Dela via


Konfigurera brandväggar och virtuella nätverk i Azure Storage

Azure Storage tillhandahåller en säkerhetsmodell i flera lager. Med den här modellen kan du kontrollera åtkomstnivån för dina lagringskonton som dina program och företagsmiljöer kräver, baserat på typ och deluppsättning av nätverk eller resurser som du använder.

När du konfigurerar nätverksregler kan endast program som begär data via den angivna uppsättningen nätverk eller via den angivna uppsättningen Azure-resurser komma åt ett lagringskonto. Du kan begränsa åtkomsten till ditt lagringskonto till begäranden som kommer från angivna IP-adresser, IP-intervall, undernät i ett virtuellt Azure-nätverk eller resursinstanser av vissa Azure-tjänster.

Lagringskonton har en offentlig slutpunkt som är tillgänglig via Internet. Du kan också skapa privata slutpunkter för ditt lagringskonto. När du skapar privata slutpunkter tilldelas lagringskontot en privat IP-adress från ditt virtuella nätverk. Det hjälper till att skydda trafiken mellan ditt virtuella nätverk och lagringskontot via en privat länk.

Azure Storage-brandväggen ger åtkomstkontroll för den offentliga slutpunkten för ditt lagringskonto. Du kan också använda brandväggen för att blockera all åtkomst via den offentliga slutpunkten när du använder privata slutpunkter. Brandväggskonfigurationen gör det också möjligt för betrodda Azure-plattformstjänster att komma åt lagringskontot.

Ett program som har åtkomst till ett lagringskonto när nätverksregler tillämpas kräver fortfarande korrekt auktorisering för begäran. Auktorisering stöds med Microsoft Entra-autentiseringsuppgifter för blobar, tabeller, filresurser och köer, med en giltig kontoåtkomstnyckel eller med en SAS-token (signatur för delad åtkomst). När du konfigurerar en blobcontainer för anonym åtkomst behöver begäranden om att läsa data i containern inte auktoriseras. Brandväggsreglerna gäller fortfarande och blockerar anonym trafik.

Om du aktiverar brandväggsregler för ditt lagringskonto blockeras inkommande begäranden om data som standard, såvida inte begäranden kommer från en tjänst som körs i ett virtuellt Azure-nätverk eller från tillåtna offentliga IP-adresser. Begäranden som blockeras inkluderar sådana från andra Azure-tjänster, från Azure Portal och från loggnings- och måtttjänster.

Du kan bevilja åtkomst till Azure-tjänster som körs inifrån ett virtuellt nätverk genom att tillåta trafik från det undernät som är värd för tjänstinstansen. Du kan också aktivera ett begränsat antal scenarier via undantagsmekanismen som beskrivs i den här artikeln. För att komma åt data från lagringskontot via Azure Portal måste du vara på en dator inom den betrodda gränsen (antingen IP eller virtuellt nätverk) som du har konfigurerat.

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Scenarier

För att skydda ditt lagringskonto bör du först konfigurera en regel för att neka åtkomst till trafik från alla nätverk (inklusive Internettrafik) på den offentliga slutpunkten som standard. Sedan bör du konfigurera regler som ger åtkomst till trafik från specifika virtuella nätverk. Du kan också konfigurera regler för att bevilja åtkomst till trafik från valda offentliga IP-adressintervall för Internet, vilket aktiverar anslutningar från specifika Internet- eller lokala klienter. Den här konfigurationen hjälper dig att skapa en säker nätverksgräns för dina program.

Du kan kombinera brandväggsregler som tillåter åtkomst från specifika virtuella nätverk och från offentliga IP-adressintervall på samma lagringskonto. Du kan tillämpa brandväggsregler för lagring på befintliga lagringskonton eller när du skapar nya lagringskonton.

Brandväggsregler för lagring gäller för den offentliga slutpunkten för ett lagringskonto. Du behöver inga brandväggsåtkomstregler för att tillåta trafik för privata slutpunkter för ett lagringskonto. Processen med att godkänna skapandet av en privat slutpunkt ger implicit åtkomst till trafik från det undernät som är värd för den privata slutpunkten.

Viktigt!

Azure Storage-brandväggsregler gäller endast för dataplansåtgärder . Kontrollplansåtgärder omfattas inte av de begränsningar som anges i brandväggsregler.

Vissa åtgärder, till exempel blobcontaineråtgärder, kan utföras via både kontrollplanet och dataplanet. Så om du försöker utföra en åtgärd, till exempel att visa containrar från Azure Portal, kommer åtgärden att lyckas om den inte blockeras av en annan mekanism. Försök att komma åt blobdata från ett program, till exempel Azure Storage Explorer, styrs av brandväggsbegränsningarna.

En lista över dataplansåtgärder finns i REST API-referensen för Azure Storage. En lista över kontrollplansåtgärder finns i REST API-referensen för Azure Storage-resursprovidern.

