Настройка брандмауэров службы хранилища Azure и виртуальных сетей

Служба хранилища Azure предоставляет многоуровневую модель безопасности. Эта модель позволяет защищать и контролировать уровень доступа к вашим учетным записям хранения, который требуется вашим приложениям и корпоративным средам, в зависимости от типа и подмножества используемых сетей или ресурсов.

При настройке сетевых правил только приложения, запрашивающие данные по указанному набору сетей или через указанный набор ресурсов Azure, могут получить доступ к учетной записи хранения. Вы можете ограничить доступ к учетной записи хранения запросам, поступающим из указанных IP-адресов, диапазонов IP-адресов, подсетей в виртуальной сети Azure или экземпляров ресурсов некоторых служб Azure.

служба хранилища учетные записи имеют общедоступную конечную точку, доступную через Интернет. Вы также можете создать частные конечные точки для учетной записи хранения. Создание частных конечных точек назначает частный IP-адрес из виртуальной сети учетной записи хранения. Это помогает защитить трафик между виртуальной сетью и учетной записью хранения через приватный канал.

Брандмауэр службы хранилища Azure предоставляет контроль доступа для общедоступной конечной точки вашей учетной записи хранения. Брандмауэр также можно использовать для блокировки доступа через общедоступную конечную точку при использовании частных конечных точек. Конфигурация брандмауэра также позволяет доверенным службам платформы Azure получить доступ к учетной записи хранения.

При этом приложению, которое обращается к учетной записи хранения, когда действуют сетевые правила, по-прежнему необходима надлежащая авторизация для выполнения запроса. Авторизация поддерживается с учетными данными Microsoft Entra для больших двоичных объектов, таблиц, общих папок и очередей, с допустимым ключом доступа к учетной записи или маркером подписанного URL-адреса (SAS). При настройке контейнера BLOB-объектов для анонимного доступа запросы на чтение данных в этом контейнере не должны быть авторизованы. Правила брандмауэра остаются в силе и будут блокировать анонимный трафик.

Включение правил брандмауэра для учетной записи хранения блокирует входящие запросы данных по умолчанию, если только запросы не исходят из службы, которая работает в виртуальной сети Azure или из разрешенных общедоступных IP-адресов. Запросы, которые блокируются, включают их из других служб Azure, из портал Azure и из служб ведения журнала и метрик.

Вы можете предоставить доступ к службам Azure, работающим из виртуальной сети, разрешая трафик из подсети, на которой размещен экземпляр службы. Кроме того, можно включить ограниченное количество сценариев с помощью механизма исключений, описываемого в этой статье. Чтобы получить доступ к данным из учетной записи хранения через портал Azure, необходимо быть на компьютере в пределах доверенной границы (IP-адреса или виртуальной сети), которую вы настроили.

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Сценарии

Чтобы защитить учетную запись хранения, необходимо сначала настроить правило, по умолчанию запрещающее доступ к трафику из всех сетей (включая интернет-трафик) в общедоступной конечной точке. Затем необходимо настроить правила, предоставляющие доступ к трафику из определенных виртуальных сетей. Вы также можете настроить правила, разрешающие доступ трафику из определенных диапазонов общедоступных IP-адресов в Интернете, позволяя устанавливать подключения из конкретных локальных или интернет-клиентов. Эта конфигурация помогает создать безопасную сетевую границу для приложений.

Вы можете сочетать правила брандмауэра, разрешающие доступ из конкретных виртуальных сетей, и правила, разрешающие доступ из диапазонов общедоступных IP-адресов, в одной и той же учетной записи хранения. Правила брандмауэра хранилища можно применять к существующим учетным записям хранения или при создании новых учетных записей хранения.

Правила брандмауэра службы хранилища применяются к общедоступной конечной точке учетной записи хранения. Вам не нужно задавать никакие правила доступа брандмауэра, чтобы разрешить трафик для частных конечных точек учетной записи хранения. Процесс утверждения создания частной конечной точки предоставляет неявный доступ к трафику из подсети, в которой размещается эта частная конечная точка.

Внимание

служба хранилища Azure правила брандмауэра применяются только к операциям плоскости данных. Операции плоскости управления не применяются к ограничениям, указанным в правилах брандмауэра.

Некоторые операции, такие как операции контейнера BLOB-объектов, можно выполнять как с помощью плоскости управления, так и плоскости данных. Таким образом, если вы пытаетесь выполнить операцию, например перечисление контейнеров из портал Azure, операция будет выполнена успешно, если она не заблокирована другим механизмом. Попытки доступа к данным BLOB-объектов из приложения, например служба хранилища Azure Обозреватель, контролируются ограничениями брандмауэра.

Список операций плоскости данных см. в справочнике по REST API служба хранилища Azure. Список операций уровня управления см. в справочнике по REST API поставщика ресурсов служба хранилища Azure.

Настройка сетевого доступа к служба хранилища Azure

Вы можете управлять доступом к данным в учетной записи хранения через сетевые конечные точки или через доверенные службы или ресурсы в любом сочетании, включая:

• Разрешение доступа из выбранных подсетей виртуальной сети с помощью частных конечных точек.
• Разрешение доступа из выбранных подсетей виртуальной сети с помощью конечных точек службы.
• Разрешение доступа с определенных общедоступных IP-адресов либо из определенных диапазонов таких адресов.
• Разрешение доступа из выбранных экземпляров ресурсов Azure.
• Разрешить доступ из доверенных служб Azure (с помощью управления исключениями).
• Настройте исключения для служб ведения журнала и метрик.

