Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Если необходимо включить трафик из службы Azure за пределами сетевой границы, можно добавить исключение безопасности сети. Это полезно, если служба Azure работает из сети, которую нельзя включить в правила виртуальной сети или IP-сети. Например, некоторым службам может потребоваться считывать журналы ресурсов и метрики в вашей учетной записи. Вы можете разрешить доступ для чтения для файлов журналов, таблиц метрик или обоих, создав исключение правила сети. Эти службы подключаются к учетной записи хранения с помощью строгой проверки подлинности.
Сведения о добавлении исключения сетевой безопасности см. в статье "Управление исключениями безопасности сети".
Доверенный доступ для ресурсов, зарегистрированных в клиенте Microsoft Entra
Ресурсы из некоторых служб могут получить доступ к учетной записи хранения для выбранных операций, таких как запись журналов или выполнение резервных копий. Эти службы должны быть зарегистрированы в подписке, расположенной в том же клиенте Microsoft Entra, что и ваша учетная запись хранения данных. В следующей таблице описываются каждая служба и разрешенные операции.
| Услуга | Имя поставщика ресурсов | Разрешенные операции |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices |
Запуск резервных копий и восстановление неуправляемых дисков в виртуальных машинах типа «инфраструктура как услуга» (IaaS) (не нужно для управляемых дисков). Подробнее. |
| Azure Data Box | Microsoft.DataBox |
Импортируйте данные в Azure. Подробнее. |
| Azure Data Explorer | Microsoft.Kusto |
Чтение данных для обработки и внешних таблиц и запись данных во внешние таблицы. Подробнее. |
| Azure DevTest Labs | Microsoft.DevTestLab |
Создайте пользовательские образы и установите артефакты. Подробнее. |
| Сетка событий Azure | Microsoft.EventGrid |
Включите публикацию событий Хранилище BLOB-объектов Azure и разрешите публикацию в очередях хранилища. |
| Центры событий Azure | Microsoft.EventHub |
Архивируйте данные с помощью Event Hubs Capture. Дополнительные сведения. |
| Синхронизация файлов Azure | Microsoft.StorageSync |
Превратите ваш локальный файловый сервер в кэш для файловых хранилищ Azure. Эта возможность позволяет выполнять синхронизацию нескольких сайтов, быстрое аварийное восстановление и облачное резервное копирование. Подробнее. |
| Azure HDInsight | Microsoft.HDInsight |
Подготавливает начальное содержимое файловой системы по умолчанию для нового кластера HDInsight. Подробнее. |
| Импорт и экспорт Azure | Microsoft.ImportExport |
Импортируйте данные для служба хранилища Azure или экспорта данных из служба хранилища Azure. Подробнее. |
| Azure Monitor | Microsoft.Insights |
Запись данных мониторинга в безопасную учетную запись хранения, включая журналы ресурсов, журналы Microsoft Defender для конечной точки, журналы входа и аудита Microsoft Entra, а также журналы Microsoft Intune. Подробнее. |
| сетевые службы Azure | Microsoft.Network |
Храните и анализируйте журналы сетевого трафика, включая Azure Network Watcher и Диспетчер трафика Azure службы. Подробнее. |
| Azure Site Recovery | Microsoft.SiteRecovery |
Включите репликацию для аварийного восстановления виртуальных машин Azure IaaS при использовании кэша, источника или целевых хранилищ с включенным брандмауэром. Подробнее. |
Доверенный доступ, основанный на управляемой идентификации
В следующей таблице перечислены службы, которые могут получить доступ к данным учетной записи хранения, если экземпляры ресурсов этих служб имеют соответствующие разрешения.
| Услуга | Имя поставщика ресурсов | Цель |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Обеспечивает доступ к учетным записям хранения. |
| Управление API Azure | Microsoft.ApiManagement/service |
Обеспечивает доступ к учетным записям хранения за брандмауэрами с помощью политик. Подробнее. |
| Автономные системы Майкрософт | Microsoft.AutonomousSystems/workspaces |
Обеспечивает доступ к учетным записям хранения. |
| Azure Управляемый Redis | Microsoft.Cache/Redis |
Обеспечивает доступ к учетным записям хранения. Подробнее. |
| Поиск с использованием ИИ Azure | Microsoft.Search/searchServices |
Обеспечивает доступ к учетным записям хранения для индексирования, обработки и запроса. |
| Инструменты литейного производства | Microsoft.CognitiveService/accounts |
Обеспечивает доступ к учетным записям хранения. Подробнее. |
| Управление затратами Майкрософт | Microsoft.CostManagementExports |
Включает экспорт в учетные записи хранения за брандмауэром. Подробнее. |
| Реестр контейнеров Azure (Реестр контейнеров Azure) | Microsoft.ContainerRegistry/registries |
Обеспечивает доступ к учетным записям хранения. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
Обеспечивает доступ к учетным записям хранения. Для бессерверных хранилищ SQL требуется дополнительная настройка. Подробнее. |
| Фабрика данных Azure | Microsoft.DataFactory/factories |
Обеспечивает доступ к учетным записям хранения через среду выполнения Data Factory. |
| Azure Data Explorer | Microsoft.Kusto/Clusters |
Чтение данных для обработки и внешних таблиц и запись данных во внешние таблицы. Подробнее. |
| хранилище Azure Backup | Microsoft.DataProtection/BackupVaults |
Обеспечивает доступ к учетным записям хранения. |
| Azure Data Share | Microsoft.DataShare/accounts |
Обеспечивает доступ к учетным записям хранения. |
| База данных Azure для PostgreSQL | Microsoft.DBForPostgreSQL |