Konfigurera nätverksåtkomst till Azure Storage

Du kan styra åtkomsten till data i ditt lagringskonto via nätverksslutpunkter, eller via betrodda tjänster eller resurser i valfri kombination, inklusive:

Om virtuella nätverksslutpunkter

Det finns två typer av virtuella nätverksslutpunkter för lagringskonton:

Tjänstslutpunkter för virtuella nätverk är offentliga och tillgängliga via Internet. Azure Storage-brandväggen ger möjlighet att styra åtkomsten till ditt lagringskonto via sådana offentliga slutpunkter. När du aktiverar åtkomst till det offentliga nätverket till ditt lagringskonto blockeras alla inkommande begäranden om data som standard. Endast program som begär data från tillåtna källor som du konfigurerar i brandväggsinställningarna för lagringskontot kan komma åt dina data. Källor kan innehålla källans IP-adress eller undernät för ett virtuellt nätverk för en klient, eller en Azure-tjänst eller resursinstans genom vilken klienter eller tjänster får åtkomst till dina data. Begäranden som blockeras inkluderar sådana från andra Azure-tjänster, från Azure Portal och från loggnings- och måtttjänster, såvida du inte uttryckligen tillåter åtkomst i brandväggskonfigurationen.

En privat slutpunkt använder en privat IP-adress från ditt virtuella nätverk för att få åtkomst till ett lagringskonto via Microsofts stamnätverk. Med en privat slutpunkt skyddas trafiken mellan ditt virtuella nätverk och lagringskontot via en privat länk. Brandväggsregler för lagring gäller endast för offentliga slutpunkter för ett lagringskonto, inte privata slutpunkter. Processen med att godkänna skapandet av en privat slutpunkt ger implicit åtkomst till trafik från det undernät som är värd för den privata slutpunkten. Du kan använda nätverksprinciper för att styra trafik över privata slutpunkter om du vill förfina åtkomstregler. Om du vill använda privata slutpunkter exklusivt kan du använda brandväggen för att blockera all åtkomst via den offentliga slutpunkten.

Information om hur du bestämmer när du ska använda varje typ av slutpunkt i din miljö finns i Jämför privata slutpunkter och tjänstslutpunkter.

Så här närmar du dig nätverkssäkerhet för ditt lagringskonto

Så här skyddar du ditt lagringskonto och skapar en säker nätverksgräns för dina program:

  1. Börja med att inaktivera all offentlig nätverksåtkomst för lagringskontot under inställningen Åtkomst till offentligt nätverk i brandväggen för lagringskontot.

  2. Om möjligt konfigurerar du privata länkar till ditt lagringskonto från privata slutpunkter i virtuella nätverksundernät där klienterna finns som kräver åtkomst till dina data.

  3. Om klientprogram kräver åtkomst via de offentliga slutpunkterna ändrar du inställningen Åtkomst till offentligt nätverk till Aktiverad från valda virtuella nätverk och IP-adresser. Efter behov:

    1. Ange de virtuella nätverksundernät som du vill tillåta åtkomst från.
    2. Ange de offentliga IP-adressintervallen för klienter som du vill tillåta åtkomst från, till exempel de i lokala nätverk.
    3. Tillåt åtkomst från valda Azure-resursinstanser.
    4. Lägg till undantag för att tillåta åtkomst från betrodda tjänster som krävs för åtgärder som säkerhetskopiering av data.
    5. Lägg till undantag för loggning och mått.

När du har tillämpat nätverksregler tillämpas de för alla begäranden. SAS-token som ger åtkomst till en specifik IP-adress används för att begränsa åtkomsten för tokeninnehavaren, men de ger inte ny åtkomst utöver konfigurerade nätverksregler.

Nätverkssäkerhetsperimeter (förhandsversion)

Med nätverkssäkerhetsperimeter (förhandsversion) kan organisationer definiera en isoleringsgräns för logiskt nätverk för PaaS-resurser (till exempel Azure Blob Storage och SQL Database) som distribueras utanför deras virtuella nätverk. Funktionen begränsar åtkomsten till offentliga nätverk till PaaS-resurser utanför perimetern. Du kan dock undanta åtkomst med hjälp av explicita åtkomstregler för offentlig inkommande och utgående trafik. Enligt design har åtkomst till ett lagringskonto inifrån en nätverkssäkerhetsperimeter högsta prioritet jämfört med andra begränsningar för nätverksåtkomst.

Nätverkssäkerhetsperimetern är för närvarande i offentlig förhandsversion för Azure Blobs, Azure Files (REST), Azure Tables och Azure Queues. Se Övergång till en nätverkssäkerhetsperimeter.

Viktigt!

Privat slutpunktstrafik anses vara mycket säker och omfattas därför inte av regler för nätverkssäkerhetsperimeter. All annan trafik, inklusive betrodda tjänster, omfattas av regler för nätverkssäkerhetsperimeter om lagringskontot är associerat med en perimeter.

Begränsningar

Den här förhandsversionen stöder inte följande tjänster, åtgärder och protokoll på ett lagringskonto:

Vi rekommenderar att du inte aktiverar nätverkssäkerhetsperimeter om du behöver använda någon av dessa tjänster, åtgärder eller protokoll. Detta är för att förhindra eventuell dataförlust eller dataexfiltreringsrisk.