Сведения о конечных точках виртуальной сети

Существует два типа конечных точек виртуальной сети для учетных записей хранения:

• Конечные точки службы для виртуальной сети
• Частные конечные точки

Конечные точки службы виртуальной сети являются общедоступными и доступными через Интернет. Брандмауэр служба хранилища Azure предоставляет возможность управления доступом к учетной записи хранения через такие общедоступные конечные точки. При включении доступа к общедоступной сети к учетной записи хранения все входящие запросы данных блокируются по умолчанию. Доступ к данным сможет получить только приложения, запрашивающие данные из разрешенных источников, настроенных в параметрах брандмауэра учетной записи хранения. Источники могут включать исходный IP-адрес или подсеть виртуальной сети клиента, службу Azure или экземпляр ресурсов, через который клиенты или службы обращаются к данным. Запросы, которые блокируются, включают их из других служб Azure, из портал Azure и из служб ведения журнала и метрик, если вы явно не разрешаете доступ в конфигурации брандмауэра.

Частная конечная точка использует частный IP-адрес из виртуальной сети для доступа к учетной записи хранения через магистральную сеть Майкрософт. При использовании частной конечной точки трафик между виртуальной сетью и учетной записью хранения защищены через приватный канал. служба хранилища правила брандмауэра применяются только к общедоступным конечным точкам учетной записи хранения, а не к частным конечным точкам. Процесс утверждения создания частной конечной точки предоставляет неявный доступ к трафику из подсети, в которой размещается эта частная конечная точка. Политики сети можно использовать для управления трафиком частных конечных точек, если требуется уточнить правила доступа. Если вы хотите использовать исключительно частные конечные точки, можно использовать брандмауэр для блокировки доступа через общедоступную конечную точку.

Сведения о том, когда следует использовать каждую конечную точку в вашей среде, см. в статье "Сравнение частных конечных точек и конечных точек службы".

Как приблизиться к сетевой безопасности для учетной записи хранения

Чтобы защитить учетную запись хранения и создать безопасную сетевую границу для приложений:

1. Сначала отключите весь доступ к общедоступной сети для учетной записи хранения в параметре доступа к общедоступной сети в брандмауэре учетной записи хранения.

2. По возможности настройте частные ссылки на учетную запись хранения из частных конечных точек в подсетях виртуальной сети, где клиенты находятся, для которых требуется доступ к данным.

3. Если клиентским приложениям требуется доступ через общедоступные конечные точки, измените параметр доступа к общедоступной сети на "Включено" из выбранных виртуальных сетей и IP-адресов. Затем, по мере необходимости:

   1. Укажите подсети виртуальной сети, из которых требуется разрешить доступ.
   2. Укажите диапазоны общедоступных IP-адресов клиентов, из которых требуется разрешить доступ, например локальные сети.
   3. Разрешение доступа из выбранных экземпляров ресурсов Azure.
   4. Добавьте исключения, чтобы разрешить доступ из доверенных служб, необходимых для таких операций, как резервное копирование данных.
   5. Добавьте исключения для ведения журнала и метрик.

После применения правил сети они применяются для всех запросов. Маркеры SAS, предоставляющие доступ к конкретному IP-адресу, служат для ограничения доступа владельца маркера, но они не предоставляют новый доступ за пределами настроенных сетевых правил.

Ограничения и рекомендации

Перед реализацией сетевой безопасности для учетных записей хранения ознакомьтесь с важными ограничениями и рекомендациями, рассмотренными в этом разделе.

• служба хранилища Azure правила брандмауэра применяются только к операциям плоскости данных. Операции плоскости управления не применяются к ограничениям, указанным в правилах брандмауэра.
• Просмотрите ограничения для правил IP-сети.
• Чтобы получить доступ к данным с помощью таких средств, как портал Azure, служба хранилища Azure Обозреватель и AzCopy, необходимо находиться на компьютере в пределах доверенной границы, устанавливаемой при настройке правил безопасности сети.
• Правила сети применяются ко всем сетевым протоколам для служба хранилища Azure, включая REST и S МБ.
• Правила сети не влияют на трафик диска виртуальной машины, включая операции подключения и отключение операций ввода-вывода и операций ввода-вывода диска, но они помогают защитить доступ REST к страничных BLOB-объектам.
• Вы можете использовать неуправляемые диски в учетных записях хранения с правилами сети, применяемыми для резервного копирования и восстановления виртуальных машин, создав исключение. Исключения брандмауэра не применимы к управляемым дискам, так как Azure уже управляет ими.
• Классические учетные записи хранения не поддерживают брандмауэры и виртуальные сети.
• Если удалить подсеть, включенную в правило виртуальной сети, она будет удалена из сетевых правил для учетной записи хранения. При создании новой подсети с тем же именем он не будет иметь доступа к учетной записи хранения. Чтобы разрешить ей доступ, необходимо явно авторизовать новую подсеть в правилах сети для учетной записи хранения.
• При ссылке на конечную точку службы в клиентском приложении рекомендуется избегать использования зависимостей от кэшированного IP-адреса. IP-адрес учетной записи хранения может быть изменен, и использование кэшированного IP-адреса может привести к непредвиденному поведению. Кроме того, рекомендуется учитывать время жизни (TTL) записи DNS и не переопределять ее. Переопределение срока жизни DNS может привести к неожиданному поведению.
• По умолчанию доступ к учетной записи хранения из доверенных служб имеет высший приоритет над другими ограничениями сетевого доступа. Если вы настроили доступ к общедоступной сети отключенным после ранее заданного значения "Включено" из выбранных виртуальных сетей и IP-адресов, все экземпляры ресурсов и исключения, настроенные ранее, включая разрешение служб Azure в списке доверенных служб для доступа к этой учетной записи хранения, останутся в силе. В результате эти ресурсы и службы могут по-прежнему иметь доступ к учетной записи хранения.

