Доверенные службы Azure

Если необходимо включить трафик из службы Azure за пределами сетевой границы, можно добавить исключение безопасности сети. Это полезно, если служба Azure работает из сети, которую нельзя включить в правила виртуальной сети или IP-сети. Например, некоторым службам может потребоваться считывать журналы ресурсов и метрики в вашей учетной записи. Вы можете разрешить доступ для чтения для файлов журналов, таблиц метрик или обоих, создав исключение правила сети. Эти службы подключаются к учетной записи хранения с помощью строгой проверки подлинности.

Сведения о добавлении исключения сетевой безопасности см. в статье "Управление исключениями безопасности сети".

Доверенный доступ для ресурсов, зарегистрированных в клиенте Microsoft Entra

Ресурсы из некоторых служб могут получить доступ к учетной записи хранения для выбранных операций, таких как запись журналов или выполнение резервных копий. Эти службы должны быть зарегистрированы в подписке, расположенной в том же клиенте Microsoft Entra, что и ваша учетная запись хранения данных. В следующей таблице описываются каждая служба и разрешенные операции.

Услуга Имя поставщика ресурсов Разрешенные операции
Azure Backup Microsoft.RecoveryServices Запуск резервных копий и восстановление неуправляемых дисков в виртуальных машинах типа «инфраструктура как услуга» (IaaS) (не нужно для управляемых дисков). Подробнее.
Azure Data Box Microsoft.DataBox Импортируйте данные в Azure. Подробнее.
Azure Data Explorer Microsoft.Kusto Чтение данных для обработки и внешних таблиц и запись данных во внешние таблицы. Подробнее.
Azure DevTest Labs Microsoft.DevTestLab Создайте пользовательские образы и установите артефакты. Подробнее.
Сетка событий Azure Microsoft.EventGrid Включите публикацию событий Хранилище BLOB-объектов Azure и разрешите публикацию в очередях хранилища.
Центры событий Azure Microsoft.EventHub Архивируйте данные с помощью Event Hubs Capture. Дополнительные сведения.
Синхронизация файлов Azure Microsoft.StorageSync Превратите ваш локальный файловый сервер в кэш для файловых хранилищ Azure. Эта возможность позволяет выполнять синхронизацию нескольких сайтов, быстрое аварийное восстановление и облачное резервное копирование. Подробнее.
Azure HDInsight Microsoft.HDInsight Подготавливает начальное содержимое файловой системы по умолчанию для нового кластера HDInsight. Подробнее.
Импорт и экспорт Azure Microsoft.ImportExport Импортируйте данные для служба хранилища Azure или экспорта данных из служба хранилища Azure. Подробнее.
Azure Monitor Microsoft.Insights Запись данных мониторинга в безопасную учетную запись хранения, включая журналы ресурсов, журналы Microsoft Defender для конечной точки, журналы входа и аудита Microsoft Entra, а также журналы Microsoft Intune. Подробнее.
сетевые службы Azure Microsoft.Network Храните и анализируйте журналы сетевого трафика, включая Azure Network Watcher и Диспетчер трафика Azure службы. Подробнее.
Azure Site Recovery Microsoft.SiteRecovery Включите репликацию для аварийного восстановления виртуальных машин Azure IaaS при использовании кэша, источника или целевых хранилищ с включенным брандмауэром. Подробнее.

Доверенный доступ, основанный на управляемой идентификации

В следующей таблице перечислены службы, которые могут получить доступ к данным учетной записи хранения, если экземпляры ресурсов этих служб имеют соответствующие разрешения.

