Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma

Azure Depolama, çok katmanlı bir güvenlik modeline sahiptir. Bu model, kullandığınız ağ veya kaynakların türüne ve alt kümesine dayalı olarak, uygulamalarınızın ve kuruluş ortamlarınızdaki depolama hesaplarınıza erişim düzeyini denetlemenize olanak tanır.

Ağ kurallarını yapılandırdığınızda, yalnızca belirtilen ağ kümesi üzerinden veya belirtilen Azure kaynakları üzerinden veri isteyen uygulamalar bir depolama hesabına erişebilir. Depolama hesabınıza erişimi belirtilen IP adreslerinden, IP aralıklarından, Bir Azure sanal ağındaki alt ağlardan veya bazı Azure hizmetlerinin kaynak örneklerinden gelen isteklerle sınırlayabilirsiniz.

Depolama hesapların İnternet üzerinden erişilebilen bir genel uç noktası vardır. Depolama hesabınız için özel uç noktalar da oluşturabilirsiniz. Özel uç noktalar oluşturmak, sanal ağınızdan depolama hesabına bir özel IP adresi atar. Özel bir bağlantı üzerinden sanal ağınızla depolama hesabınız arasındaki trafiğin güvenliğini sağlar.

Azure Depolama güvenlik duvarı, depolama hesabınızın genel uç noktası için erişim denetimi sağlar. Özel uç noktaları kullanırken genel uç nokta üzerinden tüm erişimi engellemek için güvenlik duvarını da kullanabilirsiniz. Güvenlik duvarı yapılandırmanız, güvenilen Azure platform hizmetlerinin depolama hesabına erişmesini de sağlar.

Ağ kuralları etkin olduğunda depolama hesabına erişen bir uygulama, istek için uygun yetkilendirmeyi gerektirir. Yetkilendirme, bloblar, tablolar, dosya paylaşımları ve kuyruklar için Microsoft Entra kimlik bilgileriyle, geçerli bir hesap erişim anahtarıyla veya paylaşılan erişim imzası (SAS) belirteci ile desteklenir. Blob kapsayıcısını anonim erişim için yapılandırdığınızda, bu kapsayıcıdaki verileri okuma isteklerinin yetkilendirilmiş olması gerekmez. Güvenlik duvarı kuralları etkin kalır ve anonim trafiği engeller.

Depolama hesabınız için güvenlik duvarı kurallarının açılması, istekler bir Azure sanal ağı içinde çalışan bir hizmetten veya izin verilen genel IP adreslerinden gelmediği sürece gelen veri isteklerini varsayılan olarak engeller. Engellenen istekler arasında diğer Azure hizmetlerinden, Azure portalından ve günlük ve ölçüm hizmetlerinden gelen istekler bulunur.

Hizmet örneğini barındıran alt ağdan gelen trafiğe izin vererek bir sanal ağ içinden çalışan Azure hizmetlerine erişim vekleyebilirsiniz. Ayrıca, bu makalede açıklanan özel durumlar mekanizması aracılığıyla sınırlı sayıda senaryoyu etkinleştirebilirsiniz. Azure portalı üzerinden depolama hesabından verilere erişmek için, ayarladığınız güvenilen sınır (IP veya sanal ağ) içindeki bir makinede olmanız gerekir.

Not

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Senaryolar

Depolama hesabınızın güvenliğini sağlamak için, önce varsayılan olarak genel uç nokta üzerindeki tüm ağlardan (İnternet trafiği dahil) gelen trafiğe erişimi reddedecek bir kural yapılandırmanız gerekir. Ardından, belirli sanal ağlardan gelen trafiğe erişim izni veren kurallar yapılandırmanız gerekir. Ayrıca, belirli genel İnternet IP adresi aralıklarından gelen trafiğe erişim izni vermek için kurallar yapılandırarak belirli İnternet veya şirket içi istemcilerden gelen bağlantıları etkinleştirebilirsiniz. Bu yapılandırma, uygulamalarınız için güvenli bir ağ sınırı oluşturmanıza yardımcı olur.

Belirli sanal ağlardan ve genel IP adresi aralıklarından aynı depolama hesabından erişime izin veren güvenlik duvarı kurallarını birleştirebilirsiniz. Mevcut depolama hesaplarına veya yeni depolama hesapları oluşturduğunuzda depolama güvenlik duvarı kuralları uygulayabilirsiniz.

Depolama güvenlik duvarı kuralları, depolama hesabının genel uç noktasına uygulanır. Depolama hesabının özel uç noktaları için trafiğe izin vermek için herhangi bir güvenlik duvarı erişim kuralına ihtiyacınız yoktur. Özel uç noktanın oluşturulmasını onaylama işlemi, özel uç noktayı barındıran alt ağdan gelen trafiğe örtük erişim verir.

Önemli

Azure Depolama güvenlik duvarı kuralları yalnızca veri düzlemi işlemleri için geçerlidir. Denetim düzlemi işlemleri güvenlik duvarı kurallarında belirtilen kısıtlamalara tabi değildir.

Blob kapsayıcı işlemleri gibi bazı işlemler hem denetim düzlemi hem de veri düzlemi aracılığıyla gerçekleştirilebilir. Bu nedenle, Azure portalından kapsayıcıları listeleme gibi bir işlem gerçekleştirmeye çalışırsanız, başka bir mekanizma tarafından engellenmediği sürece işlem başarılı olur. Azure Depolama Gezgini gibi bir uygulamadan blob verilerine erişme girişimleri güvenlik duvarı kısıtlamaları tarafından denetlenmektedir.

Veri düzlemi işlemlerinin listesi için bkz. Azure Depolama REST API Başvurusu. Denetim düzlemi işlemlerinin listesi için bkz. Azure Depolama Kaynak Sağlayıcısı REST API Başvurusu.

Azure Depolama ağ erişimini yapılandırma

Depolama hesabınızdaki verilere erişimi ağ uç noktaları üzerinden veya aşağıdakiler dahil olmak üzere herhangi bir birleşimde güvenilen hizmetler veya kaynaklar aracılığıyla denetleyebilirsiniz:

• Özel uç noktalarını kullanarak seçili sanal ağ alt ağlarından erişime izin verin.
• Hizmet uç noktalarını kullanarak seçili sanal ağ alt ağlarından erişime izin verin.
• Belirli genel IP adreslerinden veya aralıklarından erişime izin verin.
• Seçili Azure kaynak örneklerinden erişime izin verin.
• Güvenilen Azure hizmetlerinden erişime izin verin (Özel durumları yönet'i kullanarak).
• Günlük ve ölçüm hizmetleri için özel durumları yapılandırın.

