Skapa och associera tjänstslutpunktsprinciper

Med tjänstslutpunktsprinciper kan du filtrera trafik för virtuella nätverk till specifika Azure-resurser över tjänstslutpunkter. Om du inte är bekant med tjänstslutpunktsprinciper kan du läsa mer i översikten över tjänstslutpunktsprinciper.

I den här självstudien lär du dig att:

• Skapa ett virtuellt nätverk.
• Lägg till ett undernät och aktivera tjänstslutpunkten för Azure Storage.
• Skapa två Azure Storage-konton och tillåt nätverksåtkomst till det från undernätet i det virtuella nätverket.
• Skapa en tjänstslutpunktsprincip för att endast tillåta åtkomst till ett av lagringskontona.
• Distribuera en virtuell dator (VM) till undernätet.
• Bekräfta åtkomsten till det tillåtna lagringskontot från undernätet.
• Bekräfta att åtkomst nekas till det icke-tillåtna lagringskontot från undernätet.

Förutsättningar

Portal

• Ett Azure-konto med en aktiv prenumeration. Du kan skapa ett konto kostnadsfritt.

PowerShell

• Ett Azure-konto med en aktiv prenumeration. Du kan skapa ett konto kostnadsfritt.

Azure Cloud Shell

Azure är värd för Azure Cloud Shell, en interaktiv gränssnittsmiljö som du kan använda via webbläsaren. Du kan använda antingen Bash eller PowerShell med Cloud Shell för att arbeta med Azure-tjänster. Du kan använda förinstallerade Cloud Shell-kommandon för att köra koden i den här artikeln, utan att behöva installera något i din lokala miljö.

Så här startar du Azure Cloud Shell:

Alternativ	Exempel/länk
Välj Prova i det övre högra hörnet i en kod eller ett kommandoblock. Om du väljer Prova kopieras inte koden eller kommandot automatiskt till Cloud Shell.
Gå till https://shell.azure.com eller Välj knappen Starta Cloud Shell för att öppna Cloud Shell i webbläsaren.
Välj knappen Cloud Shell på menyn längst upp till höger i Azure-portalen.

Så här använder du Azure Cloud Shell:

1. Starta Cloud Shell.

2. Välj knappen Kopiera i ett kodblock (eller kommandoblock) för att kopiera koden eller kommandot.

3. Klistra in koden eller kommandot i Cloud Shell-sessionen genom att välja Ctrl+Skift+V i Windows och Linux, eller genom att välja Cmd+Shift+V på macOS.

4. Välj Retur för att köra koden eller kommandot.

Om du väljer att installera och använda PowerShell lokalt kräver den här artikeln Azure PowerShell-modulen version 1.0.0 eller senare. Kör Get-Module -ListAvailable Az för att hitta den installerade versionen. Om du behöver uppgradera kan du läsa Install Azure PowerShell module (Installera Azure PowerShell-modul). Om du kör PowerShell lokalt måste du också köra Connect-AzAccount för att skapa en anslutning till Azure.

CLI

Om du inte har en Azure-prenumeration skapar du ett kostnadsfritt Azure-konto innan du börjar.

• Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.

  

• Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.

  • Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.

  • När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.

  • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

• Den här artikeln kräver version 2.0.28 eller senare av Azure CLI. Om du använder Azure Cloud Shell är den senaste versionen redan installerad.

Skapa ett virtuellt nätverk och aktivera tjänstslutpunkt

Skapa ett virtuellt nätverk som innehåller de resurser som du skapar i den här självstudien.

Portal

1. I sökrutan i portalen anger du Virtuella nätverk. Välj Virtuella nätverk i sökresultaten.

2. Välj + Skapa för att skapa ett nytt virtuellt nätverk.

3. Ange eller välj följande information på fliken Grundläggande i Skapa virtuellt nätverk.

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj din prenumeration.
   Resursgrupp	Välj Skapa ny. Ange test-rg i Namn. Välj OK.
   Name	Ange vnet-1.
   Region	Välj USA, västra 2.

