設定 Azure 儲存體的防火牆和虛擬網路
Azure 儲存體提供分層的安全性模型。 此模型可讓您根據所用網路或資源的類型與子集,控制應用程式及企業環境所需儲存體帳戶的存取層級。
當您設定網路規則時,應用程式必須透過一組指定網路或透過一組指定 Azure 資源要求資料才能存取儲存體帳戶。 您可以限制只有來自指定 IP 位址、IP 範圍、Azure 虛擬網路中的子網路或某些 Azure 資源資源執行個體的要求,才能存取您的儲存體帳戶。
儲存體帳戶具有可透過網際網路存取的公用端點。 您也可以為儲存體帳戶建立私人端點。 建立私人端點會將您虛擬網路的私人 IP 位址指派給儲存體帳戶。 這有助於透過私人連結保護您虛擬網路和儲存體帳戶之間的所有流量。
Azure 儲存體防火牆會為儲存體帳戶的公用端點提供存取控制。 在使用私人端點時,您也可以使用防火牆來封鎖所有透過公用端點的存取。 您的防火牆設定也可讓受信任的 Azure 平台服務存取儲存體帳戶。
應用程式若在網路規則生效時存取儲存體帳戶,則對於要求仍須有適當的授權。 授權支援包括針對 Blob、資料表、檔案共用和佇列的 Microsoft Entra 認證、有效帳戶存取金鑰,或是共用存取簽章 (SAS) 權杖。 當您將 Blob 容器設為允許匿名存取時,要求讀取該容器中的資料不需要獲得授權。 防火牆規則會維持有效狀態,並封鎖匿名流量。
開啟儲存體帳戶的防火牆規則會預設封鎖傳入的資料要求,除非要求源自 Azure 虛擬網路內運作的服務或源自允許的公用 IP位址。 封鎖的要求包括來自其他 Azure 服務、Azure 入口網站及記錄與計量服務。
您可以透過允許流量來自裝載服務執行個體的子網路,將存取權授與從虛擬網路內執行的 Azure 服務。 您也可以透過本文所述的例外狀況機制來啟用數目有限的案例。 若要透過 Azure 入口網站從儲存體帳戶存取資料,您所用的機器必須位於已設定的信任界限 (IP 或虛擬網路) 內。
注意
建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 請參閱安裝 Azure PowerShell 以開始使用。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。
案例
若要保護您的儲存體帳戶,您應該先設定規則,以根據預設,拒絕存取公用端點上來自所有網路的流量 (包括網際網路流量)。 然後,您應該設定規則,以授與特定虛擬網路中流量的存取權。 您也可以設定規則,授與存取所選取公用網際網路 IP 位址範圍中流量的權限,這會啟用來自特定網際網路或內部部署用戶端的連線。 此設定可協助您為應用程式設定安全的網路界限。
您可以合併防火牆規則,允許從特定的虛擬網路進行存取,以及從相同儲存體帳戶上的公用 IP 位址範圍進行存取。 您可以將防火牆規則套用到現有的儲存體帳戶,或在您建立新的儲存體帳戶時套用。
儲存體防火牆規則適用於儲存體帳戶的公用端點。 您不需要任何防火牆存取規則來允許儲存體帳戶的私人端點流量。 核准建立私用端點的程序會授與隱含的權限,存取來自子網路 (私人端點裝載所在) 的流量。
重要
Azure 儲存體防火牆規則僅適用於資料平面作業。 控制平面作業不遵循防火牆規則中指定的限制。
某些作業 (例如 Blob 容器作業) 可同時透過控制平面和資料平面執行。 因此,如果您嘗試從 Azure 入口網站執行列出容器等作業,作業將會成功,除非遭到另一個機制封鎖。 嘗試從應用程式 (例如 Azure 儲存體總管) 存取 Blob 資料時會受制於防火牆的限制。
如需資料平面作業的清單,請參閱 Azure 儲存體 REST API 參考。 如需控制平面作業的清單,請參閱 Azure 儲存體資源提供者 REST API 參考。
設定 Azure 儲存體的網路存取
您可以透過網路端點控制儲存體帳戶中的資料存取,或透過受信任服務或資源的任意組合來控制資料存取,包括:
- 允許使用私人端點從選取的虛擬網路子網路存取。
- 允許使用服務端點從選取的虛擬網路子網路存取。