Sanal ağ uç noktaları hakkında

Depolama hesapları için iki tür sanal ağ uç noktası vardır:

• Sanal ağ hizmet uç noktaları
• Özel uç noktalar

Sanal ağ hizmet uç noktaları geneldir ve İnternet üzerinden erişilebilir. Azure Depolama güvenlik duvarı, bu tür genel uç noktalar üzerinden depolama hesabınıza erişimi denetleme olanağı sağlar. Depolama hesabınıza genel ağ erişimini etkinleştirdiğinizde, tüm gelen veri istekleri varsayılan olarak engellenir. Yalnızca depolama hesabı güvenlik duvarı ayarlarınızda yapılandırdığınız izin verilen kaynaklardan veri isteyen uygulamalar verilerinize erişebilir. Kaynaklar, bir istemcinin kaynak IP adresini veya sanal ağ alt ağını ya da istemcilerin veya hizmetlerin verilerinize erişebildiği bir Azure hizmetini veya kaynak örneğini içerebilir. Engellenen istekler, güvenlik duvarı yapılandırmanızda erişime açıkça izin vermediğiniz sürece diğer Azure hizmetlerinden, Azure portalından ve günlük ve ölçüm hizmetlerinden gelen istekleri içerir.

Özel uç nokta, Microsoft omurga ağı üzerinden bir depolama hesabına erişmek için sanal ağınızdan bir özel IP adresi kullanır. Özel uç nokta ile sanal ağınız ile depolama hesabınız arasındaki trafik özel bir bağlantı üzerinden güvenli hale getirilir. Depolama güvenlik duvarı kuralları, özel uç noktalara değil yalnızca depolama hesabının genel uç noktalarına uygulanır. Özel uç noktanın oluşturulmasını onaylama işlemi, özel uç noktayı barındıran alt ağdan gelen trafiğe örtük erişim verir. Erişim kurallarını daraltmak istiyorsanız özel uç noktalar üzerindeki trafiği denetlemek için Ağ İlkeleri'ni kullanabilirsiniz. Özel uç noktaları özel olarak kullanmak istiyorsanız, genel uç nokta üzerinden tüm erişimi engellemek için güvenlik duvarını kullanabilirsiniz.

Ortamınızdaki her uç nokta türünü ne zaman kullanacağınıza karar vermenize yardımcı olması için bkz . Özel Uç Noktaları ve Hizmet Uç Noktalarını Karşılaştırma.

Depolama hesabınız için ağ güvenliğine yaklaşma

Depolama hesabınızın güvenliğini sağlamak ve uygulamalarınız için güvenli bir ağ sınırı oluşturmak için:

1. Depolama hesabı güvenlik duvarındaki Genel ağ erişimi ayarı altında depolama hesabı için tüm genel ağ erişimini devre dışı bırakarak başlayın.

2. Mümkün olduğunda, istemcilerin bulunduğu ve verilerinize erişim gerektiren sanal ağ alt ağlarında özel uç noktalardan depolama hesabınıza özel bağlantılar yapılandırın.

3. İstemci uygulamaları genel uç noktalar üzerinden erişim gerektiriyorsa, Genel ağ erişimi ayarını Seçili sanal ağlardan ve IP adreslerinden etkin olarak değiştirin. Ardından, gerektiği gibi:

   1. Erişime izin vermek istediğiniz sanal ağ alt ağlarını belirtin.
   2. Şirket içi ağlar gibi erişime izin vermek istediğiniz istemcilerin genel IP adresi aralıklarını belirtin.
   3. Seçili Azure kaynak örneklerinden erişime izin verin.
   4. Verileri yedekleme gibi işlemler için gereken güvenilen hizmetlerden erişime izin vermek için özel durumlar ekleyin.
   5. Günlüğe kaydetme ve ölçümler için özel durumlar ekleyin.

Ağ kurallarını uyguladıktan sonra, bunlar tüm istekler için zorlanır. Belirli bir IP adresine erişim veren SAS belirteçleri, belirteç sahibinin erişimini sınırlamaya hizmet eder, ancak yapılandırılmış ağ kurallarının ötesinde yeni erişim vermez.

Kısıtlamalar ve dikkat edilmesi gerekenler

Depolama hesaplarınız için ağ güvenliğini uygulamadan önce, bu bölümde ele alınan önemli kısıtlamaları ve dikkat edilmesi gerekenleri gözden geçirin.

• Azure Depolama güvenlik duvarı kuralları yalnızca veri düzlemi işlemleri için geçerlidir. Denetim düzlemi işlemleri güvenlik duvarı kurallarında belirtilen kısıtlamalara tabi değildir.
• IP ağ kuralları kısıtlamaları'nı gözden geçirin.
• Azure portalı, Azure Depolama Gezgini ve AzCopy gibi araçları kullanarak verilere erişmek için ağ güvenlik kurallarını yapılandırırken oluşturduğunuz güvenilen sınır içindeki bir makinede olmanız gerekir.
• Ağ kuralları REST ve SMB dahil olmak üzere Azure Depolama için tüm ağ protokollerinde uygulanır.
• Ağ kuralları, bağlama ve çıkarma işlemleri ve disk G/Ç'si dahil olmak üzere sanal makine (VM) disk trafiğini etkilemez, ancak sayfa bloblarına REST erişimini korumaya yardımcı olur.
• Özel durum oluşturarak VM'leri yedeklemek ve geri yüklemek için ağ kuralları uygulanmış depolama hesaplarında yönetilmeyen diskler kullanabilirsiniz. Yönetilen diskler Azure tarafından yönetildiği için güvenlik duvarı özel durumları geçerli değildir.
• Klasik depolama hesapları güvenlik duvarlarını ve sanal ağları desteklemez.
• Bir sanal ağ kuralına dahil edilen bir alt ağı silerseniz, depolama hesabının ağ kurallarından kaldırılır. Aynı ada sahip yeni bir alt ağ oluşturursanız depolama hesabına erişimi olmaz. Erişime izin vermek için, depolama hesabının ağ kurallarında yeni alt ağı açıkça yetkilendirmeniz gerekir.
• İstemci uygulamasında bir hizmet uç noktasına başvururken, önbelleğe alınmış bir IP adresine bağımlılık almaktan kaçınmanız önerilir. Depolama hesabı IP adresi değiştirilebilir ve önbelleğe alınmış bir IP adresine güvenmek beklenmeyen davranışa neden olabilir. Buna ek olarak, DNS kaydının yaşam süresine (TTL) uygun olmanız ve bu kaydı geçersiz kılmaktan kaçınmanız önerilir. DNS TTL'nin geçersiz kılınması beklenmeyen davranışlara neden olabilir.
• Tasarım gereği güvenilen hizmetlerden depolama hesabına erişim, diğer ağ erişimi kısıtlamaları arasında en yüksek önceliğe sahiptir. Daha önce seçili sanal ağlardan ve IP adreslerinden Etkin olarak ayarladıktan sonra Genel ağ erişimini Devre Dışı olarak ayarlarsanız, güvenilen hizmetler listesindeki Azure hizmetlerinin bu depolama hesabına erişmesine izin ver de dahil olmak üzere daha önce yapılandırdığınız tüm kaynak örnekleri ve özel durumlar etkin kalır. Sonuç olarak, bu kaynaklar ve hizmetler depolama hesabına erişmeye devam edebilir.

