Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma

Azure Depolama, çok katmanlı bir güvenlik modeline sahiptir. Bu model, kullanılan ağların veya kaynakların türüne ve alt kümesine bağlı olarak uygulamalarınızın ve kurumsal ortamlarınızın talep ettiğiniz depolama hesaplarınıza erişim düzeyini güvenli bir şekilde denetlemenizi ve korumanızı sağlar. Ağ kuralları yapılandırıldığında, depolama hesabına yalnızca belirtilen ağ kümesi üzerinden veya belirtilen Azure kaynakları kümesi üzerinden veri isteyen uygulamalar erişebilir. Depolama hesabınıza erişimi belirtilen IP adreslerinden, IP aralıklarından, azure Sanal Ağ (VNet) alt ağlarından veya bazı Azure hizmetlerinin kaynak örneklerinden kaynaklanan isteklerle sınırlayabilirsiniz.

Depolama hesaplarının İnternet üzerinden erişilebilen bir genel uç noktası vardır. Ayrıca depolama hesabınız için Özel Uç Noktalar oluşturabilirsiniz. Bu işlem, sanal ağınızdan depolama hesabına özel bir IP adresi atar ve özel bir bağlantı üzerinden sanal ağınızla depolama hesabı arasındaki tüm trafiğin güvenliğini sağlar. Azure depolama güvenlik duvarı, depolama hesabınızın genel uç noktası için erişim denetimi sağlar. Özel uç noktaları kullanırken genel uç nokta üzerinden tüm erişimi engellemek için güvenlik duvarını da kullanabilirsiniz. Depolama güvenlik duvarı yapılandırmanız, belirli güvenilen Azure platform hizmetlerinin depolama hesabına güvenli bir şekilde erişmesini de sağlar.

Ağ kuralları etkin olduğunda depolama hesabına erişen bir uygulama, istek için doğru yetkilendirmeyi gerektirir. Yetkilendirme bloblar ve kuyruklar için Azure Active Directory (Azure AD) kimlik bilgileriyle, geçerli bir hesap erişim anahtarıyla veya SAS belirteci ile desteklenir. Blob kapsayıcısı anonim genel erişim için yapılandırıldığında, söz konusu kapsayıcıdaki verileri okuma isteklerinin yetkilendirilmesi gerekmez, ancak güvenlik duvarı kuralları geçerli kalır ve anonim trafiği engeller.

Önemli

İstekler bir Azure Sanal Ağ (VNet) içinde çalışan bir hizmetten veya izin verilen genel IP adreslerinden gelmediği sürece depolama hesabınız için güvenlik duvarı kurallarının açılması, gelen veri isteklerini varsayılan olarak engeller. Engellenen istekler arasında diğer Azure hizmetlerinden gelenler, Azure portal, günlüğe kaydetme ve ölçüm hizmetleri vb. dahildir.

Hizmet örneğini barındıran alt ağdan gelen trafiğe izin vererek bir sanal ağ içinden çalışan Azure hizmetlerine erişim sağlayabilirsiniz. Aşağıda açıklanan özel durumlar mekanizması aracılığıyla sınırlı sayıda senaryoyu da etkinleştirebilirsiniz. Azure portal aracılığıyla depolama hesabından verilere erişmek için, ayarladığınız güvenilen sınır (IP veya VNet) içindeki bir makinede olmanız gerekir.

Not

Azure ile etkileşime geçmek için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Senaryolar

Depolama hesabınızın güvenliğini sağlamak için öncelikle varsayılan olarak genel uç nokta üzerindeki tüm ağlardan (İnternet trafiği dahil) gelen trafiğe erişimi reddedecek bir kural yapılandırmanız gerekir. Ardından, belirli sanal ağlardan gelen trafiğe erişim izni veren kurallar yapılandırmanız gerekir. Ayrıca, belirli İnternet veya şirket içi istemcilerden gelen bağlantıları etkinleştirerek, seçilen genel İnternet IP adresi aralıklarından gelen trafiğe erişim vermek için kurallar yapılandırabilirsiniz. Bu yapılandırma, uygulamalarınız için güvenli bir ağ sınırı oluşturmanıza olanak tanır.

Belirli sanal ağlardan ve genel IP adresi aralıklarından erişime izin veren güvenlik duvarı kurallarını aynı depolama hesabında birleştirebilirsiniz. Depolama güvenlik duvarı kuralları mevcut depolama hesaplarına veya yeni depolama hesapları oluşturulurken uygulanabilir.

Depolama güvenlik duvarı kuralları, depolama hesabının genel uç noktası için geçerlidir. Depolama hesabının özel uç noktalarına yönelik trafiğe izin vermek için güvenlik duvarı erişim kurallarına ihtiyacınız yoktur. Özel uç noktanın oluşturulmasını onaylama işlemi, özel uç noktayı barındıran alt ağdan gelen trafiğe örtük erişim verir.

Ağ kuralları REST ve SMB dahil olmak üzere Azure depolama için tüm ağ protokollerinde zorunlu kılındı. Azure portal, Depolama Gezgini ve AzCopy gibi araçları kullanarak verilere erişmek için açık ağ kurallarının yapılandırılması gerekir.

Ağ kuralları uygulandıktan sonra tüm istekler için uygulanır. Belirli bir IP adresine erişim izni veren SAS belirteçleri, belirteç sahibinin erişimini sınırlamaya hizmet eder, ancak yapılandırılmış ağ kurallarının ötesinde yeni erişim vermez.

