Настройка брандмауэров службы хранилища Azure и виртуальных сетей

Служба хранилища Azure предоставляет многоуровневую модель безопасности. Эта модель позволяет защищать ваши учетные записи хранения и контролировать уровень доступа к ним, который требуется приложениям и корпоративным средам, в зависимости от типа и подмножества используемых сетей или ресурсов. После настройки сетевых правил доступ к учетной записи хранения могут получать только приложения, запрашивающие данные через этот определенный набор сетей или ресурсов Azure. Вы можете разрешать доступ к учетной записи хранения только для запросов, исходящих из указанных IP-адресов, диапазонов IP-адресов или подсетей в виртуальной сети Azure, а также экземпляров ресурсов некоторых служб Azure.

Учетные записи хранения имеют общедоступную конечную точку, доступную через Интернет. Вы также можете создать частные конечные точки для учетной записи хранения, которые назначают учетной записи хранения частный IP-адрес из вашей виртуальной сети, а также защищают весь трафик между виртуальной сетью и учетной записью хранения с помощью приватного канала. Брандмауэр службы хранилища Azure предоставляет контроль доступа для общедоступной конечной точки вашей учетной записи хранения. Вы также можете использовать брандмауэр, чтобы блокировать доступ через общедоступную конечную точку при использовании частных конечных точек. Конфигурация брандмауэра службы хранилища также позволяет выбрать доверенные службы платформы Azure для безопасного доступа к учетной записи хранения.

При этом приложению, которое обращается к учетной записи хранения, когда действуют сетевые правила, по-прежнему необходима надлежащая авторизация для выполнения запроса. Авторизация обеспечивается учетными данными Azure Active Directory для больших двоичных объектов и очередей, действительным ключом доступа к учетной записи или маркером SAS. Если для контейнера больших двоичных объектов настроен анонимный доступ, запросы на чтение данных в этом контейнере не потребуют авторизации, но правила брандмауэра остаются в силе и блокируют анонимный трафик.

Важно!

Включение правил брандмауэра для учетной записи хранения по умолчанию блокирует входящие запросы данных, за исключением запросов от служб, работающих внутри виртуальной сети Azure (VNet), или запросов, поступающих из разрешенных общедоступных IP-адресов. Запросы от других служб Azure, в том числе портала Azure, служб метрики и ведения журналов, блокируются.

Вы можете предоставить доступ службам Azure, работающим в рамках виртуальной сети, разрешая трафик из подсети, в которой размещен экземпляр службы. Вы также можете разрешать ограниченное количество сценариев с помощью механизма исключений, который описывается ниже. Доступ к данным учетной записи хранения через портал Azure возможен только с компьютера, находящегося в пределах настроенной доверенной границы (на основе протокола IP или VNet).

Примечание

Для взаимодействия с Azure рекомендуется использовать модуль Azure Az PowerShell. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Сценарии

Чтобы защитить учетную запись хранения, необходимо сначала настроить правило, по умолчанию запрещающее доступ к трафику из всех сетей (включая интернет-трафик) в общедоступной конечной точке. Затем следует настроить правила, предоставляющие доступ к трафику из определенных виртуальных сетей. Вы также можете настроить правила, разрешающие доступ трафику из определенных диапазонов общедоступных IP-адресов в Интернете, позволяя устанавливать подключения из конкретных локальных или интернет-клиентов. Такая конфигурация позволяет создать для приложений границу в виде безопасной сети.

Вы можете сочетать правила брандмауэра, разрешающие доступ из конкретных виртуальных сетей, и правила, разрешающие доступ из диапазонов общедоступных IP-адресов, в одной и той же учетной записи хранения. Правила брандмауэра службы хранилища могут применяться к существующим учетным записям хранения, а также во время создания учетных записей хранения.

Правила брандмауэра службы хранилища применяются к общедоступной конечной точке учетной записи хранения. Вам не нужно задавать никакие правила доступа брандмауэра, чтобы разрешить трафик для частных конечных точек учетной записи хранения. Процесс утверждения создания частной конечной точки предоставляет неявный доступ к трафику из подсети, в которой размещается эта частная конечная точка.

