Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Depolama güvenlik duvarı kuralları, depolama hesabınızın genel uç noktasına ağ erişimi üzerinde ayrıntılı denetim sağlar. Varsayılan olarak, depolama hesapları herhangi bir ağdan bağlantılara izin verir, ancak depolama hesabınıza bağlanabilecek kaynakları tanımlayan ağ kurallarını yapılandırarak erişimi kısıtlayabilirsiniz.
Dört tür ağ kuralı yapılandırabilirsiniz:
- Sanal ağ kuralları: Azure Sanal Ağları içindeki belirli alt ağlardan gelen trafiğe izin verme
- IP ağ kuralları: Belirli genel IP adresi aralıklarından gelen trafiğe izin ver
- Kaynak örneği kuralları: Sanal ağ veya IP kuralları aracılığıyla yalıtılabilen belirli Azure kaynak örneklerinden gelen trafiğe izin verme
- Güvenilen hizmet özel durumları: Ağ sınırınızın dışında çalışan belirli Azure hizmetlerinden gelen trafiğe izin verme
Ağ kuralları yapılandırıldığında, depolama hesabınıza yalnızca açıkça izin verilen kaynaklardan gelen trafik genel uç noktası üzerinden erişebilir. Diğer tüm trafik reddedilir.
Dikkat
İzin verilen kaynaklardan istekte bulunan istemcilerin de depolama hesabının yetkilendirme gereksinimlerini karşılaması gerekir. Hesap yetkilendirme hakkında daha fazla bilgi edinmek için bkz. Azure Depolama'da verilere erişimi yetkilendirme.
Sanal ağ kuralları
Herhangi bir Azure Sanal Ağı'nda alt ağlardan gelen trafiği etkinleştirebilirsiniz. Sanal ağ, herhangi bir Azure bölgesindeki herhangi bir Microsoft Entra kiracısı içindeki herhangi bir abonelikten olabilir. Bir alt ağdan gelen trafiği etkinleştirmek için bir sanal ağ kuralı ekleyin. Depolama hesabı başına en fazla 400 sanal ağ kuralı ekleyebilirsiniz.
Alt ağın sanal ağ ayarlarında bir Sanal Ağ hizmet uç noktasını da etkinleştirmeniz gerekir. Bu uç nokta, depolama hesabınıza güvenli ve doğrudan bağlantı sağlamak için tasarlanmıştır.
Azure portalını kullanarak ağ kuralları oluşturduğunuzda, her hedef alt ağı seçtiğinizde bu hizmet uç noktaları otomatik olarak oluşturulur. PowerShell ve Azure CLI, bunları el ile oluşturmak için kullanabileceğiniz komutlar sağlar. Hizmet uç noktaları hakkında daha fazla bilgi edinmek için bkz. Sanal Ağ hizmet uç noktaları.
Aşağıdaki tabloda, Azure Depolama için etkinleştirebileceğiniz her hizmet uç noktası türü açıklanmaktadır:
| Hizmet uç noktası | Kaynak adı | Açıklama |
|---|---|---|
| Azure Depolama uç noktası | Microsoft.Storage | Sanal ağ ile aynı bölgedeki depolama hesaplarına bağlantı sağlar. |
| Azure Depolama bölgeler arası hizmet uç noktası | Microsoft.Storage.Global | Herhangi bir bölgedeki depolama hesaplarına bağlantı sağlar. |
Dikkat
Bu uç nokta türlerinden yalnızca birini bir alt ağ ile ilişkilendirebilirsiniz. Bu uç noktalardan biri alt ağ ile zaten ilişkiliyse, diğer uç noktayı eklemeden önce bu uç noktayı silmeniz gerekir.
Sanal ağ kuralı yapılandırmayı ve hizmet uç noktalarını etkinleştirmeyi öğrenmek için bkz. Azure Depolama için sanal ağ kuralı oluşturma.
Eşleştirilmiş bölgeden erişim
Hizmet uç noktaları, eşleştirilmiş bir bölgedeki sanal ağlar ve hizmet örnekleri arasında da çalışır.
Sanal ağlar ve hizmet örnekleri arasında hizmet uç noktalarının eşleştirilmiş bir bölgede yapılandırılması olağanüstü durum kurtarma planınızın önemli bir parçası olabilir. Hizmet uç noktaları bölgesel yük devretme sırasında sürekliliği sağlar ve salt okunur coğrafi olarak yedekli depolama (RA-GRS) örneklerine erişim sağlar. Bir sanal ağdan depolama hesabına erişim izni veren sanal ağ kuralları da herhangi bir RA-GRS örneğine erişim verir.