Sanal makine disk trafiği (bağlama ve çıkarma işlemleri ve disk GÇ dahil) ağ kurallarından etkilenmez. Sayfa bloblarına REST erişimi ağ kuralları tarafından korunur.

Klasik depolama hesapları güvenlik duvarlarını ve sanal ağları desteklemez.

Bir özel durum oluşturarak VM'leri yedeklemek ve geri yüklemek için ağ kuralları uygulanmış depolama hesaplarında yönetilmeyen diskleri kullanabilirsiniz. Bu işlem, bu makalenin Özel Durumları Yönet bölümünde belgelenmiştir. Güvenlik duvarı özel durumları, azure tarafından yönetildikleri için yönetilen disklerde geçerli değildir.

Varsayılan ağ erişim kuralını değiştirme

Varsayılan olarak, depolama hesapları herhangi bir ağ üzerindeki istemcilerden gelen bağlantıları kabul eder. Seçili ağlara erişimi sınırlayabilir veya tüm ağlardan gelen trafiği engelleyebilir ve yalnızca özel bir uç nokta üzerinden erişime izin vekleyebilirsiniz.

Uyarı

Bu ayarı değiştirmek, uygulamanızın Azure Depolama'ya bağlanma becerisini etkileyebilir. Bu ayarı değiştirmeden önce izin verilen tüm ağlara erişim izni verdiğinizden veya özel uç nokta üzerinden erişim ayarladığınızdan emin olun.

Portal

1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.

2. Güvenlik + ağ altında Ağ ayarlarını bulun.

3. İzin vermek istediğiniz genel ağ erişimi türünü seçin.

   • Tüm ağlardan gelen trafiğe izin vermek için Tüm ağlardan etkin'i seçin.

   • Yalnızca belirli sanal ağlardan gelen trafiğe izin vermek için seçili sanal ağlardan ve IP adreslerinden etkin'i seçin.

   • Tüm ağlardan gelen trafiği engellemek için Devre dışı'yı seçin.

4. Değişikliklerinizi uygulamak için Kaydet’i seçin.

PowerShell

1. Azure PowerShell yükleyin ve oturum açın.

2. İzin vermek istediğiniz genel ağ erişimi türünü seçin.

   • Tüm ağlardan gelen trafiğe izin vermek için komutunu kullanın Update-AzStorageAccountNetworkRuleSet ve parametresini -DefaultAction olarak Allowayarlayın.

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
     

   • Yalnızca belirli sanal ağlardan gelen trafiğe izin vermek için komutunu kullanın Update-AzStorageAccountNetworkRuleSet ve parametresini -DefaultAction olarak Denyayarlayın.

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
     

   • Tüm ağlardan gelen trafiği engellemek için komutunu kullanın Set-AzStorageAccount ve parametresini -PublicNetworkAccess olarak Disabledayarlayın. Trafiğe yalnızca özel bir uç nokta üzerinden izin verilir. Bu özel uç noktayı oluşturmanız gerekir.

     Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
     

Azure CLI

1. Azure CLI'yi yükleyin ve oturum açın.

2. İzin vermek istediğiniz genel ağ erişimi türünü seçin.

   • Tüm ağlardan gelen trafiğe izin vermek için komutunu kullanın az storage account update ve parametresini --default-action olarak Allowayarlayın.

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
     

   • Yalnızca belirli sanal ağlardan gelen trafiğe izin vermek için komutunu kullanın az storage account update ve parametresini --default-action olarak Denyayarlayın.

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
     

   • Tüm ağlardan gelen trafiği engellemek için komutunu kullanın az storage account update ve parametresini --public-network-access olarak Disabledayarlayın. Trafiğe yalnızca özel bir uç nokta üzerinden izin verilir. Bu özel uç noktayı oluşturmanız gerekir.

     az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
     

Dikkat

Tasarım gereği güvenilen hizmetlerden depolama hesabına erişim, diğer ağ erişimi kısıtlamaları arasında en yüksek önceliğe sahiptir. Bu nedenle, daha önce seçili sanal ağlardan ve IP adreslerinden Etkinleştirildi olarak ayarladıktan sonra Genel ağ erişiminiDevre Dışı olarak ayarlarsanız, güvenilen hizmetler listesindeki Azure hizmetlerinin bu depolama hesabına erişmesine izin ver de dahil olmak üzere daha önce yapılandırdığınız tüm kaynak örnekleri ve özel durumlar etkin kalır. Sonuç olarak, bu kaynaklar ve hizmetler Genel ağ erişimi Devre Dışı olarak ayarlandıktan sonra depolama hesabına erişmeye devam edebilir.

Sanal ağdan erişim izni verme

Depolama hesaplarını yalnızca belirli alt ağlardan erişime izin verecek şekilde yapılandırabilirsiniz. İzin verilen alt ağlar aynı abonelikteki bir sanal ağa veya farklı bir Azure Active Directory kiracısına ait abonelikler de dahil olmak üzere farklı bir aboneliktekilere ait olabilir.

Sanal ağ içinde Azure Depolama için hizmet uç noktasını etkinleştirebilirsiniz. Hizmet uç noktası, trafiği sanal ağdan Azure Depolama hizmetine en uygun yol aracılığıyla yönlendirir. Her istekle birlikte alt ağın ve sanal ağın kimlikleri de iletilir. Yöneticiler daha sonra bir sanal ağdaki belirli alt ağlardan isteklerin alınmasına izin veren depolama hesabı için ağ kurallarını yapılandırabilir. Bu ağ kuralları aracılığıyla erişim verilen istemcilerin verilere erişmek için depolama hesabının yetkilendirme gereksinimlerini karşılamaya devam etmesi gerekir.