Авторизация

Клиенты, которым предоставлен доступ через сетевые правила, должны продолжать соответствовать требованиям авторизации учетной записи хранения для доступа к данным. Авторизация поддерживается с учетными данными Microsoft Entra для больших двоичных объектов и очередей, с допустимым ключом доступа к учетной записи или маркером подписанного URL-адреса (SAS).

При настройке контейнера BLOB-объектов для анонимного общедоступного доступа запросы на чтение данных в этом контейнере не нужно авторизовать, но правила брандмауэра остаются в силе и будут блокировать анонимный трафик.

Изменение сетевого правила доступа по умолчанию

По умолчанию учетные записи хранения принимают запросы на подключение от клиентов в сети. Вы можете ограничить доступ к выбранным сетям или запретить трафик из всех сетей и разрешить доступ только через частную конечную точку.

Необходимо задать правило по умолчанию, чтобы запретить, или сетевые правила не влияют. Однако изменение этого параметра может повлиять на возможность подключения приложения к служба хранилища Azure. Перед изменением этого параметра не забудьте предоставить доступ к любым разрешенным сетям или настроить доступ через частную конечную точку.

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Портал

1. Перейдите в учетную запись хранения, которую вы хотите защитить.

2. Найдите параметры Сеть в разделе Безопасность и сеть.

3. Выберите тип доступа к общедоступной сети, который требуется разрешить:

   • Чтобы разрешить трафик изо всех сетей, выберите Включено из всех сетей.

   • Чтобы разрешить трафик только из определенных виртуальных сетей, выберите Включено из выбранных виртуальных сетей и IP-адресов.

   • Чтобы заблокировать трафик из всех сетей, выберите Отключено.

4. Нажмите кнопку Сохранить, чтобы применить изменения.

PowerShell

1. Установите Azure PowerShell и выполните вход.

2. Выберите тип доступа к общедоступной сети, который требуется разрешить:

   • Чтобы разрешить трафик из всех сетей, используйте Update-AzStorageAccountNetworkRuleSet команду и задайте для -DefaultAction параметра Allowзначение :

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
     

   • Чтобы разрешить трафик только из определенных виртуальных сетей, используйте Update-AzStorageAccountNetworkRuleSet команду и задайте -DefaultAction для параметра Denyзначение :

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
     

   • Чтобы заблокировать трафик из всех сетей, используйте команду Set-AzStorageAccount и задайте для параметра -PublicNetworkAccess значение Disabled. Трафик будет разрешен только через частную конечную точку. Вам потребуется создать эту частную конечную точку.

     Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
     

Azure CLI

1. Установите Azure CLI и выполните вход.

2. Выберите тип доступа к общедоступной сети, который требуется разрешить:

   • Чтобы разрешить трафик из всех сетей, используйте az storage account update команду и задайте для --default-action параметра Allowзначение :

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
     

   • Чтобы разрешить трафик только из определенных виртуальных сетей, используйте az storage account update команду и задайте --default-action для параметра Denyзначение :

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
     

   • Чтобы заблокировать трафик из всех сетей, используйте команду az storage account update и задайте для параметра --public-network-access значение Disabled. Трафик будет разрешен только через частную конечную точку. Вам потребуется создать эту частную конечную точку.

     az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
     

Внимание

По умолчанию доступ к учетной записи хранения из доверенных служб имеет высший приоритет над другими ограничениями сетевого доступа. Если вы настроили доступ к общедоступной сети отключенным после ранее заданного значения "Включено" из выбранных виртуальных сетей и IP-адресов, все экземпляры ресурсов и исключения, настроенные ранее, включая разрешение служб Azure в списке доверенных служб для доступа к этой учетной записи хранения, останутся в силе. В результате эти ресурсы и службы могут по-прежнему иметь доступ к учетной записи хранения.

Предоставление доступа из виртуальной сети

Вы можете настроить учетные записи хранения таким образом, чтобы они разрешали доступ только из определенных подсетей. Допустимые подсети могут принадлежать виртуальной сети в той же подписке или другой подписке, включая те, которые принадлежат другому клиенту Microsoft Entra. С конечными точками службы между регионами разрешенные подсети также могут находиться в разных регионах из учетной записи хранения.

Вы можете включить конечную точку службы для служба хранилища Azure в виртуальной сети. Конечная точка службы направляет трафик из виртуальной сети через оптимальный путь к службе служба хранилища Azure. В каждом запросе также передаются удостоверения подсети и виртуальной сети. Администратор istrator может настроить сетевые правила для учетной записи хранения, которая позволяет получать запросы из определенных подсетей в виртуальной сети. Клиенты, которым предоставлен доступ по этим сетевым правилам, по прежнему должны выполнять требования авторизации учетной записи хранения, чтобы получать доступ к данным.

