Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Если необходимо включить трафик из службы Azure за пределами сетевой границы, можно добавить исключение безопасности сети. Это полезно, если служба Azure работает из сети, которую нельзя включить в правила виртуальной сети или IP-сети. Например, некоторым службам может потребоваться считывать журналы ресурсов и метрики в вашей учетной записи. Вы можете разрешить доступ для чтения для файлов журналов, таблиц метрик или обоих, создав исключение правила сети. Эти службы подключаются к учетной записи хранения с помощью строгой проверки подлинности.
Сведения о добавлении исключения сетевой безопасности см. в статье "Управление исключениями безопасности сети".
Доверенный доступ для ресурсов, зарегистрированных в клиенте Microsoft Entra
Ресурсы из некоторых служб могут получить доступ к учетной записи хранения для выбранных операций, таких как запись журналов или выполнение резервных копий. Эти службы должны быть зарегистрированы в подписке, находящейся в том же клиенте Microsoft Entra, что и ваша учетная запись для хранения. В следующей таблице описываются каждая служба и разрешенные операции.
| Услуга | Имя поставщика ресурсов | Разрешенные операции |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices |
Запуск резервных копий и восстановление неуправляемых дисков в виртуальных машинах типа «инфраструктура как услуга» (IaaS) (не нужно для управляемых дисков). Подробнее. |
| Azure Data Box | Microsoft.DataBox |
Импортируйте данные в Azure. Подробнее. |
| Анализатор данных Azure | Microsoft.Kusto |
Чтение данных для обработки и внешних таблиц и запись данных во внешние таблицы. Подробнее. |
| Azure DevTest Labs | Microsoft.DevTestLab |
Создайте пользовательские образы и установите артефакты. Подробнее. |
| Сетка событий Azure | Microsoft.EventGrid |
Включите публикацию событий в хранилище BLOB-объектов Azure и разрешите публикацию в очередях хранилища. |
| Центры событий Azure | Microsoft.EventHub |
Архивируйте данные с помощью Event Hubs Capture. Дополнительные сведения. |
| Служба синхронизации файлов Azure | Microsoft.StorageSync |
Преобразуйте локальный файловый сервер в кэш для общих папок Azure. Эта возможность позволяет выполнять синхронизацию нескольких сайтов, быстрое аварийное восстановление и облачное резервное копирование. Подробнее. |
| Azure HDInsight | Microsoft.HDInsight |
Подготавливает начальное содержимое файловой системы по умолчанию для нового кластера HDInsight. Подробнее. |
| Импорт/экспорт Azure | Microsoft.ImportExport |
Импортируйте данные в Хранилище Azure или экспортируйте данные из Хранилища Azure. Подробнее. |
| Azure Monitor | Microsoft.Insights |
Запись данных мониторинга в безопасную учетную запись хранения, включая журналы ресурсов, данные Microsoft Defender для конечной точки, журналы входа и аудита Microsoft Entra и журналы Microsoft Intune. Подробнее. |
| Сетевые службы Azure | Microsoft.Network |
Храните и анализируйте журналы сетевого трафика, включая службы Наблюдателя за сетями Azure и диспетчера трафика Azure. Подробнее. |
| Служба восстановления сайта Azure (Azure Site Recovery) | Microsoft.SiteRecovery |
Включите репликацию для аварийного восстановления виртуальных машин Azure IaaS при использовании кэша, источника или целевой учетной записи хранения с поддержкой брандмауэра. Подробнее. |
Доверенный доступ, основанный на управляемой идентификации
В следующей таблице перечислены службы, которые могут получить доступ к данным учетной записи хранения, если экземпляры ресурсов этих служб имеют соответствующие разрешения.
| Услуга | Имя поставщика ресурсов | Цель |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Обеспечивает доступ к учетным записям хранения. |
| Управление API Azure | Microsoft.ApiManagement/service |
Обеспечивает доступ к учетным записям хранения за брандмауэрами с помощью политик. Подробнее. |
| Автономные системы Майкрософт | Microsoft.AutonomousSystems/workspaces |
Обеспечивает доступ к учетным записям хранения. |
| Кэш Azure для Redis | Microsoft.Cache/Redis |
Обеспечивает доступ к учетным записям хранения. Подробнее. |
| Поиск с использованием ИИ Azure | Microsoft.Search/searchServices |
Обеспечивает доступ к учетным записям хранения для индексирования, обработки и запроса. |
| Службы ИИ Azure | Microsoft.CognitiveService/accounts |
Обеспечивает доступ к учетным записям хранения. Подробнее. |
| Управление затратами Майкрософт | Microsoft.CostManagementExports |
Включает экспорт в учетные записи хранения за брандмауэром. Подробнее. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
Обеспечивает доступ к учетным записям хранения. Для бессерверных хранилищ SQL требуется дополнительная настройка. Подробнее. |
| Фабрика данных Azure | Microsoft.DataFactory/factories |
Обеспечивает доступ к учетным записям хранения через среду выполнения Data Factory. |
| Анализатор данных Azure | Microsoft.Kusto/Clusters |
Чтение данных для обработки и внешних таблиц и запись данных во внешние таблицы. Подробнее. |
| Хранилище службы Azure Backup | Microsoft.DataProtection/BackupVaults |
Обеспечивает доступ к учетным записям хранения. |
| Azure Data Share (платформа обмена данными Azure) | Microsoft.DataShare/accounts |
Обеспечивает доступ к учетным записям хранения. |
| База данных Azure для PostgreSQL | Microsoft.DBForPostgreSQL |
Обеспечивает доступ к учетным записям хранения. |
| Реестр устройств Azure | Microsoft.DeviceRegistry/schemaRegistries |
