Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zasady zapory Azure Storage zapewniają dokładną kontrolę nad dostępem sieciowym do publicznego punktu końcowego Twojego konta magazynowego. Domyślnie konta magazynu zezwalają na połączenia z dowolnej sieci, ale można ograniczyć dostęp, konfigurując reguły sieciowe definiujące, które źródła mogą łączyć się z kontem magazynu.
Można skonfigurować cztery typy reguł sieci:
- Reguły sieci wirtualnej: zezwalaj na ruch z określonych podsieci w sieciach wirtualnych platformy Azure
- Reguły sieci IP: zezwalaj na ruch z określonych zakresów publicznych adresów IP
- Reguły wystąpień zasobów: zezwalaj na ruch z określonych wystąpień zasobów platformy Azure, których nie można odizolować za pośrednictwem sieci wirtualnej lub reguł adresów IP
- Wyjątki zaufanych usług: Pozwól na ruch z określonych usług Azure, które działają poza twoimi granicami sieci.
Po skonfigurowaniu reguł sieci tylko ruch z źródeł, które są jawnie dozwolone, może uzyskiwać dostęp do konta przechowywania za pośrednictwem jego publicznego punktu końcowego. Cały inny ruch jest blokowany.
Uwaga
Klienci, którzy wysyłają żądania z dozwolonych źródeł, muszą również spełniać wymagania autoryzacji konta magazynu. Aby dowiedzieć się więcej na temat autoryzacji konta, zobacz Autoryzowanie dostępu do danych w usłudze Azure Storage.
Reguły sieci wirtualnej
Można zapewnić ruch sieciowy pochodzący z podsieci w dowolnej wirtualnej sieci platformy Azure. Sieć wirtualna może pochodzić z dowolnej subskrypcji w dowolnej dzierżawie Microsoft Entra w dowolnym regionie Azure. Aby włączyć ruch z podsieci, dodaj regułę sieci wirtualnej. Na konto przechowywania można dodać maksymalnie 400 reguły sieci wirtualnej.
W ustawieniach sieci wirtualnej podsieci należy również włączyć punkt końcowy usługi sieci wirtualnej. Ten punkt dostępowy został zaprojektowany w celu zapewnienia bezpiecznej i bezpośredniej łączności z kontem przechowywania.
Podczas tworzenia reguł sieci przy użyciu witryny Azure Portal te punkty końcowe usługi są tworzone automatycznie podczas wybierania każdej podsieci docelowej. Program PowerShell i interfejs wiersza polecenia platformy Azure udostępniają polecenia, których można użyć do ich ręcznego utworzenia. Aby dowiedzieć się więcej na temat punktów końcowych usługi, zobacz Punkty końcowe usługi dla sieci wirtualnej.
W poniższej tabeli opisano każdy typ punktu końcowego usługi, który można włączyć dla usługi Azure Storage:
| Punkt końcowy usługi | Nazwa zasobu | Opis |
|---|---|---|
| Punkt końcowy usługi Azure Storage | Microsoft.Storage | Zapewnia łączność z kontami przechowywania w tym samym regionie co sieć wirtualna. |
| Punkt końcowy usługi Azure Storage obsługujący wiele regionów | Microsoft.Storage.Global | Zapewnia łączność z kontami magazynu w dowolnym regionie. |
Uwaga
Z podsiecią można skojarzyć tylko jeden z tych typów punktów końcowych. Jeśli jeden z tych punktów końcowych jest już skojarzony z podsiecią, musisz usunąć ten punkt końcowy przed dodaniem drugiego.
Aby dowiedzieć się, jak skonfigurować regułę sieci wirtualnej i włączyć punkty końcowe usługi, zobacz Tworzenie reguły sieci wirtualnej dla usługi Azure Storage.
Dostęp z sparowanego regionu
Punkty końcowe usługi działają również między sieciami wirtualnymi i wystąpieniami usługi w regionie parowanym.
Konfigurowanie punktów końcowych usługi pomiędzy sieciami wirtualnymi i instancjami usług w sparowanym regionie może być ważną częścią planu odzyskiwania po awarii. Punkty końcowe usługi umożliwiają ciągłość działania podczas regionalnego failover i zapewniają dostęp do geograficznie nadmiarowych instancji magazynu tylko do odczytu (RA-GRS). Reguły sieci wirtualnej, które udzielają dostępu z sieci wirtualnej do konta magazynowania, również udzielają dostępu do dowolnego wystąpienia RA-GRS.