Каждая учетная запись хранения поддерживает до 400 правил виртуальной сети. Эти правила можно объединить с правилами IP-сети.

Внимание

При ссылке на конечную точку службы в клиентском приложении рекомендуется избегать использования зависимостей от кэшированного IP-адреса. IP-адрес учетной записи хранения может быть изменен, и использование кэшированного IP-адреса может привести к непредвиденному поведению.

Кроме того, рекомендуется учитывать время жизни (TTL) записи DNS и не переопределять ее. Переопределение срока жизни DNS может привести к неожиданному поведению.

Необходимые разрешения

Чтобы применить правило виртуальной сети к учетной записи хранения, пользователь должен иметь соответствующие разрешения для добавляемых подсетей. Участник служба хранилища учетной записи или пользователь, имеющий разрешение на Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionоперацию поставщика ресурсов Azure, может применять правило с помощью настраиваемой роли Azure.

Учетная запись хранения и виртуальные сети, которые получают доступ, могут находиться в разных подписках, включая подписки, которые являются частью другого клиента Microsoft Entra.

Настройка правил, которые предоставляют доступ к подсетям в виртуальных сетях, которые являются частью другого клиента Microsoft Entra, в настоящее время поддерживаются только с помощью PowerShell, Azure CLI и REST API. Такие правила нельзя настроить с помощью портал Azure, хотя их можно просмотреть на портале.

служба хранилища Azure конечные точки службы между регионами

Конечные точки службы между регионами для служба хранилища Azure стали общедоступными в апреле 2023 года. Они работают между виртуальными сетями и экземплярами службы хранилища в любом регионе. С конечными точками службы между регионами подсети больше не используют общедоступный IP-адрес для обмена данными с любой учетной записью хранения, в том числе с другими регионами. Вместо этого весь трафик из подсетей в учетные записи хранения использует частный IP-адрес в качестве исходного IP-адреса. В результате все учетные записи хранения, использующие правила IP-сети для разрешения трафика из этих подсетей, больше не влияют.

Настройка конечных точек службы между виртуальными сетями и экземплярами служб в парном регионе может быть важной частью плана аварийного восстановления. Конечные точки служб обеспечивают непрерывность работы при отработке регионального отказа, а также доступ на чтение к экземплярам геоизбыточного хранилища (RA-GRS). Правила сети, предоставляющие доступ к учетной записи хранения из виртуальной сети, также предоставляют доступ к любому экземпляру RA-GRS.

При планировании аварийного восстановления во время регионального сбоя создайте виртуальные сети в парном регионе заранее. Включите конечные точки для службы хранилища Azure с применением сетевых правил, разрешающих доступ из этих альтернативных виртуальных сетей. Затем примените эти правила к учетным записям своего геоизбыточного хранилища.

Локальные и межрегионные конечные точки службы не могут сосуществовать в одной подсети. Чтобы заменить существующие конечные точки службы несколькими регионами, удалите существующие Microsoft.Storage конечные точки и повторно создайте их в виде конечных точек между регионами (Microsoft.Storage.Global).

Управление правилами виртуальной сети

Правила виртуальной сети для учетных записей хранения можно управлять с помощью портал Azure, PowerShell или Azure CLI версии 2.

Если вы хотите включить доступ к учетной записи хранения из виртуальной сети или подсети в другом клиенте Microsoft Entra, необходимо использовать PowerShell или Azure CLI. Портал Azure не отображает подсети в других клиентах Microsoft Entra.

Портал

1. Перейдите в учетную запись хранения, которую вы хотите защитить.

2. Выберите Сети.

3. Убедитесь, что вы решили разрешить доступ из выбранных сетей.

4. Чтобы предоставить доступ к виртуальной сети с помощью нового правила сети, в разделе "Виртуальные сети" выберите " Добавить существующую виртуальную сеть". Выберите параметры виртуальных сетей и подсетей, а затем нажмите кнопку "Добавить".

   Чтобы создать виртуальную сеть и предоставить ей доступ, нажмите Добавить новую виртуальную сеть. Укажите необходимые сведения для создания новой виртуальной сети и нажмите кнопку "Создать".

   Если конечная точка службы для службы хранилища Azure еще не настроена для выбранной виртуальной сети и подсетей, ее можно настроить в ходе этой операции.

   В настоящее время во время создания правила отображаются только виртуальные сети, принадлежащие одному клиенту Microsoft Entra. Чтобы предоставить доступ к подсети в виртуальной сети, которая принадлежит другому клиенту, используйте PowerShell, Azure CLI или REST API.

5. Чтобы удалить правило виртуальной сети или подсети, выберите многоточие (...), чтобы открыть контекстное меню для виртуальной сети или подсети, а затем нажмите кнопку "Удалить".

6. Нажмите кнопку Сохранить, чтобы применить изменения.

Внимание

Если удалить подсеть, включенную в правило сети, она будет удалена из правил сети для учетной записи хранения. При создании новой подсети с тем же именем он не будет иметь доступа к учетной записи хранения. Чтобы разрешить ей доступ, необходимо явно авторизовать новую подсеть в правилах сети для учетной записи хранения.

PowerShell

1. Установите Azure PowerShell и выполните вход.