В службе хранилища Azure сетевые правила применяются ко всем сетевым протоколам, включая REST и SMB. Для доступа к данным с помощью таких инструментов, как портал Azure, Обозреватель службы хранилища и AzCopy, необходимо настроить явные правила сети.

Как только правила сети применены, они распространяются на все запросы. Токены SAS, позволяющие получить доступ к конкретному IP-адресу, служат для ограничения доступа владельца токена, а не предоставляют доступ к каким-либо новым ресурсам, не указанным в настроенных сетевых правилах.

Правила сети не влияют на трафик дисков виртуальных машин (включая операции подключения и отключения, а также дисковые операции ввода-вывода). Сетевые правила обеспечивают безопасность во время доступа REST к страничным BLOB-объектам.

Классические учетные записи хранения не поддерживают брандмауэры и виртуальные сети.

Чтобы использовать неуправляемые диски в учетных записях хранения с действующими правилами сети относительно резервного копирования и восстановления виртуальных машин, необходимо создать исключение. Эта процедура описана в разделе Управление исключениями данной статьи. Исключения брандмауэра не применяются к управляемым дискам, так как ими уже управляет Azure.

Изменение сетевого правила доступа по умолчанию

По умолчанию учетные записи хранения принимают запросы на подключение от клиентов в сети. Вы можете ограничить доступ к выбранным сетям или запретить трафик из всех сетей и разрешить доступ только через частную конечную точку.

Предупреждение

Изменение этого параметра может повлиять на возможность подключения приложения к службе хранилища Azure. Перед изменением этого параметра обязательно предоставьте доступ ко всем разрешенным сетям или настройте доступ через частную конечную точку.

  1. Перейдите к учетной записи хранения, которую нужно защитить.

  2. Найдите параметры Сеть в разделе Безопасность и сеть.

  3. Выберите тип доступа к общедоступной сети, который вы хотите разрешить.

    • Чтобы разрешить трафик изо всех сетей, выберите Включено из всех сетей.

    • Чтобы разрешить трафик только из определенных виртуальных сетей, выберите Включено из выбранных виртуальных сетей и IP-адресов.

    • Чтобы заблокировать трафик из всех сетей, выберите Отключено.

  4. Выберите Сохранить, чтобы применить изменения.

Предоставление доступа из виртуальной сети

Вы можете настроить учетные записи хранения таким образом, чтобы они разрешали доступ только из определенных подсетей. Разрешенные подсети могут относиться к виртуальной сети как в той же, так и в другой подписке, включая подписки, принадлежащие другому клиенту Azure Active Directory.

Вы можете включить конечную точку службы для службы хранилища Azure, входящей в нужную виртуальную сеть. Конечная точка службы направляет трафик из виртуальной сети в службу хранилища Azure по оптимальному пути. В каждом запросе также передаются удостоверения подсети и виртуальной сети. Затем администраторы могут настроить сетевые правила для учетной записи хранения, разрешающие получение запросов из определенных подсетей в виртуальной сети. Клиенты, которым предоставлен доступ по этим сетевым правилам, по прежнему должны выполнять требования авторизации учетной записи хранения, чтобы получать доступ к данным.

Каждая учетная запись хранения поддерживает до 200 правил виртуальной сети, которые можно объединить с правилами IP-сети.

Важно!

При удалении подсети, включенной в правило сети, она будет удалена из сетевых правил для учетной записи хранения. При создании новой подсети с тем же именем она не будет иметь доступа к учетной записи хранения. Чтобы разрешить ей доступ, необходимо явно авторизовать новую подсеть в правилах сети для учетной записи хранения.

Необходимые разрешения

Чтобы применить правило виртуальной сети к учетной записи хранения, у пользователя должны быть соответствующие разрешения для добавляемых подсетей. Применить правило может участник учетной записи хранения или пользователь, которому было предоставлено разрешение на операцию поставщика ресурсов AzureMicrosoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action с помощью настраиваемой роли Azure.

Учетная запись хранения и виртуальные сети, которым предоставлен доступ, могут находиться в разных подписках, включая подписки, являющиеся частью другого клиента Azure AD.