4. Välj Nästa.

5. Välj Nästa.

6. På fliken IP-adresser går du till Undernät och väljer standardundernätet .

7. Ange eller välj följande information i Redigera undernät.

   Inställning	Värde
   Name	Ange undernät-1.
   Tjänstslutpunkter
   Tjänster
   I den nedrullningsbara menyn väljer du Microsoft.Storage.

8. Välj Spara.

9. Välj Granska + skapa.

10. Välj Skapa.

PowerShell

Innan du skapar ett virtuellt nätverk måste du skapa en resursgrupp för det virtuella nätverket och alla andra resurser som skapas i den här artikeln. Skapa en resursgrupp med New-AzResourceGroup. I följande exempel skapas en resursgrupp med namnet test-rg:

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}
New-AzResourceGroup @rg

Skapa ett virtuellt nätverk med hjälp av New-AzVirtualNetwork. I följande exempel skapas ett virtuellt nätverk med namnet vnet-1 med adressprefixet 10.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Skapa en undernätskonfiguration med New-AzVirtualNetworkSubnetConfig och skriv sedan undernätskonfigurationen till det virtuella nätverket med Set-AzVirtualNetwork. I följande exempel läggs ett undernät med namnet subnet-1 till det virtuella nätverket och tjänstslutpunkten skapas för Microsoft.Storage.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

CLI

Innan du skapar ett virtuellt nätverk måste du skapa en resursgrupp för det virtuella nätverket och alla andra resurser som skapas i den här artikeln. Skapa en resursgrupp med az group create. I följande exempel skapas en resursgrupp med namnet test-rg på platsen westus2 .

az group create \
  --name test-rg \
  --location westus2

Skapa ett virtuellt nätverk med ett undernät med az network vnet create.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefix 10.0.0.0/16 \
  --subnet-name subnet-1 \
  --subnet-prefix 10.0.0.0/24

I det här exemplet skapas en tjänstslutpunkt för Microsoft.Storage för undernätets undernät-1:

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24 \
  --service-endpoints Microsoft.Storage

Begränsa nätverksåtkomsten för undernätet

Skapa en nätverkssäkerhetsgrupp och regler som begränsar nätverksåtkomsten för undernätet.

Skapa en nätverkssäkerhetsgrupp

Portal

1. I sökrutan i portalen anger du Nätverkssäkerhetsgrupper. Välj Nätverkssäkerhetsgrupper i sökresultaten.

2. Välj + Skapa för att skapa en ny nätverkssäkerhetsgrupp.

3. På fliken Grundläggande inställningar i Skapa nätverkssäkerhetsgrupp anger du eller väljer följande information.

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj din prenumeration.
   Resursgrupp	Välj test-rg.
   Name	Ange nsg-1.
   Region	Välj USA, västra 2.

4. Välj Granska + skapa.

5. Välj Skapa.

Skapa regler för nätverkssäkerhetsgrupp

1. I sökrutan i portalen anger du Nätverkssäkerhetsgrupper. Välj Nätverkssäkerhetsgrupper i sökresultaten.

2. Välj nsg-1.

3. Expandera Inställningar. Välj Utgående säkerhetsregler.

4. Välj + Lägg till för att lägga till en ny utgående säkerhetsregel.

5. I Lägg till utgående säkerhetsregel anger eller väljer du följande information.

   Inställning	Värde
   Source	Välj Service Tag (Tjänsttagg).
   Källtjänsttagg	Välj VirtualNetwork.
   Källportintervall	Ange *.
   Mål	Välj Service Tag (Tjänsttagg).
   Måltjänsttagg	Välj Storage.
   Tjänst	Välj Kund.
   Målportintervall	Ange *.
   Protokoll	Välj Valfritt.
   Åtgärd	Markera Tillåt.
   Prioritet	Ange 100.
   Name	Ange allow-storage-all.