2. Список правил виртуальной сети:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
   

3. Включите конечную точку службы для служба хранилища Azure в существующей виртуальной сети и подсети:

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
   

4. Добавьте правило сети для виртуальной сети и подсети:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

   Чтобы добавить сетевое правило для подсети в виртуальной сети, принадлежащую другому клиенту Microsoft Entra, используйте полный VirtualNetworkResourceId параметр в форме /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.

5. Удалите сетевое правило для виртуальной сети и подсети:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

Azure CLI

1. Установите Azure CLI и выполните вход.

2. Список правил виртуальной сети:

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
   

3. Включите конечную точку службы для служба хранилища Azure в существующей виртуальной сети и подсети:

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
   

4. Добавьте правило сети для виртуальной сети и подсети:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

   Чтобы добавить правило для подсети в виртуальной сети, которая принадлежит другому клиенту Microsoft Entra, используйте полный идентификатор подсети в форме /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>. Этот параметр можно использовать subscription для получения идентификатора подсети для виртуальной сети, которая принадлежит другому клиенту Microsoft Entra.

5. Удалите сетевое правило для виртуальной сети и подсети:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

Предоставление доступа из диапазона IP-адресов в Интернете

Сетевые правила для IP-адресов можно использовать для предоставления доступа с конкретных общедоступных диапазонов IP-адресов в Интернете. Каждая учетная запись хранения поддерживает до 400 правил. Эти правила предоставляют доступ к определенным интернет-службам и локальным сетям и блокируют общий интернет-трафик.

Ограничения для правил IP-сети

Следующие ограничения применяются к диапазонам IP-адресов:

• Сетевые правила для IP-адресов можно применять только для общедоступных IP-адресов в Интернете.

  Диапазоны IP-адресов, зарезервированные для частных сетей (как определено в документе RFC 1918), запрещено использовать в правилах IP. Частные сети включают адреса, начинающиеся с 10, 172.16 до 172.31 и 192.168.

• Необходимо предоставить допустимые диапазоны адресов Интернета с помощью нотации CIDR в форме 16.17.18.0/24 или в качестве отдельных IP-адресов, таких как 16.17.18.19.

• Небольшие диапазоны адресов, использующие размеры префикса /31 или /32, не поддерживаются. Настройте эти диапазоны с помощью отдельных правил IP-адресов.

• Для настройки правил брандмауэра хранилища поддерживаются только адреса IPv4.

Внимание

В следующих случаях нельзя использовать правила IP-сети:

• Чтобы ограничить доступ клиентам в том же регионе Azure, что и учетная запись хранения. Правила IP-сети не влияют на запросы, исходящие из того же региона Azure, что и учетная запись хранения. Используйте правила виртуальной сети для разрешения запросов из того же региона.
• Ограничение доступа к клиентам в парном регионе, в виртуальной сети с конечной точкой службы.
• Чтобы ограничить доступ службам Azure, развернутым в том же регионе, что и учетная запись хранения. Службы, развернутые в том же регионе, что и учетная запись хранения, используют для связи частные IP-адреса Azure. Таким образом, вы не можете ограничить доступ к определенным службам Azure на основе диапазона общедоступных исходящих IP-адресов.

Настройка доступа из локальных сетей

Чтобы предоставить доступ из локальных сетей к учетной записи хранения с помощью правила IP-сети, необходимо определить IP-адреса, которые используются в сети. За помощью обращайтесь к администратору сети.

Если вы используете Azure ExpressRoute из локальной среды для общедоступного пиринга или пиринга Майкрософт, необходимо определить используемые IP-адреса NAT. Для общедоступного пиринга каждый канал ExpressRoute (по умолчанию) использует два IP-адреса NAT, примененные к трафику службы Azure, когда трафик входит в магистраль сети Microsoft Azure. Для пиринга Майкрософт поставщик услуг или клиент предоставляют IP-адреса NAT.

Чтобы разрешить доступ к ресурсам службы, необходимо разрешить эти общедоступные IP-адреса в параметре брандмауэра для IP-адресов ресурсов. Чтобы найти IP-адреса для каналов ExpressRoute для общедоступного пиринга, откройте запрос в службу поддержки с помощью ExpressRoute через портал Azure. Дополнительные сведения о NAT для общедоступного пиринга ExpressRoute и пиринга Майкрософт.

Управление правилами IP-сети

Вы можете управлять правилами IP-сети для учетных записей хранения с помощью портал Azure, PowerShell или Azure CLI версии 2.

Портал

1. Перейдите в учетную запись хранения, которую вы хотите защитить.

2. Выберите Сети.

3. Убедитесь, что вы решили разрешить доступ из выбранных сетей.

4. Чтобы предоставить доступ к диапазону IP-адресов в Интернете, введите IP-адрес или диапазон адресов (в формате CIDR) в разделе Брандмауэр>Диапазон адресов.

5. Чтобы удалить правило IP-сети, щелкните значок удаления ( ) рядом с диапазоном адресов.

6. Нажмите кнопку Сохранить, чтобы применить изменения.

PowerShell

1. Установите Azure PowerShell и выполните вход.

2. Список правил IP-сети:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
   

3. Добавьте сетевое правило для отдельного IP-адреса:

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

4. Добавьте сетевое правило для диапазона IP-адресов:

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

5. Удалите сетевое правило для отдельного IP-адреса:

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

6. Удалите сетевое правило для диапазона IP-адресов:

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

Azure CLI

1. Установите Azure CLI и выполните вход.