Her depolama hesabı, IP ağ kurallarıyla birleştirilebilen en fazla 200 sanal ağ kuralını destekler.

Önemli

Bir ağ kuralına eklenmiş bir alt ağı silerseniz, depolama hesabının ağ kurallarından kaldırılır. Aynı ada sahip yeni bir alt ağ oluşturursanız depolama hesabına erişimi olmaz. Erişime izin vermek için, depolama hesabının ağ kurallarında yeni alt ağı açıkça yetkilendirmeniz gerekir.

Gerekli izinler

Depolama hesabına bir sanal ağ kuralı uygulamak için, kullanıcının eklenen alt ağlar üzerinde uygun izinleri olmalıdır. Kural uygulama işlemi Depolama Hesabı Katkıda Bulunanı veya özel bir Azure rolü aracılığıyla Azure kaynak sağlayıcısı işlemineMicrosoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action izin verilmiş bir kullanıcı tarafından gerçekleştirilebilir.

Depolama hesabı ve erişim verilen sanal ağlar, farklı bir Azure AD kiracısının parçası olan abonelikler de dahil olmak üzere farklı aboneliklerde olabilir.

Not

Farklı bir Azure Active Directory kiracısının parçası olan sanal ağlardaki alt ağlara erişim izni veren kuralların yapılandırılması şu anda yalnızca PowerShell, CLI ve REST API'leri aracılığıyla desteklenmektedir. Bu tür kurallar portalda görüntülense de Azure portal aracılığıyla yapılandırılamaz.

Kullanılabilir sanal ağ bölgeleri

Varsayılan olarak, hizmet uç noktaları aynı Azure bölgesindeki sanal ağlar ve hizmet örnekleri arasında çalışır. Hizmet uç noktalarını Azure Depolama ile kullanırken, hizmet uç noktaları sanal ağlar ile eşleştirilmiş bir bölgedeki hizmet örnekleri arasında da çalışır. Diğer bölgelerdeki sanal ağlara erişim vermek için bir hizmet uç noktası kullanmak istiyorsanız, özelliği sanal ağın aboneliğine kaydetmeniz AllowGlobalTagsForStorage gerekir. Bu özellik şu anda genel önizlemede.

Hizmet uç noktaları bölgesel yük devretme sırasında sürekliliğe ve salt okunur coğrafi olarak yedekli depolama (RA-GRS) örneklerine erişim sağlar. Bir sanal ağdan depolama hesabına erişim izni veren ağ kuralları da herhangi bir RA-GRS örneğine erişim verir.

Bölgesel bir kesinti sırasında olağanüstü durum kurtarmayı planlarken, eşleştirilmiş bölgede VNet'leri önceden oluşturmanız gerekir. Bu alternatif sanal ağlardan erişim sağlayan ağ kurallarıyla Azure Depolama için hizmet uç noktalarını etkinleştirin. Ardından bu kuralları coğrafi olarak yedekli depolama hesaplarınıza uygulayın.

Diğer bölgelerdeki sanal ağlara erişimi etkinleştirme (önizleme)

Önemli

Bu özellik şu anda ÖNİzLEME aşamasındadır.

Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Hizmet uç noktaları üzerinden başka bir bölgede bulunan bir sanal ağdan erişimi etkinleştirmek için, özelliği sanal ağın aboneliğine kaydedin AllowGlobalTagsForStorage . Abonelikte AllowedGlobalTagsForStorage özelliğinin etkinleştirildiği tüm alt ağlar artık herhangi bir depolama hesabıyla iletişim kurmak için genel IP adresi kullanmaz. Bunun yerine, bu alt ağlardan depolama hesaplarına gelen tüm trafik, kaynak IP olarak özel bir IP adresi kullanır. Sonuç olarak, bu alt ağlardan gelen trafiğe izin vermek için IP ağ kurallarını kullanan depolama hesaplarının artık bir etkisi olmaz.

Not

Mevcut hizmet uç noktalarını başka bir bölgedeki bir depolama hesabına erişecek şekilde güncelleştirmek için, aboneliği özelliğe kaydettikten sonra alt ağda bir alt ağ güncelleştirme işlemi gerçekleştirin AllowGlobalTagsForStorage . Benzer şekilde, eski yapılandırmaya dönmek için aboneliğin kaydını bu özellikle kaldırdıktan sonra bir alt ağ güncelleştirme işlemi gerçekleştirin AllowGlobalTagsForStorage .

Portal

Önizleme sırasında bu özelliği etkinleştirmek için PowerShell veya Azure CLI kullanmanız gerekir.

PowerShell

1. bir Windows PowerShell komut penceresi açın.

2. Connect-AzAccount komutuyla Azure aboneliğinizde oturum açın ve ekrandaki yönergeleri izleyin.

   Connect-AzAccount
   

3. Kimliğiniz birden fazla abonelikle ilişkilendirilmişse etkin aboneliğinizi sanal ağın aboneliğine ayarlayın.

   $context = Get-AzSubscription -SubscriptionId <subscription-id>
   Set-AzContext $context
   

   <subscription-id> Yer tutucu değerini aboneliğinizin kimliğiyle değiştirin.

4. AllowGlobalTagsForStorageRegister-AzProviderFeature komutunu kullanarak özelliği kaydedin.

   Register-AzProviderFeature -ProviderNamespace Microsoft.Network -FeatureName AllowGlobalTagsForStorage
   

   Not

   Kayıt işlemi hemen tamamlanmayabilir. Özelliği kullanmadan önce kaydedildiğinden emin olun.