Примечание

Настройка правил, предоставляющих доступ к подсетям в виртуальных сетях, которые являются частью другого клиента Azure Active Directory, в настоящее время поддерживаются только с помощью PowerShell, интерфейса командной строки и интерфейсов REST API. Такие правила нельзя настроить с помощью портала Azure, хотя на портале их можно просматривать.

Доступные регионы виртуальной сети

По умолчанию конечные точки служб работают между виртуальными сетями и экземплярами служб в одном регионе Azure. Конечные точки служб, используемые со службой хранилища Azure, тоже работают между виртуальными сетями и экземплярами служб в парном регионе. Если вы хотите с помощью конечной точки службы предоставить доступ к виртуальным сетям в других регионах, необходимо зарегистрировать функцию AllowGlobalTagsForStorage в подписке виртуальной сети. Эта функция сейчас предоставляется в режиме общедоступной предварительной версии.

Конечные точки служб обеспечивают непрерывность работы при отработке регионального отказа, а также доступ на чтение к экземплярам геоизбыточного хранилища (RA-GRS). Правила сети, предоставляющие доступ к учетной записи хранения из виртуальной сети, также предоставляют доступ к любому экземпляру RA-GRS.

Планируя аварийное восстановление на случай регионального сбоя, следует заранее создать виртуальные сети в связанном регионе. Включите конечные точки для службы хранилища Azure с применением сетевых правил, разрешающих доступ из этих альтернативных виртуальных сетей. Затем примените эти правила к учетным записям своего геоизбыточного хранилища.

Включение доступа к виртуальным сетям других регионов (предварительная версия)

Важно!

Сейчас эта функция доступна в виде ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ.

Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Чтобы включить доступ из виртуальной сети, расположенной в другом регионе, через конечные точки службы, зарегистрируйте функцию AllowGlobalTagsForStorage в подписке виртуальной сети. Все подсети в подписке с включенной функцией AllowedGlobalTagsForStorage больше не будут использовать общедоступный IP-адрес для связи с любой учетной записью хранения. Вместо этого весь трафик из этих подсетей в учетные записи хранения будет использовать частный IP-адрес в качестве исходного IP-адреса. В результате все учетные записи хранения, использующие правила IP-сети для разрешения трафика из этих подсетей, больше не будут оказывать никакого влияния.

Примечание

Чтобы обновить существующие конечные точки службы для доступа к учетной записи хранения в другом регионе, выполните операцию обновления подсети в подсети после регистрации подписки с функцией AllowGlobalTagsForStorage. Аналогичным образом, чтобы вернуться к старой конфигурации, выполните операцию обновления подсети после отмены регистрации подписки с функцией AllowGlobalTagsForStorage.

Для включения этой функции на этапе предварительной версии необходимо использовать PowerShell или Azure CLI.

Управление правилами виртуальной сети

Правилами виртуальной сети для учетных записей хранения можно управлять с помощью портала Azure, PowerShell или CLI версии 2.

Примечание

Если вы зарегистрировали функцию AllowGlobalTagsForStorage и хотите включить доступ к своей учетной записи хранения из виртуальной сети или подсети в другом клиенте Azure AD или в регионе, который не является регионом учетной записи хранения или его парным регионом, необходимо использовать PowerShell или Azure CLI. На портале Azure не отображаются подсети других клиентов или регионов Azure AD (если это не регион учетной записи хранения или его парный регион), поэтому на нем нельзя настроить правила доступа к виртуальным сетям других регионов.

  1. Перейдите к учетной записи хранения, которую нужно защитить.

  2. В меню параметров выберите пункт Сети.

  3. Убедитесь, что вы разрешили доступ в разделе Выбранные сети.

  4. Чтобы предоставить доступ виртуальной сети с новым сетевым правилом, в разделе Виртуальные сети выберите команду Добавить существующую виртуальную сеть, укажите параметры для пунктов Виртуальные сети и Подсети, а затем нажмите Добавить. Чтобы создать виртуальную сеть и предоставить ей доступ, выберите команду Добавить новую виртуальную сеть. Укажите сведения, необходимые для создания виртуальной сети, а затем нажмите Создать.

