Hizmet uç noktası ilkeleri oluşturma ve ilişkilendirme

Hizmet uç noktası ilkeleri, sanal ağ trafiğini hizmet uç noktaları üzerinden belirli Azure kaynaklarına filtrelemenizi sağlar. Hizmet uç noktası ilkeleri hakkında bilginiz yoksa daha fazla bilgi edinmek için bkz . hizmet uç noktası ilkelerine genel bakış .

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

• Özel ağ oluşturun.
• Bir alt ağ ekleyin ve Azure Depolama için hizmet uç noktasını etkinleştirin.
• İki Azure Depolama hesabı oluşturun ve sanal ağdaki alt ağdan ağ erişimine izin verin.
• Depolama hesaplarından yalnızca birine erişime izin vermek için bir hizmet uç noktası ilkesi oluşturun.
• Alt ağa bir sanal makine (VM) dağıtın.
• Alt ağdan izin verilen depolama hesabına erişimi onaylayın.
• Alt ağdan izin verilmeyen depolama hesabına erişimin reddedildiğinden emin olun.

Önkoşullar

Portal

• Etkin aboneliği olan bir Azure hesabı. Ücretsiz bir hesap oluşturabilirsiniz.

PowerShell

• Etkin aboneliği olan bir Azure hesabı. Ücretsiz bir hesap oluşturabilirsiniz.

Azure Cloud Shell

Azure, tarayıcınız aracılığıyla kullanabileceğiniz etkileşimli bir kabuk ortamı olan Azure Cloud Shell'i barındırıyor. Azure hizmetleriyle çalışmak için Cloud Shell ile Bash veya PowerShell kullanabilirsiniz. Yerel ortamınıza herhangi bir şey yüklemek zorunda kalmadan bu makaledeki kodu çalıştırmak için Cloud Shell önceden yüklenmiş komutlarını kullanabilirsiniz.

Azure Cloud Shell'i başlatmak için:

Seçenek	Örnek/Bağlantı
Kodun veya komut bloğunun sağ üst köşesindeki Deneyin'i seçin. Deneyin seçildiğinde kod veya komut otomatik olarak Cloud Shell'e kopyalanmaz.
https://shell.azure.comadresine gidin veya Cloud Shell'i tarayıcınızda açmak için Cloud Shell'i Başlat düğmesini seçin.
Azure portalının sağ üst kısmındaki menü çubuğunda Cloud Shell düğmesini seçin.

Azure Cloud Shell'i kullanmak için:

1. Cloud Shell'i başlatın.

2. Kodu veya komutu kopyalamak için kod bloğundaki (veya komut bloğundaki) Kopyala düğmesini seçin.

3. Windows ve Linux'ta Ctrl+Shift V'yi seçerek veya macOS üzerinde Cmd+Shift++V'yi seçerek kodu veya komutu Cloud Shell oturumuna yapıştırın.

4. Kodu veya komutu çalıştırmak için Enter'ı seçin.

PowerShell'i yerel olarak yükleyip kullanmayı seçerseniz, bu makale Için Azure PowerShell modülünün 1.0.0 veya sonraki bir sürümü gerekir. Yüklü sürümü bulmak için Get-Module -ListAvailable Az komutunu çalıştırın. Yükseltmeniz gerekirse, bkz. Azure PowerShell modülünü yükleme. PowerShell'i yerel olarak çalıştırıyorsanız Azure ile bağlantı oluşturmak için de komutunu çalıştırmanız Connect-AzAccount gerekir.

CLI

Azure aboneliğiniz yoksa başlamadan önce birücretsiz Azure hesabı oluşturun.

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  

• CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

  • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

  • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

• Bu makale, Azure CLI'nın 2.0.28 veya sonraki bir sürümünü gerektirir. Azure Cloud Shell kullanılıyorsa en son sürüm zaten yüklüdür.

Sanal ağ oluşturma ve hizmet uç noktasını etkinleştirme

Bu öğreticide oluşturduğunuz kaynakları içerecek bir sanal ağ oluşturun.

Portal

1. Portaldaki arama kutusuna Sanal ağlar yazın. Arama sonuçlarında Sanal ağlar'ı seçin.

2. Yeni bir sanal ağ oluşturmak için + Oluştur'u seçin.

3. Sanal ağ oluştur'un Temel Bilgiler sekmesine aşağıdaki bilgileri girin veya seçin.

   Ayar	Value
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	Yeni oluştur’u seçin. Ad alanına test-rg girin. Tamam'ı seçin.
   Veri Akışı Adı	vnet-1 girin.
   Bölge	Batı ABD 2'yi seçin.

4. İleri'yi seçin.

5. İleri'yi seçin.

6. IP adresleri sekmesindeki Alt ağlar'da varsayılan alt ağı seçin.

7. Alt ağı düzenle bölümüne aşağıdaki bilgileri girin veya seçin.

   Ayar	Değer
   Veri Akışı Adı	subnet-1 girin.
   Hizmet Uç Noktaları
   Hizmetler
   Açılan menüde Microsoft.Storage'ı seçin.

8. Kaydet'i seçin.

9. Gözden geçir + Oluştur’u seçin.

10. Oluştur'u belirleyin.

PowerShell

Sanal ağ oluşturmadan önce, sanal ağ ve bu makalede oluşturulan diğer tüm kaynaklar için bir kaynak grubu oluşturmanız gerekir. New-AzResourceGroup ile bir kaynak grubu oluşturun. Aşağıdaki örnek test-rg adlı bir kaynak grubu oluşturur:

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}
New-AzResourceGroup @rg

New-AzVirtualNetwork ile bir sanal ağ oluşturun. Aşağıdaki örnek, 10.0.0.0/16 adres ön ekiyle vnet-1 adlı bir sanal ağ oluşturur.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork = New-AzVirtualNetwork @vnet

New-AzVirtualNetworkSubnetConfig ile bir alt ağ yapılandırması oluşturun ve ardından Alt ağ yapılandırmasını Set-AzVirtualNetwork ile sanal ağa yazın. Aşağıdaki örnek sanal ağa subnet-1 adlı bir alt ağ ekler ve Microsoft.Storage için hizmet uç noktasını oluşturur.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

CLI

Sanal ağ oluşturmadan önce, sanal ağ ve bu makalede oluşturulan diğer tüm kaynaklar için bir kaynak grubu oluşturmanız gerekir. az group create ile bir kaynak grubu oluşturun. Aşağıdaki örnek, westus2 konumunda test-rg adlı bir kaynak grubu oluşturur.

az group create \
  --name test-rg \
  --location westus2

az network vnet create ile bir alt ağ ile bir sanal ağ oluşturun.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefix 10.0.0.0/16 \
  --subnet-name subnet-1 \
  --subnet-prefix 10.0.0.0/24

Bu örnekte, alt ağ-1 alt ağı için bir hizmet uç noktası Microsoft.Storage oluşturulur:

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24 \
  --service-endpoints Microsoft.Storage

Alt ağ için ağ erişimini kısıtlama

Alt ağ için ağ erişimini kısıtlayan bir ağ güvenlik grubu ve kuralları oluşturun.

Ağ güvenlik grubu oluşturma

Portal

1. Portaldaki arama kutusuna Ağ güvenlik grupları yazın. Arama sonuçlarında Ağ güvenlik grupları'nı seçin.

2. Yeni bir ağ güvenlik grubu oluşturmak için + Oluştur'u seçin.

3. Ağ güvenlik grubu oluştur'un Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin.

   Ayar	Value
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	test-rg öğesini seçin.
   Veri Akışı Adı	nsg-1 girin.
   Bölge	Batı ABD 2'yi seçin.

4. Gözden geçir + Oluştur’u seçin.

5. Oluştur'u belirleyin.

Ağ güvenlik grubu kuralları oluşturma

1. Portaldaki arama kutusuna Ağ güvenlik grupları yazın. Arama sonuçlarında Ağ güvenlik grupları'nı seçin.

2. nsg-1'i seçin.

3. Ayarlar'ı genişletin. Giden güvenlik kuralları'nı seçin.

4. Yeni bir giden güvenlik kuralı eklemek için + Ekle'yi seçin.

5. Giden güvenlik kuralı ekle bölümünde aşağıdaki bilgileri girin veya seçin.

   Ayar	Değer
   Source	Hizmet Etiketi'ne tıklayın.
   Kaynak hizmeti etiketi	VirtualNetwork'i seçin.
   Kaynak bağlantı noktası aralıkları	* girin.
   Hedef	Hizmet Etiketi'ne tıklayın.
   Hedef hizmet etiketi	Depolama’yı seçin.
   Hizmet	Özel'i seçin.
   Hedef bağlantı noktası aralıkları	* girin.
   Protokol	Herhangi birini seçin.
   Eylem	İzin ver'i seçin.
   Öncelik	100 değerini girin.
   Veri Akışı Adı	Tümünü depolamaya izin ver yazın.