6. Markera Lägga till.

7. Välj + Lägg till för att lägga till ytterligare en regel för utgående säkerhet.

8. I Lägg till utgående säkerhetsregel anger eller väljer du följande information.

   Inställning	Värde
   Source	Välj Service Tag (Tjänsttagg).
   Källtjänsttagg	Välj VirtualNetwork.
   Källportintervall	Ange *.
   Mål	Välj Service Tag (Tjänsttagg).
   Måltjänsttagg	Välj Internet.
   Tjänst	Välj Kund.
   Målportintervall	Ange *.
   Protokoll	Välj Valfritt.
   Åtgärd	Välj Neka.
   Prioritet	Ange 110.
   Name	Ange neka internet-all.

9. Markera Lägga till.

10. Expandera Inställningar. Välj Undernät.

11. Välj Associera.

12. I Associera undernät anger eller väljer du följande information.

    Inställning	Värde
    Virtuellt nätverk	Välj vnet-1 (test-rg).
    Undernät	Välj undernät-1.

13. Välj OK.

PowerShell

Skapa säkerhetsregler för nätverkssäkerhetsgrupper med New-AzNetworkSecurityRuleConfig. Följande regel tillåter utgående åtkomst till de offentliga IP-adresser som tilldelats Azure Storage-tjänsten:

$r1 = @{
    Name = "Allow-Storage-All"
    Access = "Allow"
    DestinationAddressPrefix = "Storage"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 100
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule1 = New-AzNetworkSecurityRuleConfig @r1

Följande regel nekar åtkomst till alla offentliga IP-adresser. Den tidigare regeln åsidosätter den här regeln på grund av dess högre prioritet, vilket ger åtkomst till de offentliga IP-adresserna för Azure Storage.

$r2 = @{
    Name = "Deny-Internet-All"
    Access = "Deny"
    DestinationAddressPrefix = "Internet"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 110
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule2 = New-AzNetworkSecurityRuleConfig @r2

Skapa en nätverkssäkerhetsgrupp med New-AzNetworkSecurityGroup. I följande exempel skapas en nätverkssäkerhetsgrupp med namnet nsg-1.

$securityRules = @($rule1, $rule2)

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
    SecurityRules = $securityRules
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Associera nätverkssäkerhetsgruppen till undernätet-1 med Set-AzVirtualNetworkSubnetConfig och skriv sedan undernätskonfigurationen till det virtuella nätverket. I följande exempel associeras nätverkssäkerhetsgruppen nsg-1 med undernätet-1 :

$subnetConfig = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
    NetworkSecurityGroup = $nsg
}
Set-AzVirtualNetworkSubnetConfig @subnetConfig

$virtualNetwork | Set-AzVirtualNetwork

CLI

Skapa en nätverkssäkerhetsgrupp med az network nsg create. I följande exempel skapas en nätverkssäkerhetsgrupp med namnet nsg-1.

az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Associera nätverkssäkerhetsgruppen till undernätet-1 med az network vnet subnet update. I följande exempel associeras nätverkssäkerhetsgruppen nsg-1 med undernätet-1 :

az network vnet subnet update \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --resource-group test-rg \
  --network-security-group nsg-1

Skapa säkerhetsregler med az network nsg rule create. Regeln som följer tillåter utgående åtkomst till de offentliga IP-adresser som tilldelats Till Azure Storage-tjänsten:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Storage-All \
  --access Allow \
  --protocol "*" \
  --direction Outbound \
  --priority 100 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Storage" \
  --destination-port-range "*"