Varning

För lagringskonton som är associerade med en nätverkssäkerhetsperimeter kontrollerar du att Azure Key Vault är tillgängligt från den perimeter som lagringskontot har associerats till för att kundhanterade nycklar (CMK) ska fungera.

Associera en nätverkssäkerhetsperimeter med ett lagringskonto

Följ dessa vanliga instruktioner för alla PaaS-resurser om du vill associera en nätverkssäkerhetsperimeter med ett lagringskonto.

Begränsningar och överväganden

Innan du implementerar nätverkssäkerhet för dina lagringskonton bör du granska de viktiga begränsningar och överväganden som beskrivs i det här avsnittet.

  • Azure Storage-brandväggsregler gäller endast för dataplansåtgärder . Kontrollplansåtgärder omfattas inte av de begränsningar som anges i brandväggsregler.
  • Granska begränsningarna för IP-nätverksregler.
  • Om du vill komma åt data med hjälp av verktyg som Azure Portal, Azure Storage Explorer och AzCopy måste du vara på en dator inom den betrodda gräns som du upprättar när du konfigurerar nätverkssäkerhetsregler.
  • Nätverksregler tillämpas på alla nätverksprotokoll för Azure Storage, inklusive REST och SMB.
  • Nätverksregler påverkar inte disktrafik för virtuella datorer (VM), inklusive monterings- och avmonteringsåtgärder och disk-I/O, men de hjälper till att skydda REST-åtkomsten till sidblobar.
  • Du kan använda ohanterade diskar i lagringskonton med nätverksregler som tillämpas för att säkerhetskopiera och återställa virtuella datorer genom att skapa ett undantag. Brandväggsfel gäller inte för hanterade diskar eftersom Azure redan hanterar dem.
  • Klassiska lagringskonton stöder inte brandväggar och virtuella nätverk.
  • Om du tar bort ett undernät som ingår i en regel för virtuellt nätverk tas det bort från nätverksreglerna för lagringskontot. Om du skapar ett nytt undernät med samma namn har det inte åtkomst till lagringskontot. Om du vill tillåta åtkomst måste du uttryckligen auktorisera det nya undernätet i nätverksreglerna för lagringskontot.
  • När du refererar till en tjänstslutpunkt i ett klientprogram rekommenderar vi att du undviker att använda ett beroende av en cachelagrad IP-adress. IP-adressen för lagringskontot kan komma att ändras, och om du förlitar dig på en cachelagrad IP-adress kan det leda till oväntat beteende. Dessutom rekommenderar vi att du respekterar TTL (time-to-live) för DNS-posten och undviker att åsidosätta den. Att åsidosätta DNS TTL kan leda till oväntat beteende.
  • Åtkomst till ett lagringskonto från betrodda tjänster har avsiktligt högsta prioritet framför andra begränsningar för nätverksåtkomst. Om du ställer in Åtkomst för offentligt nätverk till Inaktiverad efter att tidigare ha angett den till Aktiverad från valda virtuella nätverk och IP-adresser, kommer alla resursinstanser och undantag som du tidigare har konfigurerat, inklusive Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot, att gälla. Därför kan dessa resurser och tjänster fortfarande ha åtkomst till lagringskontot.

Auktorisering

Klienter som beviljas åtkomst via nätverksregler måste fortsätta att uppfylla auktoriseringskraven för lagringskontot för att få åtkomst till data. Auktorisering stöds med Microsoft Entra-autentiseringsuppgifter för blobar och köer, med en giltig kontoåtkomstnyckel eller med en SAS-token (signatur för delad åtkomst).

När du konfigurerar en blobcontainer för anonym offentlig åtkomst behöver begäranden om att läsa data i containern inte auktoriseras, men brandväggsreglerna gäller fortfarande och blockerar anonym trafik.

Ändra standardåtkomstregeln för nätverk

Som standard godkänner lagringskonton anslutningar från klienter i alla nätverk. Du kan begränsa åtkomsten till valda nätverk eller förhindra trafik från alla nätverk och endast tillåta åtkomst via en privat slutpunkt.

Du måste ange standardregeln för att neka, eller så har nätverksregler ingen effekt. Att ändra den här inställningen kan dock påverka programmets möjlighet att ansluta till Azure Storage. Se till att bevilja åtkomst till alla tillåtna nätverk eller konfigurera åtkomst via en privat slutpunkt innan du ändrar den här inställningen.

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

  1. Gå till Storage-kontot som du vill skydda.

  2. I tjänstmenyn går du till Säkerhet + nätverk och väljer Nätverk.

  3. Under Åtkomst till offentligt nätverk väljer du Hantera.

  4. Välj vilken nätverksåtkomst som är aktiverad via lagringskontots offentliga slutpunkt:

    • Om du vill tillåta inkommande och utgående åtkomst med alternativet att begränsa inkommande åtkomst till specifika virtuella nätverk och IP-adresser väljer du Aktivera. Välj sedan Antingen Aktivera från alla nätverk eller Aktivera från valda nätverk. Om du väljer det andra alternativet uppmanas du att spara och konfigurera inställningarna. Välj Spara + Konfigurera så dirigeras du till sidan resursinställningar för att lägga till virtuella nätverk och IP-adresser.