- 允許從特定公用 IP 位址或範圍存取。
- 允許從選取的 Azure 資源執行個體存取。
- 允許來自受信任 Azure 服務的存取 (使用管理例外狀況)。
- 設定記錄和計量服務的例外狀況。
關於虛擬網路端點
儲存體帳戶的虛擬網路端點有兩種類型:
虛擬網路服務端點是公用的,可透過網際網路存取。 Azure 儲存體防火牆可用於控制透過這類公用端點對儲存體帳戶的存取。 當您啟用儲存體帳戶的公用網路存取權時,系統預設會封鎖資料的所有傳入要求。 只有透過儲存體帳戶防火牆設定中允許來源要求資料的應用程式能夠存取您的資料。 來源可包含用戶端的來源 IP 位址或虛擬網路子網路,或是用戶端或服務用來存取您資料的 Azure 服務或資源執行個體。 封鎖的要求包括來自其他 Azure 服務、Azure 入口網站,以及記錄和計量服務的要求,除非您在防火牆設定中明確允許存取。
私人端點會使用來自虛擬網路的私人 IP 位址,透過 Microsoft 骨幹網路存取儲存體帳戶。 使用私人端點時,虛擬網路與儲存體帳戶之間的流量會透過私人連結受到保護。 儲存體防火牆規則只能適用於儲存體帳戶的公用端點,而非私人端點。 核准建立私用端點的程序會授與隱含的權限,存取來自子網路 (私人端點裝載所在) 的流量。 如果您想要精簡存取規則,您可以使用網路原則來控制私人端點的流量。 如果您想要僅使用私人端點,可以使用防火牆封鎖所有透過公用端點的存取。
如需每種端點類型在環境中的使用時機介紹,請參閱比較私人端點和服務端點。
如何實現儲存體帳戶的網路安全性
若要保護您的儲存體帳戶,並為應用程式建置安全的網路界限,請遵循下列步驟:
首先,在儲存體帳戶防火牆的 [公用網路存取] 設定下,停用儲存體帳戶的所有公用網路存取。
在可能的情況下,針對需存取資料的用戶端所在虛擬網路子網路上的私人端點來源,請設定其與儲存體帳戶的私人連結。
如果用戶端應用程式需要透過公用端點存取,請將 [公用網路存取] 設定變更為 [已從選取的虛擬網路和 IP 位址啟用]。 接著視需要執行下列步驟:
- 指定您想要允許其存取的虛擬網路子網路。
- 指定您要允許其存取的用戶端公用 IP 位址範圍,例如內部部署網路上的用戶端。
- 允許從選取的 Azure 資源執行個體存取。
- 新增例外狀況,以允許備份資料等作業所需受信任服務的存取。
- 新增記錄和計量的例外狀況。
套用網路規則之後,系統會對所有要求強制執行這些規則。 授與特定 IP 位址存取權的 SAS 權杖是用來限制權杖持有者的存取權,但不會為其授與已設定網路規則以外的新存取權。
限制與考量
在實作儲存體帳戶的網路安全性之前,請先檢閱本節中討論的重要限制和考量事項。
- Azure 儲存體防火牆規則僅適用於資料平面作業。 控制平面作業不遵循防火牆規則中指定的限制。
- 檢閱 IP 網路規則的限制。
- 若要使用 Azure 入口網站、Azure 儲存體總管和 AzCopy 等工具來存取資料,您必須使用網路安全性規則設定時所建立受信任界限內的機器。
- Azure 儲存體的所有網路通訊協定都會執行網路規則,包括 REST 和 SMB。
- 網路規則不會影響虛擬機器 (VM) 磁碟流量,包括掛接和解除掛接作業和磁碟 I/O,但確實有助於保護針對分頁 Blob 的 REST 存取。
- 您可以藉由建立例外狀況,使用儲存體帳戶中的非受控磁碟與已套用的網路規則來備份和還原 VM。 防火牆例外狀況不適用於受控磁碟,因為這些磁碟是由 Azure 管理。
- 傳統的儲存體帳戶不支援防火牆與虛擬網路。
- 如果您刪除虛擬網路規則中所包含的子網路,則會從儲存體帳戶的網路規則中將其移除。 如果您以相同名稱建立新的子網路,將無法存取儲存體帳戶。 若要允許存取,您必須在儲存體帳戶的網路規則中明確授權新的子網路。
- 在用戶端應用程式中參考服務端點時,建議您避免相依於快取的 IP 位址。 儲存體帳戶的 IP 位址可能會變更,依賴快取的 IP 位址可能會導致非預期的行為。 此外,建議您接受 DNS 記錄的存留時間 (TTL),並避免將其覆寫。 覆寫 DNS TTL 可能會導致非預期的行為。