Varje nätverkssäkerhetsgrupp innehåller flera standardsäkerhetsregler. Regeln som följer åsidosätter en standardsäkerhetsregel som tillåter utgående åtkomst till alla offentliga IP-adresser. Alternativet destination-address-prefix "Internet" nekar utgående åtkomst till alla offentliga IP-adresser. Den tidigare regeln åsidosätter den här regeln på grund av dess högre prioritet, vilket ger åtkomst till de offentliga IP-adresserna för Azure Storage.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Deny-Internet-All \
  --access Deny \
  --protocol "*" \
  --direction Outbound \
  --priority 110 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Internet" \
  --destination-port-range "*"

Begränsa nätverksåtkomsten till Azure Storage-konton

De steg som behövs för att begränsa nätverksåtkomsten till resurser som har skapats via Azure-tjänster som är aktiverade för tjänstslutpunkter varierar från tjänst till tjänst. Läs dokumentationen för enskilda tjänster för specifika åtgärder för varje tjänst. Resten av den här artikeln innehåller steg för att begränsa nätverksåtkomsten för ett Azure Storage-konto, till exempel.

Skapa två lagringskonton

Portal

1. I sökrutan i portalen anger du Lagringskonton. Välj Lagringskonton i sökresultatet.

2. Välj + Skapa för att skapa ett nytt lagringskonto.

3. I Skapa ett lagringskonto anger eller väljer du följande information.

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj din prenumeration.
   Resursgrupp	Välj test-rg.
   Instansinformation
   Lagringskontonamn	Ange allowedaccount(random-number). Obs! Lagringskontots namn måste vara unikt. Lägg till ett slumptal i slutet av namnet allowedaccount.
   Region	Välj USA, västra 2.
   Prestanda	Välj Standard.
   Redundans	Välj Lokalt redundant lagring (LRS).

4. Välj Nästa tills du når fliken Dataskydd .

5. I Återställning avmarkerar du alla alternativ.

6. Välj Granska + skapa.

7. Välj Skapa.

8. Upprepa föregående steg för att skapa ett annat lagringskonto med följande information.

   Inställning	Värde
   Lagringskontonamn	Ange deniedaccount(random-number).

PowerShell

Skapa det tillåtna Azure Storage-kontot med New-AzStorageAccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'allowedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Använd samma kommando för att skapa det nekade Azure Storage-kontot, men ändra namnet till deniedaccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'deniedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

CLI

Skapa två Azure Storage-konton med az storage account create.

storageAcctName1="allowedaccount"

az storage account create \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Använd samma kommando för att skapa det nekade Azure Storage-kontot, men ändra namnet till deniedaccount.

storageAcctName2="deniedaccount"

az storage account create \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Skapa filresurser

Portal

1. I sökrutan i portalen anger du Lagringskonton. Välj Lagringskonton i sökresultatet.

2. Välj allowedaccount(random-number).

3. Expandera avsnittet Datalagring och välj Filresurser.

4. Välj + Filresurs.

5. I Ny filresurs anger eller väljer du följande information.

   Inställning	Värde
   Name	Ange filresurs.

6. Låt resten av inställningarna vara standard och välj Granska + skapa.

7. Välj Skapa.

8. Upprepa föregående steg för att skapa en filresurs i deniedaccount(random-number).

PowerShell

Skapa tillåten lagringskontofilresurs

Använd Get-AzStorageAccountKey för att hämta lagringskontonyckeln för det tillåtna lagringskontot. Du använder den här nyckeln i nästa steg för att skapa en filresurs i det tillåtna lagringskontot.

$storageAcctName1 = "allowedaccount"
$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName1
}
$storageAcctKey1 = (Get-AzStorageAccountKey @storageAcctParams1).Value[0]

Skapa en kontext för ditt lagringskonto och din nyckel med New-AzStorageContext. Kontexten innehåller lagringskontots namn och åtkomstnyckel.

$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1

Skapa en filresurs med New-AzStorageShare.

$share1 = New-AzStorageShare file-share -Context $storageContext1

Skapa filresurs för nekat lagringskonto

Använd Get-AzStorageAccountKey för att hämta lagringskontonyckeln för det tillåtna lagringskontot. Du använder den här nyckeln i nästa steg för att skapa en filresurs i det nekade lagringskontot.

