Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Monitor обычно управляет хранилищем автоматически, но для некоторых сценариев требуется настроить учетную запись хранения, управляемую клиентом. В этой статье описываются варианты использования, требования и процедуры настройки ссылки учетной записи хранения, управляемой клиентом, в рабочую область Log Analytics.
| Сценарии, требующие учетной записи хранения, управляемой клиентом |
|---|
| Частные ссылки , используемые для приема пользовательских журналов IIS |
| Шифрование данных с помощью ключа, управляемого клиентом (CMK), запросов оповещений в журнале и сохраненных запросов. |
Кастомизированное содержимое журнала, загруженное в управляемые клиентом учетные записи хранения, может измениться по формату или другим непредвиденным образом. Внимательно рассмотрите ваши предпосылки в отношении этого содержимого и поймите особые условия для вашего варианта использования.
Предпосылки
Предупреждение
Начиная с 30 июня 2025 г. создание или обновление пользовательских журналов и журналов IIS , связанных с учетными записями хранения, больше не будет доступно. Существующие учетные записи хранения будут отключены к 1 ноября 2025 г. Мы настоятельно рекомендуем переход на агента Azure Monitor, чтобы избежать потери данных. Дополнительные сведения см. в обзоре агента Azure Monitor.
Предупреждение
Начиная с 31 августа 2025 г. рабочие области Log Analytics должны иметь управляемое удостоверение (MSI), назначенное им для добавления или обновления связанных учетных записей хранения для сохраненных запросов и сохраненных запросов оповещений журнала. Дополнительные сведения см. в статье "Связывание учетных записей хранения" с рабочей областью Log Analytics.
| Действие | Требования к разрешениям |
|---|---|
| Управление связанными учетными записями хранения для рабочей области |
Microsoft.OperationalInsights/workspaces/write — область рабочей среды, например, как указано во встроенной роли, Участник Log Analytics. |
| Назначьте любое управляемое удостоверение рабочему пространству |
Microsoft.OperationalInsights/workspaces/write — область рабочей среды, например, как указано во встроенной роли, Участник Log Analytics. |
| Управление назначенным пользователем управляемым удостоверением для рабочей области |
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action — область идентификации, например, как указано встроенными ролями, оператор управляемых идентификаторов или участник управляемых идентификаторов. |
| Минимальные разрешения для управляемой идентичности в учетной записи хранилища | Участник данных таблицы хранилища. |
Кроме того, связанная учетная запись хранения должна находиться в том же регионе, что и рабочая область.
Приватные ссылки
Учетные записи хранения, управляемые клиентом, используются для сбора пользовательских журналов при использовании частных ссылок для подключения к ресурсам Azure Monitor. Процесс приема этих типов данных подразумевает, что журналы сначала загружаются в промежуточную учетную запись Azure Storage, и только затем переносятся в рабочую область.
Требования к рабочей области
При подключении к Azure Monitor через приватный канал агент Azure Monitor может отправлять журналы только в рабочие области, доступные через приватный канал. Это требование означает, что вам следует:
- Настройте объект Область Приватного Межсетевого Соединения (AMPLS) в Azure Monitor.
- Подключите его к рабочим областям.
- Подключите AMPLS к своей сети по приватному каналу.
Дополнительные сведения о процедуре настройки AMPLS см. в разделе Безопасное подключение сетей к Azure Monitor с помощью приватного канала Azure.
Требования к учетной записи хранения для приватного канала
При подключении к Azure Monitor через приватный канал учетная запись хранения должна быть доступна через приватную ссылку. Это требование означает, что вы должны: Для подключения учетной записи хранения к вашей приватной ссылке необходимо:
Находиться в виртуальной сети или одноранговой сети и подключаться к виртуальной сети через приватный канал.
Разрешить Azure Monitor доступ к учетной записи хранения. Чтобы разрешить доступ к учетной записи хранения только определенным сетям, выберите исключение Разрешить доверенным службам Microsoft доступ к этой учетной записи хранения.
Если рабочая область обрабатывает трафик из других сетей, настройте учетную запись хранения, чтобы разрешить входящий трафик, поступающий из соответствующих сетей или Интернета.