- 根據設計,從受信任服務存取儲存體帳戶的優先順序皆高於其他網路存取限制。 如果您先前將 [公用網路存取] 設定為 [已從選取的虛擬網路和 IP 位址啟用] 之後,又將其設定為 [已停用],則您先前設定的任何資源執行個體和例外狀況 (包括允許受信任服務清單上的 Azure 服務存取此儲存體帳戶) 將仍然有效。 因此,這些資源和服務可能仍可存取儲存體帳戶。
授權
透過網路規則授與存取權的用戶端必須持續符合儲存體帳戶的授權需求,才能存取資料。 授權支援包括針對 Blob 和佇列的 Microsoft Entra 認證、有效帳戶存取金鑰,或是共用存取簽章 (SAS) 權杖。
當您將 Blob 容器設定為匿名公用存取時,讀取該容器中資料的要求不需要獲得授權,但是防火牆規則仍會保持有效,並且會封鎖匿名流量。
變更預設的網路存取規則
根據預設,儲存體帳戶接受來自任何網路用戶端的連線。 您可以限制對所選網路的存取,或防止來自所有網路的流量,並只允許透過私人端點進行存取。
預設規則必須設為 [拒絕],否則網路規則不會生效。 但變更此設定可能會影響應用程式連線至 Azure 儲存體的能力。 在您變更此設定之前,請務必授與任何允許網路的存取權,或透過私人端點設定存取權。
注意
建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 請參閱安裝 Azure PowerShell 以開始使用。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。
移至您要保護的儲存體帳戶。
在 [安全性 + 網路] 下找到 [網路]。
選擇您想要允許的公用網路存取類型:
若要允許來自所有網路的流量,請選取 [從所有網路啟用]。
若要只允許來自特定虛擬網路的流量,請選取 [從選取的虛擬網路和 IP 位址啟用]。
若要封鎖來自所有網路的流量,請選取 [停用] 。
選取儲存套用變更。
警告
根據設計,從受信任服務存取儲存體帳戶的優先順序皆高於其他網路存取限制。 如果您先前將 [公用網路存取] 設定為 [已從選取的虛擬網路和 IP 位址啟用] 之後,又將其設定為 [已停用],則您先前設定的任何資源執行個體和例外狀況 (包括允許受信任服務清單上的 Azure 服務存取此儲存體帳戶) 將仍然有效。 因此,這些資源和服務可能仍可存取儲存體帳戶。
授與虛擬網路存取權
您可以將儲存體帳戶設定為只允許從特定子網路進行存取。 允許的子網路可以屬於相同訂用帳戶或不同訂用帳戶的虛擬網路,包括屬於不同 Microsoft Entra 租用戶。 透過跨區域服務端點,允許的子網路也可以位於儲存體帳戶的不同區域中。
您可以為虛擬網路內的 Azure 儲存體啟用服務端點。 服務端點會透過最佳路徑,將來自虛擬網路的流量路由傳送至 Azure 儲存體服務。 子網路和虛擬網路的身分識別也會隨著每個要求傳輸。 管理員接著可以設定儲存體帳戶的網路規則,允許接收來自虛擬網路中特定子網路的要求。 透過這些網路規則授與存取權的用戶端必須繼續符合儲存體帳戶的授權需求,才能存取資料。
每個儲存體帳戶最多支援 400 個虛擬網路規則。 您可以將這些規則結合 IP 網路規則。
重要
在用戶端應用程式中參考服務端點時,建議您避免相依於快取的 IP 位址。 儲存體帳戶的 IP 位址可能會變更,依賴快取的 IP 位址可能會導致非預期的行為。
此外,建議您接受 DNS 記錄的存留時間 (TTL),並避免將其覆寫。 覆寫 DNS TTL 可能會導致非預期的行為。
所需的權限
為將虛擬網路規則套用至儲存體帳戶,使用者必須具備待新增子網路的適當權限。 儲存體帳戶參與者或是具有 Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure 資源提供者作業權限的使用者可使用自訂 Azure 角色來套用規則。
取得存取權的儲存體帳戶和虛擬網路可以位於不同的訂用帳戶,包括屬於不同 Microsoft Entra 租用戶的訂用帳戶。
