Sie können den gesamten öffentlichen Zugriff auf Ihr Speicherkonto verweigern und dann Azure-Netzwerkeinstellungen so konfigurieren, dass Anforderungen akzeptiert werden, die von bestimmten virtuellen Netzwerksubnetzen stammen. Weitere Informationen finden Sie unter Subnetze für virtuelle Netzwerke.
Um eine virtuelle Netzwerkregel auf ein Speicherkonto anzuwenden, muss der Benutzer über die entsprechenden Berechtigungen für die Hinzugefügten Subnetze verfügen. Ein Mitwirkender eines Speicherkontos oder ein Benutzer, der über die Berechtigung für den Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure-Ressourcenanbieter-Vorgang verfügt, kann eine Regel mithilfe einer benutzerdefinierten Azure-Rolle anwenden.
Erstellen von VNET-Regeln
Hinweis
Wenn Sie den Zugriff über ein virtuelles Netzwerk in einem anderen Microsoft Entra-Mandanten aktivieren möchten, müssen Sie PowerShell oder die Azure CLI verwenden. Das Azure-Portal zeigt keine Subnetze in anderen Microsoft Entra-Mandanten an.
Wechseln Sie zu dem Speicherkonto, für das Sie virtuelle Netzwerk- und Zugriffsregeln konfigurieren möchten.
Wählen Sie im Dienstmenü unter "Sicherheit + Netzwerke" die Option "Netzwerk" aus, und dann unter "Ressourceneinstellungen: Virtuelle Netzwerke, IP-Adressen und Ausnahmen" die Option "Anzeigen".
Wählen Sie unter "Virtuelle Netzwerke" die Option "Vorhandenes virtuelles Netzwerk hinzufügen" aus.
Der Bereich "Netzwerke hinzufügen " wird angezeigt.
Wählen Sie in der Dropdownliste "Virtuelle Netzwerke " ein virtuelles Netzwerk aus.
Wählen Sie in der Dropdownliste "Subnetze " die gewünschten Subnetze und dann "Hinzufügen" aus.
Wenn Sie ein neues virtuelles Netzwerk erstellen müssen, wählen Sie "Neues virtuelles Netzwerk hinzufügen" aus. Geben Sie die erforderlichen Informationen zum Erstellen des neuen virtuellen Netzwerks an, und wählen Sie anschließend Erstellen aus. Nur virtuelle Netzwerke, die zum gleichen Microsoft Entra-Mandanten gehören, werden während der Regelerstellung zur Auswahl angezeigt. Um Zugriff auf ein Subnetz in einem virtuellen Netzwerk zu gewähren, das zu einem anderen Mandanten gehört, verwenden Sie PowerShell, die Azure CLI oder die REST-API.
Wenn Sie eine Regel für virtuelle Netzwerke oder Subnetze entfernen möchten, wählen Sie die Auslassungspunkte ... aus, um das Kontextmenü für das virtuelle Netzwerk oder Subnetz zu öffnen, und wählen Sie anschließend Entfernen aus.
Wählen Sie "Speichern" aus, um Ihre Änderungen anzuwenden.
Von Bedeutung
Wenn Sie ein Subnetz löschen, das in einer Netzwerkregel enthalten ist, wird es aus den Netzwerkregeln für das Speicherkonto entfernt. Wenn Sie ein neues Subnetz mit demselben Namen erstellen, hat es keinen Zugriff auf das Speicherkonto. Um den Zugriff zuzulassen, müssen Sie das neue Subnetz explizit in den Netzwerkregeln für das Speicherkonto autorisieren.
Installieren Sie Azure PowerShell, und melden Sie sich an.
Um Datenverkehr nur aus bestimmten virtuellen Netzwerken zuzulassen, verwenden Sie den Befehl Update-AzStorageAccountNetworkRuleSet, und legen Sie den Parameter -DefaultAction auf Deny fest:
Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
Von Bedeutung
Netzwerkregeln haben keine Auswirkung, es sei denn, Sie legen den -DefaultAction Parameter auf Deny. Doch das Ändern dieser Einstellung kann die Fähigkeit Ihrer Anwendung, eine Verbindung mit Azure Storage herzustellen, beeinträchtigen. Stellen Sie sicher, dass Sie Zugriff auf alle zulässigen Netzwerke gewähren oder den Zugriff über einen privaten Endpunkt einrichten, bevor Sie diese Einstellung ändern.
So listen Sie die VNET-Regeln auf:
(Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
So aktivieren Sie einen Dienstendpunkt für Azure Storage in einem vorhandenen virtuellen Netzwerk und Subnetz:
Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
So fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu:
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
Wenn Sie eine Netzwerkregel für ein Subnetz in einem virtuellen Netzwerk hinzufügen möchten, das zu einem anderen Microsoft Entra-Mandanten gehört, verwenden Sie einen vollqualifizierten VirtualNetworkResourceId-Parameter im Format /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.
So entfernen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz:
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.
Um Datenverkehr nur aus bestimmten virtuellen Netzwerken zuzulassen, verwenden Sie den Befehl az storage account update, und legen Sie den Parameter --default-action auf Deny fest:
az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
Von Bedeutung
Netzwerkregeln haben keine Auswirkung, es sei denn, Sie legen den --default-action Parameter auf Deny. Doch das Ändern dieser Einstellung kann die Fähigkeit Ihrer Anwendung, eine Verbindung mit Azure Storage herzustellen, beeinträchtigen. Stellen Sie sicher, dass Sie Zugriff auf alle zulässigen Netzwerke gewähren oder den Zugriff über einen privaten Endpunkt einrichten, bevor Sie diese Einstellung ändern.
So listen Sie die VNET-Regeln auf:
az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
So aktivieren Sie einen Dienstendpunkt für Azure Storage in einem vorhandenen virtuellen Netzwerk und Subnetz:
az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
So fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu:
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
Wenn Sie eine Regel für ein Subnetz in einem virtuellen Netzwerk hinzufügen möchten, das zu einem anderen Microsoft Entra-Mandanten gehört, verwenden Sie eine vollqualifizierte Subnetz-ID im Format /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>. Mithilfe des Parameters subscription können Sie die Subnetz-ID für ein virtuelles Netzwerk abrufen, das zu einem anderen Microsoft Entra-Mandanten gehört.
So entfernen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz:
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
Siehe auch