Услуга Имя поставщика ресурсов Цель
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats Обеспечивает доступ к учетным записям хранения.
Управление API Azure Microsoft.ApiManagement/service Обеспечивает доступ к учетным записям хранения за брандмауэрами с помощью политик. Подробнее.
Автономные системы Майкрософт Microsoft.AutonomousSystems/workspaces Обеспечивает доступ к учетным записям хранения.
Azure Управляемый Redis Microsoft.Cache/Redis Обеспечивает доступ к учетным записям хранения. Подробнее.
Поиск с использованием ИИ Azure Microsoft.Search/searchServices Обеспечивает доступ к учетным записям хранения для индексирования, обработки и запроса.
Инструменты литейного производства Microsoft.CognitiveService/accounts Обеспечивает доступ к учетным записям хранения. Подробнее.
Управление затратами Майкрософт Microsoft.CostManagementExports Включает экспорт в учетные записи хранения за брандмауэром. Подробнее.
Реестр контейнеров Azure (Реестр контейнеров Azure) Microsoft.ContainerRegistry/registries Обеспечивает доступ к учетным записям хранения.
Azure Databricks Microsoft.Databricks/accessConnectors Обеспечивает доступ к учетным записям хранения. Для бессерверных хранилищ SQL требуется дополнительная настройка. Подробнее.
Фабрика данных Azure Microsoft.DataFactory/factories Обеспечивает доступ к учетным записям хранения через среду выполнения Data Factory.
Azure Data Explorer Microsoft.Kusto/Clusters Чтение данных для обработки и внешних таблиц и запись данных во внешние таблицы. Подробнее.
хранилище Azure Backup Microsoft.DataProtection/BackupVaults Обеспечивает доступ к учетным записям хранения.
Azure Data Share Microsoft.DataShare/accounts Обеспечивает доступ к учетным записям хранения.
База данных Azure для PostgreSQL Microsoft.DBForPostgreSQL Обеспечивает доступ к учетным записям хранения.
Реестр устройств Azure Microsoft.DeviceRegistry/schemaRegistries Обеспечивает доступ к учетным записям хранения.
Центр Интернета вещей Azure Microsoft.Devices/IotHubs Позволяет записывать данные из Центра Интернета вещей в Хранилище BLOB-объектов. Подробнее.
Azure DevTest Labs Microsoft.DevTestLab/labs Обеспечивает доступ к учетным записям хранения.
Сетка событий Azure Microsoft.EventGrid/domains Обеспечивает доступ к учетным записям хранения.
Сетка событий Azure Microsoft.EventGrid/partnerTopics Обеспечивает доступ к учетным записям хранения.
Сетка событий Azure Microsoft.EventGrid/systemTopics Обеспечивает доступ к учетным записям хранения.
Сетка событий Azure Microsoft.EventGrid/topics Обеспечивает доступ к учетным записям хранения.
Microsoft Fabric Microsoft.Fabric Обеспечивает доступ к учетным записям хранения.
Azure API здравоохранения Microsoft.HealthcareApis/services Обеспечивает доступ к учетным записям хранения.
Azure API здравоохранения Microsoft.HealthcareApis/workspaces Обеспечивает доступ к учетным записям хранения.
Azure IoT Central Microsoft.IoTCentral/IoTApps Обеспечивает доступ к учетным записям хранения.
Управляемый HSM Azure Key Vault Microsoft.keyvault/managedHSMs Обеспечивает доступ к учетным записям хранения.
Azure Logic Apps Microsoft.Logic/integrationAccounts Позволяет приложениям логики получать доступ к учетным записям хранения. Подробнее.
Azure Logic Apps Microsoft.Logic/workflows Позволяет приложениям логики получать доступ к учетным записям хранения. Подробнее.
Студия машинного обучения Azure Microsoft.MachineLearning/registries Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы для Хранилище BLOB-объектов и чтения данных. Подробнее.
Машинное обучение Azure Microsoft.MachineLearningServices Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы для Хранилище BLOB-объектов и чтения данных. Подробнее.
Машинное обучение Azure Microsoft.MachineLearningServices/workspaces Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы для Хранилище BLOB-объектов и чтения данных. Подробнее.
Службы мультимедиа Azure Microsoft.Media/mediaservices Обеспечивает доступ к учетным записям хранения.
Миграция Azure Microsoft.Migrate/migrateprojects Обеспечивает доступ к учетным записям хранения.
Azure ExpressRoute Microsoft.Network/expressRoutePorts Обеспечивает доступ к учетным записям хранения.
Microsoft Power Platform Microsoft.PowerPlatform/enterprisePolicies Обеспечивает доступ к учетным записям хранения.
Microsoft Project Аркадия Microsoft.ProjectArcadia/workspaces Обеспечивает доступ к учетным записям хранения.
Каталог данных Azure Microsoft.ProjectBabylon/accounts Обеспечивает доступ к учетным записям хранения.
Microsoft Purview. Microsoft.Purview/accounts Обеспечивает доступ к учетным записям хранения.
Azure Site Recovery Microsoft.RecoveryServices/vaults Обеспечивает доступ к учетным записям хранения.
Центр безопасности Microsoft.Security/dataScanners Обеспечивает доступ к учетным записям хранения.
Сингулярность Microsoft.Singularity/accounts Обеспечивает доступ к учетным записям хранения.
Действия служба хранилища Azure Microsoft.Storageactions/Storagetasks Обеспечивает доступ к учетным записям хранения.
База данных SQL Azure Microsoft.Sql Позволяет записывать данные аудита в учетные записи хранения за брандмауэром.
серверы Azure SQL Microsoft.Sql/servers Позволяет записывать данные аудита в учетные записи хранения за брандмауэром.
Azure Synapse Analytics Microsoft.Sql Позволяет импортировать и экспортировать данные из определенных баз данных SQL с помощью инструкции COPY или PolyBase (в выделенном пуле), а также функции openrowset и внешних таблиц в бессерверном пуле. Подробнее.
Azure Stream Analytics Microsoft.StreamAnalytics Позволяет записывать данные из задания потоковой передачи в хранилище Хранилище BLOB-объектов. Подробнее.
Azure Stream Analytics Microsoft.StreamAnalytics/streamingjobs Позволяет записывать данные из задания потоковой передачи в хранилище Хранилище BLOB-объектов. Подробнее.
Azure Synapse Analytics Microsoft.Synapse/workspaces Обеспечивает доступ к данным в служба хранилища Azure.
Индексатор видео Azure Microsoft.VideoIndexer/Accounts Обеспечивает доступ к учетным записям хранения.

Если в вашей учетной записи не включена функция иерархического пространства имен, вы можете предоставить разрешение, явно назначив роль Azure для управляемого удостоверения для каждого экземпляра ресурса. В этом случае область доступа для экземпляра соответствует роли Azure, назначенной управляемой идентичности.

Вы можете использовать тот же метод для учетной записи, в которой включена функция иерархического пространства имен. Однако вам не нужно назначать роль Azure, если добавляете управляемую идентификацию в список управления доступом (ACL) любого каталога или BLOB-объекта, содержащегося в учетной записи хранения. В этом случае область доступа для экземпляра соответствует каталогу или файлу, к которому имеет доступ управляемое удостоверение.

Вы также можете совместно использовать роли Azure и списки контроля доступа для предоставления доступа. Дополнительные сведения см. в разделе Access control model in Azure Data Lake Storage.

Рекомендуется использовать правила экземпляра ресурсов для предоставления доступа к определенным ресурсам.

См. также