    Примечание

    Если конечная точка службы для службы хранилища Azure еще не настроена для выбранной виртуальной сети и подсетей, ее можно настроить в ходе этой операции.

    В настоящее время при создании правила можно выбирать только из виртуальных сетей, принадлежащих одному и тому же клиенту Azure Active Directory. Чтобы предоставить доступ к подсети в виртуальной сети, принадлежащей другому клиенту, используйте PowerShell, интерфейс командной строки или интерфейсы REST API.

    Даже если вы зарегистрировали функцию AllowGlobalTagsForStorageOnly, вы не сможете выбрать подсеть в регионе, который не является регионом учетной записи хранения или парным ему регионом, так как он не будет отображаться. Если вы хотите включить доступ к учетной записи хранения из виртуальной сети или подсети в другом регионе, воспользуйтесь инструкциями на вкладках PowerShell или Azure CLI.

  5. Если нужно удалить правила виртуальной сети или подсети, щелкните ... , чтобы открыть контекстное меню для виртуальной сети или подсети, и выберите пункт Удалить.

  6. Щелкните Сохранить, чтобы применить изменения.

Предоставление доступа из диапазона IP-адресов в Интернете

Сетевые правила для IP-адресов можно использовать для предоставления доступа с конкретных общедоступных диапазонов IP-адресов в Интернете. Каждая учетная запись хранения поддерживает до 200 правил. Эти правила позволяют предоставить доступ конкретным интернет-службам и локальным сетям, заблокировав при этом общий интернет-трафик.

К диапазонам IP-адресов применяются следующие ограничения.

  • Сетевые правила для IP-адресов можно применять только для общедоступных IP-адресов в Интернете.

    Диапазоны IP-адресов, зарезервированные для частных сетей (как определено в документе RFC 1918), запрещено использовать в правилах IP. К частным сетям относятся адреса, начинающиеся с 10.**, 172.16.–*172.31. и *192.168..

  • Предоставьте разрешенные диапазоны адресов в Интернете, используя нотацию CIDR в формате 16.17.18.0/24 или в виде отдельных IP-адресов, таких как 16.17.18.19.

  • Небольшие адреса, использующие размеры с префиксом /31 или /32, не поддерживаются. Эти диапазоны следует настраивать с помощью отдельных правил для IP-адресов.

  • Для настройки правил брандмауэра службы хранилища поддерживаются только IPv4-адреса.

Сетевые правила IP-адресов нельзя использовать в следующих случаях:

  • Чтобы ограничить доступ клиентам в том же регионе Azure, что и учетная запись хранения.

    Правила IP-сети не затрагивают запросы, исходящие из того же региона Azure, к которому относится учетная запись хранения. Используйте правила виртуальной сети для разрешения запросов из того же региона.

  • Чтобы ограничить доступ клиентам в парном регионе, который находится в виртуальной сети с конечной точкой службы.

  • Чтобы ограничить доступ службам Azure, развернутым в том же регионе, что и учетная запись хранения.

    Службы, развернутые в том же регионе, что и учетная запись хранения, используют для обмена данными частные IP-адреса Azure. Таким образом, нельзя ограничить доступ к определенным службам Azure на основе их диапазона общедоступных исходящих IP-адресов.

Настройка доступа из локальных сетей

Чтобы предоставить доступ из вашей локальной сети к учетной записи хранения в правиле IP-сети, необходимо определить IP-адреса для Интернета, которые используются в вашей сети. За помощью обращайтесь к администратору сети.

Если вы используете ExpressRoute для локальной среды, для общедоступного пиринга или пиринга Майкрософт, то вам необходимо определить используемые IP-адреса NAT. Для общедоступного пиринга в каждом канале ExpressRoute по умолчанию используется два IP-адреса NAT для трафика служб Azure, когда он входит в основную магистральную сеть Microsoft Azure. Для пиринга Майкрософт используются IP-адреса NAT, предоставленные либо клиентом, либо поставщиком услуг. Чтобы разрешить доступ к ресурсам служб, необходимо разрешить эти общедоступные IP-адреса в настройках брандмауэра IP-адресов ресурсов. Чтобы найти IP-адреса канала ExpressRoute для общедоступного пиринга, отправьте запрос по ExpressRoute в службу поддержки через портал Azure. Узнайте больше о NAT для общедоступного пиринга и пиринга Майкрософт.

