Настройка правила доступа к общедоступной сети по умолчанию для учетной записи хранения Azure

Перейдите к учетной записи хранения, которую нужно защитить.

В меню службы в разделе "Безопасность и сеть" выберите "Сеть".

Выберите "Управление", а затем выберите сетевой доступ, включенный через общедоступную конечную точку учетной записи хранения:

• Чтобы разрешить трафик из всех сетей, нажмите кнопку "Включить", а затем выберите "Включить" из всех сетей.

• Чтобы разрешить трафик только из определенных виртуальных сетей, диапазонов IP-адресов или определенных ресурсов Azure, выберите "Включить", а затем выберите "Включено" из выбранных сетей. Вам будет предложено добавить виртуальные сети, диапазоны IP-адресов или экземпляры ресурсов.

• Чтобы заблокировать трафик из всех сетей, нажмите кнопку "Отключить".

• Чтобы защитить трафик с помощью периметра безопасности сети, выберите "Защищенный по периметру".

Нажмите кнопку Сохранить, чтобы применить изменения.

Установите Azure PowerShell и выполните вход.

Выберите тип общедоступного сетевого доступа, который требуется разрешить:

• Чтобы разрешить трафик из всех сетей, используйте Update-AzStorageAccountNetworkRuleSet команду и задайте для -DefaultAction параметра Allowзначение :

  Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
  

• Чтобы разрешить трафик только из определенных виртуальных сетей, используйте команду Update-AzStorageAccountNetworkRuleSet и задайте параметру -DefaultAction значение Deny:

  Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
  

  Это важно

  Сетевые правила не будут действовать, если параметр -DefaultAction не установлен на Deny. Однако изменение этого параметра может повлиять на возможность подключения приложения к служба хранилища Azure. Перед изменением этого параметра не забудьте предоставить доступ к любым разрешенным сетям или настроить доступ через частную конечную точку.

• Чтобы заблокировать трафик из всех сетей, используйте команду Set-AzStorageAccount и задайте для параметра -PublicNetworkAccess значение Disabled. Трафик будет разрешен только через частную конечную точку. Необходимо создать эту частную конечную точку.

  Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
  

Установите Azure CLI и выполните вход.

Выберите тип общедоступного сетевого доступа, который требуется разрешить:

• Чтобы разрешить трафик из всех сетей, используйте az storage account update команду и задайте для --default-action параметра Allowзначение :

  az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
  

• Чтобы разрешить трафик только из определенных виртуальных сетей, используйте команду az storage account update и задайте параметру --default-action значение Deny:

  az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
  

  Это важно

  Сетевые правила не будут действовать, если параметр --default-action не установлен на Deny. Однако изменение этого параметра может повлиять на возможность подключения приложения к служба хранилища Azure. Перед изменением этого параметра не забудьте предоставить доступ к любым разрешенным сетям или настроить доступ через частную конечную точку.

• Чтобы заблокировать трафик из всех сетей, используйте команду az storage account update и задайте для параметра --public-network-access значение Disabled. Трафик будет разрешен только через частную конечную точку. Необходимо создать эту частную конечную точку.

  az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled