Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie den Datenverkehr von einem Azure-Dienst außerhalb Ihrer Netzwerkgrenze aktivieren müssen, können Sie eine Netzwerksicherheits ausnahme hinzufügen. Dies ist nützlich, wenn ein Azure-Dienst über ein Netzwerk arbeitet, das Sie nicht in Ihre virtuellen Netzwerk- oder IP-Netzwerkregeln einschließen können. Einige Dienste müssen beispielsweise Ressourcenprotokolle und Metriken in Ihrem Konto lesen. Sie können den Lesezugriff für Protokolldateien, Metriktabellen oder beides zulassen, indem Sie eine Netzwerkregel-Ausnahme erstellen. Diese Dienste stellen mithilfe einer starken Authentifizierung eine Verbindung mit Ihrem Speicherkonto her.
Um zu erfahren, wie Sie eine Netzwerksicherheitsausnahme hinzufügen, sehen Sie sich Verwalten von Netzwerksicherheitsausnahmen an.
Vertrauenswürdiger Zugriff für Ressourcen, die in Ihrem Microsoft Entra-Mandanten registriert sind.
Ressourcen aus einigen Diensten können auf Ihr Speicherkonto für ausgewählte Vorgänge zugreifen, z. B. das Schreiben von Protokollen oder das Ausführen von Sicherungen. Diese Dienste müssen in einem Abonnement registriert sein, das sich im selben Microsoft Entra-Mandanten wie Ihr Speicherkonto befindet. In der folgenden Tabelle werden die einzelnen Dienste und deren zulässige Vorgänge beschrieben.
| Dienstleistung | Name des Ressourcenanbieters | Zulässige Vorgänge |
|---|---|---|
| Azure Datensicherung | Microsoft.RecoveryServices |
Führen Sie Sicherungen und Wiederherstellungen von nicht verwalteten Datenträgern in iaaS-VMs (Infrastructure-as-a-Service) aus (für verwaltete Datenträger nicht erforderlich). Erfahren Sie mehr. |
| Azure Data Box | Microsoft.DataBox |
Importieren Sie Daten in Azure. Erfahren Sie mehr. |
| Azure-Daten-Explorer | Microsoft.Kusto |
Lesen von Daten für Erfassung und externe Tabellen sowie Schreiben von Daten in externe Tabellen. Erfahren Sie mehr. |
| Azure DevTest Labs | Microsoft.DevTestLab |
Erstellen Sie benutzerdefinierte Images und installieren Sie Artefakte. Erfahren Sie mehr. |
| Azure-Ereignisraster | Microsoft.EventGrid |
Aktivieren Sie Azure Blob Storage-Ereignisveröffentlichung, und erlauben Sie die Veröffentlichung in Speicherwarteschlangen. |
| Azure Event Hubs | Microsoft.EventHub |
Archivieren von Daten mit Event Hubs Capture. Weitere Informationen. |
| Azure-Dateisynchronisierung | Microsoft.StorageSync |
Transformieren Sie Ihren lokalen Dateiserver in einen Cache für Azure-Dateifreigaben. Diese Funktion ermöglicht die Synchronisierung mehrerer Standorte, schnelle Notfallwiederherstellung und cloudseitige Sicherung. Erfahren Sie mehr. |
| Azure HDInsight | Microsoft.HDInsight |
Stellen Sie die anfänglichen Inhalte des Standarddateisystems für einen neuen HDInsight-Cluster bereit. Erfahren Sie mehr. |
| Azure Import/Export | Microsoft.ImportExport |
Importieren Sie Daten in Azure Storage oder exportieren Sie Daten aus Azure Storage. Erfahren Sie mehr. |
| Azure Monitor | Microsoft.Insights |
Schreiben Sie Überwachungsdaten in ein sicheres Speicherkonto, einschließlich Ressourcenprotokollen, Microsoft Defender for Endpoint-Daten, Microsoft Entra-Anmelde- und -Überwachungsprotokollen sowie Microsoft Intune-Protokollen. Erfahren Sie mehr. |
| Azure-Netzwerkdienste | Microsoft.Network |
Speichern und analysieren Sie Netzwerkdatenverkehrprotokolle, einschließlich über Azure Network Watcher und Azure Traffic Manager-Dienste. Erfahren Sie mehr. |
| Azure-Website-Wiederherstellung | Microsoft.SiteRecovery |
Aktivieren Sie die Replikation für die Notfallwiederherstellung von virtuellen Azure-IaaS-Computern bei Verwendung von firewallfähigen Cache-, Quell- oder Zielspeicherkonten. Erfahren Sie mehr. |
Vertrauenswürdiger Zugriff auf der Grundlage einer verwalteten Identität
In der folgenden Tabelle sind Dienste aufgeführt, die auf Ihre Speicherkontodaten zugreifen können, wenn die Ressourceninstanzen dieser Dienste über die entsprechenden Berechtigungen verfügen.