Координирует версию TLS между агентами и учетной записью хранения. Рекомендуется отправлять данные в журналы Azure Monitor с помощью TLS 1.2 или более поздней версии. При необходимости настройте агенты для использования TLS. Если это невозможно, настройте учетную запись хранения, чтобы принять TLS 1.2.
Шифрование данных ключей, управляемых клиентом
Служба хранилища Azure шифрует все неактивные данные в учетной записи хранения. По умолчанию он использует управляемые Корпорацией Майкрософт ключи (MMKs) для шифрования данных. Однако служба хранилища Azure также позволяет использовать управляемые клиентом ключи (CMKs) из Azure Key Vault для шифрования данных хранилища. Импортируйте собственные ключи в Key Vault или используйте API Key Vault для создания ключей.
Для учетной записи хранения, управляемой клиентом, требуется:
- Шифрование запросов генерации оповещений журнала с помощью CMK.
- Шифрование сохраненных запросов с помощью CMK.
Настройте учетную запись хранения для использования пользовательских ключей (CMKs) в Key Vault. Дополнительные сведения см. в разделе "Настройка ключей, управляемых клиентом" для службы хранилища Azure.
Рекомендации по использованию управляемого клиентом хранилища с помощью CMK
Учетная запись хранения и хранилище ключей должны находиться в одном регионе. Они не обязательно должны быть из одной подписки. Дополнительные сведения см. в статье Шифрование службы хранилища Azure для неактивных данных.
| Особый случай | Устранение неполадок |
|---|---|
| Если учетная запись хранения связана с запросами, существующие сохраненные запросы и функции в рабочей области удаляются навсегда из соображений конфиденциальности и перемещаются в таблицу, расположенную в учетной записи хранения. | Скопируйте существующие сохраненные запросы перед настройкой ссылки на хранилище. Ниже приведен пример использования PowerShell. Вы можете отменить связь с учетной записью хранения для запросов, чтобы переместить сохраненные запросы и функции обратно в рабочую область. Обновите браузер, если вы не сохранили запросы или функции, не отображаются на портале Azure после операции. |
| Запросы, сохраненные в пакетах запросов , не шифруются с помощью CMK. | Выберите "Сохранить как старый запрос" при сохранении запросов, чтобы защитить их с помощью CMK. |
| Сохраненные запросы и оповещения поиска по журналам по умолчанию не шифруются в управляемом клиентом хранилище. | Зашифруйте вашу учетную запись хранения с помощью CMK при ее создании, хотя CMK можно настроить и позже. |
| Для всех целей можно использовать одну учетную запись хранения StorageV2: запросы, оповещения, пользовательские журналы и журналы IIS. | Связывание хранилища для пользовательских журналов и журналов IIS может потребовать больше учетных записей хранения (до 5 на рабочую область) для масштабирования в зависимости от скорости приема и ограничений хранения. Помните, что все управляемые клиентом хранилища для пользовательских журналов и журналов IIS будут отключены 1 ноября 2025 г. |
Связывание учетных записей хранения с рабочей областью Log Analytics
Следующие требования будут применяться не раньше 31 августа 2025 г.
| Предстоящее требование | Описание |
|---|---|
| Управляемое удостоверение, назначенное рабочей области | Создание новых ссылок на управляемые пользователем учетные записи хранения, когда управляемое удостоверение не назначено, будет запрещено во всех рабочих областях, и также будет заблокировано обновление существующих ссылок. |
| Учетная запись хранения, настроенная с назначением роли для управляемой идентичности | Создание новых ссылок на учетные записи хранения, управляемые клиентом, если у учетной записи хранения нет назначения ролей для управляемой учетной записи, будет заблокировано для всех областей рабочих пространств, включая обновление существующих ссылок. |
Создайте управляемое удостоверение
Подготовьтесь к предстоящему изменению в применении правил, настроив рабочую область, используя управляемую идентификацию.
До тех пор, пока не будет обеспечено принудительное выполнение, рабочая область не использует управляемое удостоверение для аутентификации в частном хранилище. Не удаляйте существующий метод аутентификации, пока не будет объявлено о включении управляемых удостоверений для аутентификации в частное хранилище.
