Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Se você precisar habilitar o tráfego de um serviço do Azure fora do limite de rede, poderá adicionar uma exceção de segurança de rede. Isso é útil quando um serviço do Azure opera de uma rede que você não pode incluir em sua rede virtual ou regras de rede IP. Por exemplo, alguns serviços podem precisar ler logs de recursos e métricas em sua conta. Você pode permitir o acesso de leitura para arquivos de log, tabelas de métricas ou ambos criando uma exceção de regra de rede. Esses serviços se conectam à sua conta de armazenamento usando autenticação forte.
Para saber como adicionar uma exceção de segurança de rede, consulte Gerenciar exceções de segurança de rede.
Acesso confiável para recursos registrados em seu locatário do Microsoft Entra
Recursos de alguns serviços podem acessar sua conta de armazenamento para operações selecionadas, como gravar logs ou executar backups. Esses serviços devem ser registrados em uma assinatura localizada no mesmo locatário do Microsoft Entra que sua conta de armazenamento. A tabela a seguir descreve cada serviço e suas operações permitidas.
| Serviço | Nome do provedor de recursos | Operações permitidas |
|---|---|---|
| Backup do Azure | Microsoft.RecoveryServices |
Execute backups e restaurações de discos não gerenciados em máquinas virtuais de IaaS (infraestrutura como serviço) (não necessárias para discos gerenciados). Saiba mais. |
| Azure Data Box | Microsoft.DataBox |
Importar dados para o Azure. Saiba mais. |
| Azure Data Explorer | Microsoft.Kusto |
Leia os dados para ingestão e tabelas externas e escreva os dados em tabelas externas. Saiba mais. |
| Azure DevTest Labs | Microsoft.DevTestLab |
Crie imagens personalizadas e instale artefatos. Saiba mais. |
| Grade de Eventos do Azure | Microsoft.EventGrid |
Habilite a publicação de eventos do Armazenamento de Blobs do Azure e permita a publicação em filas de armazenamento. |
| Hubs de Eventos do Azure | Microsoft.EventHub |
Arquivar dados com a Captura dos Hubs de Eventos do Azure. Saiba mais. |
| Sincronização de Arquivos do Azure | Microsoft.StorageSync |
Transforme o servidor de arquivos local em um cache para compartilhamentos de arquivos do Azure. Essa funcionalidade permite sincronização de vários sites, recuperação rápida de desastres e backup do lado da nuvem. Saiba mais. |
| Azure HDInsight | Microsoft.HDInsight |
Provisione o conteúdo inicial do sistema de arquivos padrão para um novo cluster HDInsight. Saiba mais. |
| Importação/Exportação do Azure | Microsoft.ImportExport |
Importe dados para o Armazenamento do Microsoft Azure ou exporte dados do Armazenamento do Microsoft Azure. Saiba mais. |
| Azure Monitor | Microsoft.Insights |
Grave dados de monitoramento em uma conta de armazenamento protegida, incluindo logs de recursos, dados do Microsoft Defender para Ponto de Extremidade, logs de entrada e de auditoria do Microsoft Entra e logs do Microsoft Intune. Saiba mais. |
| Serviços de rede do Azure | Microsoft.Network |
Armazene e analise logs de tráfego de rede, inclusive por meio do Observador de Rede do Azure e dos serviços do Gerenciador de Tráfego do Azure. Saiba mais. |
| Azure Site Recovery | Microsoft.SiteRecovery |
Habilite a replicação para recuperação de desastre de máquinas virtuais de IaaS do Azure ao usar as contas de armazenamento de cache, origem ou destino habilitadas para firewall. Saiba mais. |
Acesso confiável com base em uma identidade gerenciada
A tabela a seguir lista os serviços que podem acessar os dados da conta de armazenamento se as instâncias de recurso desses serviços tiverem as permissões apropriadas.
| Serviço | Nome do provedor de recursos | Propósito |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Habilita o acesso a contas de armazenamento. |
| Gerenciamento de API do Azure | Microsoft.ApiManagement/service |
Habilita o acesso a contas de armazenamento por trás de firewalls por meio de políticas. Saiba mais. |
| Sistemas Autônomos da Microsoft | Microsoft.AutonomousSystems/workspaces |
Habilita o acesso a contas de armazenamento. |
| Cache do Azure para Redis | Microsoft.Cache/Redis |
Habilita o acesso a contas de armazenamento. Saiba mais. |
| Pesquisa de IA do Azure | Microsoft.Search/searchServices |
Habilita o acesso a contas de armazenamento para indexação, processamento e consulta. |
| Serviços de IA do Azure | Microsoft.CognitiveService/accounts |
Habilita o acesso a contas de armazenamento. Saiba mais. |
| Gerenciamento de Custos da Microsoft | Microsoft.CostManagementExports |
Permite a exportação para as contas de armazenamento protegidas por um firewall. Saiba mais. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
Habilita o acesso a contas de armazenamento. Os sql warehouses sem servidor exigem configuração extra. Saiba mais. |
| Azure Data Factory | Microsoft.DataFactory/factories |
Habilita o acesso a contas de armazenamento por meio do runtime do Data Factory. |
| Azure Data Explorer | Microsoft.Kusto/Clusters |
Leia os dados para ingestão e tabelas externas e escreva os dados em tabelas externas. Saiba mais. |
| Cofre de Backup do Azure | Microsoft.DataProtection/BackupVaults |
Habilita o acesso a contas de armazenamento. |
| Azure Data Share | Microsoft.DataShare/accounts |
Habilita o acesso a contas de armazenamento. |
| Banco de Dados do Azure para PostgreSQL | Microsoft.DBForPostgreSQL |
Habilita o acesso a contas de armazenamento. |
| Registro de Dispositivo do Azure | Microsoft.DeviceRegistry/schemaRegistries |
