигурацию подсети с помощью командлета Set-AzVirtualNetworkSubnetConfig, а затем сохраните эту конфигурацию подсети в виртуальную сеть с помощью командлета Set-AzVirtualNetwork. В следующем примере в виртуальную сеть добавляется подсеть с именем subnet-1 и создается конечная точка службы для Microsoft.Storage.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

CLI

Перед созданием виртуальной сети необходимо создать для нее группу ресурсов и другие компоненты, указанные в этой статье. Создайте группу ресурсов с помощью команды az group create. В следующем примере создается группа ресурсов с именем test-rg в расположении westus2 .

az group create \
  --name test-rg \
  --location westus2

Создайте виртуальную сеть с одной подсетью при помощи команды az network vnet create.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefix 10.0.0.0/16 \
  --subnet-name subnet-1 \
  --subnet-prefix 10.0.0.0/24

В этом примере для подсети подсети подсети-1 создается конечная точка Microsoft.Storage службы:

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24 \
  --service-endpoints Microsoft.Storage

Ограничение сетевого доступа для подсети

Создайте группу безопасности сети и правила, ограничивающие сетевой доступ для подсети.

Создание группы безопасности сети

Портал

1. В поле поиска на портале введите группы безопасности сети. В результатах поиска выберите Группы безопасности сети.

2. Нажмите кнопку "+ Создать ", чтобы создать новую группу безопасности сети.

3. На вкладке "Основные сведения" в разделе "Создание группы безопасности сети" введите или выберите следующие сведения.

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Имя.	Введите nsg-1.
   Область/регион	Выберите Западная часть США 2.

4. Выберите Review + Create (Просмотреть и создать).

5. Нажмите кнопку создания.

Создание правил группы безопасности сети

1. В поле поиска на портале введите группы безопасности сети. В результатах поиска выберите Группы безопасности сети.

2. Выберите nsg-1.

3. Разверните Параметры. Выберите правила безопасности исходящего трафика.

4. Нажмите кнопку +Добавить, чтобы добавить новое правило безопасности исходящего трафика.

5. В окне Добавление правила безопасности для входящего трафика введите или выберите указанные ниже значения параметров.

   Параметр	Значение
   Оригинал	Выберите Service Tag (Тег службы).
   Тег службы источника	Выберите VirtualNetwork.
   Диапазоны исходных портов	Введите *.
   Назначение	Выберите Service Tag (Тег службы).
   Назначение: тег службы	Выберите Хранилище.
   Service	Выберите Пользовательский.
   Диапазоны портов назначения	Введите *.
   Протокол	Выберите Любые.
   Действие	Выберите Разрешить.
   Приоритет	Введите 100.
   Имя.	Введите allow-storage-all.

6. Выберите Добавить.

7. Нажмите кнопку +Добавить, чтобы добавить другое правило безопасности исходящего трафика.

8. В окне Добавление правила безопасности для входящего трафика введите или выберите указанные ниже значения параметров.

   Параметр	Значение
   Оригинал	Выберите Service Tag (Тег службы).
   Тег службы источника	Выберите VirtualNetwork.
   Диапазоны исходных портов	Введите *.
   Назначение	Выберите Service Tag (Тег службы).
   Назначение: тег службы	Выберите Интернет.
   Service	Выберите Пользовательский.
   Диапазоны портов назначения	Введите *.
   Протокол	Выберите Любые.
   Действие	Выберите Отклонить.
   Приоритет	Введите 110.
   Имя.	Введите deny-internet-all.

9. Выберите Добавить.

10. Разверните Параметры. Выберите подсети.

11. Выберите Связать.

12. В разделе "Связать подсеть" введите или выберите следующие сведения.

    Параметр	Значение
    Виртуальная сеть	Выберите vnet-1 (test-rg).
    Подсеть	Выберите подсеть-1.

13. Нажмите ОК.

PowerShell

Создайте правила безопасности для группы безопасности сети с помощью командлета New-AzNetworkSecurityRuleConfig. Приведенное ниже правило разрешает исходящий доступ к общедоступным IP-адресам, назначенным службе хранилища Azure.

$r1 = @{
    Name = "Allow-Storage-All"
    Access = "Allow"
    DestinationAddressPrefix = "Storage"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 100
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule1 = New-AzNetworkSecurityRuleConfig @r1

Следующее правило запрещает доступ ко всем общедоступным IP-адресам. Предыдущее правило переопределяет это правило ввиду более высокого приоритета. Оно предоставляет доступ к общедоступным IP-адресам службы хранилища Azure.

$r2 = @{
    Name = "Deny-Internet-All"
    Access = "Deny"
    DestinationAddressPrefix = "Internet"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 110
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule2 = New-AzNetworkSecurityRuleConfig @r2

Создайте группу безопасности сети с помощью командлета New-AzNetworkSecurityGroup. В следующем примере создается группа безопасности сети с именем nsg-1.

$securityRules = @($rule1, $rule2)

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
    SecurityRules = $securityRules
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Свяжите группу безопасности сети с подсетью-1 с Set-AzVirtualNetworkSubnetConfig, а затем запишите конфигурацию подсети в виртуальную сеть. В следующем примере группа безопасности сети nsg-1 связывается с подсетью-1.

$subnetConfig = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
    NetworkSecurityGroup = $nsg
}
Set-AzVirtualNetworkSubnetConfig @subnetConfig

$virtualNetwork | Set-AzVirtualNetwork

CLI

Создайте группу безопасности сети с помощью команды az network nsg create. В следующем примере создается группа безопасности сети с именем nsg-1.

az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Свяжите группу безопасности сети с подсетью-1 с az network vnet subnet update. В следующем примере группа безопасности сети nsg-1 связывается с подсетью-1.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --resource-group test-rg \
  --network-security-group nsg-1

Создайте правила безопасности командой az network nsg rule create. Приведенное ниже правило разрешает исходящий доступ к общедоступным IP-адресам, назначенным службе хранилища Azure.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Storage-All \
  --access Allow \
  --protocol "*" \
  --direction Outbound \
  --priority 100 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Storage" \
  --destination-port-range "*"

Каждая группа безопасности сети содержит несколько правил безопасности по умолчанию. Следующее правило переопределяет правило безопасности по умолчанию, разрешающее исходящий доступ ко всем общедоступным IP-адресам. Параметр destination-address-prefix "Internet" запрещает доступ ко всем общедоступным IP-адресам. Предыдущее правило переопределяет это правило ввиду более высокого приоритета. Оно предоставляет доступ к общедоступным IP-адресам службы хранилища Azure.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Deny-Internet-All \
  --access Deny \
  --protocol "*" \
  --direction Outbound \
  --priority 110 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Internet" \
  --destination-port-range "*"

Ограничение сетевого доступа к учетным записям хранения Azure

Действия, необходимые для ограничения сетевого доступа к ресурсам, созданным с помощью служб Azure, использующих конечные точки службы, отличаются в зависимости службы. Ознакомьтесь с документацией по отдельным службам, чтобы получить точные инструкции для них. В оставшейся части этой статьи в качестве примера приведены инструкции по ограничению сетевого доступа для учетной записи хранения Azure.

Создание двух учетных записей хранения

Портал

1. В поле поиска на портале введите учетные записи хранения. Выбор Учетные записи хранения в результатах поиска.

2. Нажмите кнопку +Создать , чтобы создать новую учетную запись хранения.

3. В разделе "Создание учетной записи хранения" введите или выберите следующие сведения.

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Storage account name	Введите allowedaccount(random-number). Примечание. Имя учетной записи хранения должно быть уникальным. Добавьте случайное число в конец имени allowedaccount.
   Область/регион	Выберите Западная часть США 2.
   Производительность	Выберите Стандартное.
   Избыточность	Выберите Локально избыточное хранилище (LRS).

4. Нажмите кнопку "Далее", пока не перейдете на вкладку "Защита данных".

5. В средстве восстановления отмените выбор всех параметров.

6. Выберите Review + Create (Просмотреть и создать).

7. Нажмите кнопку создания.

8. Повторите предыдущие шаги, чтобы создать другую учетную запись хранения со следующими сведениями.

   Параметр	Значение
   Storage account name	Введите deniedaccount(random-number).

PowerShell

Создайте разрешенную учетную запись хранения Azure с помощью New-AzStorageAccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'allowedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Используйте ту же команду, чтобы создать отрицаемую учетную запись хранения Azure, но измените имя deniedaccountна .