若要授權存取虛擬網路中的子網路,且這些虛擬網路屬於不同的 Microsoft Entra 租用戶,目前只支援透過 PowerShell、Azure CLI 和 REST API 設定規則。 您無法透過 Azure 入口網站設定這類規則,但可以在入口網站中檢視這些規則。
Azure 儲存體跨區域服務端點
Azure 儲存體的跨區域服務端點將於 2023 年 4 月正式推出。 這些端點可支援虛擬網路和儲存體服務執行個體之間的通訊,不受區域限制。 使用跨區域服務端點時,子網路將不再使用公用 IP 位址與儲存體帳戶通訊,包括位於另一個區域中的儲存體帳戶。 反之,從子網路到儲存體帳戶的所有流量都會使用私人 IP 位址作為來源 IP。 因此,任何儲存體帳戶若使用 IP 網路規則允許來自那些子網路的流量,將不再生效。
在配對區域中設定虛擬網路和服務執行個體之間的服務端點,可能是災害復原計劃的重要環節。 服務端點可在地區性容錯移轉期間維持持續性,而且能讓您存取唯讀的異地備援儲存體 (RA-GRS) 執行個體。 將虛擬網路存取權授與儲存體帳戶的網路規則,也會將存取權授與任何 RA-GRS 執行個體。
在規劃區域性中斷期間的災害復原時,請先在配對區域中建立虛擬網路。 為 Azure 儲存體啟用服務端點,並設定網路規則,以允許從這些替代虛擬網路進行存取。 然後將這些規則套用至您的異地備援儲存體帳戶。
本機和跨區域服務端點無法共存於相同的子網路上。 若要以跨區域端點取代現有的服務端點,請刪除現有的 Microsoft.Storage 端點,並將其重新建立為跨區域端點 (Microsoft.Storage.Global)。
管理虛擬網路規則
您可以透過 Azure 入口網站、PowerShell 或 Azure CLI v2 管理儲存體帳戶的虛擬網路規則。
如果您想要從另一個 Microsoft Entra 租用戶中的虛擬網路或子網路存取儲存體帳戶,您必須使用 PowerShell 或 Azure CLI。 Azure 入口網站不會在其他 Microsoft Entra 租用戶中顯示子網路。
移至您要保護的儲存體帳戶。
選取 [網路功能]。
請確定您已選擇允許從所選網路進行存取。
若要使用新的網路規則將存取權授與虛擬網路,請在 [虛擬網路] 下選取 [新增現有虛擬網路]。 選取 [虛擬網路] 和 [子網路] 選項,然後選取 [新增]。
若要建立新的虛擬網路並授與存取權,請選取 [新增虛擬網路]。 提供建立新虛擬網路所需的資訊,並選取 [建立]。
如果 Azure 儲存體的服務端點未針對所選虛擬網路和子網路事先設定,可以將其設定為這項作業的一部分。
目前,只有屬於相同 Microsoft Entra 租用戶的虛擬網路才會在規則建立期間顯示為選項。 當虛擬網路屬於另一個租用戶時,若要授與權限存取其中的子網路,請使用 PowerShell、Azure CLI 或 REST API。
若要移除虛擬網路或子網路規則,請選取省略符號 (…) 開啟虛擬網路或子網路的快顯功能表,然後選取 [移除]。
選取儲存套用變更。
重要
如果您刪除包含在網路規則中的子網路,則會從儲存體帳戶的網路規則中將其移除。 如果您以相同名稱建立新的子網路,將無法存取儲存體帳戶。 若要允許存取,您必須在儲存體帳戶的網路規則中明確授權新的子網路。
授與網際網路 IP 範圍存取權
您可以使用 IP 網路規則,藉由建立 IP 網路規則,允許從特定公用網際網路 IP 位址範圍進行存取。 每個儲存體帳戶最多支援 400 個規則。 這些規則可將存取權授與特定的網際網路型服務和內部部署網路,並且封鎖一般網際網路流量。
IP 網路規則的限制
下列限制適用於 IP 位址範圍:
只有公用網際網路 IP 位址允許使用 IP 網路規則。
IP 規則中不允許保留私人網路的 IP 位址範圍 (如 RFC 1918 中所定義)。 私人網路包括以 10、172.16 到 172.31 以及 192.168 開頭的位址。