2. Список правил IP-сети:

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
   

3. Добавьте сетевое правило для отдельного IP-адреса:

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

4. Добавьте сетевое правило для диапазона IP-адресов:

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

5. Удалите сетевое правило для отдельного IP-адреса:

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

6. Удалите сетевое правило для диапазона IP-адресов:

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

Предоставление доступа из экземпляров ресурсов Azure

В некоторых случаях приложение может зависеть от ресурсов Azure, которые не могут быть изолированы через виртуальную сеть или правило IP-адреса. Но вы по-прежнему хотите защитить и ограничить доступ учетной записи хранения только к ресурсам Azure приложения. Вы можете настроить учетные записи хранения, чтобы разрешить доступ к определенным экземплярам ресурсов доверенных служб Azure, создав правило экземпляра ресурса.

Назначения ролей Azure экземпляра ресурса определяют типы операций, которые экземпляр ресурса может выполнять в данных учетной записи хранения. Экземпляры ресурсов должны находиться в том же клиенте, что и учетная запись хранения, но они могут принадлежать любой подписке в клиенте.

Портал

В портал Azure можно добавить или удалить правила сети ресурсов:

1. Войдите на портал Azure.

2. Найдите учетную запись хранения и отобразите общие сведения о ней.

3. Выберите Сети.

4. В разделе "Брандмауэры и виртуальные сети" для выбранных сетей выберите параметр, чтобы разрешить доступ.

5. Прокрутите вниз, чтобы найти экземпляры ресурсов. В раскрывающемся списке "Тип ресурса" выберите тип ресурса экземпляра ресурса.

6. В раскрывающемся списке имени экземпляра выберите экземпляр ресурса. Вы также можете выбрать включение всех экземпляров ресурсов в активный клиент, подписку или группу ресурсов.

7. Нажмите кнопку Сохранить, чтобы применить изменения. Экземпляр ресурса отображается в разделе "Экземпляры ресурсов" страницы параметров сети.

Чтобы удалить экземпляр ресурса, щелкните значок удаления () рядом с экземпляром ресурса.

PowerShell

Для добавления или удаления сетевых правил ресурсов можно использовать команды PowerShell.

Предоставление доступа

Добавьте сетевое правило, которое предоставляет доступ из экземпляра ресурса:

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Укажите несколько экземпляров ресурсов одновременно, изменив набор правил сети:

$resourceId1 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$resourceId2 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/mySQLServer"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule (@{ResourceId=$resourceId1;TenantId=$tenantId},@{ResourceId=$resourceId2;TenantId=$tenantId}) 

Отмена доступа

Удалите сетевое правило, которое предоставляет доступ из экземпляра ресурса:

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Remove-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId  

Удалите все сетевые правила, предоставляющие доступ из экземпляров ресурсов:

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule @()  

Просмотр списка разрешенных экземпляров ресурсов

Просмотрите полный список экземпляров ресурсов, имеющих доступ к учетной записи хранения:

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

$rule = Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName
$rule.ResourceAccessRules 

Azure CLI

Для добавления или удаления сетевых правил ресурсов можно использовать команды Azure CLI.

Предоставление доступа

Добавьте сетевое правило, которое предоставляет доступ из экземпляра ресурса:

az storage account network-rule add \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Отмена доступа

Удалите сетевое правило, которое предоставляет доступ из экземпляра ресурса:

az storage account network-rule remove \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Просмотр списка разрешенных экземпляров ресурсов

Просмотрите полный список экземпляров ресурсов, имеющих доступ к учетной записи хранения:

az storage account network-rule list \
    -g myResourceGroup \
    --account-name mystorageaccount

Предоставить доступ к доверенным службам Azure

Некоторые службы Azure работают из сетей, которые нельзя включить в правила сети. Вы можете предоставить подмножеству таких доверенных служб Azure доступ к учетной записи хранения, поддерживая сетевые правила для других приложений. Эти доверенные службы будут использовать надежную проверку подлинности для подключения к учетной записи хранения.

Вы можете предоставить доступ доверенным службам Azure, создав исключение сетевого правила. В разделе "Управление исключениями" этой статьи приведены пошаговые инструкции .

Доверенный доступ для ресурсов, зарегистрированных в вашей подписке

Ресурсы некоторых служб, зарегистрированных в вашей подписке, могут получить доступ к учетной записи хранения в той же подписке для выбранных операций, таких как запись журналов или выполнение резервных копий. В следующей таблице описаны каждая служба и разрешенные операции.