Обеспечивает доступ к учетным записям хранения. |
| Центр Интернета вещей Azure | Microsoft.Devices/IotHubs |
Позволяет записывать данные из IoT-хаба в облако хранения данных. Подробнее. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
Обеспечивает доступ к учетным записям хранения. |
| Сетка событий Azure | Microsoft.EventGrid/domains |
Обеспечивает доступ к учетным записям хранения. |
| Сетка событий Azure | Microsoft.EventGrid/partnerTopics |
Обеспечивает доступ к учетным записям хранения. |
| Сетка событий Azure | Microsoft.EventGrid/systemTopics |
Обеспечивает доступ к учетным записям хранения. |
| Сетка событий Azure | Microsoft.EventGrid/topics |
Обеспечивает доступ к учетным записям хранения. |
| Microsoft Fabric | Microsoft.Fabric |
Обеспечивает доступ к учетным записям хранения. |
| API Azure для здравоохранения | Microsoft.HealthcareApis/services |
Обеспечивает доступ к учетным записям хранения. |
| API Azure для здравоохранения | Microsoft.HealthcareApis/workspaces |
Обеспечивает доступ к учетным записям хранения. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Обеспечивает доступ к учетным записям хранения. |
| Управляемый модуль HSM в Azure Key Vault | Microsoft.keyvault/managedHSMs |
Обеспечивает доступ к учетным записям хранения. |
| Приложения логики Azure | Microsoft.Logic/integrationAccounts |
Позволяет приложениям логики получать доступ к учетным записям хранения. Подробнее. |
| Приложения логики Azure | Microsoft.Logic/workflows |
Позволяет приложениям логики получать доступ к учетным записям хранения. Подробнее. |
| Студия машинного обучения Azure | Microsoft.MachineLearning/registries |
Позволяет авторизованным рабочим областям Azure Machine Learning записывать выходные данные экспериментов, модели и журналы в хранилище Blob и считывать данные. Подробнее. |
| Машинное обучение Azure | Microsoft.MachineLearningServices |
Позволяет авторизованным рабочим областям Azure Machine Learning записывать выходные данные экспериментов, модели и журналы в хранилище Blob и считывать данные. Подробнее. |
| Машинное обучение Azure | Microsoft.MachineLearningServices/workspaces |
Позволяет авторизованным рабочим областям Azure Machine Learning записывать выходные данные экспериментов, модели и журналы в хранилище Blob и считывать данные. Подробнее. |
| Службы мультимедиа Azure | Microsoft.Media/mediaservices |
Обеспечивает доступ к учетным записям хранения. |
| Azure Migrate (служба миграции Azure) | Microsoft.Migrate/migrateprojects |
Обеспечивает доступ к учетным записям хранения. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Обеспечивает доступ к учетным записям хранения. |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Обеспечивает доступ к учетным записям хранения. |
| Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Обеспечивает доступ к учетным записям хранения. |
| Каталог данных Azure | Microsoft.ProjectBabylon/accounts |
Обеспечивает доступ к учетным записям хранения. |
| Microsoft Purview | Microsoft.Purview/accounts |
Обеспечивает доступ к учетным записям хранения. |
| Служба восстановления сайта Azure (Azure Site Recovery) | Microsoft.RecoveryServices/vaults |
Обеспечивает доступ к учетным записям хранения. |
| Центр безопасности | Microsoft.Security/dataScanners |
Обеспечивает доступ к учетным записям хранения. |
| Сингулярность | Microsoft.Singularity/accounts |
Обеспечивает доступ к учетным записям хранения. |
| Действия с хранилищем Azure | Microsoft.Storageactions/Storagetasks |
Обеспечивает доступ к учетным записям хранения. |
| База данных SQL Azure | Microsoft.Sql |
Позволяет записывать данные аудита в учетные записи хранения за брандмауэром. |
| Серверы SQL Azure | Microsoft.Sql/servers |
Позволяет записывать данные аудита в учетные записи хранения за брандмауэром. |
| Azure Synapse Analytics | Microsoft.Sql |
Позволяет импортировать и экспортировать данные из определенных баз данных SQL с помощью инструкции COPY или PolyBase (в выделенном пуле), а также функции openrowset и внешних таблиц в бессерверном пуле.
Подробнее. |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
Позволяет записывать данные из потокового задания в объектное хранилище. Подробнее. |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Позволяет записывать данные из потокового задания в объектное хранилище. Подробнее. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Обеспечивает доступ к данным в службе хранилища Azure. |
| Видеоиндексатор Azure | Microsoft.VideoIndexer/Accounts |
Обеспечивает доступ к учетным записям хранения. |
Если у вашей учетной записи нет функции иерархического пространства имен, вы можете предоставить разрешение, явно назначив роль Azure управляемому удостоверению для каждого экземпляра ресурса. В этом случае область доступа для экземпляра соответствует роли Azure, назначенной управляемому удостоверению.
Вы можете использовать тот же метод для учетной записи, в которой включена функция иерархического пространства имен. Однако вам не нужно назначать роль Azure, если вы добавите управляемую идентификацию в список управления доступом (ACL) любого каталога или блоба, находящегося в учетной записи хранения. В этом случае область доступа для экземпляра соответствует каталогу или файлу, к которому имеет доступ управляемое удостоверение.
Вы также можете комбинировать роли Azure и ACL, чтобы предоставить доступ. Дополнительные сведения см. в статье "Модель управления доступом" в Azure Data Lake Storage.