Konfigurace bran firewall Azure Storage a virtuálních sítí

Azure Storage poskytuje vrstvený model zabezpečení. Tento model vám umožňuje řídit úroveň přístupu k vašim účtům úložiště, kterou vaše aplikace a podniková prostředí vyžadují, na základě typu a podmnožiny vámi používaných sítí nebo zdrojů.

Při konfiguraci pravidel sítě můžou k účtu úložiště přistupovat jenom aplikace, které požadují data přes zadanou sadu sítí nebo prostřednictvím zadané sady prostředků Azure. Přístup k účtu úložiště můžete omezit na požadavky, které pocházejí ze zadaných IP adres, rozsahů IP adres, podsítí ve virtuální síti Azure nebo instancí prostředků některých služeb Azure.

Účty úložiště mají veřejný koncový bod, který je přístupný přes internet. Pro svůj účet úložiště můžete také vytvořit privátní koncové body. Vytvoření privátních koncových bodů přiřadí k účtu úložiště privátní IP adresu z vaší virtuální sítě. Pomáhá zabezpečit provoz mezi vaší virtuální sítí a účtem úložiště přes privátní propojení.

Brána firewall služby Azure Storage poskytuje řízení přístupu pro veřejný koncový bod vašeho účtu úložiště. Bránu firewall můžete také použít k blokování veškerého přístupu přes veřejný koncový bod, když používáte privátní koncové body. Konfigurace brány firewall také umožňuje důvěryhodným službám platformy Azure přístup k účtu úložiště.

Aplikace, která přistupuje k účtu úložiště, když jsou platná pravidla sítě, stále vyžaduje správnou autorizaci pro požadavek. Autorizace se podporuje pomocí přihlašovacích údajů Microsoft Entra pro objekty blob, tabulky, sdílené složky a fronty, s platným přístupovým klíčem účtu nebo pomocí tokenu sdíleného přístupového podpisu (SAS). Při konfiguraci kontejneru objektů blob pro anonymní přístup nemusí být požadavky na čtení dat v daném kontejneru autorizované. Pravidla brány firewall zůstávají v platnosti a budou blokovat anonymní provoz.

Zapnutí pravidel brány firewall pro váš účet úložiště ve výchozím nastavení blokuje příchozí požadavky na data, pokud požadavky nepocházejí ze služby, která funguje ve virtuální síti Azure nebo z povolených veřejných IP adres. Mezi blokované požadavky patří ty z jiných služeb Azure, z webu Azure Portal a z protokolování a služeb metrik.

Přístup ke službám Azure, které pracují ve virtuální síti, můžete udělit povolením provozu z podsítě, která hostuje instanci služby. Prostřednictvím mechanismu výjimek, který popisuje tento článek, můžete také povolit omezený počet scénářů. Pokud chcete získat přístup k datům z účtu úložiště prostřednictvím webu Azure Portal, musíte být na počítači v rámci důvěryhodné hranice (IP nebo virtuální sítě), kterou jste nastavili.

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Scénáře

Pokud chcete zabezpečit účet úložiště, měli byste nejprve nakonfigurovat pravidlo pro odepření přístupu k provozu ze všech sítí (včetně internetového provozu) ve výchozím nastavení na veřejném koncovém bodu. Pak byste měli nakonfigurovat pravidla, která udělují přístup k provozu z konkrétních virtuálních sítí. Můžete také nakonfigurovat pravidla pro udělení přístupu k provozu z vybraných rozsahů veřejných internetových IP adres, což umožňuje připojení z konkrétního internetu nebo místních klientů. Tato konfigurace vám pomůže vytvořit zabezpečenou hranici sítě pro vaše aplikace.

Můžete kombinovat pravidla brány firewall, která umožňují přístup z konkrétních virtuálních sítí a z rozsahů veřejných IP adres ve stejném účtu úložiště. Pravidla brány firewall úložiště můžete použít pro existující účty úložiště nebo při vytváření nových účtů úložiště.

Pravidla brány firewall úložiště platí pro veřejný koncový bod účtu úložiště. K povolení provozu privátních koncových bodů účtu úložiště nepotřebujete žádná pravidla přístupu brány firewall. Proces schvalování vytvoření privátního koncového bodu uděluje implicitní přístup k provozu z podsítě, která je hostitelem privátního koncového bodu.

Důležité

Pravidla brány firewall služby Azure Storage se vztahují pouze na operace roviny dat. Operace řídicí roviny podléhají omezením stanoveným v pravidlech brány firewall.

Některé operace, například operace kontejneru objektů blob, je možné provádět prostřednictvím řídicí roviny i roviny dat. Pokud se tedy pokusíte provést operaci, jako je výpis kontejnerů z webu Azure Portal, operace bude úspěšná, pokud ji neblokuje jiný mechanismus. Pokusy o přístup k datům objektů blob z aplikace, jako je například Průzkumník služby Azure Storage, se řídí omezeními brány firewall.