Создайте или обновите рабочую область с помощью управляемого удостоверения с помощью одного из следующих методов:
Для получения дополнительной информации см. Что такое управляемые удостоверения для ресурсов Azure?.
Добавить назначение ролей
После назначения управляемого удостоверения рабочей области обновите учетную запись хранения, чтобы разрешить доступ к управляемому удостоверению. Назначьте этому удостоверению роль вкладчика данных в таблицы хранилища в учетной записи хранения, чтобы предоставить рабочей области доступ к сохраненным запросам и запросам оповещений журнала. Обратите внимание на необходимые разрешения, необходимые для назначения управляемых удостоверений и управления назначенными пользователем удостоверениями.
Добавление ссылки
В портале Azure откройте меню рабочей области и выберите учетные записи связанного хранилища. Связанная учетная запись хранения отображается для каждого типа.
При выборе типа или значка подключения откроется ссылка на учетную запись хранения, чтобы настроить или обновить связанную учетную запись хранения для этого типа. Используйте одну учетную запись хранения для нескольких типов, чтобы снизить сложность.
Управление связанными учетными записями хранения
Следуйте инструкциям по управлению связанными учетными записями хранения.
Создание или изменение ссылки
При связывании учетной записи хранения с рабочей областью журналы Azure Monitor начинают использовать ее вместо учетной записи хранения, принадлежащей службе. Вы можете:
- Зарегистрируйте несколько учетных записей хранения, чтобы распространить нагрузку журналов между ними.
- Повторно используйте одну учетную запись хранения для нескольких рабочих областей.
Удаление привязки учетной записи хранения
Чтобы прекратить использование учетной записи хранения, отсоедините хранилище от рабочей области. Когда вы отвязываете все учетные записи хранения от рабочей области, журналы Azure Monitor используют управляемые службой учетные записи хранения. Если сеть имеет ограниченный доступ к Интернету, эти учетные записи хранения могут быть недоступны, и любой сценарий, основанный на хранении, завершится сбоем.
Замена учетной записи хранения
Чтобы заменить учетную запись хранения, используемую для приема:
- Создайте ссылку на новую учетную запись хранения. Агенты ведения журнала получают обновленную конфигурацию и начинают отправлять данные в новое хранилище. Процесс может занять несколько минут.
- Отмените связь со старой учетной записью хранения, чтобы агенты перестали записывать данные в удаленную учетную запись. Процесс загрузки данных постоянно считывает данные из этой учетной записи, пока все они не будут загружены. Не удаляйте учетную запись хранения, пока не удостоверитесь, что все журналы были обработаны.
Обслуживание учетных записей хранения
Следуйте этим инструкциям, чтобы сохранить учетные записи хранения.
Управление хранением журнала
При использовании собственной учетной записи хранения срок хранения предназначен для вас. Журналы Azure Monitor не удаляют журналы, хранящиеся в частном хранилище. Но вы должны настроить политику для обработки нагрузки в соответствии с вашими предпочтениями.
Учет нагрузки
Учетные записи хранения могут обрабатывать определенную нагрузку запросов на чтение и запись, прежде чем начать их ограничивать. Дополнительную информацию см. в разделе "Целевые показатели масштабируемости и производительности в хранилище BLOB-объектов Azure".
Регулирование влияет на время, затрачиваемое на прием журналов. Если ваша учетная запись хранения перегружена, зарегистрируйте другую учетную запись хранения, чтобы распространить нагрузку между ними. Чтобы отслеживать емкость и производительность аккаунта хранения, ознакомьтесь с его информацией в портале Azure.
Связанные расходы
Плата за хранилищные учетные записи взимается с учетом объема хранимых данных, типа хранилища и типа избыточности. Дополнительные сведения см. в разделах Цены на блочные BLOB-объекты и Цены на хранилище таблиц Azure.
Следующие шаги
- Узнайте об использовании Private Link для безопасного подключения сетей к Azure Monitor.
- Узнайте о ключах, управляемых клиентом Azure Monitor.