Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Правила брандмауэра службы хранилища Azure обеспечивают детальный контроль доступа к общедоступной конечной точке учетной записи хранения. По умолчанию учетные записи хранения разрешают подключения из любой сети, но вы можете ограничить доступ, настроив правила сети, определяющие, какие источники могут подключаться к учетной записи хранения.
Вы можете настроить четыре типа правил сети:
- Правила виртуальной сети. Разрешить трафик из определенных подсетей в виртуальных сетях Azure
- Правила IP-сети. Разрешить трафик из определенных диапазонов общедоступных IP-адресов
- Правила экземпляра ресурса: Разрешить трафик из определенных экземпляров ресурсов Azure, которые нельзя изолировать с помощью правил виртуальной сети или IP-правил.
- Исключения доверенной службы: разрешить трафик из определенных служб Azure, работающих за пределами сетевой границы.
При настройке сетевых правил только трафик из явно разрешенных источников может получить доступ к учетной записи хранения через свою общедоступную конечную точку. Все остальные трафик запрещены.
Примечание.
Клиенты, выполняющие запросы из разрешенных источников, также должны соответствовать требованиям авторизации учетной записи хранения. Дополнительные сведения об авторизации учетной записи см. в статье "Авторизация доступа к данным в службе хранилища Azure".
Правила виртуальной сети
Вы можете включить трафик из подсетей в любой виртуальной сети Azure. Виртуальная сеть может быть из любой подписки в любом клиенте Microsoft Entra в любом регионе Azure. Чтобы включить трафик из подсети, добавьте правило виртуальной сети. Для каждой учетной записи хранения можно добавить до 400 правил виртуальной сети.
Внимание
По умолчанию трафик ко всем подсетям блокируется. Запросы к ресурсам в подсети получают ошибку 403, пока не добавите правило, разрешающее трафик в эту подсеть.
В параметрах виртуальной сети подсети необходимо также включить конечную точку службы виртуальной сети. Эта конечная точка обеспечивает безопасное и прямое подключение к учетной записи хранения.
При создании сетевых правил с помощью портала Azure автоматически создаются эти конечные точки службы при выборе каждой целевой подсети. PowerShell и Azure CLI предоставляют команды, которые можно использовать для их создания вручную. Дополнительные сведения о конечных точках служб см. в статье "Конечные точки службы виртуальной сети".
В следующей таблице описывается каждый тип конечной точки службы, которую можно включить для службы хранилища Azure:
| Конечная точка службы | Имя ресурса | Описание |
|---|---|---|
| Конечная точка службы хранилища Azure | Microsoft.Storage | Обеспечивает подключение к учетным записям хранения в том же регионе , что и виртуальная сеть. |
| Конечная точка службы хранилища Azure между регионами | Microsoft.Storage.Global | Обеспечивает подключение к учетным записям хранения в любом регионе. |
Примечание.
С подсетью можно связать только один из этих типов конечных точек. Если одна из этих конечных точек уже связана с подсетью, перед добавлением другой необходимо удалить эту конечную точку.
Сведения о настройке правила виртуальной сети и включении конечных точек службы см. в статье "Создание правила виртуальной сети для службы хранилища Azure".
Доступ из парного региона
Настройка конечных точек службы между виртуальными сетями и экземплярами служб в парном регионе (указанный регион резервного копирования Azure для аварийного восстановления) может быть важной частью плана аварийного восстановления. Конечные точки службы обеспечивают непрерывность во время регионального аварийного восстановления и предоставляют доступ к экземплярам только для чтения геоизбыточного хранилища (RA-GRS). Правила виртуальной сети, предоставляющие доступ из виртуальной сети к хранилищу, также предоставляют доступ к любому экземпляру RA-GRS.
При планировании аварийного восстановления во время регионального сбоя создайте виртуальные сети в парном регионе заранее. Включите конечные точки службы для служба хранилища Azure с правилами сети, обеспечивающими доступ из этих альтернативных виртуальных сетей. Затем примените эти правила к учетным записям вашего геоизбыточного хранилища.
Правила IP-сети
Для клиентов и служб, которые не находятся в виртуальной сети, можно включить трафик, создав правила IP-сети. Каждое правило ip-сети включает трафик из определенного диапазона общедоступных IP-адресов. Например, если клиенту из локальной сети требуется доступ к данным хранилища, можно создать правило, включающее общедоступный IP-адрес этого клиента. Каждая учетная запись хранения поддерживает до 400 правил сети IP.
Сведения о создании правил IP-сети см. в статье "Создание правила сети IP-адресов для службы хранилища Azure".
Если включить конечную точку службы для подсети, трафик из этой подсети не будет использовать общедоступный IP-адрес для связи с учетной записью хранения. Вместо этого весь трафик использует частный IP-адрес в качестве исходного IP-адреса. В результате правила IP-сети, разрешающие трафик из этих подсетей, больше не влияют.
Маркеры SAS, предоставляющие доступ к определенному IP-адресу, ограничивают доступ владельца маркеров, но они не предоставляют новый доступ за пределами настроенных сетевых правил.
Внимание
Некоторые ограничения применяются к диапазонам IP-адресов. Список ограничений см. в разделе "Ограничения" для правил IP-сети.
Доступ из локальной сети
Трафик из локальной сети можно включить с помощью правила IP-сети. Во-первых, определите IP-адреса, которые используются в сети. Обратитесь за помощью к администратору сети.
Если вы используете Azure ExpressRoute из локальной среды, необходимо определить IP-адреса NAT (преобразование сетевых адресов), используемые для пиринга Microsoft. Поставщик услуг или клиент предоставляют IP-адреса NAT.
Чтобы разрешить доступ к ресурсам службы, необходимо разрешить эти общедоступные IP-адреса в параметре брандмауэра для IP-адресов ресурсов.
Правила экземпляра ресурсов Azure
Некоторые ресурсы Azure нельзя изолировать с помощью правила виртуальной сети или IP-адреса. Вы можете включить трафик из этих ресурсов, создав правило сети для экземпляра ресурса. Назначения ролей Azure для экземпляра ресурса определяют, какие типы операций этот экземпляр может выполнять с данными учетной записи хранилища. Экземпляры ресурсов должны находиться в том же тенанте, что и ваша учетная запись хранения, но они могут принадлежать любой подписке в этом тенанте.
Сведения о настройке правила экземпляра ресурса см. в статье "Создание сетевого правила экземпляра ресурса для службы хранилища Azure".
Исключения для доверенных служб Azure и сетевой безопасности
Если необходимо включить трафик из службы Azure вне границы сети, добавьте исключение безопасности сети. Это исключение полезно, если служба Azure работает из сети, которую нельзя включить в правила виртуальной сети или IP-сети. Например, некоторым службам может потребоваться считывать журналы ресурсов и метрики в вашей учетной записи. Вы можете разрешить доступ на чтение для файлов журналов, таблиц метрик или обоих, создав исключение безопасности сети. Эти службы подключаются к учетной записи хранения с помощью строгой проверки подлинности.
Дополнительные сведения о добавлении исключения сетевой безопасности см. в статье "Управление исключениями безопасности сети".
Для получения полного списка служб Azure, для которых можно включить трафик, см. раздел "Доверенные службы Azure".
Ограничения и рекомендации для брандмауэра служба хранилища Azure
Перед реализацией сетевой безопасности для учетных записей хранения просмотрите все ограничения и рекомендации. Полный список см. в разделе "Ограничения и ограничения" для брандмауэра службы хранилища Azure и конфигурации виртуальной сети.