    • Om du vill begränsa inkommande åtkomst samtidigt som utgående åtkomst tillåts väljer du Inaktivera.

    • Om du vill begränsa inkommande och utgående åtkomst med hjälp av en nätverkssäkerhetsperimeter väljer du Skydda efter perimeter.

  5. Välj Spara för att tillämpa ändringarna.

  6. Om du har valt Skydda efter perimeter måste du associera en nätverksperimeter med ditt lagringskonto.

Varning

Åtkomst till ett lagringskonto från betrodda tjänster har avsiktligt högsta prioritet framför andra begränsningar för nätverksåtkomst. Om du ställer in Åtkomst för offentligt nätverk till Inaktiverad efter att tidigare ha angett den till Aktiverad från valda virtuella nätverk och IP-adresser, kommer alla resursinstanser och undantag som du tidigare har konfigurerat, inklusive Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot, att gälla. Därför kan dessa resurser och tjänster fortfarande ha åtkomst till lagringskontot.

Bevilja åtkomst från ett virtuellt nätverk

Du kan konfigurera lagringskonton så att de endast tillåter åtkomst från specifika undernät. De tillåtna undernäten kan tillhöra ett virtuellt nätverk i samma prenumeration eller en annan prenumeration, inklusive de som tillhör en annan Microsoft Entra-klientorganisation. Med tjänstslutpunkter mellan regioner kan de tillåtna undernäten också finnas i olika regioner från lagringskontot.

Du kan aktivera en tjänstslutpunkt för Azure Storage i det virtuella nätverket. Tjänstslutpunkten dirigerar trafik från det virtuella nätverket via en optimal sökväg till Azure Storage-tjänsten. Identiteterna för undernätet och det virtuella nätverket skickas också med varje begäran. Administratörer kan sedan konfigurera nätverksregler för lagringskontot som tillåter att begäranden tas emot från specifika undernät i ett virtuellt nätverk. Klienter som beviljas åtkomst via dessa nätverksregler måste fortsätta att uppfylla auktoriseringskraven för lagringskontot för att få åtkomst till data.

Varje lagringskonto har stöd för upp till 400 regler för virtuella nätverk. Du kan kombinera dessa regler med IP-nätverksregler.

Viktigt!

När du refererar till en tjänstslutpunkt i ett klientprogram rekommenderar vi att du undviker att använda ett beroende av en cachelagrad IP-adress. IP-adressen för lagringskontot kan komma att ändras, och om du förlitar dig på en cachelagrad IP-adress kan det leda till oväntat beteende.

Dessutom rekommenderar vi att du respekterar TTL (time-to-live) för DNS-posten och undviker att åsidosätta den. Att åsidosätta DNS TTL kan leda till oväntat beteende.

Behörigheter som krävs

Om du vill tillämpa en regel för virtuellt nätverk på ett lagringskonto måste användaren ha rätt behörigheter för de undernät som läggs till. En lagringskontodeltagare eller en användare som har behörighet till Azure-resursprovideråtgärden Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action kan tillämpa en regel med hjälp av en anpassad Azure-roll.

Lagringskontot och de virtuella nätverk som får åtkomst kan finnas i olika prenumerationer, inklusive prenumerationer som ingår i en annan Microsoft Entra-klientorganisation.

Konfiguration av regler som ger åtkomst till undernät i virtuella nätverk som ingår i en annan Microsoft Entra-klientorganisation stöds för närvarande endast via PowerShell, Azure CLI och REST API:er. Du kan inte konfigurera sådana regler via Azure Portal, men du kan visa dem i portalen.

Tjänstslutpunkter mellan regioner i Azure Storage

Tjänstslutpunkter mellan regioner för Azure Storage blev allmänt tillgängliga i april 2023. De fungerar mellan virtuella nätverk och lagringstjänstinstanser i valfri region. Med tjänstslutpunkter mellan regioner använder undernät inte längre en offentlig IP-adress för att kommunicera med något lagringskonto, inklusive de i en annan region. I stället använder all trafik från undernät till lagringskonton en privat IP-adress som käll-IP. Det innebär att alla lagringskonton som använder IP-nätverksregler för att tillåta trafik från dessa undernät inte längre har någon effekt.

Att konfigurera tjänstslutpunkter mellan virtuella nätverk och tjänstinstanser i en parad region kan vara en viktig del av din haveriberedskapsplan. Tjänstslutpunkter tillåter kontinuitet under en regional redundansväxling och åtkomst till skrivskyddade geo-redundanta lagringsinstanser (RA-GRS). Nätverksregler som beviljar åtkomst från ett virtuellt nätverk till ett lagringskonto ger också åtkomst till alla RA-GRS-instanser.

När du planerar för haveriberedskap under ett regionalt avbrott skapar du de virtuella nätverken i den kopplade regionen i förväg. Aktivera tjänstslutpunkter för Azure Storage, med nätverksregler som ger åtkomst från dessa alternativa virtuella nätverk. Tillämpa sedan dessa regler på dina geo-redundanta lagringskonton.