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'deniedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

CLI

Создайте две учетные записи хранения Azure с помощью команды az storage account create.

storageAcctName1="allowedaccount"

az storage account create \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Используйте ту же команду, чтобы создать отрицаемую учетную запись хранения Azure, но измените имя deniedaccountна .

storageAcctName2="deniedaccount"

az storage account create \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Создание общих папок

Портал

1. В поле поиска на портале введите учетные записи хранения. Выбор Учетные записи хранения в результатах поиска.

2. Выберите allowedaccount(random-number).

3. Разверните раздел хранилища данных и выберите общие папки.

4. Нажмите + Общая папка.

5. В новой общей папке введите или выберите следующие сведения.

   Параметр	Значение
   Имя.	Введите общую папку.

6. Оставьте остальные параметры в качестве значения по умолчанию и нажмите кнопку "Проверить и создать".

7. Нажмите кнопку создания.

8. Повторите предыдущие шаги, чтобы создать общую папку в deniedaccount(random-number).

PowerShell

Создание общей папки разрешенной учетной записи хранения

Используйте Get-AzStorageAccountKey , чтобы получить ключ учетной записи хранения для разрешенной учетной записи хранения. Этот ключ будет использоваться на следующем шаге для создания общей папки в разрешенной учетной записи хранения.

$storageAcctName1 = "allowedaccount"
$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName1
}
$storageAcctKey1 = (Get-AzStorageAccountKey @storageAcctParams1).Value[0]

Создайте объект контекста для учетной записи хранения и ключа, выполнив командлет New-AzStorageContext. Контекст включает имя учетной записи хранения и ключ.

$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1

Создайте общую папку с помощью New-AzStorageShare.

$share1 = New-AzStorageShare file-share -Context $storageContext1

Создание общей папки с запрещенной учетной записью хранения

Используйте Get-AzStorageAccountKey , чтобы получить ключ учетной записи хранения для разрешенной учетной записи хранения. Этот ключ будет использоваться на следующем шаге, чтобы создать общую папку в учетной записи хранения с отказом.

$storageAcctName2 = "deniedaccount"
$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName2
}
$storageAcctKey2 = (Get-AzStorageAccountKey @storageAcctParams2).Value[0]

Создайте объект контекста для учетной записи хранения и ключа, выполнив командлет New-AzStorageContext. Контекст включает имя учетной записи хранения и ключ.

$storageContext2= New-AzStorageContext $storageAcctName2 $storageAcctKey2

Создайте общую папку с помощью New-AzStorageShare.

$share2 = New-AzStorageShare file-share -Context $storageContext2

CLI

Создание общей папки разрешенной учетной записи хранения

Получите строка подключения для учетных записей хранения в переменную с az storage account show-connection-string. Строка подключения используется для создания файлового ресурса на более позднем этапе.

saConnectionString1=$(az storage account show-connection-string \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Создайте файловый ресурс в учетной записи хранения командой az storage share create. Позже этот файловый ресурс будет подключен для подтверждения сетевого доступа к нему.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString1 > /dev/null

Создание общей папки с запрещенной учетной записью хранения

Получите строка подключения для учетных записей хранения в переменную с az storage account show-connection-string. Строка подключения используется для создания файлового ресурса на более позднем этапе.

saConnectionString2=$(az storage account show-connection-string \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Создайте файловый ресурс в учетной записи хранения командой az storage share create. Позже этот файловый ресурс будет подключен для подтверждения сетевого доступа к нему.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString2 > /dev/null

Запретить доступ ко всем сетевым учетным записям хранения

По умолчанию учетные записи хранения принимают сетевые подключения клиентов в любой сети. Чтобы ограничить сетевой доступ к учетным записям хранения, можно настроить учетную запись хранения для приема подключений только из определенных сетей. В этом примере учетная запись хранения настроена для приема подключений только из подсети виртуальной сети, созданной ранее.

Портал

1. В поле поиска на портале введите учетные записи хранения. Выбор Учетные записи хранения в результатах поиска.

2. Выберите allowedaccount(random-number).

3. Разверните узел "Безопасность и сеть" и выберите "Сеть".