| Dienstleistung | Name des Ressourcenanbieters | Zweck |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure-API-Verwaltung | Microsoft.ApiManagement/service |
Ermöglicht den Zugriff auf Speicherkonten hinter Firewalls über Richtlinien. Erfahren Sie mehr. |
| Autonome Microsoft-Systeme | Microsoft.AutonomousSystems/workspaces |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure Cache für Redis | Microsoft.Cache/Redis |
Ermöglicht den Zugriff auf Speicherkonten. Erfahren Sie mehr. |
| Azure KI-Suche | Microsoft.Search/searchServices |
Ermöglicht den Zugriff auf Speicherkonten zur Indizierung, Verarbeitung und Abfrage. |
| Azure AI-Dienste | Microsoft.CognitiveService/accounts |
Ermöglicht den Zugriff auf Speicherkonten. Erfahren Sie mehr. |
| Microsoft Cost Management | Microsoft.CostManagementExports |
Ermöglicht den Export in Speicherkonten hinter einer Firewall. Erfahren Sie mehr. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
Ermöglicht den Zugriff auf Speicherkonten. Serverlose SQL-Lagerhäuser erfordern eine zusätzliche Konfiguration. Erfahren Sie mehr. |
| Azure Data Factory | Microsoft.DataFactory/factories |
Die ACR Tasks-Funktionensammlung ermöglicht den Zugriff auf Speicherkonten bei der Erstellung von Container-Images. |
| Azure-Daten-Explorer | Microsoft.Kusto/Clusters |
Lesen von Daten für Erfassung und externe Tabellen sowie Schreiben von Daten in externe Tabellen. Erfahren Sie mehr. |
| Azure Backup-Tresor | Microsoft.DataProtection/BackupVaults |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure Data Share | Microsoft.DataShare/accounts |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure-Datenbank für PostgreSQL | Microsoft.DBForPostgreSQL |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure-Geräteregister | Microsoft.DeviceRegistry/schemaRegistries |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure IoT Hub | Microsoft.Devices/IotHubs |
Ermöglicht das Schreiben von Daten aus einem IoT-Hub in den Blobspeicher. Erfahren Sie mehr. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure-Ereignisraster | Microsoft.EventGrid/domains |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure-Ereignisraster | Microsoft.EventGrid/partnerTopics |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure-Ereignisraster | Microsoft.EventGrid/systemTopics |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure-Ereignisraster | Microsoft.EventGrid/topics |
Ermöglicht den Zugriff auf Speicherkonten. |
| Microsoft Fabric | Microsoft.Fabric |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure Healthcare APIs | Microsoft.HealthcareApis/services |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure Healthcare APIs | Microsoft.HealthcareApis/workspaces |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Ermöglicht den Zugriff auf Speicherkonten. |
| Über Azure Key Vault verwaltetes HSM | Microsoft.keyvault/managedHSMs |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Ermöglicht Logik-Apps den Zugriff auf Speicherkonten. Erfahren Sie mehr. |
| Azure Logic Apps | Microsoft.Logic/workflows |
Ermöglicht Logik-Apps den Zugriff auf Speicherkonten. Erfahren Sie mehr. |
| Azure Machine Learning Studio | Microsoft.MachineLearning/registries |
