Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Se precisar habilitar o tráfego de um serviço do Azure fora do limite da rede, você poderá adicionar uma exceção de segurança de rede. Isso é útil quando um serviço do Azure opera a partir de uma rede que você não pode incluir em sua rede virtual ou regras de rede IP. Por exemplo, alguns serviços podem precisar ler logs de recursos e métricas em sua conta. Você pode permitir o acesso de leitura para arquivos de log, tabelas de métricas ou ambos criando uma exceção de regra de rede. Esses serviços se conectam à sua conta de armazenamento usando autenticação forte.
Para saber como adicionar uma exceção de segurança de rede, consulte Gerenciar exceções de segurança de rede.
Acesso confiável para recursos registrados em seu locatário do Microsoft Entra
Os recursos de alguns serviços podem acessar sua conta de armazenamento para operações selecionadas, como gravar logs ou executar backups. Esses serviços devem ser registados numa subscrição que se encontra no mesmo locatário do Microsoft Entra que a sua conta de armazenamento. A tabela a seguir descreve cada serviço e suas operações permitidas.
| Serviço | Nome do provedor de recursos | Operações permitidas |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices |
Execute backups e restaurações de discos não gerenciados em máquinas virtuais IaaS (infraestrutura como serviço) (não necessárias para discos gerenciados). Mais informações. |
| Azure Data Box | Microsoft.DataBox |
Importe dados para o Azure. Mais informações. |
| Azure Data Explorer | Microsoft.Kusto |
Leia dados para ingestão e tabelas externas e escreva dados em tabelas externas. Mais informações. |
| Azure DevTest Labs | Microsoft.DevTestLab |
Crie imagens personalizadas e instale artefatos. Mais informações. |
| Azure Event Grid | Microsoft.EventGrid |
Habilite a publicação de eventos do Azure Blob Storage e permita a publicação em filas de armazenamento. |
| Hubs de Eventos do Azure | Microsoft.EventHub |
Arquive dados utilizando o Event Hubs Capture. Saiba mais. |
| Azure File Sync | Microsoft.StorageSync |
Transforme seu servidor de arquivos local em um cache para compartilhamentos de arquivos do Azure. Esse recurso permite sincronização em vários locais, recuperação rápida de desastres e backup na nuvem. Mais informações. |
| Azure HDInsight | Microsoft.HDInsight |
Provisione o conteúdo inicial do sistema de arquivos padrão para um novo cluster HDInsight. Mais informações. |
| Importar/Exportar do Microsoft Azure | Microsoft.ImportExport |
Importe dados para o Armazenamento do Azure ou exporte dados do Armazenamento do Azure. Mais informações. |
| Azure Monitor | Microsoft.Insights |
Escreva dados de monitorização numa conta de armazenamento segura, incluindo registos de recursos, dados do Microsoft Defender for Endpoint, registos de início de sessão e auditoria do Microsoft Entra e registos do Microsoft Intune. Mais informações. |
| Serviços de rede do Azure | Microsoft.Network |
Armazene e analise logs de tráfego de rede, inclusive por meio dos serviços Azure Network Watcher e Azure Traffic Manager. Mais informações. |
| Azure Site Recovery | Microsoft.SiteRecovery |
Habilite a replicação para recuperação de desastres de máquinas virtuais IaaS do Azure quando estiver usando cache, contas de armazenamento de origem ou de destino habilitadas para firewall. Mais informações. |
Acesso confiável com base em uma identidade gerenciada
A tabela a seguir lista os serviços que podem acessar os dados da conta de armazenamento se as instâncias de recursos desses serviços tiverem as permissões apropriadas.
| Serviço | Nome do provedor de recursos | Propósito |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Permite o acesso a contas de armazenamento. |
| Gestão de API do Azure | Microsoft.ApiManagement/service |
Permite o acesso a contas de armazenamento por trás de firewalls por meio de políticas. Mais informações. |
| Sistemas Autónomos Microsoft | Microsoft.AutonomousSystems/workspaces |
Permite o acesso a contas de armazenamento. |
| Cache do Azure para Redis | Microsoft.Cache/Redis |
Permite o acesso a contas de armazenamento. Mais informações. |
| Pesquisa de IA do Azure | Microsoft.Search/searchServices |
Permite o acesso a contas de armazenamento para indexação, processamento e consulta. |
| Serviços de IA do Azure | Microsoft.CognitiveService/accounts |
Permite o acesso a contas de armazenamento. Mais informações. |
| Microsoft Cost Management | Microsoft.CostManagementExports |
Permite exportar para contas de armazenamento atrás de um firewall. Mais informações. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
Permite o acesso a contas de armazenamento. Os armazéns SQL sem servidor exigem configuração extra. Mais informações. |
| Azure Data Factory | Microsoft.DataFactory/factories |
Permite o acesso a contas de armazenamento por meio do tempo de execução do Data Factory. |
| Azure Data Explorer | Microsoft.Kusto/Clusters |
Leia dados para ingestão e tabelas externas e escreva dados em tabelas externas. Mais informações. |
| Azure Backup Vault | Microsoft.DataProtection/BackupVaults |
Permite o acesso a contas de armazenamento. |
| Azure Data Share | Microsoft.DataShare/accounts |
Permite o acesso a contas de armazenamento. |
| Base de Dados do Azure para PostgreSQL | Microsoft.DBForPostgreSQL |
Permite o acesso a contas de armazenamento. |
| Registro de dispositivos do Azure | Microsoft.DeviceRegistry/schemaRegistries |