6. Ekle'yi seçin.

7. Başka bir giden güvenlik kuralı eklemek için + Ekle'yi seçin.

8. Giden güvenlik kuralı ekle bölümünde aşağıdaki bilgileri girin veya seçin.

   Ayar	Değer
   Source	Hizmet Etiketi'ne tıklayın.
   Kaynak hizmeti etiketi	VirtualNetwork'i seçin.
   Kaynak bağlantı noktası aralıkları	* girin.
   Hedef	Hizmet Etiketi'ne tıklayın.
   Hedef hizmet etiketi	İnternet'i seçin.
   Hizmet	Özel'i seçin.
   Hedef bağlantı noktası aralıkları	* girin.
   Protokol	Herhangi birini seçin.
   Eylem	Reddet'i seçin.
   Öncelik	110 girin.
   Veri Akışı Adı	Deny-internet-all girin.

9. Ekle'yi seçin.

10. Ayarlar'ı genişletin. Alt ağlar'ı seçin.

11. İlişkili'yi seçin.

12. Alt ağı ilişkilendir bölümünde aşağıdaki bilgileri girin veya seçin.

    Ayar	Value
    Sanal ağ	vnet-1 (test-rg) öğesini seçin.
    Alt ağ	alt ağ-1'i seçin.

13. Tamam'ı seçin.

PowerShell

New-AzNetworkSecurityRuleConfig ile ağ güvenlik grubu güvenlik kuralları oluşturun. Aşağıdaki kural, Azure Depolama hizmetine atanan genel IP adreslerine giden erişime izin verir:

$r1 = @{
    Name = "Allow-Storage-All"
    Access = "Allow"
    DestinationAddressPrefix = "Storage"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 100
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule1 = New-AzNetworkSecurityRuleConfig @r1

Aşağıdaki kural tüm genel IP adreslerine erişimi reddeder. Önceki kural, Azure Depolama'nın genel IP adreslerine erişim sağlayan yüksek önceliği nedeniyle bu kuralı geçersiz kılar.

$r2 = @{
    Name = "Deny-Internet-All"
    Access = "Deny"
    DestinationAddressPrefix = "Internet"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 110
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule2 = New-AzNetworkSecurityRuleConfig @r2

New-AzNetworkSecurityGroup ile bir ağ güvenlik grubu oluşturun. Aşağıdaki örnek nsg-1 adlı bir ağ güvenlik grubu oluşturur.

$securityRules = @($rule1, $rule2)

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
    SecurityRules = $securityRules
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Ağ güvenlik grubunu Set-AzVirtualNetworkSubnetConfig ile subnet-1 alt ağıyla ilişkilendirin ve ardından alt ağ yapılandırmasını sanal ağa yazın. Aşağıdaki örnek nsg-1 ağ güvenlik grubunu alt ağ-1 alt ağıyla ilişkilendirir:

$subnetConfig = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
    NetworkSecurityGroup = $nsg
}
Set-AzVirtualNetworkSubnetConfig @subnetConfig

$virtualNetwork | Set-AzVirtualNetwork

CLI

az network nsg create ile bir ağ güvenlik grubu oluşturun. Aşağıdaki örnek nsg-1 adlı bir ağ güvenlik grubu oluşturur.

az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Ağ güvenlik grubunu az network vnet subnet update ile subnet-1 alt ağıyla ilişkilendirin. Aşağıdaki örnek nsg-1 ağ güvenlik grubunu alt ağ-1 alt ağıyla ilişkilendirir:

az network vnet subnet update \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --resource-group test-rg \
  --network-security-group nsg-1

az network nsg rule create ile güvenlik kuralları oluşturun. Aşağıdaki kural, Azure Depolama hizmetine atanan genel IP adreslerine giden erişime izin verir:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Storage-All \
  --access Allow \
  --protocol "*" \
  --direction Outbound \
  --priority 100 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Storage" \
  --destination-port-range "*"

Her ağ güvenlik grubu birkaç varsayılan güvenlik kuralı içerir. Aşağıdaki kural, tüm genel IP adreslerine giden erişime izin veren varsayılan bir güvenlik kuralını geçersiz kılar. seçeneği destination-address-prefix "Internet" tüm genel IP adreslerine giden erişimi reddeder. Önceki kural, Azure Depolama'nın genel IP adreslerine erişim sağlayan yüksek önceliği nedeniyle bu kuralı geçersiz kılar.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Deny-Internet-All \
  --access Deny \
  --protocol "*" \
  --direction Outbound \
  --priority 110 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Internet" \
  --destination-port-range "*"