Bölgesel bir kesinti sırasında olağanüstü durum kurtarmayı planlarken, eşleştirilmiş bölgede önceden sanal ağları oluşturun. Bu alternatif sanal ağlardan erişim izni veren ağ kurallarıyla Azure Depolama için hizmet uç noktalarını etkinleştirin. Ardından bu kuralları coğrafi olarak yedekli depolama hesaplarınıza uygulayın.
IP ağ kuralları
Sanal ağda olmayan istemciler ve hizmetler için IP ağ kuralları oluşturarak trafiği etkinleştirebilirsiniz. Her IP ağ kuralı, belirli bir genel IP adresi aralığından gelen trafiği etkinleştirir. Örneğin, şirket içi ağdaki bir istemcinin depolama verilerine erişmesi gerekiyorsa, bu istemcinin genel IP adresini içeren bir kural oluşturabilirsiniz. Her depolama hesabı en fazla 400 IP ağ kuralını destekler.
IP ağ kuralları oluşturmayı öğrenmek için bkz. Azure Depolama için IP ağ kuralı oluşturma.
Bir alt ağ için hizmet uç noktasını etkinleştirirseniz, bu alt ağdan gelen trafik depolama hesabıyla iletişim kurmak için genel IP adresi kullanmaz. Bunun yerine, tüm trafik kaynak IP olarak özel bir IP adresi kullanır. Sonuç olarak, bu alt ağlardan gelen trafiğe izin veren IP ağ kurallarının artık bir etkisi olmaz.
Belirli bir IP adresine erişim veren SAS belirteçleri, belirteç sahibinin erişimini sınırlamaya hizmet eder, ancak yapılandırılmış ağ kurallarının ötesinde yeni erişim vermez.
Önemli
Bazı kısıtlamalar IP adresi aralıkları için geçerlidir. Kısıtlamaların listesi için bkz. IP ağ kuralları için kısıtlamalar.
Şirket içi ağdan erişim
Ip ağ kuralı kullanarak şirket içi ağdan gelen trafiği etkinleştirebilirsiniz. İlk olarak, ağınızın kullandığı İnternet'e yönelik IP adreslerini tanımlamanız gerekir. Yardım için ağ yöneticinize başvurun.
Azure ExpressRoute'u şirket içinden kullanıyorsanız Microsoft eşlemesi için kullanılan NAT IP adreslerini tanımlamanız gerekir. NAT IP adreslerini hizmet sağlayıcısı veya müşteri sağlar.
Hizmet kaynaklarınıza erişime izin vermek için, kaynak IP'leri için güvenlik duvarı ayarında bu genel IP adreslerine izin vermelisiniz.
Azure kaynak örneği kuralları
Bazı Azure kaynakları sanal ağ veya IP adresi kuralı aracılığıyla yalıtılamaz. Bir kaynak örneği ağ kuralı oluşturarak bu kaynaklardan gelen trafiği etkinleştirebilirsiniz. Kaynak örneğinin Azure rol atamaları, kaynak örneğinin depolama hesabı verilerinde gerçekleştirebileceği işlem türlerini belirler. Kaynak örnekleri depolama hesabınızla aynı kiracıdan olmalıdır, ancak kiracı içindeki herhangi bir aboneliğe ait olabilir.
Kaynak örneği kuralını yapılandırmayı öğrenmek için bkz. Azure Depolama için kaynak örneği ağ kuralı oluşturma.
Güvenilen Azure hizmetleri için özel durumlar
Ağ sınırının dışındaki bir Azure hizmetinden gelen trafiği etkinleştirmeniz gerekiyorsa, ağ güvenliği özel durumu ekleyebilirsiniz. Bu, sanal ağınıza veya IP ağ kurallarınıza ekleyemediğiniz bir ağdan çalışan bir Azure hizmeti olduğunda yararlı olabilir. Örneğin, bazı hizmetlerin hesabınızdaki kaynak günlüklerini ve ölçümlerini okuması gerekebilir. Bir ağ kuralı özel durumu oluşturarak günlük dosyaları, ölçüm tabloları veya her ikisi için de okuma erişimine izin vekleyebilirsiniz. Bu hizmetler, güçlü kimlik doğrulaması kullanarak depolama hesabınıza bağlanır.
Ağ güvenliği özel durumu ekleme hakkında daha fazla bilgi edinmek için bkz. Ağ güvenliği özel durumlarını yönetme.
Trafiği etkinleştirebileceğiniz Azure hizmetlerinin tam listesi için bkz . Güvenilen Azure hizmetleri.
Kısıtlamalar ve dikkat edilmesi gerekenler
Depolama hesaplarınız için ağ güvenliğini uygulamadan önce tüm kısıtlamaları ve dikkate alınacak noktaları gözden geçirmeyi unutmayın. Tam liste için bkz. Azure Depolama güvenlik duvarı ve sanal ağ yapılandırması için kısıtlamalar ve sınırlamalar.