Управление правилами IP-сети

Правилами IP-сети для учетных записей хранения можно управлять с помощью портала Azure, PowerShell или CLI версии 2.

  1. Перейдите к учетной записи хранения, которую нужно защитить.

  2. В меню параметров выберите пункт Сети.

  3. Убедитесь, что вы разрешили доступ в разделе Выбранные сети.

  4. Чтобы предоставить доступ к диапазону IP-адресов в Интернете, введите IP-адрес или диапазон адресов (в формате CIDR) в разделе Брандмауэр>Диапазон адресов.

  5. Чтобы удалить сетевое правило IP-адресов, щелкните значок корзины рядом с диапазоном адресов.

  6. Выберите Сохранить, чтобы применить изменения.

Предоставление доступа из экземпляров ресурсов Azure

В некоторых случаях приложение может зависеть от ресурсов Azure, которые не могут быть изолированы с помощью виртуальной сети или правила IP-адресов. При этом по-прежнему следует защищать доступ к учетной записи хранения и предоставлять его только ресурсам Azure вашего приложения. Вы можете настроить учетные записи хранения, чтобы разрешить доступ к определенным экземплярам ресурсов некоторых служб Azure, создав правило экземпляра ресурса.

Типы операций, которые может выполнять экземпляр ресурса с данными учетной записи хранения, определяются назначениями ролей Azure экземпляра ресурса. Экземпляры ресурсов должны находиться в том же клиенте, что и учетная запись хранения, но они могут принадлежать любой подписке в клиенте.

Вы можете добавить или удалить сетевые правила для ресурсов на портале Azure.

  1. Чтобы начать, войдите на портал Azure.

  2. Найдите учетную запись хранения и отобразите общие сведения о ней.

  3. Выберите Сети, чтобы отобразить страницу конфигурации сети.

  4. В области Брандмауэры и виртуальные сети выберите “Разрешить доступ” для выбранных сетей.

  5. Найдите Экземпляры ресурсов и выберите тип, соответствующий вашему экземпляру ресурса, в разделе Тип ресурса.

  6. В раскрывающемся списке Имя экземпляра выберите экземпляр ресурса. Вы также можете выбрать включение всех экземпляров ресурсов в активный клиент, подписку или группу ресурсов.

  7. Выберите Сохранить, чтобы применить изменения. Экземпляр ресурса отображается в разделе Экземпляры ресурсов на странице параметров сети.

Чтобы удалить экземпляр ресурса, щелкните значок удаления () рядом с экземпляром ресурса.

Предоставление доступа к доверенным службам Azure

Некоторые службы Azure работают с сетями, которые нельзя включить в сетевые правила. Вы можете предоставить подмножеству таких доверенных служб Azure доступ к учетной записи хранения, поддерживая сетевые правила для других приложений. Эти доверенные службы будут затем использовать строгую проверку подлинности для безопасного подключения к вашей учетной записи хранения.

Вы можете предоставить доступ доверенным службам Azure, создав исключение сетевого правила. Пошаговые инструкции см. в разделе Управление исключениями в этой статье.

При предоставлении доступа к доверенным службам Azure вы предоставляете следующие типы доступа:

  • Доверенный доступ для некоторых операций к ресурсам, зарегистрированным в вашей подписке.
  • Доверенный доступ к ресурсам на основе управляемого удостоверения.

Доверенный доступ для ресурсов, зарегистрированных в вашей подписке

Ресурсы некоторых служб при регистрации в вашей подписке могут получить доступ к вашей учетной записи хранения в той же подписке для выполнения некоторых операций, например для записи в журналы или резервного копирования. В следующей таблице описаны все службы и разрешенные операции.