Service	Имя поставщика ресурсов	Разрешенные операции
Azure Backup	Microsoft.RecoveryServices	Запуск резервных копий и восстановление неуправляемых дисков в инфраструктуре как услуга (IaaS) виртуальных машин (не требуется для управляемых дисков). Подробнее.
Azure Data Box	Microsoft.DataBox	Импортируйте данные в Azure. Подробнее.
Azure DevTest Labs	Microsoft.DevTestLab	Создайте пользовательские образы и установите артефакты. Подробнее.
Сетку событий Azure	Microsoft.EventGrid	Включите публикацию событий Хранилище BLOB-объектов Azure и разрешить публикацию в очередях хранилища.
Центры событий Azure	Microsoft.EventHub	Архивируйте данные с помощью записи центров событий. Подробнее здесь.
Служба синхронизации файлов Azure	Microsoft.StorageSync	Преобразуйте локальный файловый сервер в кэш для общих папок Azure. Эта возможность позволяет выполнять синхронизацию нескольких сайтов, быстрое аварийное восстановление и облачное резервное копирование. Подробнее.
Azure HDInsight	Microsoft.HDInsight	Подготавливает начальное содержимое файловой системы по умолчанию для нового кластера HDInsight. Подробнее.
Импорт и экспорт Microsoft Azure	Microsoft.ImportExport	Импортируйте данные в служба хранилища Azure или экспортируйте данные из служба хранилища Azure. Подробнее.
Azure Monitor	Microsoft.Insights	Запись данных мониторинга в безопасную учетную запись хранения, включая журналы ресурсов, журналы входа и аудита Microsoft Entra и журналы Microsoft Intune. Подробнее.
Сетевые службы Azure	Microsoft.Network	Храните и анализируйте журналы сетевого трафика, включая Наблюдатель за сетями Azure и службы Диспетчер трафика Azure. Подробнее.
Azure Site Recovery	Microsoft.SiteRecovery	Включите реплика tion для аварийного восстановления виртуальных машин IaaS Azure при использовании кэша, источника или целевых учетных записей хранения с поддержкой брандмауэра. Подробнее.

Доверенный доступ на основе управляемого удостоверения

В следующей таблице перечислены службы, которые могут получить доступ к данным учетной записи хранения, если экземпляры ресурсов этих служб имеют соответствующее разрешение.

Service	Имя поставщика ресурсов	Характер использования
Azure FarmBeats	Microsoft.AgFoodPlatform/farmBeats	Обеспечивает доступ к учетным записям хранения.
Управление API Azure	Microsoft.ApiManagement/service	Обеспечивает доступ к учетным записям хранения за брандмауэрами с помощью политик. Подробнее.
Автономные системы Майкрософт	Microsoft.AutonomousSystems/workspaces	Обеспечивает доступ к учетным записям хранения.
Кэш Azure для Redis	Microsoft.Cache/Redis	Обеспечивает доступ к учетным записям хранения. Подробнее.
Поиск с использованием ИИ Azure	Microsoft.Search/searchServices	Обеспечивает доступ к учетным записям хранения для индексирования, обработки и запроса.
Службы ИИ Azure	Microsoft.CognitiveService/accounts	Обеспечивает доступ к учетным записям хранения. Подробнее.
Реестр контейнеров Azure	Microsoft.ContainerRegistry/registries	С помощью набора задач ACR предоставляет доступ к учетным записям хранения при создании образов контейнеров.
Управление затратами Microsoft	Microsoft.CostManagementExports	Включает экспорт в учетные записи хранения за брандмауэром. Подробнее.
Azure Databricks	Microsoft.Databricks/accessConnectors	Обеспечивает доступ к учетным записям хранения.
Azure Data Factory	Microsoft.DataFactory/factories	Обеспечивает доступ к учетным записям хранения через среду выполнения Фабрики данных.
Хранилище службы Azure Backup	Microsoft.DataProtection/BackupVaults	Обеспечивает доступ к учетным записям хранения.
Azure Data Share	Microsoft.DataShare/accounts	Обеспечивает доступ к учетным записям хранения.
База данных Azure для PostgreSQL	Microsoft.DBForPostgreSQL	Обеспечивает доступ к учетным записям хранения.
Центр Интернета вещей Azure	Microsoft.Devices/IotHubs	Позволяет записывать данные из Центра Интернета вещей в служба хранилища BLOB-объектов. Подробнее.
Azure DevTest Labs	Microsoft.DevTestLab/labs	Обеспечивает доступ к учетным записям хранения.
Сетку событий Azure	Microsoft.EventGrid/domains	Обеспечивает доступ к учетным записям хранения.
Сетку событий Azure	Microsoft.EventGrid/partnerTopics	Обеспечивает доступ к учетным записям хранения.
Сетку событий Azure	Microsoft.EventGrid/systemTopics	Обеспечивает доступ к учетным записям хранения.
Сетку событий Azure	Microsoft.EventGrid/topics	Обеспечивает доступ к учетным записям хранения.
Microsoft Fabric	Microsoft.Fabric	Обеспечивает доступ к учетным записям хранения.
API Azure для здравоохранения	Microsoft.HealthcareApis/services	Обеспечивает доступ к учетным записям хранения.
API Azure для здравоохранения	Microsoft.HealthcareApis/workspaces	Обеспечивает доступ к учетным записям хранения.
Azure IoT Central	Microsoft.IoTCentral/IoTApps	Обеспечивает доступ к учетным записям хранения.
Управляемый модуль HSM в Azure Key Vault	Microsoft.keyvault/managedHSMs	Обеспечивает доступ к учетным записям хранения.
Приложения логики Azure	Microsoft.Logic/integrationAccounts	Позволяет приложениям логики получать доступ к учетным записям хранения. Подробнее.
Приложения логики Azure	Microsoft.Logic/workflows	Позволяет приложениям логики получать доступ к учетным записям хранения. Подробнее.
Студия машинного обучения Azure	Microsoft.MachineLearning/registries	Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы в служба хранилища BLOB-объектов и считывать данные. Подробнее.
Машинное обучение Azure	Microsoft.MachineLearningServices	Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы в служба хранилища BLOB-объектов и считывать данные. Подробнее.
Машинное обучение Azure	Microsoft.MachineLearningServices/workspaces	Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы в служба хранилища BLOB-объектов и считывать данные. Подробнее.
Службы мультимедиа Azure	Microsoft.Media/mediaservices	Обеспечивает доступ к учетным записям хранения.
Служба "Миграция Azure"	Microsoft.Migrate/migrateprojects	Обеспечивает доступ к учетным записям хранения.
Пространственные привязки Azure.	Microsoft.MixedReality/remoteRenderingAccounts	Обеспечивает доступ к учетным записям хранения.
Azure ExpressRoute	Microsoft.Network/expressRoutePorts	Обеспечивает доступ к учетным записям хранения.
Microsoft Power Platform	Microsoft.PowerPlatform/enterprisePolicies	Обеспечивает доступ к учетным записям хранения.
Microsoft Project Arcadia	Microsoft.ProjectArcadia/workspaces	Обеспечивает доступ к учетным записям хранения.
Каталог данных Azure	Microsoft.ProjectBabylon/accounts	Обеспечивает доступ к учетным записям хранения.
Microsoft Purview	Microsoft.Purview/accounts	Обеспечивает доступ к учетным записям хранения.
Azure Site Recovery	Microsoft.RecoveryServices/vaults	Обеспечивает доступ к учетным записям хранения.
Центр безопасности	Microsoft.Security/dataScanners	Обеспечивает доступ к учетным записям хранения.
Сингулярность	Microsoft.Singularity/accounts	Обеспечивает доступ к учетным записям хранения.
База данных SQL Azure	Microsoft.Sql	Позволяет записывать данные аудита в учетные записи хранения за брандмауэром.
Серверы SQL Azure	Microsoft.Sql/servers	Позволяет записывать данные аудита в учетные записи хранения за брандмауэром.
Azure Synapse Analytics	Microsoft.Sql	Позволяет импортировать и экспортировать данные из определенных баз данных SQL с помощью COPY инструкции или PolyBase (в выделенном пуле) или openrowset функции и внешних таблиц в бессерверном пуле. Подробнее.
Azure Stream Analytics	Microsoft.StreamAnalytics	Позволяет записывать данные из задания потоковой передачи в служба хранилища BLOB-объектов. Подробнее.
Azure Stream Analytics	Microsoft.StreamAnalytics/streamingjobs	Позволяет записывать данные из задания потоковой передачи в служба хранилища BLOB-объектов. Подробнее.
Azure Synapse Analytics	Microsoft.Synapse/workspaces	Обеспечивает доступ к данным в служба хранилища Azure.
Видеоанализатор Azure для медиа	Microsoft.VideoIndexer/Accounts	Обеспечивает доступ к учетным записям хранения.