允許的網際網路位址範圍必須使用 16.17.18.0/24 格式的 CIDR 標記法,或 16.17.18.19 等個別 IP 位址來提供。
不支援使用 /31 或 /32 前置詞大小的小型位址範圍。 使用個別 IP 位址規則設定這些範圍。
設定儲存體防火牆規則時僅支援 IPv4 位址。
重要
在下列情況中,您無法使用 IP 網路規則:
設定內部部署網路存取權
若要使用 IP 網路規則將內部部署網路存取權授與儲存體帳戶,您必須識別網路所使用的網際網路對應 IP 位址。 請連絡網路系統管理員尋求協助。
如果您使用來自內部部署的 Azure ExpressRoute 進行公用對等互連或 Microsoft 對等互連,您必須識別所使用的 NAT IP 位址。 在公用對等互連中,每個 ExpressRoute 線路預設都會使用兩個 NAT IP 位址,而這兩個位址會在流量進入 Microsoft Azure 網路骨幹時套用至 Azure 服務流量。 針對 Microsoft 對等互連,服務提供者或客戶會提供 NAT IP 位址。
若要允許存取您的服務資源,您必須在資源 IP 的防火牆設定中允許這些公用 IP 位址。 若要尋找公用對等互連 ExpressRoute 線路的 IP 位址,請透過 Azure 入口網站開啟有 ExpressRoute 的支援票證。 深入了解 ExpressRoute 公用對等互連與 Microsoft 對等互連的 NAT。
管理 IP 網路規則
您可以透過 Azure 入口網站、PowerShell 或 Azure CLI v2 管理儲存體帳戶的 IP 網路規則。
移至您要保護的儲存體帳戶。
選取 [網路功能]。
請確定您已選擇允許從所選網路進行存取。
若要授與網際網路 IP 範圍的存取權,請在 [防火牆]>[位址範圍] 之下輸入 IP 位址或位址範圍 (採用 CIDR 格式)。
若要移除 IP 網路規則,請選取位址範圍旁的刪除圖示 (
)。選取儲存套用變更。
從 Azure 資源執行個體授與存取權
在某些情況下,應用程式可能相依於無法透過虛擬網路或 IP 位址規則隔離的 Azure 資源。 但您仍想保護和限制儲存體帳戶只能存取您應用程式的 Azure 資源。 您可以藉由建立資源執行個體規則,將儲存體帳戶設定為允許存取受信任 Azure 服務的特定資源執行個體。
資源執行個體的 Azure 角色指派會決定資源執行個體可以在儲存體帳戶資料上執行的作業類型。 資源執行個體必須來自與您的儲存體帳戶相同的租用戶,但是可以屬於租用戶中的任何訂用帳戶。
您可以在 Azure 入口網站中新增或移除資源網路規則:
登入 Azure 入口網站。
找出您的儲存體帳戶,然後顯示帳戶概觀。
選取 [網路功能]。
在 [防火牆與虛擬網路] 下,針對 [選取的網路],選取該選項以允許存取。
向下捲動以尋找資源執行個體。 在 [資源類型] 下拉式清單中,選取資源執行個體的資源類型。
在 [執行個體名稱] 下拉式清單中,選取資源執行個體。 您也可以選擇將所有資源執行個體包含在作用中租用戶、訂用帳戶或資源群組中。
選取儲存套用變更。 資源執行個體會出現在網路設定頁面的 [資源執行個體] 區段中。
若要移除資源執行個體,請選取資源執行個體旁的刪除圖示 ()。
授與受信任 Azure 服務的存取權
某些 Azure 服務運作的網路無法包含在網路規則中。 您可以將這類受信任的 Azure 服務子集存取權授與儲存體帳戶,同時維護其他應用程式的網路規則。 這些受信任的服務接著會使用增強式驗證來連線到您的儲存體帳戶。
您可以藉由建立網路規則例外狀況,將存取權授與受信任的 Azure 服務。 本文的管理例外狀況一節會提供逐步指引。
您訂用帳戶中已註冊資源的信任存取權
您訂用帳戶中某些已註冊服務的資源可以「在相同的訂用帳戶中」存取您的儲存體帳戶以進行所選作業,例如寫入記錄或備份。 下表說明每個服務和允許的作業。
| 服務 | 資源提供者名稱 | 允許的作業 |
|---|---|---|
| Azure 備份 | Microsoft.RecoveryServices |