5. Kaydın tamamlandığını doğrulamak için Get-AzProviderFeature komutunu kullanın.

   Get-AzProviderFeature -ProviderNamespace Microsoft.Network -FeatureName AllowGlobalTagsForStorage
   

Azure CLI

1. Azure Cloud Shell açın veya Azure CLI'yı yerel olarak yüklediyseniz Windows PowerShell gibi bir komut konsolu uygulaması açın.

2. Kimliğiniz birden fazla abonelikle ilişkiliyse etkin aboneliğinizi sanal ağ aboneliği olarak ayarlayın.

   az account set --subscription <subscription-id>
   

   <subscription-id> Yer tutucu değerini aboneliğinizin kimliğiyle değiştirin.

3. AllowGlobalTagsForStorageaz feature register komutunu kullanarak özelliği kaydedin.

   az feature register --namespace Microsoft.Network --name AllowGlobalTagsForStorage
   

   Not

   Kayıt işlemi hemen tamamlanmayabilir. Özelliği kullanmadan önce kaydedildiğinden emin olun.

4. Kaydın tamamlandığını doğrulamak için az feature komutunu kullanın.

   az feature show --namespace Microsoft.Network --name AllowGlobalTagsForStorage
   

Sanal ağ kurallarını yönetme

Depolama hesapları için sanal ağ kurallarını Azure portal, PowerShell veya CLIv2 aracılığıyla yönetebilirsiniz.

Not

Özelliği kaydettiyseniz AllowGlobalTagsForStorage ve depolama hesabınıza başka bir Azure AD kiracıdaki bir sanal ağdan/alt ağdan veya depolama hesabının bölgesi veya eşleştirilmiş bölgesi dışında bir bölgeden erişimi etkinleştirmek istiyorsanız PowerShell veya Azure CLI kullanmanız gerekir. Azure portal, diğer Azure AD kiracılarında veya depolama hesabının veya eşleştirilmiş bölgesinin bölgesi dışındaki bölgelerde alt ağları göstermez ve bu nedenle diğer bölgelerdeki sanal ağlar için erişim kurallarını yapılandırmak için kullanılamaz.

Portal

1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.

2. Ağ adı verilen ayarlar menüsünden öğesini seçin.

3. Seçili ağlardan erişime izin vermek için seçtiğinizi denetleyin.

4. Yeni bir ağ kuralıyla sanal ağa erişim vermek için Sanal ağlar'ın altında Var olan sanal ağı ekle'yi, Sanal ağlar ve Alt ağlar seçenekleri'ni ve ardından Ekle'yi seçin. Yeni bir sanal ağ oluşturmak ve erişim vermek için Yeni sanal ağ ekle'yi seçin. Yeni sanal ağı oluşturmak için gerekli bilgileri sağlayın ve oluştur'u seçin.

   Not

   Azure Depolama için bir hizmet uç noktası daha önce seçili sanal ağ ve alt ağlar için yapılandırılmadıysa, bunu bu işlemin bir parçası olarak yapılandırabilirsiniz.

   Şu anda, kural oluşturma sırasında yalnızca aynı Azure Active Directory kiracısına ait sanal ağlar seçim için gösterilir. Başka bir kiracıya ait sanal ağdaki bir alt ağa erişim vermek için lütfen , PowerShell, CLI veya REST API'leri kullanın.

   Özelliği kaydetmiş AllowGlobalTagsForStorageOnly olsanız bile, depolama hesabının bölgesi veya eşleştirilmiş bölgesi dışındaki bölgelerdeki alt ağlar seçim için gösterilmez. Farklı bir bölgedeki bir sanal ağdan/alt ağdan depolama hesabınıza erişimi etkinleştirmek istiyorsanız PowerShell veya Azure CLI sekmelerindeki yönergeleri kullanın.

5. Bir sanal ağı veya alt ağ kuralını kaldırmak için ... öğesini seçerek sanal ağ veya alt ağın bağlam menüsünü açın ve Kaldır'ı seçin.

6. Değişikliklerinizi uygulamak için Kaydet'i seçin.

PowerShell

1. Azure PowerShell yükleyin ve oturum açın.

2. Sanal ağ kurallarını listeleyin.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
   

3. Mevcut bir sanal ağda ve alt ağda Azure Depolama için hizmet uç noktasını etkinleştirin.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzVirtualNetwork
   

4. Sanal ağ ve alt ağ için bir ağ kuralı ekleyin.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

   İpucu

   Başka bir Azure AD kiracısına ait bir sanal ağdaki bir alt ağa ağ kuralı eklemek için"/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name" biçiminde tam nitelikli bir VirtualNetworkResourceId parametresi kullanın.

5. Sanal ağ ve alt ağ için ağ kuralını kaldırın.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

Önemli

Varsayılan kuralı reddetmek üzere ayarladığınızdan veya ağ kurallarının hiçbir etkisi olmadığından emin olun.

Azure CLI

1. Azure CLI'yi yükleyin ve oturum açın.

2. Sanal ağ kurallarını listeleyin.

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
   

3. Mevcut bir sanal ağda ve alt ağda Azure Depolama için hizmet uç noktasını etkinleştirin.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
   

4. Sanal ağ ve alt ağ için bir ağ kuralı ekleyin.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

   İpucu

   Başka bir Azure AD kiracısına ait bir sanal ağdaki bir alt ağa kural eklemek için "/subscriptions/subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/<Microsoft.Network/virtualNetworks/vNet-name>/<subnets/<subnet-name>" biçiminde tam alt ağ kimliği kullanın.