Habilita o acesso a contas de armazenamento. |
| Hub IoT do Azure | Microsoft.Devices/IotHubs |
Permite que os dados de um hub IoT sejam gravados no Armazenamento de Blobs. Saiba mais. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
Habilita o acesso a contas de armazenamento. |
| Grade de Eventos do Azure | Microsoft.EventGrid/domains |
Habilita o acesso a contas de armazenamento. |
| Grade de Eventos do Azure | Microsoft.EventGrid/partnerTopics |
Habilita o acesso a contas de armazenamento. |
| Grade de Eventos do Azure | Microsoft.EventGrid/systemTopics |
Habilita o acesso a contas de armazenamento. |
| Grade de Eventos do Azure | Microsoft.EventGrid/topics |
Habilita o acesso a contas de armazenamento. |
| Microsoft Fabric | Microsoft.Fabric |
Habilita o acesso a contas de armazenamento. |
| APIs de serviços de saúde do Azure | Microsoft.HealthcareApis/services |
Habilita o acesso a contas de armazenamento. |
| APIs de serviços de saúde do Azure | Microsoft.HealthcareApis/workspaces |
Habilita o acesso a contas de armazenamento. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Habilita o acesso a contas de armazenamento. |
| Sobre o HSM Gerenciado do Azure Key Vault | Microsoft.keyvault/managedHSMs |
Habilita o acesso a contas de armazenamento. |
| Aplicativo Lógico do Azure | Microsoft.Logic/integrationAccounts |
Permite que os aplicativos lógicos acessem contas de armazenamento. Saiba mais. |
| Aplicativo Lógico do Azure | Microsoft.Logic/workflows |
Permite que os aplicativos lógicos acessem contas de armazenamento. Saiba mais. |
| Estúdio do Azure Machine Learning | Microsoft.MachineLearning/registries |
Habilita os espaços de trabalho autorizados do Azure Machine Learning a gravar a saída, os modelos e os logs do experimento no Armazenamento de Blobs e leitura dos dados. Saiba mais. |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Habilita os espaços de trabalho autorizados do Azure Machine Learning a gravar a saída, os modelos e os logs do experimento no Armazenamento de Blobs e leitura dos dados. Saiba mais. |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Habilita os espaços de trabalho autorizados do Azure Machine Learning a gravar a saída, os modelos e os logs do experimento no Armazenamento de Blobs e leitura dos dados. Saiba mais. |
| Serviços de Mídia do Azure | Microsoft.Media/mediaservices |
Habilita o acesso a contas de armazenamento. |
| Migrações para Azure | Microsoft.Migrate/migrateprojects |
Habilita o acesso a contas de armazenamento. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Habilita o acesso a contas de armazenamento. |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Habilita o acesso a contas de armazenamento. |
| Projeto Arcadia da Microsoft | Microsoft.ProjectArcadia/workspaces |
Habilita o acesso a contas de armazenamento. |
| Catálogo de Dados do Azure | Microsoft.ProjectBabylon/accounts |
Habilita o acesso a contas de armazenamento. |
| Microsoft Purview | Microsoft.Purview/accounts |
Habilita o acesso a contas de armazenamento. |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Habilita o acesso a contas de armazenamento. |
| Central de Segurança | Microsoft.Security/dataScanners |
Habilita o acesso a contas de armazenamento. |
| Singularidade | Microsoft.Singularity/accounts |
Habilita o acesso a contas de armazenamento. |
| Ações de Armazenamento do Azure | Microsoft.Storageactions/Storagetasks |
Habilita o acesso a contas de armazenamento. |
| Banco de Dados SQL do Azure | Microsoft.Sql |
Permite gravar dados de auditoria em contas de armazenamento por trás do firewall. |
| Servidores SQL do Azure | Microsoft.Sql/servers |
Permite gravar dados de auditoria em contas de armazenamento por trás do firewall. |
| Azure Synapse Analytics | Microsoft.Sql |
Permite a importação e a exportação de dados de bancos de dado SQL específicos usando a instrução COPY ou PolyBase (no pool dedicado) ou a função openrowset e tabelas externas no pool sem servidor. Saiba mais. |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
Permite que os dados de um trabalho de streaming sejam gravados no Armazenamento de Blobs. Saiba mais. |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Permite que os dados de um trabalho de streaming sejam gravados no Armazenamento de Blobs. Saiba mais. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Habilita o acesso a dados no Armazenamento do Microsoft Azure |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Habilita o acesso a contas de armazenamento. |
Se sua conta não tiver o recurso de namespace hierárquico habilitado, você poderá conceder permissão atribuindo explicitamente uma função do Azure à identidade gerenciada para cada instância de recurso. Nesse caso, o escopo de acesso da instância corresponde à função do Azure atribuída à identidade gerenciada.
Você pode usar a mesma técnica para uma conta que tem o recurso de namespace hierárquico habilitado. No entanto, você não precisa atribuir uma função do Azure se adicionar a identidade gerenciada à ACL (lista de controle de acesso) de qualquer diretório ou blob contido na conta de armazenamento. Nesse caso, o escopo de acesso da instância corresponde ao diretório ou ao arquivo ao qual a identidade gerenciada recebeu acesso.
Você também pode combinar funções e ACLs do Azure para conceder acesso. Para saber mais, consulte Modelo de controle de acesso no Azure Data Lake Storage.
A maneira recomendada para conceder acesso a recursos específicos é usar regras de instância de recurso.