在基礎結構即服務 (IaaS) 虛擬機器中執行非受控磁碟的備份和還原 (受控磁碟不需要)。 深入了解。 |
| Azure 資料箱 | Microsoft.DataBox |
將資料匯入 Azure。 深入了解。 |
| Azure DevTest Labs | Microsoft.DevTestLab |
建立自訂映像並安裝成品。 深入了解。 |
| 事件格線 | Microsoft.EventGrid |
啟用 Azure Blob 儲存體事件發佈並允許發佈至儲存體佇列。 |
| Azure 事件中樞 | Microsoft.EventHub |
使用事件中樞擷取封存資料。 深入了解。 |
| Azure 檔案同步 | Microsoft.StorageSync |
將您的內部部署文件伺服器轉換為 Azure 檔案共用的快取。 此功能可支援多站台同步處理、快速災害復原和雲端備份。 深入了解。 |
| Azure HDInsight | Microsoft.HDInsight |
為新的 HDInsight 叢集佈建預設檔案系統的初始內容。 深入了解。 |
| Azure 匯入/匯出 | Microsoft.ImportExport |
將資料匯入 Azure 儲存體,或從 Azure 儲存體匯出資料。 深入了解。 |
| Azure 監視器 | Microsoft.Insights |
將監視資料寫入受保護的儲存體帳戶,包括資源記錄、Microsoft Entra 登入和稽核記錄,以及 Microsoft Intune 記錄。 深入了解。 |
| Azure 網路服務 | Microsoft.Network |
儲存和分析網路流量記錄,包括透過 Azure 網路監看員和 Azure 流量管理員服務。 深入了解。 |
| Azure Site Recovery | Microsoft.SiteRecovery |
當您使用已啟用防火牆的快取、來源或目標儲存體帳戶時,請啟用複寫以進行 Azure IaaS 虛擬機器的災害復原。 深入了解。 |
根據受控識別的信任存取權
下表列出這些服務的資源執行個體在獲得適當權限時,可以存取儲存體帳戶資料的服務。
| 服務 | 資源提供者名稱 | 目的 |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
啟用儲存體帳戶的存取權。 |
| Azure API 管理 | Microsoft.ApiManagement/service |
透過原則允許存取防火牆後方的儲存體帳戶。 深入了解。 |
| Microsoft 自發系統 | Microsoft.AutonomousSystems/workspaces |
啟用儲存體帳戶的存取權。 |
| Azure Cache for Redis | Microsoft.Cache/Redis |
啟用儲存體帳戶的存取權。 深入了解。 |
| Azure AI 搜尋服務 | Microsoft.Search/searchServices |
啟用儲存體帳戶的存取權,以進行索引編製、處理和查詢。 |
| Azure AI 服務 | Microsoft.CognitiveService/accounts |
啟用儲存體帳戶的存取權。 深入了解。 |
| Azure Container Registry | Microsoft.ContainerRegistry/registries |
透過 ACR 工作功能套件,可讓您在建置容器映像時存取儲存體帳戶。 |
| Microsoft 成本管理 | Microsoft.CostManagementExports |
啟用匯出至防火牆後方的儲存體帳戶。 深入了解。 |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
啟用儲存體帳戶的存取權。 |
| Azure Data Factory | Microsoft.DataFactory/factories |