   Başka bir Azure AD kiracısına ait bir sanal ağın alt ağ kimliğini almak için abonelik parametresini kullanabilirsiniz.

5. Sanal ağ ve alt ağ için ağ kuralını kaldırın.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

Önemli

Varsayılan kuralı reddetmek üzere ayarladığınızdan veya ağ kurallarının hiçbir etkisi olmadığından emin olun.

İnternet IP aralığından erişim izni verme

IP ağ kuralları oluşturarak belirli genel İnternet IP adresi aralıklarından erişime izin vermek için IP ağ kurallarını kullanabilirsiniz. Her depolama hesabı en fazla 200 kuralı destekler. Bu kurallar belirli internet tabanlı hizmetlere ve şirket içi ağlara erişim verir ve genel İnternet trafiğini engeller.

IP adresi aralıkları için aşağıdaki kısıtlamalar geçerlidir.

• IP ağ kurallarına yalnızca genel İnternet IP adresleri için izin verilir.

  IP kurallarında özel ağlar için ayrılmış IP adresi aralıklarına ( RFC 1918'de tanımlandığı gibi) izin verilmez. Özel ağlar 10.**, 172.16 ile başlayan adresleri içerir. - *172.31. ve *192.168..

• 16.17.18.0/24 biçimindekiCIDR gösterimini kullanarak veya 16.17.18.19 gibi tek tek IP adresleri olarak izin verilen İnternet adresi aralıkları sağlamanız gerekir.

• "/31" veya "/32" ön ek boyutlarını kullanan küçük adres aralıkları desteklenmez. Bu aralıklar tek tek IP adresi kuralları kullanılarak yapılandırılmalıdır.

• Depolama güvenlik duvarı kurallarının yapılandırılması için yalnızca IPV4 adresleri desteklenir.

IP ağ kuralları aşağıdaki durumlarda kullanılamaz:

• Depolama hesabıyla aynı Azure bölgesindeki istemcilere erişimi kısıtlamak için.

  IP ağ kurallarının depolama hesabıyla aynı Azure bölgesinden gelen istekler üzerinde hiçbir etkisi yoktur. Aynı bölge isteklerine izin vermek için Sanal ağ kurallarını kullanın.

• Hizmet uç noktası olan bir sanal ağda bulunan eşleştirilmiş bir bölgedeki istemcilere erişimi kısıtlamak için.

• Depolama hesabıyla aynı bölgede dağıtılan Azure hizmetlerine erişimi kısıtlamak için.

  Depolama hesabıyla aynı bölgede dağıtılan hizmetler, iletişim için özel Azure IP adreslerini kullanır. Bu nedenle, belirli Azure hizmetlerine erişimi genel giden IP adresi aralığına göre kısıtlayamazsınız.

Şirket içi ağlardan erişimi yapılandırma

Şirket içi ağlarınızdan depolama hesabınıza bir IP ağ kuralıyla erişim vermek için ağınız tarafından kullanılan İnternet'e yönelik IP adreslerini tanımlamanız gerekir. Yardım için ağ yöneticinize başvurun.

Şirket içinden ExpressRoute kullanıyorsanız, genel eşleme veya Microsoft eşlemesi için kullanılan NAT IP adreslerini tanımlamanız gerekir. Ortak eşleme için, her bir ExpressRoute varsayılan olarak bağlantı hattında trafik Microsoft Azure omurga ağına girdiğinde Azure hizmet trafiğine uygulanan iki NAT IP adresi kullanılır. Microsoft eşlemesi için kullanılan NAT IP adresleri müşteri tarafından sağlanır veya hizmet sağlayıcısı tarafından sağlanır. Hizmet kaynaklarınıza erişime izin vermek için, bu genel IP adreslerine kaynak IP güvenlik duvarı ayarında izin vermeniz gerekir. Ortak eşleme ExpressRoute bağlantı hattı IP adreslerinizi bulmak için Azure portalında ExpressRoute ile bir destek bileti açın. ExpressRoute genel ve Microsoft eşlemesi için NAT hakkında daha fazla bilgi edinin.

IP ağ kurallarını yönetme

Depolama hesapları için IP ağ kurallarını Azure portal, PowerShell veya CLIv2 aracılığıyla yönetebilirsiniz.

Portal

1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.

2. Ağ adı verilen ayarlar menüsünden öğesini seçin.

3. Seçili ağlardan erişime izin vermek için seçtiğinizi denetleyin.

4. İnternet IP aralığına erişim vermek için Güvenlik Duvarı>Adres Aralığı'nın altına IP adresini veya adres aralığını (CIDR biçiminde) girin.

5. IP ağ kuralını kaldırmak için adres aralığının yanındaki çöp kutusu simgesini seçin.

6. Değişikliklerinizi uygulamak için Kaydet’i seçin.

PowerShell

1. Azure PowerShell yükleyin ve oturum açın.

2. IP ağ kurallarını listeleyin.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
   

3. Tek bir IP adresi için ağ kuralı ekleyin.

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

4. IP adresi aralığı için bir ağ kuralı ekleyin.

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

5. Tek bir IP adresi için ağ kuralını kaldırma.

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

6. IP adresi aralığı için ağ kuralını kaldırma.

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

Önemli

Varsayılan kuralı reddetme olarak ayarladığınızdan emin olun veya ağ kurallarının hiçbir etkisi yoktur.