$storageAcctName2 = "deniedaccount"
$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName2
}
$storageAcctKey2 = (Get-AzStorageAccountKey @storageAcctParams2).Value[0]

Skapa en kontext för ditt lagringskonto och din nyckel med New-AzStorageContext. Kontexten innehåller lagringskontots namn och åtkomstnyckel.

$storageContext2= New-AzStorageContext $storageAcctName2 $storageAcctKey2

Skapa en filresurs med New-AzStorageShare.

$share2 = New-AzStorageShare file-share -Context $storageContext2

CLI

Skapa tillåten lagringskontofilresurs

Hämta anslutningssträng för lagringskontona till en variabel med az storage account show-connection-string. Anslutningssträng används för att skapa en filresurs i ett senare steg.

saConnectionString1=$(az storage account show-connection-string \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Skapa en filresurs i lagringskontot med az storage share create. I ett senare steg monteras den här filresursen för att bekräfta nätverksåtkomsten till den.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString1 > /dev/null

Skapa filresurs för nekat lagringskonto

Hämta anslutningssträng för lagringskontona till en variabel med az storage account show-connection-string. Anslutningssträng används för att skapa en filresurs i ett senare steg.

saConnectionString2=$(az storage account show-connection-string \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Skapa en filresurs i lagringskontot med az storage share create. I ett senare steg monteras den här filresursen för att bekräfta nätverksåtkomsten till den.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString2 > /dev/null

Neka all nätverksåtkomst till lagringskonton

Som standard godkänner lagringskonton nätverksanslutningar från klienter i alla nätverk. Om du vill begränsa nätverksåtkomsten till lagringskontona kan du konfigurera lagringskontot så att det endast accepterar anslutningar från specifika nätverk. I det här exemplet konfigurerar du lagringskontot så att det endast accepterar anslutningar från det virtuella nätverksundernätet som du skapade tidigare.

Portal

1. I sökrutan i portalen anger du Lagringskonton. Välj Lagringskonton i sökresultatet.

2. Välj allowedaccount(random-number).

3. Expandera Säkerhet + nätverk och välj Nätverk.

4. I Brandväggar och virtuella nätverk går du till Offentlig nätverksåtkomst och väljer Aktiverad från valda virtuella nätverk och IP-adresser.

5. I Virtuella nätverk väljer du + Lägg till befintligt virtuellt nätverk.

6. I Lägg till nätverk anger eller väljer du följande information.

   Inställning	Värde
   Prenumeration	Välj din prenumeration.
   Virtuella nätverk	Välj vnet-1.
   Undernät	Välj undernät-1.

7. Markera Lägg till.

8. Välj Spara.

9. Upprepa föregående steg för att neka nätverksåtkomst till deniedaccount(random-number).

PowerShell

Använd Update-AzStorageAccountNetworkRuleSet för att neka åtkomst till lagringskontona förutom från det virtuella nätverk och undernät som du skapade tidigare. När nätverksåtkomst nekas är lagringskontot inte tillgängligt från något nätverk.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams1

$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams2

Aktivera endast nätverksåtkomst från det virtuella nätverkets undernät

Hämta det skapade virtuella nätverket med Get-AzVirtualNetwork och hämta sedan det privata undernätsobjektet till en variabel med Get-AzVirtualNetworkSubnetConfig:

$privateSubnetParams = @{
    ResourceGroupName = "test-rg"
    Name = "vnet-1"
}
$privateSubnet = Get-AzVirtualNetwork @privateSubnetParams | Get-AzVirtualNetworkSubnetConfig -Name "subnet-1"

Tillåt nätverksåtkomst till lagringskontot från undernätet-1 med Add-AzStorageAccountNetworkRule.

$networkRuleParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams1

$networkRuleParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams2

CLI

Som standard godkänner lagringskonton nätverksanslutningar från klienter i alla nätverk. Om du vill begränsa åtkomsten till valda nätverk ändrar du standardåtgärden till Neka med az storage account update. När nätverksåtkomst nekas är lagringskontot inte tillgängligt från något nätverk.

az storage account update \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --default-action Deny

az storage account update \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --default-action Deny

Aktivera endast nätverksåtkomst från det virtuella nätverkets undernät

Tillåt nätverksåtkomst till lagringskontot från undernätet-1 med az storage account network-rule add.

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName1 \
  --vnet-name vnet-1 \
  --subnet subnet-1

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName2 \
  --vnet-name vnet-1 \
  --subnet subnet-1

Tillämpa principen för att tillåta åtkomst till ett giltigt lagringskonto

Du kan skapa en tjänstslutpunktsprincip. Principen säkerställer att användare i det virtuella nätverket bara kan komma åt säkra och tillåtna Azure Storage-konton. Den här principen innehåller en lista över tillåtna lagringskonton som tillämpas på det virtuella nätverksundernätet som är anslutet till lagring via tjänstslutpunkter.

Skapa en tjänstslutpunktsprincip

Det här avsnittet skapar principdefinitionen med listan över tillåtna resurser för åtkomst över tjänstslutpunkten.

Portal

1. I sökrutan i portalen anger du Tjänstslutpunktsprincip. Välj Tjänstslutpunktsprinciper i sökresultaten.

2. Välj + Skapa för att skapa en ny tjänstslutpunktsprincip.

3. Ange eller välj följande information på fliken Grundläggande i Skapa en tjänstslutpunktsprincip.

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj din prenumeration.
   Resursgrupp	Välj test-rg.
   Instansinformation
   Name	Ange service-endpoint-policy.
   Plats	Välj USA, västra 2.

4. Välj Nästa: Principdefinitioner.

5. Välj + Lägg till en resurs i Resurser.

6. I Lägg till en resurs anger eller väljer du följande information:

   Inställning	Värde
   Tjänst	Välj Microsoft.Storage.
   Omfattning	Välj Enskilt konto
   Prenumeration	Välj din prenumeration.
   Resursgrupp	Välj test-rg.
   Resurs	Välj allowedaccount(random-number)

7. Markera Lägga till.

8. Välj Granska + skapa.

9. Välj Skapa.

PowerShell

Om du vill hämta resurs-ID:t för det första (tillåtna) lagringskontot använder du Get-AzStorageAccount.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
}
$resourceId = (Get-AzStorageAccount @storageAcctParams1).id

Om du vill skapa principdefinitionen för att tillåta den tidigare resursen använder du New-AzServiceEndpointPolicyDefinition .

$policyDefinitionParams = @{
    Name = "policy-definition"
    Description = "Service Endpoint Policy Definition"
    Service = "Microsoft.Storage"
    ServiceResource = $resourceId
}
$policyDefinition = New-AzServiceEndpointPolicyDefinition @policyDefinitionParams

Använd New-AzServiceEndpointPolicy för att skapa tjänstslutpunktsprincipen med principdefinitionen.

$sepolicyParams = @{
    ResourceGroupName = "test-rg"
    Name = "service-endpoint-policy"
    Location = "westus2"
    ServiceEndpointPolicyDefinition = $policyDefinition
}
$sepolicy = New-AzServiceEndpointPolicy @sepolicyParams

CLI

Tjänstslutpunktsprinciper tillämpas över tjänstslutpunkter. Börja med att skapa en tjänstslutpunktsprincip. Skapa sedan principdefinitionerna under den här principen för att Azure Storage-konton ska godkännas för det här undernätet

Använd az storage account show för att hämta resurs-ID:t för det lagringskonto som tillåts.

serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)

Skapa en tjänstslutpunktsprincip

az network service-endpoint policy create \
  --resource-group test-rg \
  --name service-endpoint-policy \
  --location westus2

Skapa och lägg till en principdefinition för att tillåta det tidigare Azure Storage-kontot till tjänstslutpunktsprincipen

az network service-endpoint policy-definition create \
  --resource-group test-rg \
  --policy-name service-endpoint-policy \
  --name policy-definition \
  --service "Microsoft.Storage" \
  --service-resources $serviceResourceId

Associera en tjänstslutpunktsprincip med ett undernät

När du har skapat tjänstslutpunktsprincipen associerar du den med målundernätet med tjänstslutpunktskonfigurationen för Azure Storage.