Lokala tjänstslutpunkter och tjänstslutpunkter mellan regioner kan inte samexistera i samma undernät. Om du vill ersätta befintliga tjänstslutpunkter med mellan regioner tar du bort de befintliga Microsoft.Storage slutpunkterna och återskapar dem som slutpunkter mellan regioner (Microsoft.Storage.Global).

Hantera regler för virtuellt nätverk och åtkomst

Du kan hantera regler för virtuellt nätverk och åtkomst för lagringskonton via Azure Portal, PowerShell eller Azure CLI v2.

Om du vill aktivera åtkomst till ditt lagringskonto från ett virtuellt nätverk eller undernät i en annan Microsoft Entra-klientorganisation måste du använda PowerShell eller Azure CLI. Azure Portal visar inte undernät i andra Microsoft Entra-klienter.

  1. Gå till lagringskontot som du vill konfigurera virtuella nätverk och åtkomstregler för.

  2. I tjänstmenyn går du till Säkerhet + nätverk och väljer Nätverk.

  3. Kontrollera att du har valt att aktivera åtkomst till offentliga nätverk från valda nätverk. Under Resursinställningar väljer du Hantera. Om du inte har aktiverat åtkomst till offentliga nätverk från valda nätverk gäller inte resursinställningarna och alternativet Hantera blir inte tillgängligt.

  4. Om du vill tillåta att virtuella nätverk ansluter till ditt lagringskonto med tjänstslutpunkter väljer du + Lägg till ett virtuellt nätverk. Välj sedan Antingen Lägg till befintligt virtuellt nätverk eller Lägg till nytt virtuellt nätverk.

  5. Om du vill lägga till ett befintligt virtuellt nätverk väljer du prenumerationen, det virtuella nätverket och undernäten och väljer sedan Lägg till. För närvarande visas endast virtuella nätverk som tillhör samma Microsoft Entra-klientorganisation för val när regeln skapas. Om du vill bevilja åtkomst till ett undernät i ett virtuellt nätverk som tillhör en annan klientorganisation använder du PowerShell, Azure CLI eller REST-API:er.

  6. Om du vill skapa ett nytt virtuellt nätverk och undernät och ge det åtkomst anger du nödvändig information och väljer sedan Skapa.

  7. Lägg till ip-adresser som du vill ska kunna komma åt ditt lagringskonto.

  8. Markera någon av undantagsrutorna som gäller för ditt användningsfall.

  9. Välj Spara för att tillämpa ändringarna.

Viktigt!

Om du tar bort ett undernät som ingår i en nätverksregel tas det bort från nätverksreglerna för lagringskontot. Om du skapar ett nytt undernät med samma namn har det inte åtkomst till lagringskontot. Om du vill tillåta åtkomst måste du uttryckligen auktorisera det nya undernätet i nätverksreglerna för lagringskontot.

Bevilja åtkomst från ett IP-intervall på internet

Du kan använda IP-nätverksregler för att tillåta åtkomst från specifika offentliga IP-adressintervall för Internet genom att skapa IP-nätverksregler. Varje lagringskonto har stöd för upp till 400 regler. Dessa regler ger åtkomst till specifika Internetbaserade tjänster och lokala nätverk och blockerar allmän Internettrafik.

Begränsningar för IP-nätverksregler

Följande begränsningar gäller för IP-adressintervall:

  • IP-nätverksregler tillåts endast för offentliga IP-adresser på Internet .

    IP-adressintervall som är reserverade för privata nätverk (enligt definitionen i RFC 1918) tillåts inte i IP-regler. Privata nätverk innehåller adresser som börjar med 10, 172.16 till 172.31 och 192.168.

  • Du måste ange tillåtna internetadressintervall med hjälp av CIDR-notation i formuläret 16.17.18.0/24 eller som enskilda IP-adresser som 16.17.18.19.

  • Små adressintervall som använder /31- eller /32-prefixstorlekar stöds inte. Konfigurera dessa intervall med hjälp av enskilda IP-adressregler.

  • Endast IPv4-adresser stöds för konfiguration av lagringsbrandväggsregler.

Viktigt!

Du kan inte använda IP-nätverksregler i följande fall:

  • Begränsa åtkomsten till klienter i samma Azure-region som lagringskontot. IP-nätverksregler påverkar inte begäranden som kommer från samma Azure-region som lagringskontot. Använd regler för virtuellt nätverk för att tillåta begäranden i samma region.
  • Begränsa åtkomsten till klienter i en länkad region som finns i ett virtuellt nätverk som har en tjänstslutpunkt.
  • Begränsa åtkomsten till Azure-tjänster som distribueras i samma region som lagringskontot. Tjänster som distribueras i samma region som lagringskontot använder privata Azure IP-adresser för kommunikation. Därför kan du inte begränsa åtkomsten till specifika Azure-tjänster baserat på deras offentliga utgående IP-adressintervall.

Konfigurera åtkomst från lokala nätverk

Om du vill bevilja åtkomst från dina lokala nätverk till ditt lagringskonto med hjälp av en IP-nätverksregel måste du identifiera de Internetuppkopplade IP-adresser som nätverket använder. Kontakta nätverksadministratören om du vill ha hjälp.