Azure CLI

1. Azure CLI'yi yükleyin ve oturum açın.

2. IP ağ kurallarını listeleyin.

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
   

3. Tek bir IP adresi için ağ kuralı ekleyin.

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

4. IP adresi aralığı için bir ağ kuralı ekleyin.

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

5. Tek bir IP adresi için ağ kuralını kaldırma.

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

6. IP adresi aralığı için ağ kuralını kaldırma.

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

Önemli

Varsayılan kuralı reddetme olarak ayarladığınızdan emin olun veya ağ kurallarının hiçbir etkisi yoktur.

Azure kaynak örneklerinden erişim verme

Bazı durumlarda, bir uygulama sanal ağ veya IP adresi kuralı aracılığıyla yalıtılamayan Azure kaynaklarına bağımlı olabilir. Ancak, depolama hesabı erişimini yalnızca uygulamanızın Azure kaynaklarıyla sınırlamak ve güvenliğini sağlamak istiyorsunuz. Bir kaynak örneği kuralı oluşturarak depolama hesaplarını bazı Azure hizmetlerinin belirli kaynak örneklerine erişime izin verecek şekilde yapılandırabilirsiniz.

Bir kaynak örneğinin depolama hesabı verilerinde gerçekleştirebileceği işlem türleri, kaynak örneğinin Azure rol atamaları tarafından belirlenir. Kaynak örnekleri depolama hesabınızla aynı kiracıdan olmalıdır, ancak kiracıdaki herhangi bir aboneliğe ait olabilir.

Portal

Azure portal kaynak ağ kuralları ekleyebilir veya kaldırabilirsiniz.

1. Başlamak için Azure portal oturum açın.

2. Depolama hesabınızı bulun ve hesaba genel bakışı görüntüleyin.

3. Ağ için yapılandırma sayfasını görüntülemek için Ağ'ı seçin.

4. Güvenlik duvarları ve sanal ağlar'ın altında Seçili ağlar için erişime izin ver'i seçin.

5. Kaynak örneklerini bulmak için ekranı aşağı kaydırın ve Kaynak türü açılan listesinde kaynak örneğinizin kaynak türünü seçin.

6. Örnek adı açılan listesinde kaynak örneğini seçin. Tüm kaynak örneklerini etkin kiracıya, aboneliğe veya kaynak grubuna eklemeyi de seçebilirsiniz.

7. Değişikliklerinizi uygulamak için Kaydet’i seçin. Kaynak örneği, ağ ayarları sayfasının Kaynak örnekleri bölümünde görünür.

Kaynak örneğini kaldırmak için kaynak örneğinin yanındaki sil simgesini ( ) seçin.

PowerShell

Kaynak ağ kuralları eklemek veya kaldırmak için PowerShell komutlarını kullanabilirsiniz.

Önemli

Varsayılan kuralı reddetme olarak ayarladığınızdan emin olun veya ağ kurallarının hiçbir etkisi yoktur.

Erişim verme

Bir kaynak örneğinden erişim izni veren bir ağ kuralı ekleyin.

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Ağ kural kümesini değiştirerek aynı anda birden çok kaynak örneği belirtin.

$resourceId1 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$resourceId2 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/mySQLServer"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule (@{ResourceId=$resourceId1;TenantId=$tenantId},@{ResourceId=$resourceId2;TenantId=$tenantId}) 

Erişimi kaldırma

Kaynak örneğinden erişim izni veren bir ağ kuralını kaldırın.

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Remove-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId  

Kaynak örneklerinden erişim izni veren tüm ağ kurallarını kaldırın.

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule @()  

İzin verilen kaynak örneklerinin listesini görüntüleme

Depolama hesabına erişim verilmiş kaynak örneklerinin tam listesini görüntüleyin.

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

$rule = Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName
$rule.ResourceAccessRules 

Azure CLI

Kaynak ağ kuralları eklemek veya kaldırmak için Azure CLI komutlarını kullanabilirsiniz.

Erişim verme

Bir kaynak örneğinden erişim izni veren bir ağ kuralı ekleyin.

az storage account network-rule add \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Erişimi kaldırma

Kaynak örneğinden erişim izni veren bir ağ kuralını kaldırın.

az storage account network-rule remove \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

İzin verilen kaynak örneklerinin listesini görüntüleme

Depolama hesabına erişim verilmiş kaynak örneklerinin tam listesini görüntüleyin.

az storage account network-rule list \
    -g myResourceGroup \
    --account-name mystorageaccount

Güvenilen Azure hizmetlerine erişim izni verme

Bazı Azure hizmetleri, ağ kurallarınıza eklenmeyecek ağlardan çalışır. Bu tür güvenilen Azure hizmetlerinin bir alt kümesine depolama hesabına erişim izni verirken, diğer uygulamalar için ağ kurallarını koruyabilirsiniz. Bu güvenilen hizmetler daha sonra depolama hesabınıza güvenli bir şekilde bağlanmak için güçlü kimlik doğrulaması kullanır.

Bir ağ kuralı özel durumu oluşturarak güvenilen Azure hizmetlerine erişim vekleyebilirsiniz. Adım adım yönergeler için bu makalenin Özel durumları yönetme bölümüne bakın.

Güvenilen Azure hizmetlerine erişim izni verdiğinizde, aşağıdaki erişim türlerini verirsiniz:

• Aboneliğinizde kayıtlı olan kaynaklara belirli işlemler için güvenilir erişim.
• Yönetilen kimliğe göre kaynaklara güvenilir erişim.

Aboneliğinizde kayıtlı kaynaklar için güvenilir erişim

Aboneliğinize kaydolduğunda bazı hizmetlerin kaynakları, günlük yazma veya yedekleme gibi belirli işlemler için aynı abonelikteki depolama hesabınıza erişebilir. Aşağıdaki tabloda her hizmet ve izin verilen işlemler açıklanmaktadır.