Если у вашей учетной записи нет функции иерархического пространства имен, вы можете предоставить разрешение, явно назначив роль Azure управляемому удостоверению для каждого экземпляра ресурса. В этом случае область доступа для экземпляра соответствует роли Azure, назначенной управляемому удостоверению.

Вы можете использовать тот же метод для учетной записи, в которой включена функция иерархического пространства имен. Однако вам не нужно назначать роль Azure, если вы добавите управляемое удостоверение в список управления доступом (ACL) любого каталога или большого двоичного объекта, содержащего учетную запись хранения. В этом случае область доступа для экземпляра соответствует каталогу или файлу, к которому имеет доступ управляемое удостоверение.

Вы также можете объединить роли Azure и списки управления доступом для предоставления доступа. Чтобы узнать больше, ознакомьтесь с разделом Модель управления доступом в Azure Data Lake Storage 2-го поколения.

Рекомендуется использовать правила экземпляра ресурсов для предоставления доступа к определенным ресурсам.

Управление исключениями

В некоторых случаях, например аналитика хранилища, требуется доступ к журналам ресурсов и метрикам за пределами сетевой границы. При настройке доверенных служб для доступа к учетной записи хранения можно разрешить доступ на чтение для файлов журналов, таблиц метрик или обоих, создав исключение правила сети. Исключения правил сети можно управлять с помощью портал Azure, PowerShell или Azure CLI версии 2.

Дополнительные сведения о работе с аналитикой хранилища см. в статье Использование аналитики службы хранилища Azure для сбора данных журналов и метрик.

Портал

1. Перейдите в учетную запись хранения, которую вы хотите защитить.

2. Выберите Сети.

3. Убедитесь, что вы решили разрешить доступ из выбранных сетей.

4. В разделе "Исключения" выберите исключения, которые требуется предоставить.

5. Нажмите кнопку Сохранить, чтобы применить изменения.

PowerShell

1. Установите Azure PowerShell и выполните вход.

2. Отображение исключений для сетевых правил учетной записи хранения:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
   

3. Настройте исключения для сетевых правил учетной записи хранения:

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
   

4. Удалите исключения из сетевых правил учетной записи хранения:

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
   

Azure CLI

1. Установите Azure CLI и выполните вход.

2. Отображение исключений для сетевых правил учетной записи хранения:

   az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
   

3. Настройте исключения для сетевых правил учетной записи хранения:

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
   

4. Удалите исключения из сетевых правил учетной записи хранения:

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
   

Следующие шаги

Дополнительные сведения о конечных точках службы сети Azure. Углубиться в служба хранилища Azure безопасности.