Azure Depolama hesaplarına ağ erişimini kısıtlama

Hizmet uç noktaları için etkinleştirilmiş Azure hizmetleri aracılığıyla oluşturulan kaynaklara ağ erişimini kısıtlamak için gereken adımlar, hizmetler arasında farklılık gösterir. Bir hizmete yönelik belirli adımlar için ilgili hizmetin belgelerine bakın. Bu makalenin geri kalanı, örnek olarak Azure Depolama hesabı için ağ erişimini kısıtlama adımlarını içerir.

İki depolama hesabı oluşturma

Portal

1. Portaldaki arama kutusuna Depolama hesapları yazın. Arama sonuçlarında Depolama hesapları'nı seçin.

2. Yeni bir depolama hesabı oluşturmak için + Oluştur'u seçin.

3. Depolama hesabı oluştur bölümünde aşağıdaki bilgileri girin veya seçin.

   Ayar	Value
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	test-rg öğesini seçin.
   Örnek ayrıntıları
   Depolama hesabı adı	allowedaccount(random-number) girin. Not: Depolama hesabı adı benzersiz olmalıdır. adının allowedaccountsonuna rastgele bir sayı ekleyin.
   Bölge	Batı ABD 2'yi seçin.
   Performans	Standart'ı seçin.
   Yedeklilik	Yerel olarak yedekli depolama (LRS) seçeneğini belirleyin.

4. Veri koruma sekmesine ulaşana kadar İleri'yi seçin.

5. Kurtarma'da tüm seçeneklerin seçimini kaldırın.

6. Gözden geçir + Oluştur’u seçin.

7. Oluştur'u belirleyin.

8. Aşağıdaki bilgilerle başka bir depolama hesabı oluşturmak için önceki adımları yineleyin.

   Ayar	Value
   Depolama hesabı adı	deniedaccount(random-number) girin.

PowerShell

New-AzStorageAccount ile izin verilen Azure depolama hesabını oluşturun.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'allowedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Reddedilen Azure depolama hesabını oluşturmak için aynı komutu kullanın, ancak adını olarak deniedaccountdeğiştirin.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'deniedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

CLI

az storage account create ile iki Azure depolama hesabı oluşturun.

storageAcctName1="allowedaccount"

az storage account create \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Reddedilen Azure depolama hesabını oluşturmak için aynı komutu kullanın, ancak adını olarak deniedaccountdeğiştirin.

storageAcctName2="deniedaccount"

az storage account create \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Dosya paylaşımları oluşturma

Portal

1. Portaldaki arama kutusuna Depolama hesapları yazın. Arama sonuçlarında Depolama hesapları'nı seçin.

2. allowedaccount(random-number) öğesini seçin.

3. Veri depolama bölümünü genişletin ve Dosya paylaşımları'nı seçin.

4. + Dosya paylaşımı’nı seçin.

5. Yeni dosya paylaşımı'nda aşağıdaki bilgileri girin veya seçin.

   Ayar	Değer
   Veri Akışı Adı	Dosya paylaşımı girin.

6. Ayarların geri kalanını varsayılan olarak bırakın ve Gözden geçir ve oluştur'u seçin.

7. Oluştur'u belirleyin.

8. Deniedaccount(random-number) içinde dosya paylaşımı oluşturmak için önceki adımları yineleyin.

PowerShell

İzin verilen depolama hesabı dosya paylaşımı oluşturma

İzin verilen depolama hesabının depolama hesabı anahtarını almak için Get-AzStorageAccountKey kullanın. Bu anahtarı bir sonraki adımda izin verilen depolama hesabında dosya paylaşımı oluşturmak için kullanacaksınız.

$storageAcctName1 = "allowedaccount"
$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName1
}
$storageAcctKey1 = (Get-AzStorageAccountKey @storageAcctParams1).Value[0]

New-AzStorageContext ile depolama hesabınız ve anahtarınız için bir bağlam oluşturun. Bağlam, depolama hesabı adını ve hesap anahtarını kapsar.

$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1

New-AzStorageShare ile bir dosya paylaşımı oluşturun.

$share1 = New-AzStorageShare file-share -Context $storageContext1

Reddedilen depolama hesabı dosya paylaşımı oluşturma

İzin verilen depolama hesabının depolama hesabı anahtarını almak için Get-AzStorageAccountKey kullanın. Bu anahtarı bir sonraki adımda reddedilen depolama hesabında dosya paylaşımı oluşturmak için kullanacaksınız.