允許透過 Data Factory 執行階段存取儲存體帳戶。 |
| Azure 備份保存庫 | Microsoft.DataProtection/BackupVaults |
啟用儲存體帳戶的存取權。 |
| Azure Data Share | Microsoft.DataShare/accounts |
啟用儲存體帳戶的存取權。 |
| 適用於 PostgreSQL 的 Azure 資料庫 | Microsoft.DBForPostgreSQL |
啟用儲存體帳戶的存取權。 |
| Azure IoT 中樞 | Microsoft.Devices/IotHubs |
允許將來自 IoT 中樞的資料寫入至 Blob 儲存體。 深入了解。 |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
啟用儲存體帳戶的存取權。 |
| 事件格線 | Microsoft.EventGrid/domains |
啟用儲存體帳戶的存取權。 |
| 事件格線 | Microsoft.EventGrid/partnerTopics |
啟用儲存體帳戶的存取權。 |
| 事件格線 | Microsoft.EventGrid/systemTopics |
啟用儲存體帳戶的存取權。 |
| 事件格線 | Microsoft.EventGrid/topics |
啟用儲存體帳戶的存取權。 |
| Azure Healthcare APIs | Microsoft.HealthcareApis/services |
啟用儲存體帳戶的存取權。 |
| Azure Healthcare APIs | Microsoft.HealthcareApis/workspaces |
啟用儲存體帳戶的存取權。 |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
啟用儲存體帳戶的存取權。 |
| Azure Key Vault 受控 HSM | Microsoft.keyvault/managedHSMs |
啟用儲存體帳戶的存取權。 |
| Azure Logic 應用程式 | Microsoft.Logic/integrationAccounts |
讓邏輯應用程式能夠存取儲存體帳戶。 深入了解。 |
| Azure Logic 應用程式 | Microsoft.Logic/workflows |
讓邏輯應用程式能夠存取儲存體帳戶。 深入了解。 |
| Azure Machine Learning Studio | Microsoft.MachineLearning/registries |
讓已授權的 Azure Machine Learning 工作區將實驗輸出、模型和記錄寫入至 Blob 儲存體,並讀取資料。 深入了解。 |
| Azure Machine Learning | Microsoft.MachineLearningServices |
讓已授權的 Azure Machine Learning 工作區將實驗輸出、模型和記錄寫入至 Blob 儲存體,並讀取資料。 深入了解。 |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
讓已授權的 Azure Machine Learning 工作區將實驗輸出、模型和記錄寫入至 Blob 儲存體,並讀取資料。 深入了解。 |
| Azure 媒體服務 | Microsoft.Media/mediaservices |
啟用儲存體帳戶的存取權。 |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
啟用儲存體帳戶的存取權。 |
| Azure 空間錨點 | Microsoft.MixedReality/remoteRenderingAccounts |
啟用儲存體帳戶的存取權。 |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