Yetkilendirme

Ağ kuralları aracılığıyla erişim verilen istemcilerin verilere erişmek için depolama hesabının yetkilendirme gereksinimlerini karşılamaya devam etmesi gerekir. Yetkilendirme, bloblar ve kuyruklar için Microsoft Entra kimlik bilgileriyle, geçerli bir hesap erişim anahtarıyla veya paylaşılan erişim imzası (SAS) belirteci ile desteklenir.

Anonim genel erişim için bir blob kapsayıcısı yapılandırdığınızda, bu kapsayıcıdaki verileri okuma isteklerinin yetkilendirilmesine gerek yoktur, ancak güvenlik duvarı kuralları geçerli kalır ve anonim trafiği engeller.

Varsayılan ağ erişim kuralını değiştirme

Varsayılan olarak, depolama hesapları herhangi bir ağ üzerindeki istemcilerden gelen bağlantıları kabul eder. Seçili ağlara erişimi sınırlayabilir veya tüm ağlardan gelen trafiği engelleyebilir ve yalnızca özel bir uç nokta üzerinden erişime izin vekleyebilirsiniz.

Varsayılan kuralı reddetmek için ayarlamanız gerekir, aksi zaman ağ kurallarının hiçbir etkisi yoktur. Ancak bu ayarı değiştirmek, uygulamanızın Azure Depolama'a bağlanma becerisini etkileyebilir. Bu ayarı değiştirmeden önce izin verilen tüm ağlara erişim izni verdiğinizden veya özel uç nokta üzerinden erişim ayarladığınızdan emin olun.

Not

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Portal

1. Güvenliğini sağlamak istediğiniz depolama hesabına gidin.

2. Güvenlik + ağ altında Ağ ayarlarını bulun.

3. İzin vermek istediğiniz genel ağ erişimi türünü seçin:

   • Tüm ağlardan gelen trafiğe izin vermek için Tüm ağlardan etkinleştirildi'yi seçin.

   • Yalnızca belirli sanal ağlardan gelen trafiğe izin vermek için Seçili sanal ağlardan ve IP adreslerinden etkin'i seçin.

   • Tüm ağlardan gelen trafiği engellemek için Devre dışı'yı seçin.

4. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

PowerShell

1. Azure PowerShell'i yükleyin ve oturum açın.

2. İzin vermek istediğiniz genel ağ erişimi türünü seçin:

   • Tüm ağlardan gelen trafiğe izin vermek için komutunu kullanın Update-AzStorageAccountNetworkRuleSet ve parametresini -DefaultAction olarak Allowayarlayın:

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
     

   • Yalnızca belirli sanal ağlardan gelen trafiğe izin vermek için komutunu kullanın Update-AzStorageAccountNetworkRuleSet ve parametresini -DefaultAction olarak Denyayarlayın:

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
     

   • Tüm ağlardan gelen trafiği engellemek için komutunu kullanın Set-AzStorageAccount ve parametresini -PublicNetworkAccess olarak Disabledayarlayın. Trafiğe yalnızca özel bir uç nokta üzerinden izin verilir. Bu özel uç noktayı oluşturmanız gerekir.

     Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
     

Azure CLI

1. Azure CLI'yiyükleyin ve oturum açın.

2. İzin vermek istediğiniz genel ağ erişimi türünü seçin:

   • Tüm ağlardan gelen trafiğe izin vermek için komutunu kullanın az storage account update ve parametresini --default-action olarak Allowayarlayın:

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
     

   • Yalnızca belirli sanal ağlardan gelen trafiğe izin vermek için komutunu kullanın az storage account update ve parametresini --default-action olarak Denyayarlayın:

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
     

   • Tüm ağlardan gelen trafiği engellemek için komutunu kullanın az storage account update ve parametresini --public-network-access olarak Disabledayarlayın. Trafiğe yalnızca özel bir uç nokta üzerinden izin verilir. Bu özel uç noktayı oluşturmanız gerekir.

     az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
     

Dikkat

Tasarım gereği güvenilen hizmetlerden depolama hesabına erişim, diğer ağ erişimi kısıtlamaları arasında en yüksek önceliğe sahiptir. Daha önce seçili sanal ağlardan ve IP adreslerinden Etkin olarak ayarladıktan sonra Genel ağ erişimini Devre Dışı olarak ayarlarsanız, güvenilen hizmetler listesindeki Azure hizmetlerinin bu depolama hesabına erişmesine izin ver de dahil olmak üzere daha önce yapılandırdığınız tüm kaynak örnekleri ve özel durumlar etkin kalır. Sonuç olarak, bu kaynaklar ve hizmetler depolama hesabına erişmeye devam edebilir.

Sanal ağdan erişim izni verin

Depolama hesaplarını yalnızca belirli alt ağlardan erişime izin verecek şekilde yapılandırabilirsiniz. İzin verilen alt ağlar, farklı bir Microsoft Entra kiracısına ait olanlar da dahil olmak üzere aynı abonelikteki veya farklı bir abonelikteki bir sanal ağa ait olabilir. Bölgeler arası hizmet uç noktalarıyla, izin verilen alt ağlar depolama hesabından farklı bölgelerde de olabilir.

