Puede denegar todo el acceso público a la cuenta de almacenamiento y, a continuación, configurar las opciones de red de Azure para aceptar solicitudes que se originan en subredes de red virtual específicas. Para más información, consulte Subredes de red virtual.
Para aplicar una regla de red virtual a una cuenta de almacenamiento, el usuario debe tener los permisos adecuados para las subredes que se van a agregar. Un colaborador de la cuenta de almacenamiento o un usuario que tenga permiso para la operación del Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionproveedor de recursos de Azure puede aplicar una regla mediante un rol personalizado de Azure.
Creación de una regla de red virtual
Nota:
Si desea habilitar el acceso desde una red virtual en otro inquilino de Microsoft Entra, debe usar PowerShell o la CLI de Azure. Azure Portal no muestra subredes en otros inquilinos de Microsoft Entra.
Vaya a la cuenta de almacenamiento para la que desea configurar las reglas de acceso y red virtual.
En el menú servicio, en Seguridad y redes, seleccione Redes y, a continuación, en Configuración de recursos: Redes virtuales, direcciones IP y excepciones, seleccione Ver.
En Redes virtuales, seleccione Agregar red virtual existente.
Aparece el panel Agregar redes .
En la lista desplegable Redes virtuales, seleccione una red virtual.
En la lista desplegable Subredes , seleccione las subredes deseadas y, a continuación, seleccione Agregar.
Si necesita crear una nueva red virtual, seleccione Agregar nueva red virtual. Proporcione la información necesaria para crear la nueva red virtual y, luego, seleccione Crear. Solo aparecen las redes virtuales que pertenecen al mismo inquilino de Microsoft Entra para su selección durante la creación de la regla. Para conceder acceso a una subred de una red virtual que pertenezca a otro inquilino, use PowerShell, la CLI de Azure o la API REST.
Para quitar una regla de red virtual o subred, seleccione la elipsis (...) para abrir el menú contextual de la red virtual o la subred y seleccione Quitar.
Seleccione Guardar para aplicar los cambios.
Importante
Si elimina una subred que se incluye en una regla de red, se eliminará de las reglas de red de la cuenta de almacenamiento. Si crea una nueva subred con el mismo nombre, no tendrá acceso a la cuenta de almacenamiento. Para permitir el acceso, deberá autorizar la nueva subred explícitamente en las reglas de red de la cuenta de almacenamiento.
Instale Azure PowerShell e inicie sesión.
Para permitir el tráfico solo desde redes virtuales específicas, use el comando Update-AzStorageAccountNetworkRuleSet y establezca el parámetro -DefaultAction en Deny:
Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
Importante
Las reglas de red no tienen ningún efecto a menos que establezca el parámetro -DefaultAction a Deny. Sin embargo, cambiar esta configuración puede afectar a la capacidad de la aplicación de conectarse a Azure Storage. Asegúrese de conceder acceso a las redes permitidas o configurar el acceso a través de un punto de conexión privado antes de cambiar esta configuración.
Enumerar las reglas de red virtual:
(Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
Habilitar el punto de conexión de servicio para Azure Storage en una red virtual y subred existentes:
Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
Agregar una regla de red para una red y subred virtual:
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
Para agregar una regla de red para una subred en una red virtual que pertenece a otro inquilino de Microsoft Entra, use un parámetro VirtualNetworkResourceId completo en el formulario /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.
Quitar una regla de red para una red virtual y subred:
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
Instale la CLI de Azure e inicie sesión.
Para permitir el tráfico solo desde redes virtuales específicas, use el comando az storage account update y establezca el parámetro --default-action en Deny:
az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
Importante
Las reglas de red no tienen ningún efecto a menos que establezca el parámetro --default-action a Deny. Sin embargo, cambiar esta configuración puede afectar a la capacidad de la aplicación de conectarse a Azure Storage. Asegúrese de conceder acceso a las redes permitidas o configurar el acceso a través de un punto de conexión privado antes de cambiar esta configuración.
Enumerar las reglas de red virtual:
az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
Habilitar el punto de conexión de servicio para Azure Storage en una red virtual y subred existentes:
az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
Agregar una regla de red para una red y subred virtual:
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
Para agregar una regla para una subred de una red virtual que pertenece a otro inquilino de Microsoft Entra, use un identificador de subred completo en el formulario /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>. Puede usar el parámetro subscription para recuperar el identificador de subred de una red virtual que pertenece a otro inquilino de Microsoft Entra.
Quitar una regla de red para una red virtual y subred:
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
Consulte también