Podczas planowania odzyskiwania danych w przypadku awarii regionalnej utwórz sieci wirtualne w sparowanym regionie z wyprzedzeniem. Włącz punkty końcowe usługi dla usługi Azure Storage z regułami sieci, które udzielają dostępu z tych alternatywnych sieci wirtualnych. Następnie zastosuj te reguły do geograficznie nadmiarowych kont magazynowych.
Reguły sieci IP
W przypadku klientów i usług, które nie znajdują się w sieci wirtualnej, można włączyć ruch, tworząc reguły sieci IP. Każda reguła sieci IP umożliwia ruch z określonego zakresu publicznych adresów IP. Jeśli na przykład klient z sieci lokalnej musi uzyskać dostęp do danych magazynu, możesz utworzyć regułę zawierającą publiczny adres IP tego klienta. Każde konto magazynu obsługuje maksymalnie 400 reguł sieci IP.
Aby dowiedzieć się, jak utworzyć reguły sieci IP, zobacz Tworzenie reguły sieci IP dla usługi Azure Storage.
Jeśli włączysz punkt końcowy usługi dla podsieci, ruch z tej podsieci nie będzie używał publicznego adresu IP do komunikowania się z kontem magazynowym. Zamiast tego cały ruch używa prywatnego adresu IP jako źródłowego adresu IP. W związku z tym reguły sieci IP, które zezwalają na ruch z tych podsieci, nie mają już wpływu.
Tokeny SAS, które udzielają dostępu do określonego adresu IP, służą do ograniczania dostępu właściciela tokenu, ale nie udzielają nowego dostępu poza skonfigurowanymi regułami sieciowymi.
Ważne
Niektóre ograniczenia dotyczą zakresów adresów IP. Aby uzyskać listę ograniczeń, zobacz Ograniczenia dotyczące reguł sieci ip.
Dostęp z sieci lokalnej
Ruch z sieci lokalnej można włączyć przy użyciu reguły sieci IP. Najpierw należy zidentyfikować adresy IP dostępne z Internetu używane przez sieć. Skontaktuj się z administratorem sieci, aby uzyskać pomoc.
Jeśli używasz usługi Azure ExpressRoute w swojej lokalizacji, musisz zidentyfikować adresy IP NAT używane na potrzeby równorzędnej wymiany danych z Microsoft. Dostawca usług lub klient dostarcza adresy IP NAT.
Aby umożliwić dostęp do zasobów swojej usługi, musisz zezwolić na te publiczne adresy IP w ustawieniach zapory dla adresów IP zasobów.
Reguły instancji zasobów Azure
Niektórych zasobów platformy Azure nie można odizolować za pośrednictwem sieci wirtualnej ani reguły adresu IP. Ruch z tych zasobów można włączyć, tworząc regułę sieci dla instancji zasobów. Przypisania ról platformy Azure wystąpienia zasobu określają typy operacji, które mogą być wykonywane przez wystąpienie zasobu na danych konta przechowywania. Wystąpienia zasobów muszą pochodzić z tej samej dzierżawy co twoje konto pamięci masowej, ale mogą być przypisane do dowolnej subskrypcji w ramach tej dzierżawy.
Aby dowiedzieć się, jak skonfigurować regułę wystąpienia zasobu, zobacz Tworzenie reguły sieciowej wystąpienia zasobu dla usługi Azure Storage.
Wyjątki dotyczące zaufanych usług platformy Azure
Jeśli musisz włączyć ruch z usługi platformy Azure poza granicą sieci, możesz dodać wyjątek zabezpieczeń sieci. Może to być przydatne, gdy usługa platformy Azure działa z sieci, której nie można uwzględnić w sieci wirtualnej ani regułach sieci IP. Na przykład niektóre usługi mogą wymagać odczytywania dzienników zasobów i metryk na twoim koncie. Możesz zezwolić na dostęp do odczytu dla plików dziennika, tabel metryk lub obu tych elementów, tworząc wyjątek reguły sieciowej. Te usługi łączą się z kontem przechowywania przy użyciu silnego uwierzytelniania.
Aby dowiedzieć się więcej na temat dodawania wyjątku zabezpieczeń sieci, zobacz Zarządzanie wyjątkami zabezpieczeń sieci.
Aby uzyskać pełną listę usług platformy Azure, dla których można włączyć ruch, zobacz Zaufane usługi platformy Azure.
Ograniczenia i zagadnienia
Przed zaimplementowaniem zabezpieczeń sieci dla kont storage zapoznaj się ze wszystkimi ograniczeniami i aspektami. Aby uzyskać pełną listę, zobacz Ograniczenia i ograniczenia dotyczące zapory usługi Azure Storage i konfiguracji sieci wirtualnej.