Sanal ağ içinde Azure Depolama için bir hizmet uç noktasını etkinleştirebilirsiniz. Hizmet uç noktası, trafiği sanal ağdan Azure Depolama hizmetine en uygun yol üzerinden yönlendirir. Her istekle birlikte alt ağın ve sanal ağın kimlikleri de iletilir. Yönetici istrator'lar daha sonra bir sanal ağdaki belirli alt ağlardan isteklerin alınmasına izin veren depolama hesabı için ağ kurallarını yapılandırabilir. Bu ağ kuralları aracılığıyla erişim verilen istemcilerin verilere erişmek için depolama hesabının yetkilendirme gereksinimlerini karşılamaya devam etmesi gerekir.

Her depolama hesabı en fazla 400 sanal ağ kuralını destekler. Bu kuralları IP ağ kurallarıyla birleştirebilirsiniz.

Önemli

İstemci uygulamasında bir hizmet uç noktasına başvururken, önbelleğe alınmış bir IP adresine bağımlılık almaktan kaçınmanız önerilir. Depolama hesabı IP adresi değiştirilebilir ve önbelleğe alınmış bir IP adresine güvenmek beklenmeyen davranışa neden olabilir.

Buna ek olarak, DNS kaydının yaşam süresine (TTL) uygun olmanız ve bu kaydı geçersiz kılmaktan kaçınmanız önerilir. DNS TTL'nin geçersiz kılınması beklenmeyen davranışlara neden olabilir.

Gerekli izinler

Depolama hesabına sanal ağ kuralı uygulamak için, kullanıcının eklenen alt ağlar için uygun izinlere sahip olması gerekir. Depolama Hesabı Katkıda Bulunanı veya Azure kaynak sağlayıcısı işlemine Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action izni olan bir kullanıcı, özel bir Azure rolü kullanarak bir kural uygulayabilir.

Depolama hesabı ve erişim elde eden sanal ağlar, farklı bir Microsoft Entra kiracısının parçası olan abonelikler de dahil olmak üzere farklı aboneliklerde olabilir.

Farklı bir Microsoft Entra kiracısının parçası olan sanal ağlardaki alt ağlara erişim izni veren kuralların yapılandırılması şu anda yalnızca PowerShell, Azure CLI ve REST API'leri aracılığıyla desteklenmektedir. Bu tür kuralları Azure portalı üzerinden yapılandıramazsınız, ancak bunları portalda görüntüleyebilirsiniz.

Azure Depolama bölgeler arası hizmet uç noktaları

Azure Depolama için bölgeler arası hizmet uç noktaları Nisan 2023'te genel kullanıma sunuldu. Sanal ağlar ve herhangi bir bölgedeki depolama hizmeti örnekleri arasında çalışır. Bölgeler arası hizmet uç noktalarıyla alt ağlar artık başka bir bölgedekiler de dahil olmak üzere herhangi bir depolama hesabıyla iletişim kurmak için genel IP adresi kullanmaz. Bunun yerine, alt ağlardan depolama hesaplarına gelen tüm trafik, kaynak IP olarak özel bir IP adresi kullanır. Sonuç olarak, bu alt ağlardan gelen trafiğe izin vermek için IP ağ kurallarını kullanan depolama hesaplarının artık bir etkisi olmaz.

Sanal ağlar ve hizmet örnekleri arasında hizmet uç noktalarının eşleştirilmiş bir bölgede yapılandırılması olağanüstü durum kurtarma planınızın önemli bir parçası olabilir. Hizmet uç noktaları bölgesel yük devretme sırasında sürekliliğe ve salt okunur coğrafi olarak yedekli depolama (RA-GRS) örneklerine erişim sağlar. Bir sanal ağdan depolama hesabına erişim izni veren ağ kuralları da herhangi bir RA-GRS örneğine erişim verir.

Bölgesel bir kesinti sırasında olağanüstü durum kurtarmayı planlarken, eşleştirilmiş bölgede önceden sanal ağları oluşturun. Bu alternatif sanal ağlardan erişim veren ağ kurallarıyla Azure Depolama için hizmet uç noktalarını etkinleştirin. Ardından bu kuralları coğrafi olarak yedekli depolama hesaplarınıza uygulayın.

Yerel ve bölgeler arası hizmet uç noktaları aynı alt ağda bir arada olamaz. Mevcut hizmet uç noktalarını bölgeler arası uç noktalarla değiştirmek için mevcut Microsoft.Storage uç noktaları silin ve bölgeler arası uç noktalar (Microsoft.Storage.Global olarak) yeniden oluşturun.

Sanal ağ kurallarını yönetme

Depolama hesapları için sanal ağ kurallarını Azure portalı, PowerShell veya Azure CLI v2 aracılığıyla yönetebilirsiniz.

Depolama hesabınıza başka bir Microsoft Entra kiracısında bulunan bir sanal ağdan veya alt ağdan erişimi etkinleştirmek istiyorsanız PowerShell veya Azure CLI kullanmanız gerekir. Azure portalı diğer Microsoft Entra kiracılarında alt ağları göstermez.

Portal

1. Güvenliğini sağlamak istediğiniz depolama hesabına gidin.

2. Ağ'ı seçin.

3. Seçili ağlardan erişime izin verme seçeneğini belirleyin.

4. Yeni bir ağ kuralı kullanarak bir sanal ağa erişim vermek için Sanal ağlar'ın altında Varolan sanal ağı ekle'yi seçin. Sanal ağlar ve Alt ağlar seçeneklerini ve ardından Ekle'yi seçin.

   Yeni bir sanal ağ oluşturmak ve erişim vermek için Yeni sanal ağ ekle'yi seçin. Yeni sanal ağı oluşturmak için gerekli bilgileri sağlayın ve oluştur'u seçin.

   Azure Depolama için bir hizmet uç noktası daha önce seçili sanal ağ ve alt ağlar için yapılandırılmadıysa, bunu bu işlemin bir parçası olarak yapılandırabilirsiniz.

   Şu anda, kural oluşturma sırasında yalnızca aynı Microsoft Entra kiracısına ait sanal ağlar seçim için görünür. Başka bir kiracıya ait bir sanal ağdaki alt ağa erişim vermek için PowerShell, Azure CLI veya REST API'lerini kullanın.