Portal

1. I sökrutan i portalen anger du Tjänstslutpunktsprincip. Välj Tjänstslutpunktsprinciper i sökresultaten.

2. Välj service-endpoint-policy.

3. Expandera Inställningar och välj Associerade undernät.

4. Välj + Redigera undernätsassociation.

5. I Redigera undernätsassociation väljer du vnet-1 och undernät-1.

6. Välj Använd.

PowerShell

Använd Set-AzVirtualNetworkSubnetConfig för att associera tjänstslutpunktsprincipen med undernätet.

$subnetConfigParams = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    NetworkSecurityGroup = $nsg
    ServiceEndpoint = "Microsoft.Storage"
    ServiceEndpointPolicy = $sepolicy
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

$virtualNetwork | Set-AzVirtualNetwork

CLI

Använd az network vnet subnet update för att associera tjänstslutpunktsprincipen med undernätet.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --service-endpoints Microsoft.Storage \
  --service-endpoint-policy service-endpoint-policy

Varning

Se till att alla resurser som nås från undernätet läggs till i principdefinitionen innan du kopplar principen till det angivna undernätet. När principen är associerad tillåts endast åtkomst till de tillåtna resurserna i listan över tjänstslutpunkter.

Se till att det inte finns några hanterade Azure-tjänster i det undernät som är associerat med tjänstslutpunktsprincipen.

Åtkomsten till Azure Storage-resurser i alla regioner begränsas enligt tjänstslutpunktsprincipen från det här undernätet.

Verifiera åtkomstbegränsning för Azure Storage-konton

Om du vill testa nätverksåtkomsten till ett lagringskonto distribuerar du en virtuell dator i undernätet.

Distribuera den virtuella datorn

Portal

1. I sökrutan i portalen anger du Virtuella datorer. Välj Virtuella datorer i sökresultaten.

2. På fliken Grundläggande i Skapa en virtuell dator anger eller väljer du följande information:

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj din prenumeration.
   Resursgrupp	Välj test-rg.
   Instansinformation
   Virtual machine name	Ange vm-1.
   Region	Välj USA, västra 2.
   Tillgängliga alternativ	Välj Ingen infrastrukturredundans krävs.
   Säkerhetstyp	Välj Standard.
   Bild	Välj Windows Server 2022 Datacenter – x64 Gen2.
   Storlek	Välj en storlek.
   Administratörskonto
   Username	Ange ett användarnamn.
   Lösenord	Ange ett lösenord.
   Bekräfta lösenord	Ange lösenordet igen.
   Regler för inkommande portar

3. Välj Nästa: Diskar och välj sedan Nästa: Nätverk.

4. På fliken Nätverk anger eller väljer du följande information.

   Inställning	Värde
   Nätverksgränssnitt
   Virtuellt nätverk	Välj vnet-1.
   Undernät	Välj undernät-1 (10.0.0.0/24).
   Offentlig IP-adress	Välj Ingen.
   Nätverkssäkerhetsgrupp för nätverkskort	Välj Ingen.

5. Låt resten av inställningarna vara standard och välj Granska + skapa.

6. Välj Skapa.

PowerShell

Skapa en virtuell dator i undernätet-1 med New-AzVM. När du kör kommandot som följer uppmanas du att ange autentiseringsuppgifter. De värden som du anger konfigureras som användarnamn och lösenord för den virtuella datorn.