Om du använder Azure ExpressRoute från din lokala plats måste du identifiera DE NAT IP-adresser som används för Microsoft-peering. Antingen tillhandahåller tjänstleverantören eller kunden NAT IP-adresserna.

Om du vill tillåta åtkomst till dina tjänstresurser måste du tillåta dessa offentliga IP-adresser i brandväggsinställningen för resurs-IP-adresser.

Hantera IP-nätverksregler

Du kan hantera IP-nätverksregler för lagringskonton via Azure Portal, PowerShell eller Azure CLI v2.

  1. Gå till det lagringskonto som du vill hantera IP-nätverksregler för.

  2. I tjänstmenyn går du till Säkerhet + nätverk och väljer Nätverk.

  3. Kontrollera att du har valt att aktivera åtkomst till offentliga nätverk från valda nätverk. Under Resursinställningar väljer du Hantera. Om du inte har aktiverat åtkomst till offentliga nätverk från valda nätverk gäller inte resursinställningarna och alternativet Hantera blir inte tillgängligt.

  4. Om du vill bevilja åtkomst till ett INTERNET-IP-intervall anger du IP-adressen eller adressintervallet (i CIDR-format) under IP-adresser.

  5. Om du vill ta bort en IP-nätverksregel väljer du borttagningsikonen ( ) bredvid adressintervallet.

  6. Välj Spara för att tillämpa ändringarna.

Bevilja åtkomst från Azure-resursinstanser

I vissa fall kan ett program vara beroende av Azure-resurser som inte kan isoleras via ett virtuellt nätverk eller en IP-adressregel. Men du vill ändå skydda och begränsa åtkomsten till lagringskontot till endast programmets Azure-resurser. Du kan konfigurera lagringskonton för att tillåta åtkomst till specifika resursinstanser av betrodda Azure-tjänster genom att skapa en resursinstansregel. Detta anger resursinstanser som ska ha åtkomst till ditt lagringskonto baserat på deras systemtilldelade hanterade identitet.

Azure-rolltilldelningarna för resursinstansen avgör vilka typer av åtgärder som en resursinstans kan utföra på lagringskontodata. Resursinstanser måste komma från samma klientorganisation som ditt lagringskonto, men de kan tillhöra valfri prenumeration i klientorganisationen.

Du kan lägga till eller ta bort resursnätverksregler i Azure Portal:

  1. Logga in på Azure-portalen.

  2. Leta upp ditt lagringskonto och visa kontoöversikten.

  3. I tjänstmenyn går du till Säkerhet + nätverk och väljer Nätverk.

  4. Kontrollera att du har valt att aktivera åtkomst till offentliga nätverk från valda nätverk. Under Resursinställningar väljer du Hantera. Om du inte har aktiverat åtkomst till offentliga nätverk från valda nätverk gäller inte resursinställningarna och alternativet Hantera blir inte tillgängligt.

  5. Bläddra ned för att hitta resursinstanser. I listrutan Resurstyp väljer du resurstypen för resursinstansen.

  6. I listrutan Instansnamn väljer du resursinstansen. Du kan också välja att inkludera alla resursinstanser i den aktuella klientorganisationen, prenumerationen eller resursgruppen.

  7. Välj Spara för att tillämpa ändringarna. Resursinstansen visas i avsnittet Resursinstanser på sidan för nätverksinställningar.

Om du vill ta bort resursinstansen väljer du borttagningsikonen ( ) bredvid resursinstansen.

Bevilja åtkomst till betrodda Azure-tjänster

Vissa Azure-tjänster fungerar från nätverk som du inte kan inkludera i dina nätverksregler. Du kan ge en delmängd av sådana betrodda Azure-tjänster åtkomst till lagringskontot, samtidigt som du behåller nätverksregler för andra appar. Dessa betrodda tjänster använder sedan stark autentisering för att ansluta till ditt lagringskonto.

Du kan bevilja åtkomst till betrodda Azure-tjänster genom att skapa ett undantag för nätverksregeln. Avsnittet Hantera undantag i den här artikeln innehåller stegvis vägledning.

Betrodd åtkomst för resurser som registrerats i din Microsoft Entra-klientorganisation

Resurser i vissa tjänster kan komma åt ditt lagringskonto för valda åtgärder, till exempel att skriva loggar eller köra säkerhetskopior. Tjänsterna måste vara registrerade i en prenumeration som finns i samma Microsoft Entra-klientorganisation som ditt lagringskonto. I följande tabell beskrivs varje tjänst och de tillåtna åtgärderna.

