Você pode negar todo o acesso público à sua conta de armazenamento e, em seguida, definir as configurações de rede do Azure para aceitar solicitações originadas de sub-redes de rede virtual específicas. Para saber mais, confira as sub-redes de rede virtual.
Para aplicar uma regra de rede virtual a uma conta de armazenamento, o usuário deve ter as permissões apropriadas para as sub-redes que estão sendo adicionadas. Um Colaborador da Conta de Armazenamento ou um usuário que tenha permissão para a operação do provedor de recursos do Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure pode aplicar uma regra usando uma função personalizada do Azure.
Criar uma regra da rede virtual
Observação
Se você quiser habilitar o acesso de uma rede virtual em outro locatário do Microsoft Entra, deverá usar o PowerShell ou a CLI do Azure. O portal do Azure não mostra sub-redes em outros locatários do Microsoft Entra.
Vá para a conta de armazenamento para a qual você deseja configurar regras de acesso e rede virtual.
No menu de serviço, em Segurança + rede, selecione Rede e, em seguida, em Configurações de recurso: redes virtuais, endereços IP e exceções, selecione Exibir.
Em redes virtuais, selecione Adicionar rede virtual existente.
O painel Adicionar redes é exibido.
Na lista suspensa Redes virtuais , selecione uma rede virtual.
Na lista suspensa Sub-redes, selecione as sub-redes desejadas e, em seguida, selecione Adicionar.
Se você precisar criar uma nova rede virtual, selecione Adicionar nova rede virtual. Forneça as informações necessárias para criar a nova rede virtual e, em seguida, selecione Criar. Somente as redes virtuais que pertencem ao mesmo locatário do Microsoft Entra aparecem para seleção durante a criação da regra. Para conceder acesso a uma sub-rede em uma rede virtual que pertence a outro locatário, use o PowerShell, a CLI do Azure ou a API REST.
Para remover uma regra de rede virtual ou de sub-rede, clique em (…) para abrir o menu de contexto da rede virtual ou sub-rede e clique em Remover.
Selecione Salvar para aplicar suas alterações.
Importante
Se você excluir uma sub-rede incluída em uma regra de rede, ela será removida das regras de rede da conta de armazenamento. Se você criar uma nova sub-rede com o mesmo nome, ela não terá acesso à conta de armazenamento. Para permitir o acesso, você precisa autorizar explicitamente a nova sub-rede nas regras de rede da conta de armazenamento.
Instale o Azure PowerShell e faça login em.
Para permitir o tráfego somente de redes virtuais específicas, use o comando Update-AzStorageAccountNetworkRuleSet e defina o parâmetro -DefaultAction como Deny:
Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
Importante
As regras de rede não têm efeito, a menos que você defina o -DefaultAction parâmetro como Deny. Alterar essa configuração poderá afetar a capacidade do aplicativo de se conectar ao Armazenamento do Microsoft Azure. Certifique-se de conceder acesso a todas as redes permitidas ou configurar o acesso por meio de um ponto de extremidade privado antes de alterar essa configuração.
Liste as regras da rede virtual:
(Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
Habilite o ponto de extremidade de serviço do Armazenamento do Microsoft Azure em uma rede virtual existente e sub-rede:
Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
Adicione uma regra de rede para uma rede virtual e sub-rede:
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
Para adicionar uma regra para uma sub-rede em uma rede virtual pertencente a outro locatário do Microsoft Entra, use um parâmetro VirtualNetworkResourceId totalmente qualificado no formulário /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.
Remova uma regra de rede para uma rede virtual e uma sub-rede:
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
Instalar a CLI do Azure e entrar.
Para permitir o tráfego somente de redes virtuais específicas, use o comando az storage account update e defina o parâmetro --default-action como Deny:
az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
Importante
As regras de rede não têm efeito, a menos que você defina o --default-action parâmetro como Deny. Alterar essa configuração poderá afetar a capacidade do aplicativo de se conectar ao Armazenamento do Microsoft Azure. Certifique-se de conceder acesso a todas as redes permitidas ou configurar o acesso por meio de um ponto de extremidade privado antes de alterar essa configuração.
Liste as regras da rede virtual:
az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
Habilite o ponto de extremidade de serviço do Armazenamento do Microsoft Azure em uma rede virtual existente e sub-rede:
az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
Adicione uma regra de rede para uma rede virtual e sub-rede:
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
Para adicionar uma regra para uma sub-rede em uma rede virtual pertencente a outro locatário do Microsoft Entra, use uma ID da sub-rede totalmente qualificada no formulário /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>. Você pode usar o parâmetro subscription para recuperar a ID de sub-rede de uma rede virtual que pertence a outro locatário do Microsoft Entra.
Remova uma regra de rede para uma rede virtual e uma sub-rede:
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
Consulte também