Hizmet	Kaynak Sağlayıcısı Adı	İzin verilen işlemler
Azure Backup	Microsoft.RecoveryServices	IAAS sanal makinelerinde yönetilmeyen disklerin yedeklemelerini ve geri yüklemelerini çalıştırın. (yönetilen diskler için gerekli değildir). Daha fazla bilgi edinin.
Azure Data Box	Microsoft.DataBox	Data Box kullanarak Verilerin Azure'a aktarılmasını sağlar. Daha fazla bilgi edinin.
Azure DevTest Labs	Microsoft.DevTestLab	Özel görüntü oluşturma ve yapıt yükleme. Daha fazla bilgi edinin.
Azure Event Grid	Microsoft.EventGrid	Blob Depolama olay yayımlamayı etkinleştirin ve Event Grid'in depolama kuyruklarında yayımlamasına izin verin. Blob depolama olayları ve kuyruklarda yayımlama hakkında bilgi edinin.
Azure Event Hubs	Microsoft.EventHub	Event Hubs Capture ile verileri arşivle. Daha Fazla Bilgi Edinin.
Azure Dosya Eşitleme	Microsoft.StorageSync	Şirket içi dosya sunucunuzu Azure Dosya paylaşımları için bir önbelleğe dönüştürmenizi sağlar. Çok siteli eşitleme, hızlı olağanüstü durum kurtarma ve bulut tarafı yedeklemeye olanak sağlar. Daha fazla bilgi edinin
Azure HDInsight	Microsoft.HDInsight	Yeni bir HDInsight kümesi için varsayılan dosya sisteminin ilk içeriğini sağlayın. Daha fazla bilgi edinin.
Azure İçeri Aktarma Dışarı Aktarma	Microsoft.ImportExport	Azure Depolama İçeri/Dışarı Aktarma hizmetini kullanarak Verilerin Azure Depolama'ya aktarılmasını veya Azure Depolama'dan dışarı aktarılmasını sağlar. Daha fazla bilgi edinin.
Azure İzleyici	Microsoft.Insights	Kaynak günlükleri, Azure Active Directory oturum açma ve denetim günlükleri ve Microsoft Intune günlükleri dahil olmak üzere izleme verilerinin güvenli bir depolama hesabına yazılmasına olanak tanır. Daha fazla bilgi edinin.
Azure Ağı	Microsoft.Network	Ağ İzleyicisi ve Trafik Analizi hizmetleri de dahil olmak üzere ağ trafiği günlüklerini depolayın ve analiz edin. Daha fazla bilgi edinin.
Azure Site Recovery	Microsoft.SiteRecovery	Güvenlik duvarı etkin önbellek, kaynak veya hedef depolama hesapları kullanılırken Azure IaaS sanal makinelerinde olağanüstü durum kurtarma için çoğaltmayı etkinleştirin. Daha fazla bilgi edinin.

Yönetilen kimliğe göre güvenilir erişim

Aşağıdaki tabloda, bu hizmetlerin kaynak örneklerine uygun izin verildiğinde depolama hesabı verilerinize erişebilen hizmetler listelenmektedir.

Hesabınızda hiyerarşik ad alanı özelliği etkinleştirilmemişse, her kaynak örneği için yönetilen kimliğe açıkça bir Azure rolü atayarak izin vekleyebilirsiniz. Bu durumda, örneğin erişim kapsamı yönetilen kimliğe atanan Azure rolüne karşılık gelir.

Hiyerarşik ad alanı özelliğini etkinleştiren bir hesap için aynı tekniği kullanabilirsiniz. Ancak yönetilen kimliği depolama hesabında bulunan herhangi bir dizin veya blobun erişim denetimi listesine (ACL) eklerseniz azure rolü atamanız gerekmez. Bu durumda, örneğin erişim kapsamı yönetilen kimliğe erişim verilen dizine veya dosyaya karşılık gelir. Azure rollerini ve ACL'lerini birlikte de birleştirebilirsiniz. Erişim vermek için bunları birlikte birleştirme hakkında daha fazla bilgi edinmek için bkz. Azure Data Lake Storage 2. Nesil'de erişim denetimi modeli.

İpucu

Belirli kaynaklara erişim vermenin önerilen yolu, kaynak örneği kurallarını kullanmaktır. Belirli kaynak örneklerine erişim vermek için bu makalenin Azure kaynak örneklerinden erişim izni verme bölümüne bakın.

Hizmet	Kaynak Sağlayıcısı Adı	Amaç
Azure API Management	Microsoft.ApiManagement/service	İlkeleri kullanarak güvenlik duvarının arkasındaki depolama hesaplarına API Management hizmet erişimini etkinleştirir. Daha fazla bilgi edinin.
Redis için Azure Cache	Microsoft.Cache/Redis	Redis için Azure Cache aracılığıyla depolama hesaplarına erişime izin verir. Daha fazla bilgi edinin
Azure Bilişsel Arama	Microsoft.Search/searchServices	Bilişsel Arama hizmetlerinin dizin oluşturma, işleme ve sorgulama için depolama hesaplarına erişmesini sağlar.
Azure Bilişsel Hizmetler	Microsoft.CognitiveService/accounts	Bilişsel Hizmetler'in depolama hesaplarına erişmesini sağlar. Daha fazla bilgi edinin.
Azure Container Registry Görevleri	Microsoft.ContainerRegistry/kayıt defterleri	ACR Görevleri, kapsayıcı görüntüleri oluştururken depolama hesaplarına erişebilir.
Azure Data Factory	Microsoft.DataFactory/factory	ADF çalışma zamanı aracılığıyla depolama hesaplarına erişime izin verir.
Azure Veri Paylaşımı	Microsoft.DataShare/accounts	Veri Paylaşımı aracılığıyla depolama hesaplarına erişime izin verir.
Azure DevTest Labs	Microsoft.DevTestLab/labs	DevTest Labs aracılığıyla depolama hesaplarına erişime izin verir.
Azure Event Grid	Microsoft.EventGrid/topics	Azure Event Grid aracılığıyla depolama hesaplarına erişime izin verir.
Azure Healthcare APIs	Microsoft.HealthcareApis/services	Azure Healthcare API'leri aracılığıyla depolama hesaplarına erişime izin verir.
Azure IoT Central Uygulamaları	Microsoft.IoTCentral/IoTApps	Azure IoT Central Uygulamaları aracılığıyla depolama hesaplarına erişime izin verir.
Azure IoT Hub	Microsoft.Devices/IotHubs	IoT hub'ından gelen verilerin Blob depolamaya yazılmasına izin verir. Daha fazla bilgi edinin
Azure Logic Apps	Microsoft.Logic/iş akışları	Mantıksal uygulamaların depolama hesaplarına erişmesini sağlar. Daha fazla bilgi edinin.
Azure Machine Learning Hizmeti	Microsoft.MachineLearningServices	Yetkili Azure Machine Learning çalışma alanları blob depolamaya deneme çıkışı, modeller ve günlükler yazar ve verileri okur. Daha fazla bilgi edinin.
Azure Media Services	Microsoft.Media/mediaservices	Media Services aracılığıyla depolama hesaplarına erişime izin verir.
Azure Geçişi	Microsoft.Migrate/migrateprojects	Azure Geçişi aracılığıyla depolama hesaplarına erişime izin verir.
Microsoft Purview	Microsoft.Purview/accounts	Microsoft Purview'un depolama hesaplarına erişmesine izin verir.
Azure Site Recovery	Microsoft.RecoveryServices/vaults	Site Recovery aracılığıyla depolama hesaplarına erişime izin verir.
Azure SQL Veritabanı	Microsoft.Sql	Güvenlik duvarının arkasındaki depolama hesaplarına denetim verileri yazmaya izin verir.
Azure Synapse Analytics	Microsoft.Sql	COPY deyimini veya PolyBase'i (ayrılmış havuzda) ya da sunucusuz havuzdaki işlev ve dış tabloları kullanarak belirli SQL veritabanlarından verilerin içeri ve dışarı aktarılmasına openrowset izin verir. Daha fazla bilgi edinin.
Azure Stream Analytics	Microsoft.StreamAnalytics	Akış işinden gelen verilerin Blob depolamaya yazılmasına izin verir. Daha fazla bilgi edinin.
Azure Synapse Analytics	Microsoft.Synapse/workspaces	Azure Synapse Analytics'ten Azure Depolama'daki verilere erişimi etkinleştirir.

Depolama analizine erişim izni verme

Bazı durumlarda, ağ sınırının dışından okuma kaynak günlüklerine ve ölçümlere erişim gerekir. Depolama hesabına güvenilen hizmetler erişimini yapılandırırken, bir ağ kuralı özel durumu oluşturarak günlük dosyaları, ölçüm tabloları veya her ikisi için de okuma erişimine izin vekleyebilirsiniz. Adım adım yönergeler için aşağıdaki Özel durumları yönetme bölümüne bakın. Depolama analiziyle çalışma hakkında daha fazla bilgi edinmek için bkz. Günlükleri ve ölçüm verilerini toplamak için Azure Depolama analizini kullanma.

Özel durumları yönetme

Ağ kuralı özel durumlarını Azure portal, PowerShell veya Azure CLI v2 aracılığıyla yönetebilirsiniz.

Portal

1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.

2. Ağ adı verilen ayarlar menüsünden öğesini seçin.

3. Seçili ağlardan erişime izin vermek için seçtiğinizi denetleyin.

4. Özel Durumlar'ın altında, vermek istediğiniz özel durumları seçin.

5. Değişikliklerinizi uygulamak için Kaydet’i seçin.

PowerShell

1. Azure PowerShell yükleyin ve oturum açın.

2. Depolama hesabı ağ kuralları için özel durumları görüntüleyin.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
   

3. Depolama hesabı ağ kuralları için özel durumları yapılandırın.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
   

4. Depolama hesabı ağ kurallarının özel durumlarını kaldırın.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
   

Önemli

Varsayılan kuralı reddedecekşekilde ayarladığınızdan veya özel durumları kaldırmanın hiçbir etkisi olmadığından emin olun.

Azure CLI

1. Azure CLI'yi yükleyin ve oturum açın.

2. Depolama hesabı ağ kuralları için özel durumları görüntüleyin.

   az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
   

3. Depolama hesabı ağ kuralları için özel durumları yapılandırın.

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
   

4. Depolama hesabı ağ kurallarının özel durumlarını kaldırın.

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
   

Önemli

Varsayılan kuralı reddedecekşekilde ayarladığınızdan veya özel durumları kaldırmanın hiçbir etkisi olmadığından emin olun.

Sonraki adımlar

Hizmet uç noktalarındaki Azure Ağ hizmet uç noktaları hakkında daha fazla bilgi edinin.

Azure Depolama güvenlik kılavuzunda Azure Depolama güvenliğine daha ayrıntılı bir şekilde bakın.