Możesz zablokować dostęp publiczny do konta magazynu, a następnie skonfigurować ustawienia sieci platformy Azure tak, aby akceptowały żądania pochodzące z określonych podsieci sieci wirtualnej. Aby dowiedzieć się więcej, zobacz Podsieci sieci wirtualnej.
Aby zastosować regułę sieci wirtualnej do konta magazynowego, użytkownik musi mieć odpowiednie uprawnienia do podłączanych podsieci.
Współautor konta magazynu lub użytkownik mający uprawnienia do Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionoperacji dostawcy zasobów platformy Azure może zastosować regułę przy użyciu niestandardowej roli platformy Azure.
Tworzenie reguły sieci wirtualnej
Uwaga / Notatka
Jeśli chcesz włączyć dostęp z sieci wirtualnej w innej dzierżawie firmy Microsoft Entra, musisz użyć programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Portal Azure nie wyświetla podsieci w innych dzierżawach Microsoft Entra.
Przejdź do konta storage, dla którego chcesz skonfigurować sieć wirtualną i reguły dostępu.
W menu usługi w obszarze Zabezpieczenia i sieć wybierz pozycję Sieć, a następnie w obszarze Ustawienia zasobów: Sieci wirtualne, adresy IP i wyjątki wybierz pozycję Wyświetl.
W obszarze Sieci wirtualnewybierz pozycję Dodaj istniejącą sieć wirtualną.
Zostanie wyświetlone okienko Dodawanie sieci .
Z listy rozwijanej Sieci wirtualne wybierz sieć wirtualną.
Z listy rozwijanej Podsieci wybierz żądane podsieci , a następnie wybierz pozycję Dodaj.
Jeśli chcesz utworzyć nową sieć wirtualną, wybierz pozycję Dodaj nową sieć wirtualną. Podaj niezbędne informacje, aby utworzyć nową sieć wirtualną, a następnie wybierz pozycję Utwórz. Podczas tworzenia reguły są wyświetlane tylko sieci wirtualne należące do tej samej dzierżawy firmy Microsoft Entra. Aby udzielić dostępu do podsieci w sieci wirtualnej należącej do innego dzierżawcy, użyj programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.
Aby usunąć regułę sieci wirtualnej lub podsieci, wybierz wielokropek (...), aby otworzyć menu kontekstowe dla sieci wirtualnej lub podsieci, a następnie wybierz pozycję Usuń.
Wybierz pozycję Zapisz, aby zastosować zmiany.
Ważne
Jeśli usuniesz podsieć zawartą w regule sieciowej, zostanie ona usunięta z reguł sieci dla konta pamięci masowej. Jeśli tworzysz nową podsieć o tej samej nazwie, nie będzie miała dostępu do konta magazynowego. Aby zezwolić na dostęp, musisz jawnie autoryzować nową podsieć w regułach sieci dla konta magazynowego.
Zainstaluj program Azure PowerShell i zaloguj się.
Aby zezwolić na ruch tylko z określonych sieci wirtualnych, użyj Update-AzStorageAccountNetworkRuleSet polecenia i ustaw -DefaultAction parametr na Deny:
Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
Ważne
Reguły sieci nie mają wpływu, chyba że parametr został ustawiony -DefaultAction na Deny. Jednak zmiana tego ustawienia może mieć wpływ na możliwość łączenia aplikacji z usługą Azure Storage. Przed zmianą tego ustawienia pamiętaj, aby udzielić dostępu do dowolnych dozwolonych sieci lub skonfigurować dostęp za pośrednictwem prywatnego punktu końcowego.
Lista reguł sieci wirtualnej:
(Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
Włącz punkt końcowy usługi dla usługi Azure Storage w istniejącej sieci wirtualnej i podsieci:
Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
Dodaj regułę sieci dla sieci wirtualnej i podsieci:
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
Aby dodać regułę sieci dla podsieci w sieci wirtualnej należącej do innej dzierżawy firmy Microsoft Entra, użyj w pełni kwalifikowanego VirtualNetworkResourceId parametru w formacie /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.
Usuń regułę sieci dla sieci wirtualnej i podsieci:
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
Zainstaluj interfejs wiersza polecenia platformy Azure i zaloguj się.
Aby zezwolić na ruch tylko z określonych sieci wirtualnych, użyj az storage account update polecenia i ustaw --default-action parametr na Deny:
az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
Ważne
Reguły sieci nie mają wpływu, chyba że parametr został ustawiony --default-action na Deny. Jednak zmiana tego ustawienia może mieć wpływ na możliwość łączenia aplikacji z usługą Azure Storage. Przed zmianą tego ustawienia pamiętaj, aby udzielić dostępu do dowolnych dozwolonych sieci lub skonfigurować dostęp za pośrednictwem prywatnego punktu końcowego.
Lista reguł sieci wirtualnej:
az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
Włącz punkt końcowy usługi dla usługi Azure Storage w istniejącej sieci wirtualnej i podsieci:
az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
Dodaj regułę sieci dla sieci wirtualnej i podsieci:
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
Aby dodać regułę dla podsieci w sieci wirtualnej należącej do innej dzierżawy firmy Microsoft Entra, użyj w pełni kwalifikowanego identyfikatora podsieci w formie /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>. Możesz użyć parametru subscription, aby pobrać identyfikator podsieci dla sieci wirtualnej należącej do innej dzierżawy Microsoft Entra.
Usuń regułę sieci dla sieci wirtualnej i podsieci:
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
Zobacz także