4. В брандмауэрах и виртуальных сетях в общедоступном сетевом доступе выберите "Включено" из выбранных виртуальных сетей и IP-адресов.

5. В виртуальных сетях выберите + Добавить существующую виртуальную сеть.

6. В разделе "Добавление сетей" введите или выберите следующие сведения.

   Параметр	Значение
   Отток подписок	Выберите свою подписку.
   Виртуальные сети	Выберите виртуальную сеть-1.
   подсети;	Выберите подсеть-1.

7. Выберите Добавить.

8. Выберите Сохранить.

9. Повторите предыдущие шаги, чтобы запретить сетевой доступ к denyedaccount(random-number).

PowerShell

Используйте Update-AzStorageAccountNetworkRuleSet , чтобы запретить доступ к учетным записям хранения, кроме виртуальной сети и подсети, созданной ранее. После запрета доступа к сети учетная запись хранения недоступна из любой сети.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams1

$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams2

Включение сетевого доступа только из подсети виртуальной сети

Извлеките созданную виртуальную сеть, выполнив командлет Get-AzVirtualNetwork, а затем передайте объект подсети Private в переменную с помощью командлета Get-AzVirtualNetworkSubnetConfig:

$privateSubnetParams = @{
    ResourceGroupName = "test-rg"
    Name = "vnet-1"
}
$privateSubnet = Get-AzVirtualNetwork @privateSubnetParams | Get-AzVirtualNetworkSubnetConfig -Name "subnet-1"

Разрешить сетевой доступ к учетной записи хранения из подсети-1 с помощью Add-AzStorageAccountNetworkRule.

$networkRuleParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams1

$networkRuleParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams2

CLI

По умолчанию учетные записи хранения принимают сетевые подключения клиентов в любой сети. Чтобы ограничить доступ выбранными сетями, измените действие по умолчанию на Запретить, выполнив команду az storage account update. После запрета доступа к сети учетная запись хранения недоступна из любой сети.

az storage account update \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --default-action Deny

az storage account update \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --default-action Deny

Включение сетевого доступа только из подсети виртуальной сети

Разрешить сетевой доступ к учетной записи хранения из подсети-1 подсети az storage account network-rule add.

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName1 \
  --vnet-name vnet-1 \
  --subnet subnet-1

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName2 \
  --vnet-name vnet-1 \
  --subnet subnet-1

Применение политики для разрешения доступа к допустимой учетной записи хранения

Политику конечной точки службы можно создать. Политика гарантирует, что пользователи в виртуальной сети могут получать доступ только к безопасным и разрешенным учетным записям служба хранилища Azure. Эта политика содержит список разрешенных учетных записей хранения, применяемых к подсети виртуальной сети, подключенной к хранилищу через конечные точки службы.

Создание политики конечной точки службы

В этом разделе создается определение политики со списком разрешенных ресурсов для доступа к конечной точке службы.

Портал

1. В поле поиска на портале введите политику конечной точки службы. Выберите политики конечных точек службы в результатах поиска.

2. Нажмите кнопку +Создать , чтобы создать политику конечной точки службы.

3. Введите или выберите следующие сведения на вкладке "Основные сведения" политики создания политики конечной точки службы.

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Имя.	Введите политику service-endpoint-policy.
   Расположение	Выберите Западная часть США 2.

4. Нажмите кнопку "Далее" — определения политик.

5. Выберите + Добавить ресурс в ресурсах.

6. В поле "Добавление ресурса" введите или выберите следующие сведения:

   Параметр	Значение
   Service	Выберите Microsoft.Storage.
   Область	Выбор одной учетной записи
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Ресурс	Выберите allowedaccount(random-number)

7. Выберите Добавить.

8. Выберите Review + Create (Просмотреть и создать).

9. Нажмите кнопку создания.

PowerShell

Чтобы получить идентификатор ресурса для первой (разрешенной) учетной записи хранения, используйте Get-AzStorageAccount.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
}
$resourceId = (Get-AzStorageAccount @storageAcctParams1).id

Чтобы создать определение политики, чтобы разрешить предыдущий ресурс, используйте New-AzServiceEndpointPolicyDefinition .