5. Bir sanal ağı veya alt ağ kuralını kaldırmak için üç noktayı (...) seçerek sanal ağ veya alt ağın bağlam menüsünü açın ve ardından Kaldır'ı seçin.

6. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

Önemli

Bir ağ kuralına dahil olan bir alt ağı silerseniz, depolama hesabının ağ kurallarından kaldırılır. Aynı ada sahip yeni bir alt ağ oluşturursanız depolama hesabına erişimi olmaz. Erişime izin vermek için, depolama hesabının ağ kurallarında yeni alt ağı açıkça yetkilendirmeniz gerekir.

PowerShell

1. Azure PowerShell'i yükleyin ve oturum açın.

2. Sanal ağ kurallarını listeleme:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
   

3. Mevcut bir sanal ağ ve alt ağda Azure Depolama için hizmet uç noktasını etkinleştirin:

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
   

4. Sanal ağ ve alt ağ için ağ kuralı ekleyin:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

   Başka bir Microsoft Entra kiracısına ait bir sanal ağdaki bir alt ağa ağ kuralı eklemek için biçiminde /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-nametam parametre VirtualNetworkResourceId kullanın.

5. Sanal ağ ve alt ağ için ağ kuralını kaldırma:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

Azure CLI

1. Azure CLI'yiyükleyin ve oturum açın.

2. Sanal ağ kurallarını listeleme:

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
   

3. Mevcut bir sanal ağ ve alt ağda Azure Depolama için hizmet uç noktasını etkinleştirin:

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
   

4. Sanal ağ ve alt ağ için ağ kuralı ekleyin:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

   Başka bir Microsoft Entra kiracısına ait sanal ağdaki bir alt ağa kural eklemek için biçiminde /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>tam alt ağ kimliğini kullanın. parametresini subscription kullanarak başka bir Microsoft Entra kiracısına ait bir sanal ağın alt ağ kimliğini alabilirsiniz.

5. Sanal ağ ve alt ağ için ağ kuralını kaldırma:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

İnternet IP aralığından erişim izni verme

IP ağ kuralları oluşturarak belirli genel İnternet IP adresi aralıklarından erişime izin vermek için IP ağ kurallarını kullanabilirsiniz. Her depolama hesabı en fazla 400 kuralı destekler. Bu kurallar belirli İnternet tabanlı hizmetlere ve şirket içi ağlara erişim verir ve genel İnternet trafiğini engeller.

IP ağ kuralları için kısıtlamalar

IP adresi aralıkları için aşağıdaki kısıtlamalar geçerlidir:

• IP ağ kurallarına yalnızca genel İnternet IP adresleri için izin verilir.

  IP kurallarında özel ağlar için ayrılmış IP adresi aralıklarına (RFC 1918'de tanımlandığı gibi) izin verilmez. Özel ağlar 10, 172.16 ile 172.31 ve 192.168 arasında başlayan adresleri içerir.

• İzin verilen internet adresi aralıklarını, 16.17.18.0/24 biçiminde CIDR gösterimini kullanarak veya 16.17.18.19 gibi tek tek IP adresleri olarak sağlamanız gerekir.

• /31 veya /32 ön ek boyutlarını kullanan küçük adres aralıkları desteklenmez. Bu aralıkları tek tek IP adresi kurallarını kullanarak yapılandırın.

• Depolama güvenlik duvarı kurallarının yapılandırılması için yalnızca IPv4 adresleri desteklenir.

Önemli

Aşağıdaki durumlarda IP ağ kurallarını kullanamazsınız:

• Depolama hesabıyla aynı Azure bölgesindeki istemcilere erişimi kısıtlamak için. IP ağ kurallarının, depolama hesabıyla aynı Azure bölgesinden gelen istekler üzerinde hiçbir etkisi yoktur. Aynı bölge isteklerine izin vermek için Sanal ağ kurallarını kullanın.
• Hizmet uç noktası olan bir sanal ağda bulunan eşleştirilmiş bir bölgedeki istemcilere erişimi kısıtlamak için.
• Depolama hesabıyla aynı bölgede dağıtılan Azure hizmetlerine erişimi kısıtlamak için. Depolama hesabıyla aynı bölgede dağıtılan servisler iletişim için özel Azure IP adreslerini kullanır. Bu nedenle, belirli Azure hizmetlerine erişimi genel giden IP adresi aralığına göre kısıtlayamazsınız.

Şirket içi ağlardan erişimi yapılandırma

Bir IP ağ kuralı kullanarak şirket içi ağlarınızdan depolama hesabınıza erişim vermek için, ağınızın kullandığı İnternet'e yönelik IP adreslerini tanımlamanız gerekir. Yardım için ağ yöneticinize başvurun.

Genel eşleme veya Microsoft eşlemesi için şirket içinden Azure ExpressRoute kullanıyorsanız, kullanılan NAT IP adreslerini tanımlamanız gerekir. Genel eşleme için her ExpressRoute bağlantı hattı (varsayılan olarak), trafik Microsoft Azure ağ omurgasına girdiğinde Azure hizmet trafiğine uygulanan iki NAT IP adresi kullanır. Microsoft eşlemesi için hizmet sağlayıcısı veya müşteri NAT IP adreslerini sağlar.

Hizmet kaynaklarınıza erişime izin vermek için, kaynak IP'leri için güvenlik duvarı ayarında bu genel IP adreslerine izin vermelisiniz. Genel eşleme ExpressRoute bağlantı hatlarının IP adreslerini bulmak için Azure portalı aracılığıyla ExpressRoute ile bir destek bileti açın. ExpressRoute genel eşlemesi ve Microsoft eşlemesi için NAT hakkında daha fazla bilgi edinin.

IP ağ kurallarını yönetme

Depolama hesapları için IP ağ kurallarını Azure portalı, PowerShell veya Azure CLI v2 aracılığıyla yönetebilirsiniz.

Portal

1. Güvenliğini sağlamak istediğiniz depolama hesabına gidin.

2. Ağ'ı seçin.

3. Seçili ağlardan erişime izin verme seçeneğini belirleyin.

4. İnternet IP aralığına erişim vermek için Güvenlik Duvarı>Adres Aralığı'nın altına IP adresini veya adres aralığını (CIDR biçiminde) girin.