$storageAcctName2 = "deniedaccount"
$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName2
}
$storageAcctKey2 = (Get-AzStorageAccountKey @storageAcctParams2).Value[0]

New-AzStorageContext ile depolama hesabınız ve anahtarınız için bir bağlam oluşturun. Bağlam, depolama hesabı adını ve hesap anahtarını kapsar.

$storageContext2= New-AzStorageContext $storageAcctName2 $storageAcctKey2

New-AzStorageShare ile bir dosya paylaşımı oluşturun.

$share2 = New-AzStorageShare file-share -Context $storageContext2

CLI

İzin verilen depolama hesabı dosya paylaşımı oluşturma

Depolama hesaplarının bağlantı dizesi az storage account show-connection-string ile bir değişkene alın. bağlantı dizesi, sonraki bir adımda dosya paylaşımı oluşturmak için kullanılır.

saConnectionString1=$(az storage account show-connection-string \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

az storage share create ile depolama hesabında bir dosya paylaşımı oluşturun. Sonraki bir adımda, bu dosya paylaşımına ağ erişimini onaylamak için bağlanır.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString1 > /dev/null

Reddedilen depolama hesabı dosya paylaşımı oluşturma

Depolama hesaplarının bağlantı dizesi az storage account show-connection-string ile bir değişkene alın. bağlantı dizesi, sonraki bir adımda dosya paylaşımı oluşturmak için kullanılır.

saConnectionString2=$(az storage account show-connection-string \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

az storage share create ile depolama hesabında bir dosya paylaşımı oluşturun. Sonraki bir adımda, bu dosya paylaşımına ağ erişimini onaylamak için bağlanır.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString2 > /dev/null

Depolama hesaplarına tüm ağ erişimini reddet

Varsayılan olarak, depolama hesapları herhangi bir ağdaki istemcilerden gelen ağ bağlantılarını kabul eder. Depolama hesaplarına ağ erişimini kısıtlamak için, depolama hesabını yalnızca belirli ağlardan gelen bağlantıları kabul etmek üzere yapılandırabilirsiniz. Bu örnekte, depolama hesabını yalnızca daha önce oluşturduğunuz sanal ağ alt ağından gelen bağlantıları kabul etmek üzere yapılandıracaksınız.

Portal

1. Portaldaki arama kutusuna Depolama hesapları yazın. Arama sonuçlarında Depolama hesapları'nı seçin.

2. allowedaccount(random-number) öğesini seçin.

3. Güvenlik + ağ'ı genişletin ve Ağ'ı seçin.

4. Güvenlik duvarları ve sanal ağlar'ın Genel ağ erişimi bölümünde Seçili sanal ağlardan ve IP adreslerinden etkinleştirildi'yi seçin.

5. Sanal ağlar'da + Var olan sanal ağı ekle'yi seçin.

6. Ağ ekle bölümünde aşağıdaki bilgileri girin veya seçin.

   Ayar	Value
   Abonelik	Aboneliğinizi seçin.
   Sanal ağlar	vnet-1'i seçin.
   Alt ağlar	alt ağ-1'i seçin.

7. Ekle'yi seçin.

8. Kaydet'i seçin.

9. Deniedaccount(random-number)'a ağ erişimini reddetmek için önceki adımları yineleyin.

PowerShell

Daha önce oluşturduğunuz sanal ağ ve alt ağ dışında depolama hesaplarına erişimi reddetmek için Update-AzStorageAccountNetworkRuleSet komutunu kullanın. Ağ erişimi reddedildikten sonra depolama hesabına herhangi bir ağdan erişilemez.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams1

$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams2

Yalnızca sanal ağ alt ağından ağ erişimini etkinleştirme

Get-AzVirtualNetwork ile oluşturulan sanal ağı alın ve get-AzVirtualNetworkSubnetConfig ile özel alt ağ nesnesini bir değişkene alın:

$privateSubnetParams = @{
    ResourceGroupName = "test-rg"
    Name = "vnet-1"
}
$privateSubnet = Get-AzVirtualNetwork @privateSubnetParams | Get-AzVirtualNetworkSubnetConfig -Name "subnet-1"

Add-AzStorageAccountNetworkRule ile subnet-1 alt ağından depolama hesabına ağ erişimine izin verin.

$networkRuleParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams1

$networkRuleParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams2

CLI

Varsayılan olarak, depolama hesapları herhangi bir ağdaki istemcilerden gelen ağ bağlantılarını kabul eder. Seçili ağlara erişimi sınırlamak için varsayılan eylemi az storage account update ile reddet olarak değiştirin. Ağ erişimi reddedildikten sonra depolama hesabına herhangi bir ağdan erişilemez.

az storage account update \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --default-action Deny

az storage account update \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --default-action Deny

Yalnızca sanal ağ alt ağından ağ erişimini etkinleştirme

az storage account network-rule add ile subnet-1 alt ağından depolama hesabına ağ erişimine izin verin.

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName1 \
  --vnet-name vnet-1 \
  --subnet subnet-1

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName2 \
  --vnet-name vnet-1 \
  --subnet subnet-1

Geçerli depolama hesabına erişime izin vermek için ilke uygulama

Bir hizmet uç noktası ilkesi oluşturabilirsiniz. İlke, sanal ağdaki kullanıcıların yalnızca güvenli ve izin verilen Azure Depolama hesaplarına erişebilmesini sağlar. Bu ilke, hizmet uç noktaları aracılığıyla depolamaya bağlı sanal ağ alt ağına uygulanan izin verilen depolama hesaplarının listesini içerir.

Hizmet uç noktası ilkesi oluşturma

Bu bölüm, hizmet uç noktası üzerinden erişim için izin verilen kaynakların listesiyle ilke tanımını oluşturur.

Portal

1. Portaldaki arama kutusuna Hizmet uç noktası ilkesi girin. Arama sonuçlarında Hizmet uç noktası ilkeleri'ni seçin.

2. Yeni bir hizmet uç noktası ilkesi oluşturmak için + Oluştur'u seçin.

3. Hizmet uç noktası oluşturma ilkesinin Temel Bilgiler sekmesine aşağıdaki bilgileri girin veya seçin.

   Ayar	Value
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	test-rg öğesini seçin.
   Örnek ayrıntıları
   Veri Akışı Adı	service-endpoint-policy girin.
   Konum	Batı ABD 2'yi seçin.

4. İleri: İlke tanımları'ı seçin.

5. Kaynaklar'da + Kaynak ekle'yi seçin.

6. Kaynak ekle bölümünde aşağıdaki bilgileri girin veya seçin:

   Ayar	Value
   Hizmet	Microsoft.Storage'ı seçin.
   Kapsam	Tek hesap seç
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	test-rg öğesini seçin.
   Kaynak	allowedaccount(random-number) öğesini seçin

7. Ekle'yi seçin.

8. Gözden geçir + Oluştur’u seçin.

9. Oluştur'u belirleyin.

PowerShell

İlk (izin verilen) depolama hesabının kaynak kimliğini almak için Get-AzStorageAccount kullanın.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
}
$resourceId = (Get-AzStorageAccount @storageAcctParams1).id

Önceki kaynağa izin verecek ilke tanımını oluşturmak için New-AzServiceEndpointPolicyDefinition kullanın.

$policyDefinitionParams = @{
    Name = "policy-definition"
    Description = "Service Endpoint Policy Definition"
    Service = "Microsoft.Storage"
    ServiceResource = $resourceId
}
$policyDefinition = New-AzServiceEndpointPolicyDefinition @policyDefinitionParams

İlke tanımıyla hizmet uç noktası ilkesi oluşturmak için New-AzServiceEndpointPolicy kullanın.

$sepolicyParams = @{
    ResourceGroupName = "test-rg"
    Name = "service-endpoint-policy"
    Location = "westus2"
    ServiceEndpointPolicyDefinition = $policyDefinition
}
$sepolicy = New-AzServiceEndpointPolicy @sepolicyParams

CLI

Hizmet uç noktası ilkeleri hizmet uç noktalarına uygulanır. Bir hizmet uç noktası ilkesi oluşturarak başlayın. Ardından, bu alt ağ için onaylanacak Azure Depolama hesapları için bu ilke altında ilke tanımlarını oluşturun

İzin verilen depolama hesabının kaynak kimliğini almak için az storage account show komutunu kullanın.

serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)

Hizmet uç noktası ilkesi oluşturma

az network service-endpoint policy create \
  --resource-group test-rg \
  --name service-endpoint-policy \
  --location westus2

Hizmet uç noktası ilkesine önceki Azure Depolama hesabına izin vermek için bir ilke tanımı oluşturma ve ekleme

az network service-endpoint policy-definition create \
  --resource-group test-rg \
  --policy-name service-endpoint-policy \
  --name policy-definition \
  --service "Microsoft.Storage" \
  --service-resources $serviceResourceId

Hizmet uç noktası ilkesini alt ağ ile ilişkilendirme

Hizmet uç noktası ilkesini oluşturduktan sonra hedef alt ağ ile Azure Depolama için hizmet uç noktası yapılandırmasıyla ilişkilendireceksiniz.