啟用儲存體帳戶的存取權。 |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
啟用儲存體帳戶的存取權。 |
| Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
啟用儲存體帳戶的存取權。 |
| Azure 資料目錄 | Microsoft.ProjectBabylon/accounts |
啟用儲存體帳戶的存取權。 |
| Microsoft Purview | Microsoft.Purview/accounts |
啟用儲存體帳戶的存取權。 |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults |
啟用儲存體帳戶的存取權。 |
| 資訊安全中心 | Microsoft.Security/dataScanners |
啟用儲存體帳戶的存取權。 |
| Singularity | Microsoft.Singularity/accounts |
啟用儲存體帳戶的存取權。 |
| Azure SQL Database | Microsoft.Sql |
允許將稽核資料寫入防火牆後方的儲存體帳戶。 |
| Azure SQL Servers | Microsoft.Sql/servers |
允許將稽核資料寫入防火牆後方的儲存體帳戶。 |
| Azure Synapse Analytics | Microsoft.Sql |
允許透過 COPY 陳述式或 PolyBase (在專用集區中) 或無伺服器集區中的 openrowset 函式和外部資料表,從特定 SQL 資料庫匯入和匯出資料。 深入了解。 |
| Azure 串流分析 | Microsoft.StreamAnalytics |
允許將串流作業中的資料寫入至 Blob 儲存體。 深入了解。 |
| Azure 串流分析 | Microsoft.StreamAnalytics/streamingjobs |
允許將串流作業中的資料寫入至 Blob 儲存體。 深入了解。 |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
允許存取 Azure 儲存體中的資料。 |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
啟用儲存體帳戶的存取權。 |
如果您的帳戶未啟用階層命名空間功能,您可以藉由將 Azure 角色明確指派給每個資源執行個體的受控識別來授與權限。 在此情況下,執行個體的存取範圍會對應至指派給受控識別的 Azure 角色。
您可以針對已啟用階層命名空間功能的帳戶,使用相同的技術。 不過,如果您將受控識別新增至儲存體帳戶中所含任意目錄或 Blob 的存取控制清單 (ACL),則不需要指派 Azure 角色。 在此情況下,執行個體的存取範圍會對應至受控識別具有存取權的目錄或檔案。
您也可以將 Azure 角色和 ACL 結合在一起以授與存取權。 若要深入了解,請參閱 Azure Data Lake Storage Gen2 中的存取控制模型。
管理例外狀況
在某些情況下 (例如儲存體分析),需要來自網路界限外的存取權才能讀取資源記錄和計量。 設定受信任的服務以存取儲存體帳戶時,您可以藉由建立網路規則例外狀況,允許記錄檔、計量資料表或兩者的讀取存取權。 您可以透過 Azure 入口網站、PowerShell 或 Azure CLI v2 管理網路規則例外狀況。
若要深入了解如何使用儲存體分析,請參閱使用 Azure 儲存體分析收集記錄和計量資料。
移至您要保護的儲存體帳戶。
選取 [網路功能]。
請確定您已選擇允許從所選網路進行存取。
在 [例外狀況] 底下,選取您想要授與權限的例外狀況。
選取儲存套用變更。
下一步
深入了解 Azure 網路服務端點。 深入探索 Azure 儲存體安全性。