$policyDefinitionParams = @{
    Name = "policy-definition"
    Description = "Service Endpoint Policy Definition"
    Service = "Microsoft.Storage"
    ServiceResource = $resourceId
}
$policyDefinition = New-AzServiceEndpointPolicyDefinition @policyDefinitionParams

Используйте New-AzServiceEndpointPolicy , чтобы создать политику конечной точки службы с определением политики.

$sepolicyParams = @{
    ResourceGroupName = "test-rg"
    Name = "service-endpoint-policy"
    Location = "westus2"
    ServiceEndpointPolicyDefinition = $policyDefinition
}
$sepolicy = New-AzServiceEndpointPolicy @sepolicyParams

CLI

Политики конечной точки службы применяются к конечным точкам службы. Начните с создания политики конечной точки службы. Затем создайте определения политики в этой политике для утверждения учетных записей служба хранилища Azure для этой подсети.

Используйте az storage account show , чтобы получить идентификатор ресурса для разрешенной учетной записи хранения.

serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)

Создание политики конечной точки службы

az network service-endpoint policy create \
  --resource-group test-rg \
  --name service-endpoint-policy \
  --location westus2

Создание и добавление определения политики для разрешения предыдущей учетной записи служба хранилища Azure в политику конечной точки службы

az network service-endpoint policy-definition create \
  --resource-group test-rg \
  --policy-name service-endpoint-policy \
  --name policy-definition \
  --service "Microsoft.Storage" \
  --service-resources $serviceResourceId

Связывание политики конечной точки службы с подсетью.

После создания политики конечной точки службы ее необходимо привязать к целевой подсети с конфигурацией конечной точки службы для хранилища Azure.

Портал

1. В поле поиска на портале введите политику конечной точки службы. Выберите политики конечных точек службы в результатах поиска.

2. Выберите политику service-endpoint-policy.

3. Разверните раздел "Параметры" и выберите "Связанные подсети".

4. Выберите +Изменить связь подсети.

5. В разделе "Изменение связи подсети" выберите виртуальную сеть-1 и подсеть-1.

6. Выберите Применить.

PowerShell

Используйте Set-AzVirtualNetworkSubnetConfig , чтобы связать политику конечной точки службы с подсетью.

$subnetConfigParams = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    NetworkSecurityGroup = $nsg
    ServiceEndpoint = "Microsoft.Storage"
    ServiceEndpointPolicy = $sepolicy
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

$virtualNetwork | Set-AzVirtualNetwork

CLI

Используйте az network vnet subnet update , чтобы связать политику конечной точки службы с подсетью.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --service-endpoints Microsoft.Storage \
  --service-endpoint-policy service-endpoint-policy

Предупреждение

Перед тем как связать политику с подсетью, убедитесь, что все ресурсы, доступ к которым осуществляется из данной подсети, добавлены в эту политику. Когда политика становится связанной, из конечных точек службы будет разрешен только доступ к ресурсам разрешить указанные.

Убедитесь, что управляемые службы Azure не существуют в подсети, связанной с политикой конечной точки службы.

Доступ к ресурсам хранилища Azure во всех регионах будет ограничен в соответствии с политикой конечной точки службы этой подсети.

Проверка ограничения доступа для учетных записей хранения Azure

Чтобы протестировать сетевой доступ к учетной записи хранения, разверните VM в каждой подсети.

Развертывание виртуальной машины

Портал

1. В поле поиска на портале введите виртуальные машины. В результатах поиска выберите Виртуальные машины.

2. На вкладке Основные сведения страницы Создание виртуальной машины введите или выберите следующие значения параметров:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Virtual machine name	Введите vm-1.
   Область/регион	Выберите (США) Западная часть США 2.
   Параметры доступности	Выберите Избыточность инфраструктуры не требуется.
   Тип безопасности	Выберите Стандартное.
   Изображения	Выберите Windows Server 2022 Datacenter — x64-го поколения 2-го поколения.
   Размер	Выберите размер.
   Учетная запись администратора
   Username	Введите имя пользователя.
   Пароль	Введите пароль.
   Подтверждение пароля	Введите пароль еще раз.
   Правила входящего порта

3. Нажмите кнопку "Далее": диски, а затем нажмите кнопку "Далее: сеть".

4. На вкладке Сеть введите или выберите следующие значения параметров.