5. IP ağ kuralını kaldırmak için adres aralığının yanındaki sil simgesini ( ) seçin.

6. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

PowerShell

1. Azure PowerShell'i yükleyin ve oturum açın.

2. IP ağ kurallarını listeleme:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
   

3. Tek bir IP adresi için ağ kuralı ekleyin:

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

4. IP adresi aralığı için ağ kuralı ekleyin:

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

5. Tek bir IP adresi için ağ kuralını kaldırma:

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

6. IP adresi aralığı için ağ kuralını kaldırma:

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

Azure CLI

1. Azure CLI'yiyükleyin ve oturum açın.

2. IP ağ kurallarını listeleme:

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
   

3. Tek bir IP adresi için ağ kuralı ekleyin:

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

4. IP adresi aralığı için ağ kuralı ekleyin:

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

5. Tek bir IP adresi için ağ kuralını kaldırma:

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

6. IP adresi aralığı için ağ kuralını kaldırma:

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

Azure kaynak örneklerinden erişim verme

Bazı durumlarda, bir uygulama sanal ağ veya IP adresi kuralı aracılığıyla yalıtılabilen Azure kaynaklarına bağımlı olabilir. Ancak yine de depolama hesabı erişiminin güvenliğini sağlamak ve yalnızca uygulamanızın Azure kaynaklarıyla kısıtlamak istiyorsunuz. Bir kaynak örneği kuralı oluşturarak depolama hesaplarını güvenilen Azure hizmetlerinin belirli kaynak örneklerine erişime izin verecek şekilde yapılandırabilirsiniz.

Kaynak örneğinin Azure rol atamaları, bir kaynak örneğinin depolama hesabı verilerinde gerçekleştirebileceği işlem türlerini belirler. Kaynak örnekleri depolama hesabınızla aynı kiracıdan olmalıdır, ancak kiracıdaki herhangi bir aboneliğe ait olabilir.

Portal

Azure portalında kaynak ağ kuralları ekleyebilir veya kaldırabilirsiniz:

1. Azure Portal’ında oturum açın.

2. Depolama hesabınızı bulun ve hesaba genel bakış bilgilerini görüntüleyin.

3. Ağ'ı seçin.

4. Güvenlik duvarları ve sanal ağlar'ın altında, Seçili ağlar için erişime izin verme seçeneğini belirleyin.

5. Kaynak örneklerini bulmak için aşağı kaydırın. Kaynak türü açılan listesinde kaynak örneğinizin kaynak türünü seçin.

6. Örnek adı açılan listesinde kaynak örneğini seçin. Tüm kaynak örneklerini etkin kiracıya, aboneliğe veya kaynak grubuna eklemeyi de seçebilirsiniz.

7. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin. Kaynak örneği, ağ ayarları sayfasının Kaynak örnekleri bölümünde görünür.

Kaynak örneğini kaldırmak için kaynak örneğinin yanındaki sil simgesini ( ) seçin.

PowerShell

Kaynak ağ kuralları eklemek veya kaldırmak için PowerShell komutlarını kullanabilirsiniz.

Erişim verme

Bir kaynak örneğinden erişim veren bir ağ kuralı ekleyin:

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Ağ kural kümesini değiştirerek aynı anda birden çok kaynak örneği belirtin:

$resourceId1 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$resourceId2 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/mySQLServer"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule (@{ResourceId=$resourceId1;TenantId=$tenantId},@{ResourceId=$resourceId2;TenantId=$tenantId}) 

Erişimi kaldırma

Kaynak örneğinden erişim izni veren bir ağ kuralını kaldırın:

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Remove-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId  

Kaynak örneklerinden erişim izni veren tüm ağ kurallarını kaldırın:

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule @()  

İzin verilen kaynak örneklerinin listesini görüntüleme

Depolama hesabına erişimi olan kaynak örneklerinin tam listesini görüntüleyin:

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

$rule = Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName
$rule.ResourceAccessRules 

Azure CLI

Kaynak ağ kuralları eklemek veya kaldırmak için Azure CLI komutlarını kullanabilirsiniz.

Erişim verme

Bir kaynak örneğinden erişim veren bir ağ kuralı ekleyin:

az storage account network-rule add \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Erişimi kaldırma

Kaynak örneğinden erişim izni veren bir ağ kuralını kaldırın:

az storage account network-rule remove \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

İzin verilen kaynak örneklerinin listesini görüntüleme

Depolama hesabına erişimi olan kaynak örneklerinin tam listesini görüntüleyin:

az storage account network-rule list \
    -g myResourceGroup \
    --account-name mystorageaccount

Güvenilen Azure hizmetlerine erişim izni verme

Bazı Azure hizmetleri, ağ kurallarınıza ekleyemezsiniz ağlardan çalışır. Bu tür güvenilen Azure hizmetlerinin bir alt kümesine depolama hesabına erişim izni verirken, diğer uygulamalar için ağ kurallarını koruyabilirsiniz. Bu güvenilir hizmetler daha sonra depolama hesabınıza bağlanmak için güçlü kimlik doğrulaması kullanır.

Bir ağ kuralı özel durumu oluşturarak güvenilen Azure hizmetlerine erişim vekleyebilirsiniz. Bu makalenin Özel durumları yönet bölümünde adım adım yönergeler sağlanır.

Aboneliğinizde kayıtlı kaynaklar için güvenilir erişim

Aboneliğinizde kayıtlı olan bazı hizmetlerin kaynakları, günlük yazma veya yedekleme çalıştırma gibi seçili işlemler için aynı abonelikteki depolama hesabınıza erişebilir. Aşağıdaki tabloda her hizmet ve izin verilen işlemler açıklanmaktadır.

