Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Przed implementacją zabezpieczeń sieci dla konta magazynu zapoznaj się z ważnymi ograniczeniami i uwagami w tej sekcji.
Ogólne wytyczne i ograniczenia
Reguły zapory sieciowej Azure Storage mają zastosowanie tylko do operacji płaszczyzny danych. Operacje płaszczyzny sterowania nie podlegają ograniczeniom określonym w regułach zapory.
Aby uzyskać dostęp do danych przy użyciu narzędzi, takich jak witryna Azure Portal, Eksplorator usługi Azure Storage i narzędzie AzCopy, musisz znajdować się na maszynie w ramach zaufanej granicy ustanowionej podczas konfigurowania reguł zabezpieczeń sieci.
Niektóre operacje, takie jak operacje na kontenerach blob, można wykonywać zarówno przez płaszczyznę kontrolną, jak i przez płaszczyznę danych. Jeśli spróbujesz wykonać operację, taką jak wyświetlanie listy kontenerów z witryny Azure Portal, operacja zakończy się pomyślnie, chyba że zostanie ona zablokowana przez inny mechanizm. Próby uzyskania dostępu do danych obiektów blob z aplikacji, takich jak Azure Storage Explorer, są kontrolowane przez ograniczenia zapory.
Aby uzyskać listę operacji płaszczyzny danych, odwiedź Dokumentację interfejsu API REST dla usługi Azure Storage.
Aby uzyskać listę operacji płaszczyzny sterowania, odwołaj się do Dokumentacji interfejsu API REST dostawcy zasobów usługi Azure Storage.
Reguły sieci są wymuszane na wszystkich protokołach sieciowych dla usługi Azure Storage, w tym REST i SMB.
Reguły sieciowe nie wpływają na ruch dyskowy maszyny wirtualnej, w tym operacje montowania i demontowania oraz operacje wejścia/wyjścia dysku, ale pomagają chronić dostęp REST do obiektów blob strony.
Można używać dysków niezarządzanych w kontach magazynu z zastosowanymi regułami sieciowymi do wykonania kopii zapasowych i przywrócenia maszyn wirtualnych, tworząc wyjątek. Wyjątki zapory nie mają zastosowania do dysków zarządzanych, ponieważ platforma Azure już nimi zarządza.
Usunięcie podsieci uwzględnionej w regule sieci wirtualnej powoduje jej usunięcie z reguł sieciowych dla konta magazynowania. Jeśli tworzysz nową podsieć o tej samej nazwie, nie będzie miała dostępu do konta magazynowego. Aby zezwolić na dostęp, musisz jawnie autoryzować nową podsieć w regułach sieci dla konta magazynowego.
W przypadku odwoływania się do punktu końcowego usługi w aplikacji klienckiej zalecamy unikanie zależności od buforowanego adresu IP. Adres IP konta magazynowego może się zmieniać, a poleganie na buforowanym adresie IP może prowadzić do nieoczekiwanego zachowania. Ponadto zalecamy, aby przestrzegać czasu wygaśnięcia (TTL) rekordu DNS i unikać nadpisywania go. Nadpisanie czasu TTL DNS może spowodować nieoczekiwane zachowanie.
Zgodnie z projektem dostęp do konta magazynowego z zaufanych usług ma pierwszeństwo przed innymi ograniczeniami dostępu do sieci. Jeśli ustawisz opcję Dostęp do sieci publicznej na Wyłączone po wcześniejszym ustawieniu go na Włączone z wybranych sieci wirtualnych i adresów IP, wszystkie wystąpienia zasobów i wyjątki, które zostały wcześniej skonfigurowane, w tym Zezwolenie usługom Azure na liście zaufanych usług na dostęp do tego konta magazynu, pozostaną w mocy. W związku z tym te zasoby i usługi mogą nadal mieć dostęp do konta magazynu.
Nawet jeśli wyłączysz dostęp do sieci publicznej, nadal może zostać wyświetlone ostrzeżenie z usługi Microsoft Defender for Storage lub usługi Azure Advisor, które zaleca ograniczenie dostępu przy użyciu reguł sieci wirtualnej. Może się to zdarzyć w przypadkach, w których dostęp publiczny jest wyłączany przy użyciu szablonu. Właściwość defaultAction pozostaje ustawiona na Wartość Zezwalaj , mimo że właściwość PublicNetworkAccess została ustawiona na Wartość Wyłączone. Chociaż właściwość PublicNetworkAccess ma pierwszeństwo, narzędzia takie jak Microsoft Defender również zgłaszają wartość właściwości defaultAction . Aby rozwiązać ten problem, użyj szablonu, aby ustawić właściwość defaultActionOdmów lub wyłącz dostęp publiczny przy użyciu narzędzia, takiego jak witryna Azure Portal, program PowerShell lub interfejs wiersza polecenia platformy Azure. Te narzędzia automatycznie zmieniają właściwość defaultAction na wartość Zabroń.
Ograniczenia dotyczące reguł sieci ip
Reguły sieci IP są dozwolone tylko dla publicznych internetowych adresów IP.
Zakresy adresów IP zarezerwowane dla sieci prywatnych (zgodnie z definicją w dokumencie RFC 1918) nie są dozwolone w regułach adresów IP. Sieci prywatne obejmują adresy rozpoczynające się od 10, 172.16 do 172.31 i 192.168.
Należy podać dozwolone zakresy adresów internetowych przy użyciu notacji CIDR w postaci 16.17.18.0/24 lub jako pojedyncze adresy IP, takie jak 16.17.18.19.
Małe zakresy adresów używające rozmiarów prefiksów /31 lub /32 nie są obsługiwane. Skonfiguruj te zakresy przy użyciu poszczególnych reguł adresów IP.
Tylko adresy IPv4 są obsługiwane w przypadku konfiguracji reguł zapory sieciowej dla magazynu.
Nie można użyć reguł sieci IP, aby ograniczyć dostęp do klientów w tym samym regionie świadczenia usługi Azure co konto magazynu. Reguły sieci IP nie mają wpływu na żądania pochodzące z tego samego regionu świadczenia usługi Azure co konto magazynu. Użyj reguł sieci wirtualnej , aby zezwolić na żądania w tym samym regionie.
Nie można użyć reguł sieci IP, aby ograniczyć dostęp do klientów w sparowanym regionie , które znajdują się w sieci wirtualnej z punktem końcowym usługi.
Nie można użyć reguł sieci IP, aby ograniczyć dostęp do usług platformy Azure wdrożonych w tym samym regionie co konto magazynowe.
Usługi wdrożone w tym samym regionie co konto przechowywania korzystają z prywatnych adresów IP platformy Azure do komunikacji. W związku z tym nie można ograniczyć dostępu do określonych usług platformy Azure na podstawie ich publicznego zakresu adresów IP ruchu wychodzącego.
Dalsze kroki
- Dowiedz się więcej o punktach końcowych usługi sieci platformy Azure.
- Zgłębiaj zalecenia dotyczące zabezpieczeń usługi Azure Blob Storage.