Você pode negar todo o acesso público à sua conta de armazenamento e, em seguida, definir as configurações de rede do Azure para aceitar solicitações originadas de sub-redes de rede virtual específicas. Para saber mais, consulte Sub-redes de rede virtual.
Para aplicar uma regra de rede virtual a uma conta de armazenamento, o usuário deve ter as permissões apropriadas para as sub-redes que estão sendo adicionadas. Um Colaborador da Conta de Armazenamento ou um usuário que tenha permissão para a Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action pode aplicar uma regra usando uma função personalizada do Azure.
Criar uma regra de rede virtual
Observação
Se quiser habilitar o acesso de uma rede virtual em outro locatário do Microsoft Entra, use o PowerShell ou a CLI do Azure. O portal do Azure não mostra sub-redes em outros locatários do Microsoft Entra.
Vá para a conta de armazenamento para a qual você deseja configurar regras de acesso e rede virtual.
No menu de serviço, em Segurança + rede, selecione Rede e, em Configurações de recursos: Redes virtuais, endereços IP e exceções, selecione Exibir.
Em Redes virtuais, selecione Adicionar rede virtual existente.
O painel Adicionar redes é exibido.
Na lista suspensa Redes virtuais, selecione uma rede virtual.
Na lista suspensa Sub-redes , selecione as sub-redes desejadas e selecione Adicionar.
Se precisar criar uma nova rede virtual, selecione Adicionar nova rede virtual. Forneça as informações necessárias para criar a nova rede virtual e selecione Criar. Somente as redes virtuais que pertencem ao mesmo tenant do Microsoft Entra aparecem para seleção durante a criação da regra. Para conceder acesso a uma sub-rede em uma rede virtual que pertença a outro locatário, use o PowerShell, a CLI do Azure ou a API REST.
Para remover uma regra de rede virtual ou sub-rede, selecione as elipses (...) para abrir o menu de contexto da rede virtual ou sub-rede e, em seguida, selecione Remover.
Selecione Guardar para aplicar as alterações.
Importante
Se você excluir uma sub-rede incluída em uma regra de rede, ela será removida das regras de rede da conta de armazenamento. Se você criar uma nova sub-rede com o mesmo nome, ela não terá acesso à conta de armazenamento. Para permitir o acesso, você deve autorizar explicitamente a nova sub-rede nas regras de rede para a conta de armazenamento.
Instale o Azure PowerShell e entre.
Para permitir o tráfego apenas de redes virtuais específicas, use o Update-AzStorageAccountNetworkRuleSet comando e defina o -DefaultAction parâmetro como Deny:
Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
Importante
As regras de rede não têm efeito a menos que você defina o -DefaultAction parâmetro como Deny. No entanto, alterar essa configuração pode afetar a capacidade do seu aplicativo de se conectar ao Armazenamento do Azure. Certifique-se de conceder acesso a quaisquer redes permitidas ou configurar o acesso por meio de um ponto de extremidade privado antes de alterar essa configuração.
Listar regras de rede virtual:
(Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
Ative um ponto final de serviço para o Azure Storage numa rede virtual e sub-rede já existentes:
Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
Adicione uma regra de rede para uma rede virtual e uma sub-rede:
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
Para adicionar uma regra de rede para uma sub-rede em uma rede virtual que pertence a outro locatário do Microsoft Entra, use um parâmetro totalmente qualificado VirtualNetworkResourceId no formato /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.
Remova uma regra de rede para uma rede virtual e uma sub-rede:
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
Instale a Azure CLI e inicie sessão.
Para permitir o tráfego apenas de redes virtuais específicas, use o az storage account update comando e defina o --default-action parâmetro como Deny:
az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
Importante
As regras de rede não têm efeito a menos que você defina o --default-action parâmetro como Deny. No entanto, alterar essa configuração pode afetar a capacidade do seu aplicativo de se conectar ao Armazenamento do Azure. Certifique-se de conceder acesso a quaisquer redes permitidas ou configurar o acesso por meio de um ponto de extremidade privado antes de alterar essa configuração.
Listar regras de rede virtual:
az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
Ative um ponto final de serviço para o Azure Storage numa rede virtual e sub-rede já existentes:
az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
Adicione uma regra de rede para uma rede virtual e uma sub-rede:
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
Para adicionar uma regra para uma sub-rede em uma rede virtual que pertence a outro locatário do Microsoft Entra, use uma ID de sub-rede totalmente qualificada no formato /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>. Você pode usar o subscription parâmetro para recuperar a ID da sub-rede para uma rede virtual que pertence a outro locatário do Microsoft Entra.
Remova uma regra de rede para uma rede virtual e uma sub-rede:
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
Ver também