Portal

1. Portaldaki arama kutusuna Hizmet uç noktası ilkesi girin. Arama sonuçlarında Hizmet uç noktası ilkeleri'ni seçin.

2. service-endpoint-policy öğesini seçin.

3. Ayarlar'ı genişletin ve İlişkili alt ağlar'ı seçin.

4. + Alt ağ ilişkilendirmesini düzenle'yi seçin.

5. Alt ağ ilişkilendirmesini düzenle bölümünde vnet-1 ve alt ağ-1'i seçin.

6. Uygula’yı seçin.

PowerShell

Hizmet uç noktası ilkesini alt ağ ile ilişkilendirmek için Set-AzVirtualNetworkSubnetConfig komutunu kullanın.

$subnetConfigParams = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    NetworkSecurityGroup = $nsg
    ServiceEndpoint = "Microsoft.Storage"
    ServiceEndpointPolicy = $sepolicy
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

$virtualNetwork | Set-AzVirtualNetwork

CLI

Hizmet uç noktası ilkesini alt ağ ile ilişkilendirmek için az network vnet subnet update komutunu kullanın.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --service-endpoints Microsoft.Storage \
  --service-endpoint-policy service-endpoint-policy

Uyarı

İlkeyi verilen alt ağ ile ilişkilendirmeden önce alt ağdan erişilen tüm kaynakların ilke tanımına eklendiğinden emin olun. İlke ilişkilendirildikten sonra hizmet uç noktaları üzerinden yalnızca izin verilen listelenen kaynaklara erişime izin verilir.

Hizmet uç noktası ilkesiyle ilişkilendirilmiş alt ağda yönetilen Azure hizmetlerinin olmadığından emin olun.

Tüm bölgelerdeki Azure Depolama kaynaklarına erişim, bu alt ağdan Hizmet Uç Noktası İlkesine göre kısıtlanır.

Azure Depolama hesaplarına erişim kısıtlamasını doğrulama

Depolama hesabına ağ erişimini test etmek için alt ağa bir VM dağıtın.

Sanal makineyi dağıtma

Portal

1. Portaldaki arama kutusuna Sanal makineler yazın. Arama sonuçlarında Sanal makineler'i seçin.

2. Sanal makine oluşturmanın Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

   Ayar	Value
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	test-rg öğesini seçin.
   Örnek ayrıntıları
   Virtual machine name	vm-1 girin.
   Bölge	(ABD) Batı ABD 2’yi seçin.
   Kullanılabilirlik seçenekleri	Altyapı yedekliliği gerekli değil'i seçin.
   Güvenlik türü	Standart'ı seçin.
   Görsel	Windows Server 2022 Datacenter - x64 2. Nesil'i seçin.
   Size	Bir boyut seçin.
   Yönetici hesabı
   Username	Bir kullanıcı adı girin.
   Parola	Bir parola girin.
   Parolayı onaylayın	Parolayı yeniden girin.
   Gelen bağlantı noktası kuralları

3. İleri: Diskler'i ve ardından İleri: Ağ'ı seçin.

4. Ağ sekmesinde aşağıdaki bilgileri girin veya seçin.

   Ayar	Value
   Ağ arabirimi
   Sanal ağ	vnet-1'i seçin.
   Alt ağ	subnet-1 (10.0.0.0/24) öğesini seçin.
   Genel IP	Hiçbiri seçeneğini belirtin.
   NIC ağ güvenlik grubu	Hiçbiri seçeneğini belirtin.

5. Ayarların geri kalanını varsayılan olarak bırakın ve Gözden Geçir + Oluştur'u seçin.

6. Oluştur'u belirleyin.

PowerShell

New-AzVM ile subnet-1 alt akında bir sanal makine oluşturun. Aşağıdaki komutu çalıştırırken kimlik bilgileri istenir. Girdiğiniz değerler, sanal makinenin kullanıcı adı ve parolası olarak yapılandırılır.