Служба Имя поставщика ресурсов Разрешенные операции
Azure Backup Microsoft.RecoveryServices Резервное копирование и восстановление неуправляемых дисков в виртуальных машинах IAAS. (Не требуется для управляемых дисков.) Подробнее.
Azure Data Box Microsoft.DataBox Позволяет импортировать данные в Azure с помощью Data Box. Подробнее.
Azure DevTest Labs Microsoft.DevTestLab Создание пользовательских образов и установка артефактов. Подробнее.
Сетка событий Azure Microsoft.EventGrid Включение публикации событий в хранилище BLOB-объектов и предоставление службе "Сетка событий" разрешения на публикацию в хранилище очередей. См. дополнительные сведения о событиях хранилища BLOB-объектов и публикации в хранилище очередей.
Центры событий Azure Microsoft.EventHub Архивация данных с помощью функции "Сбор" в Центрах событий. Подробнее
Служба синхронизации файлов Azure Microsoft.StorageSync Позволяет преобразовать локальный файловый сервер в кэш для общих папок Azure. Таким образом создается возможность многосайтовой синхронизации, быстрого аварийного восстановления и резервного копирования на стороне облака. Дополнительные сведения
Azure HDInsight Microsoft.HDInsight Подготавливает начальное содержимое файловой системы по умолчанию для нового кластера HDInsight. Подробнее.
Импорт и экспорт Azure Microsoft.ImportExport Разрешает импорт данных в службу хранилища Azure и экспорт данных из службы хранилища Azure с помощью службы импорта и экспорта для службы хранилища Azure. Подробнее.
Azure Monitor Microsoft.Insights Позволяет записывать в защищенную учетную запись хранения данные мониторинга, в том числе журналы ресурсов, журналы входа и аудита Azure Active Directory, а также журналы Microsoft Intune. Подробнее.
Сеть Azure Microsoft.Network. Хранение и анализ журналов сетевого трафика, в том числе с помощью Наблюдателя за сетями и служб Аналитики трафика. Подробнее.
Azure Site Recovery Microsoft.SiteRecovery Включение репликации для аварийного восстановления виртуальных машин IaaS Azure при использовании кэша, источника или целевых учетных записей хранения с поддержкой брандмауэра. Подробнее.

Доверенный доступ на основе управляемого удостоверения

В следующей таблице перечислены службы, которые могут иметь доступ к данным учетной записи хранения, если экземплярам ресурсов этих служб предоставлено соответствующее разрешение.

Если в вашей учетной записи не включена функция иерархического пространства имен, то вы можете предоставить разрешение, явно назначив роль Azure управляемому удостоверению для каждого экземпляра ресурса. В таком случае область доступа для этого экземпляра соответствует роли Azure, назначенной управляемому удостоверению.

Ту же методику можно использовать для учетной записи, которая включает в себя функцию иерархического пространства имен. Однако вам не нужно назначать роль Azure, если вы добавите управляемое удостоверение в список управления доступом (ACL) любого каталога или большого двоичного объекта, содержащегося в учетной записи хранения. В этом случае область доступа для экземпляра будет соответствовать каталогу или файлу, к которому предоставлен доступ для управляемого удостоверения. Вы можете также объединить роли Azure и списки управления доступом. Дополнительные сведения о том, как объединить их вместе для предоставления доступа, см. в разделе Модель управления доступом в Azure Data Lake Storage 2-го поколения.

Совет

Рекомендуемый способ предоставления доступа к конкретным ресурсам — использование правил экземпляра ресурса. Сведения о предоставлении доступа к конкретным экземплярам ресурсов см. в разделе Предоставление доступа из экземпляров ресурсов Azure этой статьи.