Hizmet	Kaynak sağlayıcısı adı	İzin verilen işlemler
Azure Backup	Microsoft.RecoveryServices	Hizmet olarak altyapı (IaaS) sanal makinelerinde yönetilmeyen disklerin yedeklemelerini ve geri yüklemelerini çalıştırın (yönetilen diskler için gerekli değildir). Daha fazla bilgi edinin.
Azure Data Box	Microsoft.DataBox	Verileri Azure'a aktarma. Daha fazla bilgi edinin.
Azure DevTest Labs	Microsoft.DevTestLab	Özel görüntüler oluşturun ve yapıtları yükleyin. Daha fazla bilgi edinin.
Azure Event Grid	Microsoft.EventGrid	Azure Blob Depolama olay yayımlamayı etkinleştirin ve depolama kuyruklarında yayımlamaya izin verin.
Azure Event Hubs	Microsoft.EventHub	Event Hubs Capture kullanarak verileri arşivle. Daha fazla bilgi edinin.
Azure Dosya Eşitleme	Microsoft.StorageSync	Şirket içi dosya sunucunuzu Azure dosya paylaşımları için bir önbelleğe dönüştürün. Bu özellik birden çok siteli eşitlemeye, hızlı olağanüstü durum kurtarmaya ve bulut tarafı yedeklemeye olanak tanır. Daha fazla bilgi edinin.
Azure HDInsight	Microsoft.HDInsight	Yeni bir HDInsight kümesi için varsayılan dosya sisteminin ilk içeriğini sağlayın. Daha fazla bilgi edinin.
Azure İçeri/Dışarı Aktarma	Microsoft.ImportExport	Azure Depolama'a veri aktarma veya Azure Depolama'dan verileri dışarı aktarma. Daha fazla bilgi edinin.
Azure İzleyici	Microsoft.Insights	Kaynak günlükleri, Microsoft Entra oturum açma ve denetim günlükleri ve Microsoft Intune günlükleri gibi izleme verilerini güvenli bir depolama hesabına yazın. Daha fazla bilgi edinin.
Azure ağ hizmetleri	Microsoft.Network	Azure Ağ İzleyicisi ve Azure Traffic Manager hizmetleri de dahil olmak üzere ağ trafiği günlüklerini depolayın ve analiz edin. Daha fazla bilgi edinin.
Azure Site Recovery	Microsoft.SiteRecovery	Güvenlik duvarı etkin önbellek, kaynak veya hedef depolama hesapları kullanırken Azure IaaS sanal makinelerinde olağanüstü durum kurtarma için çoğaltmayı etkinleştirin. Daha fazla bilgi edinin.

Yönetilen kimliğe dayalı güvenilir erişim

Aşağıdaki tabloda, söz konusu hizmetlerin kaynak örnekleri uygun izne sahipse depolama hesabı verilerinize erişebilen hizmetler listelenmektedir.

Hizmet	Kaynak sağlayıcısı adı	Purpose
Azure FarmBeats	Microsoft.AgFoodPlatform/farmBeats	Depolama hesaplarına erişimi etkinleştirir.
Azure API Management	Microsoft.ApiManagement/service	İlkeler aracılığıyla güvenlik duvarlarının arkasındaki depolama hesaplarına erişimi etkinleştirir. Daha fazla bilgi edinin.
Microsoft Otonom Sistemler	Microsoft.AutonomousSystems/workspaces	Depolama hesaplarına erişimi etkinleştirir.
Redis için Azure Önbelleği	Microsoft.Cache/Redis	Depolama hesaplarına erişimi etkinleştirir. Daha fazla bilgi edinin.
Azure Yapay Zeka Arama	Microsoft.Search/searchServices	Dizin oluşturma, işleme ve sorgulama için depolama hesaplarına erişim sağlar.
Azure Yapay Zeka Hizmetleri	Microsoft.CognitiveService/accounts	Depolama hesaplarına erişimi etkinleştirir. Daha fazla bilgi edinin.
Azure Container Registry	Microsoft.ContainerRegistry/registries	ACR Görevleri özellik paketi aracılığıyla, kapsayıcı görüntüleri oluştururken depolama hesaplarına erişim sağlar.
Microsoft Maliyet Yönetimi	Microsoft.CostManagementExports	Güvenlik duvarının arkasındaki depolama hesaplarına dışarı aktarmayı etkinleştirir. Daha fazla bilgi edinin.
Azure Databricks	Microsoft.Databricks/accessConnectors	Depolama hesaplarına erişimi etkinleştirir.
Azure Data Factory	Microsoft.DataFactory/factories	Data Factory çalışma zamanı aracılığıyla depolama hesaplarına erişim sağlar.
Azure Backup Vault	Microsoft.DataProtection/BackupVaults	Depolama hesaplarına erişimi etkinleştirir.
Azure Veri Paylaşımı	Microsoft.DataShare/accounts	Depolama hesaplarına erişimi etkinleştirir.
PostgreSQL için Azure Veritabanı	Microsoft.DBForPostgreSQL	Depolama hesaplarına erişimi etkinleştirir.
Azure IoT Hub	Microsoft.Devices/IotHubs	IoT hub'ından alınan verilerin Blob Depolama yazılmasına izin verir. Daha fazla bilgi edinin.
Azure DevTest Labs	Microsoft.DevTestLab/labs	Depolama hesaplarına erişimi etkinleştirir.
Azure Event Grid	Microsoft.EventGrid/domains	Depolama hesaplarına erişimi etkinleştirir.
Azure Event Grid	Microsoft.EventGrid/partnerTopics	Depolama hesaplarına erişimi etkinleştirir.
Azure Event Grid	Microsoft.EventGrid/systemTopics	Depolama hesaplarına erişimi etkinleştirir.
Azure Event Grid	Microsoft.EventGrid/topics	Depolama hesaplarına erişimi etkinleştirir.
Microsoft Fabric	Microsoft.Fabric	Depolama hesaplarına erişimi etkinleştirir.
Azure Healthcare APIs	Microsoft.HealthcareApis/services	Depolama hesaplarına erişimi etkinleştirir.
Azure Healthcare APIs	Microsoft.HealthcareApis/workspaces	Depolama hesaplarına erişimi etkinleştirir.
Azure IoT Central	Microsoft.IoTCentral/IoTApps	Depolama hesaplarına erişimi etkinleştirir.
Azure Key Vault Yönetilen HSM	Microsoft.keyvault/managedHSMs	Depolama hesaplarına erişimi etkinleştirir.
Azure Logic Apps	Microsoft.Logic/integrationAccounts	Mantıksal uygulamaların depolama hesaplarına erişmesini sağlar. Daha fazla bilgi edinin.
Azure Logic Apps	Microsoft.Logic/workflows	Mantıksal uygulamaların depolama hesaplarına erişmesini sağlar. Daha fazla bilgi edinin.
Azure Machine Learning Studio	Microsoft.MachineLearning/registries	Yetkili Azure Machine Learning çalışma alanlarının Blob Depolama deneme çıktısı, modelleri ve günlükleri yazmasına ve verileri okumasına olanak tanır. Daha fazla bilgi edinin.
Azure Machine Learning	Microsoft.MachineLearningServices	Yetkili Azure Machine Learning çalışma alanlarının Blob Depolama deneme çıktısı, modelleri ve günlükleri yazmasına ve verileri okumasına olanak tanır. Daha fazla bilgi edinin.
Azure Machine Learning	Microsoft.MachineLearningServices/workspaces	Yetkili Azure Machine Learning çalışma alanlarının Blob Depolama deneme çıktısı, modelleri ve günlükleri yazmasına ve verileri okumasına olanak tanır. Daha fazla bilgi edinin.
Azure Media Services	Microsoft.Media/mediaservices	Depolama hesaplarına erişimi etkinleştirir.
Azure Geçişi	Microsoft.Migrate/migrateprojects	Depolama hesaplarına erişimi etkinleştirir.
Azure Spatial Anchors	Microsoft.MixedReality/remoteRenderingAccounts	Depolama hesaplarına erişimi etkinleştirir.
Azure ExpressRoute	Microsoft.Network/expressRoutePorts	Depolama hesaplarına erişimi etkinleştirir.
Microsoft Power Platform	Microsoft.PowerPlatform/enterprisePolicies	Depolama hesaplarına erişimi etkinleştirir.
Microsoft Project Arcadia	Microsoft.ProjectArcadia/workspaces	Depolama hesaplarına erişimi etkinleştirir.
Azure Veri Kataloğu	Microsoft.ProjectBabylon/accounts	Depolama hesaplarına erişimi etkinleştirir.
Microsoft Purview	Microsoft.Purview/accounts	Depolama hesaplarına erişimi etkinleştirir.
Azure Site Recovery	Microsoft.RecoveryServices/vaults	Depolama hesaplarına erişimi etkinleştirir.
Güvenlik Merkezi	Microsoft.Security/dataScanners	Depolama hesaplarına erişimi etkinleştirir.
Singularity	Microsoft.Singularity/accounts	Depolama hesaplarına erişimi etkinleştirir.
Azure SQL Veritabanı	Microsoft.Sql	Güvenlik duvarının arkasındaki depolama hesaplarına denetim verileri yazmaya izin verir.
Azure SQL Sunucuları	Microsoft.Sql/servers	Güvenlik duvarının arkasındaki depolama hesaplarına denetim verileri yazmaya izin verir.
Azure Synapse Analytics	Microsoft.Sql	Deyimi veya PolyBase (ayrılmış bir havuzda) openrowset ya da sunucusuz bir havuzdaki işlev ve dış tablolar aracılığıyla COPY belirli SQL veritabanlarından verilerin içeri ve dışarı aktarılmasına izin verir. Daha fazla bilgi edinin.
Azure Stream Analytics	Microsoft.StreamAnalytics	Akış işinden alınan verilerin Blob Depolama yazılmasına izin verir. Daha fazla bilgi edinin.
Azure Stream Analytics	Microsoft.StreamAnalytics/streamingjobs	Akış işinden alınan verilerin Blob Depolama yazılmasına izin verir. Daha fazla bilgi edinin.
Azure Synapse Analytics	Microsoft.Synapse/workspaces	Azure Depolama'da verilere erişimi etkinleştirir.
Azure Video Indexer	Microsoft.VideoIndexer/Accounts	Depolama hesaplarına erişimi etkinleştirir.