Обеспечивает доступ к учетным записям хранения. |
| Реестр устройств Azure | Microsoft.DeviceRegistry/schemaRegistries |
Обеспечивает доступ к учетным записям хранения. |
| Центр Интернета вещей Azure | Microsoft.Devices/IotHubs |
Позволяет записывать данные из Центра Интернета вещей в Хранилище BLOB-объектов. Подробнее. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
Обеспечивает доступ к учетным записям хранения. |
| Сетка событий Azure | Microsoft.EventGrid/domains |
Обеспечивает доступ к учетным записям хранения. |
| Сетка событий Azure | Microsoft.EventGrid/partnerTopics |
Обеспечивает доступ к учетным записям хранения. |
| Сетка событий Azure | Microsoft.EventGrid/systemTopics |
Обеспечивает доступ к учетным записям хранения. |
| Сетка событий Azure | Microsoft.EventGrid/topics |
Обеспечивает доступ к учетным записям хранения. |
| Microsoft Fabric | Microsoft.Fabric |
Обеспечивает доступ к учетным записям хранения. |
| Azure API здравоохранения | Microsoft.HealthcareApis/services |
Обеспечивает доступ к учетным записям хранения. |
| Azure API здравоохранения | Microsoft.HealthcareApis/workspaces |
Обеспечивает доступ к учетным записям хранения. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Обеспечивает доступ к учетным записям хранения. |
| Управляемый HSM Azure Key Vault | Microsoft.keyvault/managedHSMs |
Обеспечивает доступ к учетным записям хранения. |
| Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Позволяет приложениям логики получать доступ к учетным записям хранения. Подробнее. |
| Azure Logic Apps | Microsoft.Logic/workflows |
Позволяет приложениям логики получать доступ к учетным записям хранения. Подробнее. |
| Студия машинного обучения Azure | Microsoft.MachineLearning/registries |
Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы для Хранилище BLOB-объектов и чтения данных. Подробнее. |
| Машинное обучение Azure | Microsoft.MachineLearningServices |
Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы для Хранилище BLOB-объектов и чтения данных. Подробнее. |
| Машинное обучение Azure | Microsoft.MachineLearningServices/workspaces |
Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы для Хранилище BLOB-объектов и чтения данных. Подробнее. |
| Службы мультимедиа Azure | Microsoft.Media/mediaservices |
Обеспечивает доступ к учетным записям хранения. |
| Миграция Azure | Microsoft.Migrate/migrateprojects |
Обеспечивает доступ к учетным записям хранения. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Обеспечивает доступ к учетным записям хранения. |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Обеспечивает доступ к учетным записям хранения. |
| Microsoft Project Аркадия | Microsoft.ProjectArcadia/workspaces |
Обеспечивает доступ к учетным записям хранения. |
| Каталог данных Azure | Microsoft.ProjectBabylon/accounts |
Обеспечивает доступ к учетным записям хранения. |
| Microsoft Purview. | Microsoft.Purview/accounts |
Обеспечивает доступ к учетным записям хранения. |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Обеспечивает доступ к учетным записям хранения. |
| Центр безопасности | Microsoft.Security/dataScanners |
Обеспечивает доступ к учетным записям хранения. |
| Сингулярность | Microsoft.Singularity/accounts |
Обеспечивает доступ к учетным записям хранения. |
| Действия служба хранилища Azure | Microsoft.Storageactions/Storagetasks |
Обеспечивает доступ к учетным записям хранения. |
| База данных SQL Azure | Microsoft.Sql |
Позволяет записывать данные аудита в учетные записи хранения за брандмауэром. |
| серверы Azure SQL | Microsoft.Sql/servers |
Позволяет записывать данные аудита в учетные записи хранения за брандмауэром. |
| Azure Synapse Analytics | Microsoft.Sql |
Позволяет импортировать и экспортировать данные из определенных баз данных SQL с помощью инструкции COPY или PolyBase (в выделенном пуле), а также функции openrowset и внешних таблиц в бессерверном пуле.
Подробнее. |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
Позволяет записывать данные из задания потоковой передачи в хранилище Хранилище BLOB-объектов. Подробнее. |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Позволяет записывать данные из задания потоковой передачи в хранилище Хранилище BLOB-объектов. Подробнее. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Обеспечивает доступ к данным в служба хранилища Azure. |
| Индексатор видео Azure | Microsoft.VideoIndexer/Accounts |
Обеспечивает доступ к учетным записям хранения. |
Если в вашей учетной записи не включена функция иерархического пространства имен, вы можете предоставить разрешение, явно назначив роль Azure для управляемого удостоверения для каждого экземпляра ресурса. В этом случае область доступа для экземпляра соответствует роли Azure, назначенной управляемой идентичности.
Вы можете использовать тот же метод для учетной записи, в которой включена функция иерархического пространства имен. Однако вам не нужно назначать роль Azure, если добавляете управляемую идентификацию в список управления доступом (ACL) любого каталога или BLOB-объекта, содержащегося в учетной записи хранения. В этом случае область доступа для экземпляра соответствует каталогу или файлу, к которому имеет доступ управляемое удостоверение.
Вы также можете совместно использовать роли Azure и списки контроля доступа для предоставления доступа. Дополнительные сведения см. в разделе Access control model in Azure Data Lake Storage.