Permite o acesso a contas de armazenamento. |
| Hub IoT do Azure | Microsoft.Devices/IotHubs |
Permite que dados de um hub IoT sejam gravados no Blob Storage. Mais informações. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
Permite o acesso a contas de armazenamento. |
| Azure Event Grid | Microsoft.EventGrid/domains |
Permite o acesso a contas de armazenamento. |
| Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Permite o acesso a contas de armazenamento. |
| Azure Event Grid | Microsoft.EventGrid/systemTopics |
Permite o acesso a contas de armazenamento. |
| Azure Event Grid | Microsoft.EventGrid/topics |
Permite o acesso a contas de armazenamento. |
| Microsoft Fabric | Microsoft.Fabric |
Permite o acesso a contas de armazenamento. |
| APIs de Cuidados de Saúde do Azure | Microsoft.HealthcareApis/services |
Permite o acesso a contas de armazenamento. |
| APIs de Cuidados de Saúde do Azure | Microsoft.HealthcareApis/workspaces |
Permite o acesso a contas de armazenamento. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Permite o acesso a contas de armazenamento. |
| HSM Gerido pelo Azure Key Vault | Microsoft.keyvault/managedHSMs |
Permite o acesso a contas de armazenamento. |
| Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Permite que aplicativos lógicos acessem contas de armazenamento. Mais informações. |
| Azure Logic Apps | Microsoft.Logic/workflows |
Permite que aplicativos lógicos acessem contas de armazenamento. Mais informações. |
| estúdio do Azure Machine Learning | Microsoft.MachineLearning/registries |
Permite que espaços de trabalho autorizados do Azure Machine Learning gravem saídas de experimentos, modelos e logs no Armazenamento de Blobs e leiam os dados. Mais informações. |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Permite que espaços de trabalho autorizados do Azure Machine Learning gravem saídas de experimentos, modelos e logs no Armazenamento de Blobs e leiam os dados. Mais informações. |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Permite que espaços de trabalho autorizados do Azure Machine Learning gravem saídas de experimentos, modelos e logs no Armazenamento de Blobs e leiam os dados. Mais informações. |
| Serviços de Multimédia do Azure | Microsoft.Media/mediaservices |
Permite o acesso a contas de armazenamento. |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
Permite o acesso a contas de armazenamento. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Permite o acesso a contas de armazenamento. |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Permite o acesso a contas de armazenamento. |
| Microsoft Project Arcádia | Microsoft.ProjectArcadia/workspaces |
Permite o acesso a contas de armazenamento. |
| Catálogo de Dados do Azure | Microsoft.ProjectBabylon/accounts |
Permite o acesso a contas de armazenamento. |
| Microsoft Purview | Microsoft.Purview/accounts |
Permite o acesso a contas de armazenamento. |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Permite o acesso a contas de armazenamento. |
| Centro de Segurança | Microsoft.Security/dataScanners |
Permite o acesso a contas de armazenamento. |
| Singularidade | Microsoft.Singularity/accounts |
Permite o acesso a contas de armazenamento. |
| Ações de armazenamento do Azure | Microsoft.Storageactions/Storagetasks |
Permite o acesso a contas de armazenamento. |
| Base de Dados SQL do Azure | Microsoft.Sql |
Permite gravar dados de auditoria em contas de armazenamento por trás de um firewall. |
| Azure SQL Servers | Microsoft.Sql/servers |
Permite gravar dados de auditoria em contas de armazenamento por trás de um firewall. |
| Azure Synapse Analytics | Microsoft.Sql |
Permite importar e exportar dados de bancos de dados SQL específicos por meio da COPY instrução ou PolyBase (em um pool dedicado), ou da openrowset função e tabelas externas em um pool sem servidor.
Mais informações. |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
Permite que os dados de um trabalho de streaming sejam gravados no Armazenamento Blob. Mais informações. |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Permite que os dados de um trabalho de streaming sejam gravados no Armazenamento Blob. Mais informações. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Permite o acesso a dados no Armazenamento do Azure. |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Permite o acesso a contas de armazenamento. |
Se sua conta não tiver o recurso de namespace hierárquico habilitado, você poderá conceder permissão atribuindo explicitamente uma função do Azure à identidade gerenciada para cada instância de recurso. Nesse caso, o escopo de acesso para a instância corresponde à função do Azure atribuída à identidade gerenciada.
Você pode usar a mesma técnica para uma conta que tenha o recurso de namespace hierárquico habilitado. No entanto, não é necessário atribuir uma função do Azure se adicionar a identidade gerenciada à lista de controle de acesso (ACL) de qualquer diretório ou blob que a conta de armazenamento contenha. Nesse caso, o escopo de acesso para a instância corresponde ao diretório ou arquivo ao qual a identidade gerenciada tem acesso.
Você também pode combinar funções do Azure e ACLs juntas para conceder acesso. Para saber mais, consulte Modelo de controle de acesso no Armazenamento do Azure Data Lake.
Recomendamos que você use regras de instância de recurso para conceder acesso a recursos específicos.