Hesabınızda hiyerarşik ad alanı özelliği etkinleştirilmediyse, her kaynak örneği için yönetilen kimliğe açıkça bir Azure rolü atayarak izin vekleyebilirsiniz. Bu durumda, örneğin erişim kapsamı yönetilen kimliğe atanan Azure rolüne karşılık gelir.

Hiyerarşik ad alanı özelliğinin etkinleştirildiği bir hesap için aynı tekniği kullanabilirsiniz. Ancak, yönetilen kimliği depolama hesabının içerdiği herhangi bir dizin veya blobun erişim denetimi listesine (ACL) eklerseniz Azure rolü atamanız gerekmez. Bu durumda, örneğin erişim kapsamı yönetilen kimliğin erişime sahip olduğu dizine veya dosyaya karşılık gelir.

Erişim vermek için Azure rollerini ve ACL'leri birlikte de birleştirebilirsiniz. Daha fazla bilgi edinmek için bkz. Azure Data Lake Storage 2. Nesil'de erişim denetimi modeli.

Belirli kaynaklara erişim vermek için kaynak örneği kurallarını kullanmanızı öneririz.

Özel durumları yönetme

Depolama analizi gibi bazı durumlarda, ağ sınırının dışından okuma kaynak günlüklerine ve ölçümlere erişim gerekir. Depolama hesabına erişmek için güvenilen hizmetleri yapılandırdığınızda, ağ kuralı özel durumu oluşturarak günlük dosyaları, ölçüm tabloları veya her ikisi için okuma erişimine izin vekleyebilirsiniz. Ağ kuralı özel durumlarını Azure portalı, PowerShell veya Azure CLI v2 aracılığıyla yönetebilirsiniz.

Depolama analiziyle çalışma hakkında daha fazla bilgi edinmek için bkz. Günlükleri ve ölçüm verilerini toplamak için Azure Depolama analizini kullanma.

Portal

1. Güvenliğini sağlamak istediğiniz depolama hesabına gidin.

2. Ağ'ı seçin.

3. Seçili ağlardan erişime izin verme seçeneğini belirleyin.

4. Özel Durumlar'ın altında, vermek istediğiniz özel durumları seçin.

5. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

PowerShell

1. Azure PowerShell'i yükleyin ve oturum açın.

2. Depolama hesabının ağ kuralları için özel durumları görüntüleyin:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
   

3. Depolama hesabının ağ kurallarında özel durumları yapılandırın:

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
   

4. Depolama hesabının ağ kurallarındaki özel durumları kaldırın:

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
   

Azure CLI

1. Azure CLI'yiyükleyin ve oturum açın.

2. Depolama hesabının ağ kuralları için özel durumları görüntüleyin:

   az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
   

3. Depolama hesabının ağ kurallarında özel durumları yapılandırın:

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
   

4. Depolama hesabının ağ kurallarındaki özel durumları kaldırın:

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
   

Sonraki adımlar

Azure ağ hizmeti uç noktaları hakkında daha fazla bilgi edinin. Azure Depolama güvenliğine daha ayrıntılı bir şekilde bakın.