Tjänst Namn på resursprovider Tillåtna åtgärder
Azure Backup Microsoft.RecoveryServices Kör säkerhetskopieringar och återställningar av ohanterade diskar i virtuella IaaS-datorer (infrastruktur som en tjänst) (krävs inte för hanterade diskar). Läs mer.
Azure Data Box Microsoft.DataBox Importera data till Azure. Läs mer.
Azure DevTest Labs Microsoft.DevTestLab Skapa anpassade avbildningar och installera artefakter. Läs mer.
Azure Event Grid Microsoft.EventGrid Aktivera Azure Blob Storage-händelsepublicering och tillåt publicering till lagringsköer.
Azure Event Hubs Microsoft.EventHub Arkivera data med hjälp av Event Hubs Capture. Läs mer.
Azure File Sync Microsoft.StorageSync Omvandla din lokala filserver till en cache för Azure-filresurser. Den här funktionen möjliggör synkronisering på flera platser, snabb haveriberedskap och säkerhetskopiering på molnsidan. Läs mer.
Azure HDInsight Microsoft.HDInsight Etablera det första innehållet i standardfilsystemet för ett nytt HDInsight-kluster. Läs mer.
Azure Import/Export Microsoft.ImportExport Importera data till Azure Storage eller exportera data från Azure Storage. Läs mer.
Azure Monitor Microsoft.Insights Skriva övervakningsdata till ett skyddat lagringskonto, inklusive resursloggar, Microsoft Defender för Endpoint data, Microsoft Entra-inloggning och granskningsloggar samt Microsoft Intune-loggar. Läs mer.
Azure-nätverkstjänster Microsoft.Network Lagra och analysera nätverkstrafikloggar, bland annat via Azure Network Watcher- och Azure Traffic Manager-tjänsterna. Läs mer.
Azure Site Recovery Microsoft.SiteRecovery Aktivera replikering för haveriberedskap för virtuella Azure IaaS-datorer när du använder brandväggsaktiverade cache-, käll- eller mållagringskonton. Läs mer.

Betrodd åtkomst baserat på en hanterad identitet

I följande tabell visas tjänster som kan komma åt dina lagringskontodata om resursinstanserna av dessa tjänster har rätt behörighet.

Tjänst Namn på resursprovider Syfte
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats Ger åtkomst till lagringskonton.
Azure API Management Microsoft.ApiManagement/service Ger åtkomst till lagringskonton bakom brandväggar via principer. Läs mer.
Microsoft Autonomous Systems Microsoft.AutonomousSystems/workspaces Ger åtkomst till lagringskonton.
Azure Cache for Redis Microsoft.Cache/Redis Ger åtkomst till lagringskonton. Läs mer.
Azure AI-sökning Microsoft.Search/searchServices Ger åtkomst till lagringskonton för indexering, bearbetning och frågor.
Azure AI-tjänster Microsoft.CognitiveService/accounts Ger åtkomst till lagringskonton. Läs mer.
Azure Container Registry Microsoft.ContainerRegistry/registries Via ACR Tasks-paketet med funktioner ger du åtkomst till lagringskonton när du skapar containeravbildningar.
Microsoft Cost Management Microsoft.CostManagementExports Aktiverar export till lagringskonton bakom en brandvägg. Läs mer.
Azure Databricks Microsoft.Databricks/accessConnectors Ger åtkomst till lagringskonton.
Azure Data Factory Microsoft.DataFactory/factories Ger åtkomst till lagringskonton via Data Factory-körningen.
Azure Backup Vault Microsoft.DataProtection/BackupVaults Ger åtkomst till lagringskonton.
Azure Data Share Microsoft.DataShare/accounts Ger åtkomst till lagringskonton.
Azure Database for PostgreSQL Microsoft.DBForPostgreSQL Ger åtkomst till lagringskonton.
Azure IoT Hub Microsoft.Devices/IotHubs Tillåter att data från en IoT-hubb skrivs till Blob Storage. Läs mer.
Azure DevTest Labs Microsoft.DevTestLab/labs Ger åtkomst till lagringskonton.
Azure Event Grid Microsoft.EventGrid/domains Ger åtkomst till lagringskonton.
Azure Event Grid Microsoft.EventGrid/partnerTopics Ger åtkomst till lagringskonton.
Azure Event Grid Microsoft.EventGrid/systemTopics Ger åtkomst till lagringskonton.
Azure Event Grid Microsoft.EventGrid/topics Ger åtkomst till lagringskonton.
Microsoft Fabric Microsoft.Fabric Ger åtkomst till lagringskonton.
API:er för Azure Healthcare Microsoft.HealthcareApis/services Ger åtkomst till lagringskonton.
API:er för Azure Healthcare Microsoft.HealthcareApis/workspaces Ger åtkomst till lagringskonton.
Azure IoT Central Microsoft.IoTCentral/IoTApps Ger åtkomst till lagringskonton.
Azure Key Vault Managed HSM Microsoft.keyvault/managedHSMs Ger åtkomst till lagringskonton.
Azure Logic Program-program Microsoft.Logic/integrationAccounts Gör det möjligt för logikappar att komma åt lagringskonton. Läs mer.
Azure Logic Program-program Microsoft.Logic/workflows Gör det möjligt för logikappar att komma åt lagringskonton. Läs mer.
Azure Machine Learning Studio Microsoft.MachineLearning/registries Gör det möjligt för auktoriserade Azure Machine Learning-arbetsytor att skriva experimentutdata, modeller och loggar till Blob Storage och läsa data. Läs mer.
Azure Machine Learning Microsoft.MachineLearningServices Gör det möjligt för auktoriserade Azure Machine Learning-arbetsytor att skriva experimentutdata, modeller och loggar till Blob Storage och läsa data. Läs mer.
Azure Machine Learning Microsoft.MachineLearningServices/workspaces Gör det möjligt för auktoriserade Azure Machine Learning-arbetsytor att skriva experimentutdata, modeller och loggar till Blob Storage och läsa data. Läs mer.
Azure Media Services Microsoft.Media/mediaservices Ger åtkomst till lagringskonton.
Azure Migrate Microsoft.Migrate/migrateprojects Ger åtkomst till lagringskonton.
Azure Spatial Anchors Microsoft.MixedReality/remoteRenderingAccounts Ger åtkomst till lagringskonton.
Azure ExpressRoute Microsoft.Network/expressRoutePorts Ger åtkomst till lagringskonton.
Microsoft Power Platform Microsoft.PowerPlatform/enterprisePolicies Ger åtkomst till lagringskonton.
Microsoft Project Arcadia Microsoft.ProjectArcadia/workspaces Ger åtkomst till lagringskonton.
Azure Data Catalog Microsoft.ProjectBabylon/accounts Ger åtkomst till lagringskonton.
Microsoft Purview Microsoft.Purview/accounts Ger åtkomst till lagringskonton.
Azure Site Recovery Microsoft.RecoveryServices/vaults Ger åtkomst till lagringskonton.
Security Center Microsoft.Security/dataScanners Ger åtkomst till lagringskonton.
Singularitet Microsoft.Singularity/accounts Ger åtkomst till lagringskonton.
Azure SQL Database Microsoft.Sql Tillåter att granskningsdata skrivs till lagringskonton bakom en brandvägg.
Azure SQL-servrar Microsoft.Sql/servers Tillåter att granskningsdata skrivs till lagringskonton bakom en brandvägg.
Azure Synapse Analytics Microsoft.Sql Tillåter import och export av data från specifika SQL-databaser via instruktionen COPY eller PolyBase (i en dedikerad pool) eller openrowset funktionen och de externa tabellerna i en serverlös pool. Läs mer.
Azure Stream Analytics Microsoft.StreamAnalytics Tillåter att data från ett direktuppspelningsjobb skrivs till Blob Storage. Läs mer.
Azure Stream Analytics Microsoft.StreamAnalytics/streamingjobs Tillåter att data från ett direktuppspelningsjobb skrivs till Blob Storage. Läs mer.
Azure Synapse Analytics Microsoft.Synapse/workspaces Ger åtkomst till data i Azure Storage.
Azure Video Indexer Microsoft.VideoIndexer/Accounts Ger åtkomst till lagringskonton.