$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    Name = "vm-1"
}
New-AzVm @vmParams

CLI

Skapa en virtuell dator i undernätet-1 med az vm create.

az vm create \
  --resource-group test-rg \
  --name vm-1 \
  --image Win2022Datacenter \
  --admin-username azureuser \
  --vnet-name vnet-1 \
  --subnet subnet-1

Vänta tills den virtuella datorn har slutfört distributionen innan du fortsätter till nästa steg.

Bekräfta åtkomsten till det tillåtna lagringskontot

1. Logga in på Azure-portalen.

2. I sökrutan i portalen anger du Lagringskonton. Välj Lagringskonton i sökresultatet.

3. Välj allowedaccount(random-number).

4. Expandera Säkerhet + nätverk och välj Åtkomstnycklar.

5. Kopiera key1-värdet. Du använder den här nyckeln för att mappa en enhet till lagringskontot från den virtuella dator som du skapade tidigare.

6. I sökrutan i portalen anger du Virtuella datorer. Välj Virtuella datorer i sökresultaten.

7. Välj vm-1.

8. Expandera Åtgärder. Välj Kör kommando.

9. Välj RunPowerShellScript.

10. Klistra in följande skript i Kör kommandoskript.

    ## Enter the storage account key for the allowed storage account that you recorded earlier.
    $storageAcctKey1 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential
    

11. Markera Kör.

12. Om enhetskartan lyckas ser utdata i utdatarutan ut ungefär som i följande exempel:

    Name           Used (GB)     Free (GB) Provider      Root
    ----           ---------     --------- --------      ----
    Z                                      FileSystem    \\allowedaccount.file.core.windows.net\fil..
    

Bekräfta att åtkomst nekas till det nekade lagringskontot

1. I sökrutan i portalen anger du Lagringskonton. Välj Lagringskonton i sökresultatet.

2. Välj deniedaccount(random-number).

3. Expandera Säkerhet + nätverk och välj Åtkomstnycklar.

4. Kopiera key1-värdet. Du använder den här nyckeln för att mappa en enhet till lagringskontot från den virtuella dator som du skapade tidigare.

5. I sökrutan i portalen anger du Virtuella datorer. Välj Virtuella datorer i sökresultaten.

6. Välj vm-1.

7. Expandera Åtgärder. Välj Kör kommando.

8. Välj RunPowerShellScript.

9. Klistra in följande skript i Kör kommandoskript.

   ## Enter the storage account key for the denied storage account that you recorded earlier.
   $storageAcctKey2 = (pasted from procedure above)
   $acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
   ## Replace the login account with the name of the storage account you created.
   $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
   ## Replace the storage account name with the name of the storage account you created.
   New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential
   

10. Markera Kör.

11. Du får följande felmeddelande i rutan Utdata :

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
    + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    

12. Enhetskartan nekas på grund av tjänstslutpunktsprincipen som begränsar åtkomsten till lagringskontot.

Portal

När du är klar med de resurser som du skapade kan du ta bort resursgruppen och alla dess resurser.

1. I Azure Portal söker du efter och väljer Resursgrupper.

2. På sidan Resursgrupper väljer du resursgruppen test-rg .

3. På sidan test-rg väljer du Ta bort resursgrupp.

4. Ange test-rg i Ange resursgruppsnamn för att bekräfta borttagningen och välj sedan Ta bort.

PowerShell

När den inte längre behövs kan du använda Remove-AzResourceGroup för att ta bort resursgruppen och alla resurser som den innehåller:

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

CLI

När den inte längre behövs använder du az group delete för att ta bort resursgruppen och alla resurser som den innehåller.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Nästa steg

I den här självstudien skapade du en tjänstslutpunktsprincip och kopplade den till ett undernät. Mer information om tjänstslutpunktsprinciper finns i Översikt över tjänstslutpunktsprinciper.