$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    Name = "vm-1"
}
New-AzVm @vmParams

CLI

az vm create ile subnet-1 alt akında bir VM oluşturun.

az vm create \
  --resource-group test-rg \
  --name vm-1 \
  --image Win2022Datacenter \
  --admin-username azureuser \
  --vnet-name vnet-1 \
  --subnet subnet-1

Sonraki adımlara geçmeden önce sanal makinenin dağıtımı tamamlanmasını bekleyin.

İzin verilen depolama hesabına erişimi onaylama

1. Azure portalda oturum açın.

2. Portaldaki arama kutusuna Depolama hesapları yazın. Arama sonuçlarında Depolama hesapları'nı seçin.

3. allowedaccount(random-number) öğesini seçin.

4. Güvenlik + ağ'ı genişletin ve Erişim anahtarları'nı seçin.

5. key1 değerini kopyalayın. Bir sürücüyü daha önce oluşturduğunuz sanal makineden depolama hesabına eşlemek için bu anahtarı kullanırsınız.

6. Portaldaki arama kutusuna Sanal makineler yazın. Arama sonuçlarında Sanal makineler'i seçin.

7. vm-1'i seçin.

8. İşlemler'i genişletin. Çalıştır komutunu seçin.

9. RunPowerShellScript'i seçin.

10. Komut Betiğini Çalıştır'a aşağıdaki betiği yapıştırın.

    ## Enter the storage account key for the allowed storage account that you recorded earlier.
    $storageAcctKey1 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential
    

11. Çalıştır seçin.

12. Sürücü eşlemesi başarılı olursa, Çıkış kutusundaki çıkış aşağıdaki örneğe benzer şekilde görünür:

    Name           Used (GB)     Free (GB) Provider      Root
    ----           ---------     --------- --------      ----
    Z                                      FileSystem    \\allowedaccount.file.core.windows.net\fil..
    

Reddedilen depolama hesabına erişimin engellendiğini onaylayın

1. Portaldaki arama kutusuna Depolama hesapları yazın. Arama sonuçlarında Depolama hesapları'nı seçin.

2. deniedaccount(random-number) öğesini seçin.

3. Güvenlik + ağ'ı genişletin ve Erişim anahtarları'nı seçin.

4. key1 değerini kopyalayın. Bir sürücüyü daha önce oluşturduğunuz sanal makineden depolama hesabına eşlemek için bu anahtarı kullanırsınız.

5. Portaldaki arama kutusuna Sanal makineler yazın. Arama sonuçlarında Sanal makineler'i seçin.

6. vm-1'i seçin.

7. İşlemler'i genişletin. Çalıştır komutunu seçin.

8. RunPowerShellScript'i seçin.

9. Komut Betiğini Çalıştır'a aşağıdaki betiği yapıştırın.

   ## Enter the storage account key for the denied storage account that you recorded earlier.
   $storageAcctKey2 = (pasted from procedure above)
   $acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
   ## Replace the login account with the name of the storage account you created.
   $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
   ## Replace the storage account name with the name of the storage account you created.
   New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential
   

10. Çalıştır seçin.

11. Çıktı kutusunda aşağıdaki hata iletisini alırsınız:

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
    + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    

12. Depolama hesabına erişimi kısıtlayan hizmet uç noktası ilkesi nedeniyle sürücü eşlemesi reddedilir.

Portal

Oluşturduğunuz kaynakları kullanmayı bitirdiğinizde, kaynak grubunu ve tüm kaynaklarını silebilirsiniz.

1. Azure portalında Kaynak grupları'nı arayın ve seçin.

2. Kaynak grupları sayfasında test-rg kaynak grubunu seçin.

3. test-rg sayfasında Kaynak grubunu sil'i seçin.

4. Silme işlemini onaylamak için Kaynak grubu adını girin alanına test-rg yazın ve ardından Sil'i seçin.

PowerShell

Artık gerekli olmadığında Remove-AzResourceGroup kullanarak kaynak grubunu ve içerdiği tüm kaynakları kaldırabilirsiniz:

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

CLI

Artık gerekli olmadığında az group delete komutunu kullanarak kaynak grubunu ve içerdiği tüm kaynakları kaldırın.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Sonraki adımlar

Bu öğreticide bir hizmet uç noktası ilkesi oluşturdunuz ve bunu bir alt ağ ile ilişkilendirdiyseniz. Hizmet uç noktası ilkeleri hakkında daha fazla bilgi edinmek için bkz . hizmet uç noktası ilkelerine genel bakış.