Om du inte har aktiverat den hierarkiska namnområdesfunktionen för ditt konto kan du bevilja behörighet genom att uttryckligen tilldela en Azure-roll till den hanterade identiteten för varje resursinstans. I det här fallet motsvarar åtkomstomfånget för instansen den Azure-roll som har tilldelats den hanterade identiteten.

Du kan använda samma teknik för ett konto som har funktionen hierarkisk namnrymd aktiverad. Du behöver dock inte tilldela en Azure-roll om du lägger till den hanterade identiteten i åtkomstkontrollistan (ACL) för någon katalog eller blob som lagringskontot innehåller. I så fall motsvarar åtkomstomfånget för instansen den katalog eller fil som den hanterade identiteten har åtkomst till.

Du kan också kombinera Azure-roller och ACL:er tillsammans för att bevilja åtkomst. Mer information finns i Åtkomstkontrollmodell i Azure Data Lake Storage.

Vi rekommenderar att du använder resursinstansregler för att bevilja åtkomst till specifika resurser.

Hantera undantag

I vissa fall, till exempel lagringsanalys, krävs åtkomst till läsresursloggar och mått utanför nätverksgränsen. När du konfigurerar betrodda tjänster för åtkomst till lagringskontot kan du tillåta läsåtkomst för loggfiler, måtttabeller eller båda genom att skapa ett undantag för nätverksregeln. Du kan hantera undantag för nätverksregeln via Azure Portal, PowerShell eller Azure CLI v2.

Mer information om hur du arbetar med lagringsanalys finns i Använda Azure Storage-analys för att samla in loggar och måttdata.

  1. Gå till det lagringskonto som du vill hantera undantag för.

  2. I tjänstmenyn går du till Säkerhet + nätverk och väljer Nätverk.

  3. Kontrollera att du har valt att aktivera åtkomst till offentliga nätverk från valda nätverk. Under Resursinställningar väljer du Hantera. Om du inte har aktiverat åtkomst till offentliga nätverk från valda nätverk gäller inte resursinställningarna och alternativet Hantera blir inte tillgängligt.

  4. Under Undantag väljer du de undantag som du vill bevilja.

  5. Välj Spara för att tillämpa ändringarna.

Nästa steg

Läs mer om Azure-nätverkstjänstslutpunkter. Fördjupa dig i säkerhetsrekommendationer för Azure Blob Storage.