Ermöglicht autorisierten Azure Machine Learning-Arbeitsbereichen das Schreiben Experimentausgaben, Modelle und Protokolle in Blob Storage und lesen die Daten. Erfahren Sie mehr. |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Ermöglicht autorisierten Azure Machine Learning-Arbeitsbereichen das Schreiben Experimentausgaben, Modelle und Protokolle in Blob Storage und lesen die Daten. Erfahren Sie mehr. |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Ermöglicht autorisierten Azure Machine Learning-Arbeitsbereichen das Schreiben Experimentausgaben, Modelle und Protokolle in Blob Storage und lesen die Daten. Erfahren Sie mehr. |
| Azure Media Services | Microsoft.Media/mediaservices |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Ermöglicht den Zugriff auf Speicherkonten. |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Ermöglicht den Zugriff auf Speicherkonten. |
| Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure-Datenkatalog | Microsoft.ProjectBabylon/accounts |
Ermöglicht den Zugriff auf Speicherkonten. |
| Microsoft Purview | Microsoft.Purview/accounts |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure-Website-Wiederherstellung | Microsoft.RecoveryServices/vaults |
Ermöglicht den Zugriff auf Speicherkonten. |
| Sicherheitszentrum | Microsoft.Security/dataScanners |
Ermöglicht den Zugriff auf Speicherkonten. |
| Singularität | Microsoft.Singularity/accounts |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure Speichervorgänge | Microsoft.Storageactions/Storagetasks |
Ermöglicht den Zugriff auf Speicherkonten. |
| Azure SQL-Datenbank | Microsoft.Sql |
Ermöglicht das Schreiben von Überwachungsdaten in Speicherkonten hinter einer Firewall. |
| Azure SQL-Server-Instanzen | Microsoft.Sql/servers |
Ermöglicht das Schreiben von Überwachungsdaten in Speicherkonten hinter einer Firewall. |
| Azure Synapse Analytics | Microsoft.Sql |
Ermöglicht das Importieren und Exportieren von Daten aus bestimmten SQL-Datenbanken mithilfe der COPY-Anweisung, per PolyBase (in dediziertem Pool) oder mithilfe der Funktion openrowset und externer Tabellen in einem serverlosen Pool. Erfahren Sie mehr. |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
Ermöglicht das Schreiben von Daten aus einem Streamingauftrag in den BLOB-Speicher. Erfahren Sie mehr. |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Ermöglicht das Schreiben von Daten aus einem Streamingauftrag in den BLOB-Speicher. Erfahren Sie mehr. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Ermöglicht den Zugriff auf Daten in Azure Storage. |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Ermöglicht den Zugriff auf Speicherkonten. |
Wenn Ihr Konto das hierarchische Namespacefeature nicht aktiviert hat, können Sie die Berechtigung erteilen, indem Sie der verwalteten Identität für jede Ressourceninstanz explizit eine Azure-Rolle zuweisen. In diesem Fall entspricht der Zugriffsbereich für die Instanz der Azure-Rolle, die der verwalteten Identität zugewiesen ist.
Sie können dieselbe Technik für ein Konto verwenden, für das die hierarchische Namespace-Funktion aktiviert wurde. Sie müssen jedoch keine Azure-Rolle zuweisen, wenn Sie die verwaltete Identität der Zugriffssteuerungsliste (ACL) eines Verzeichnisses oder Blobs zuweisen, das bzw. der sich im Speicherkonto befindet. In diesem Fall entspricht der Zugriffsbereich der Instanz dem Verzeichnis oder der Datei, auf das bzw. die der verwalteten Identität Zugriff hat.
Sie können Azure-Rollen und ACLs auch miteinander kombinieren, um Zugriff zu gewähren. Weitere Informationen finden Sie unter Zugriffssteuerungsmodell in Azure Data Lake Storage.
Wir empfehlen die Verwendung von Ressourceninstanzregeln, um Zugriff auf bestimmte Ressourcen zu gewähren.