Служба Имя поставщика ресурсов Назначение
Cлужба управления Azure API Microsoft.ApiManagement/service Включает доступ службы управления API к учетным записям хранения за брандмауэром с помощью политик. Подробнее.
Кэш Redis для Azure Microsoft.Cache/Redis; Разрешает доступ к учетным записям хранения через Кэш Azure для Redis. Подробнее
Когнитивный поиск Azure Microsoft.Search/searchServices Разрешает службам Когнитивного поиска доступ к учетным записям хранения для индексирования, обработки и выполнения запросов.
Azure Cognitive Services Microsoft.CognitiveService/accounts Разрешает Cognitive Services доступ к учетным записям хранения. Подробнее.
Задачи Реестра контейнеров Azure Microsoft.ContainerRegistry/registries Задачи Реестра контейнеров Azure могут получать доступ к учетным записям хранения при создании образов контейнеров.
Фабрика данных Azure Microsoft.DataFactory/factories; Разрешает доступ к учетным записям хранения через среду ADF.
Azure Data Share Microsoft.DataShare/accounts Разрешает доступ к учетным записям хранения через Data Share.
Azure DevTest Labs Microsoft.DevTestLab/labs Разрешает доступ к учетным записям хранения через DevTest Labs.
Сетка событий Azure Microsoft.EventGrid/topics Разрешает доступ к учетным записям хранения через Сетку событий Azure.
API Azure для здравоохранения Microsoft.HealthcareApis/services Разрешает доступ к учетным записям хранения через API Azure для здравоохранения.
Приложения Azure IoT Central Microsoft.IoTCentral/IoTApps. Разрешает доступ к учетным записям хранения через приложения Azure IoT Central.
Центр Интернета вещей Azure Microsoft.Devices/IotHubs Позволяет записывать данные из центра Интернета вещей в хранилище BLOB-объектов. Дополнительные сведения
Azure Logic Apps Microsoft.Logic/workflows Позволяет приложениям логики получать доступ к учетным записям хранения. Подробнее.
Служба "Машинное обучение Azure" Microsoft.MachineLearningServices Авторизованные рабочие области Машинного обучения Azure записывают выходные данные эксперимента, модели и журналы в хранилище BLOB-объектов и читают данные. Подробнее.
Службы мультимедиа Azure Microsoft.Media/mediaservices Разрешает доступ к учетным записям хранения через Службы мультимедиа.
Служба "Миграция Azure" Microsoft.Migrate/migrateprojects Разрешает доступ к учетным записям хранения через Миграцию Azure.
Microsoft Purview Microsoft.Purview/accounts Разрешает Microsoft Purview доступ к учетным записям хранения.
Удаленная отрисовка Azure Microsoft.MixedReality/remoteRenderingAccounts Разрешает доступ к учетным записям хранения через Удаленную отрисовку.
Azure Site Recovery Microsoft.RecoveryServices/vaults Разрешает доступ к учетным записям хранения через Site Recovery.
База данных SQL Azure Microsoft.Sql Позволяет записывать данные аудита в учетные записи хранения за брандмауэром.
Azure Synapse Analytics Microsoft.Sql Позволяет импортировать и экспортировать данные из конкретных баз данных SQL с помощью инструкции COPY или Polybase (в выделенном пуле), а также функции openrowset и внешних таблиц в бессерверном пуле. Подробнее.
Azure Stream Analytics Microsoft.StreamAnalytics Позволяет записывать данные из задания потоковой передачи в хранилище BLOB-объектов. Подробнее.
Azure Synapse Analytics Microsoft.Synapse/workspaces Обеспечивает доступ к данным в службе хранилища Azure из Azure Synapse Analytics.

Предоставляет доступ к аналитике хранилища.

В некоторых случаях для чтения метрик и журналов ресурсов требуется доступ из-за пределов границ сети. При настройке доступа доверенных служб к учетной записи хранения можно разрешить доступ на чтение файлов журнала, таблиц метрик или и того, и другого, с помощью исключения из сетевого правила. Пошаговые инструкции см. в разделе Управление исключениями ниже. Дополнительные сведения о работе с аналитикой хранилища см. в статье Использование аналитики службы хранилища Azure для сбора данных журналов и метрик.

управление исключениями.

Исключениями из правил сети можно управлять с помощью портала Azure, PowerShell или Azure CLI v2.

  1. Перейдите к учетной записи хранения, которую нужно защитить.

  2. В меню параметров выберите пункт Сети.

  3. Убедитесь, что вы разрешили доступ в разделе Выбранные сети.

  4. В разделе Исключения выберите те исключения, которые нужно предоставить.

  5. Выберите Сохранить, чтобы применить изменения.

Дальнейшие действия

Дополнительные сведения о конечных точках службы сети Azure см. в статье Конечные точки службы виртуальной сети.

Более подробную информацию о безопасности службы хранилища Azure см. в статье Руководство по безопасности службы хранилища Azure.