   Параметр	Значение
   Сетевой интерфейс
   Виртуальная сеть	Выберите виртуальную сеть-1.
   Подсеть	Выберите подсеть-1 (10.0.0.0/24).
   Общедоступный IP-адрес	Выберите Отсутствует.
   Группа безопасности сети сетевого адаптера	Выберите Отсутствует.

5. Оставьте остальные параметры в качестве значения по умолчанию и нажмите кнопку "Просмотр и создание".

6. Нажмите кнопку создания.

PowerShell

Создайте виртуальную машину в подсети подсети-1 с помощью New-AzVM. При выполнении следующей команды вам будет предложено указать учетные данные. В качестве вводимых значений указываются имя пользователя и пароль для виртуальной машины.

$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    Name = "vm-1"
}
New-AzVm @vmParams

CLI

Создайте виртуальную машину в подсети подсети-1 с помощью az vm create.

az vm create \
  --resource-group test-rg \
  --name vm-1 \
  --image Win2022Datacenter \
  --admin-username azureuser \
  --vnet-name vnet-1 \
  --subnet subnet-1

Дождитесь завершения развертывания виртуальной машины, прежде чем продолжить выполнение следующих действий.

Подтверждение доступа для разрешенной учетной записи хранения

1. Войдите на портал Azure.

2. В поле поиска на портале введите учетные записи хранения. Выбор Учетные записи хранения в результатах поиска.

3. Выберите allowedaccount(random-number).

4. Разверните узел "Безопасность и сеть" и выберите ключи доступа.

5. Скопируйте значение key1. Этот ключ используется для сопоставления диска с учетной записью хранения из созданной ранее виртуальной машины.

6. В поле поиска на портале введите виртуальные машины. В результатах поиска выберите Виртуальные машины.

7. Выберите vm-1.

8. Развертывание операций. Выберите команду "Выполнить".

9. Выберите RunPowerShellScript.

10. Вставьте следующий скрипт в скрипт выполнения команд.

    ## Enter the storage account key for the allowed storage account that you recorded earlier.
    $storageAcctKey1 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential
    

11. Выберите Выполнить.

12. Если карта диска выполнена успешно, выходные данные в поле вывода выглядят примерно так:

    Name           Used (GB)     Free (GB) Provider      Root
    ----           ---------     --------- --------      ----
    Z                                      FileSystem    \\allowedaccount.file.core.windows.net\fil..
    

Подтверждение того, что доступ запрещен к учетной записи хранения, запрещенной

1. В поле поиска на портале введите учетные записи хранения. Выбор Учетные записи хранения в результатах поиска.

2. Выберите deniedaccount(random-number).

3. Разверните узел "Безопасность и сеть" и выберите ключи доступа.

4. Скопируйте значение key1. Этот ключ используется для сопоставления диска с учетной записью хранения из созданной ранее виртуальной машины.

5. В поле поиска на портале введите виртуальные машины. В результатах поиска выберите Виртуальные машины.

6. Выберите vm-1.

7. Развертывание операций. Выберите команду "Выполнить".

8. Выберите RunPowerShellScript.

9. Вставьте следующий скрипт в скрипт выполнения команд.

   ## Enter the storage account key for the denied storage account that you recorded earlier.
   $storageAcctKey2 = (pasted from procedure above)
   $acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
   ## Replace the login account with the name of the storage account you created.
   $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
   ## Replace the storage account name with the name of the storage account you created.
   New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential
   

10. Выберите Выполнить.

11. В окне вывода появится следующее сообщение об ошибке:

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
    + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    

12. Карта диска запрещена из-за политики конечной точки службы, которая ограничивает доступ к учетной записи хранения.

Портал

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

2. На странице групп ресурсов выберите группу ресурсов test-rg.

3. На странице test-rg выберите "Удалить группу ресурсов".

4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

PowerShell

Вы можете удалить ненужную группу ресурсов и все содержащиеся в ней ресурсы с помощью командлета Remove-AzResourceGroup:

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

CLI

Вы можете удалить ненужную группу ресурсов и все содержащиеся в ней ресурсы, выполнив команду az group delete.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Следующие шаги

При работе с этим руководстве вы создали политику конечной точки службы и связали ее с подсетью. Чтобы узнать больше о политиках конечной точки службы, ознакомьтесь с обзором политик конечной точки службы.