Seznam operací roviny dat najdete v referenčních informacích k rozhraní REST API služby Azure Storage. Seznam operací řídicí roviny najdete v referenčních informacích k rozhraní REST API poskytovatele prostředků služby Azure Storage.

Konfigurace síťového přístupu ke službě Azure Storage

Přístup k datům v účtu úložiště můžete řídit přes koncové body sítě nebo prostřednictvím důvěryhodných služeb nebo prostředků v libovolné kombinaci, včetně:

Informace o koncových bodech virtuální sítě

Pro účty úložiště existují dva typy koncových bodů virtuální sítě:

Koncové body služby virtuální sítě jsou veřejné a přístupné přes internet. Brána firewall služby Azure Storage umožňuje řídit přístup k vašemu účtu úložiště přes tyto veřejné koncové body. Když povolíte přístup k účtu úložiště ve veřejné síti, všechny příchozí požadavky na data se ve výchozím nastavení zablokují. K datům budou mít přístup jenom aplikace, které požadují data z povolených zdrojů, které konfigurujete v nastavení brány firewall účtu úložiště. Zdroje můžou zahrnovat zdrojovou IP adresu nebo podsíť virtuální sítě klienta nebo instanci služby Nebo prostředku Azure, prostřednictvím kterých klienti nebo služby přistupují k vašim datům. Mezi blokované požadavky patří ty z jiných služeb Azure, z webu Azure Portal a služby protokolování a metrik, pokud explicitně nepovolíte přístup v konfiguraci brány firewall.

Privátní koncový bod používá privátní IP adresu z vaší virtuální sítě pro přístup k účtu úložiště přes páteřní síť Microsoftu. U privátního koncového bodu jsou přenosy mezi vaší virtuální sítí a účtem úložiště zabezpečené přes privátní propojení. Pravidla brány firewall úložiště se vztahují jenom na veřejné koncové body účtu úložiště, nikoli na privátní koncové body. Proces schvalování vytvoření privátního koncového bodu uděluje implicitní přístup k provozu z podsítě, která je hostitelem privátního koncového bodu. Pokud chcete upřesnit pravidla přístupu, můžete použít zásady sítě k řízení provozu přes privátní koncové body. Pokud chcete používat výhradně privátní koncové body, můžete pomocí brány firewall blokovat veškerý přístup prostřednictvím veřejného koncového bodu.

Pokud chcete pomoct s rozhodováním, kdy použít každý typ koncového bodu ve vašem prostředí, přečtěte si téma Porovnání privátních koncových bodů a koncových bodů služby.

Postup přístupu k zabezpečení sítě pro účet úložiště

Zabezpečení účtu úložiště a vytvoření zabezpečené hranice sítě pro vaše aplikace:

  1. Začněte zakázáním veškerého přístupu k veřejné síti pro účet úložiště v nastavení přístupu k veřejné síti v bráně firewall účtu úložiště.

  2. Pokud je to možné, nakonfigurujte privátní propojení k vašemu účtu úložiště z privátních koncových bodů v podsítích virtuální sítě, ve kterých se nacházejí klienti, kteří vyžadují přístup k vašim datům.

  3. Pokud klientské aplikace vyžadují přístup přes veřejné koncové body, změňte nastavení přístupu k veřejné síti na Povoleno z vybraných virtuálních sítí a IP adres. Potom podle potřeby:

    1. Zadejte podsítě virtuální sítě, ze kterých chcete povolit přístup.
    2. Zadejte rozsahy veřejných IP adres klientů, ze kterých chcete povolit přístup, jako jsou například místní sítě.
    3. Povolte přístup z vybraných instancí prostředků Azure.
    4. Přidejte výjimky pro povolení přístupu z důvěryhodných služeb požadovaných pro operace, jako je zálohování dat.
    5. Přidání výjimek pro protokolování a metriky

Po použití pravidel sítě se vynucují pro všechny požadavky. Tokeny SAS, které udělují přístup ke konkrétní IP adrese, slouží k omezení přístupu držitele tokenu, ale neudělují nový přístup nad rámec nakonfigurovaných pravidel sítě.

Omezení a důležité informace

Před implementací zabezpečení sítě pro účty úložiště si projděte důležitá omezení a důležité aspekty, které jsou popsány v této části.

  • Pravidla brány firewall služby Azure Storage se vztahují pouze na operace roviny dat. Operace řídicí roviny podléhají omezením stanoveným v pravidlech brány firewall.
  • Projděte si omezení pravidel sítě PROTOKOLU IP.
  • Pokud chcete získat přístup k datům pomocí nástrojů, jako je Azure Portal, Průzkumník služby Azure Storage a AzCopy, musíte být na počítači v rámci důvěryhodné hranice, kterou vytvoříte při konfiguraci pravidel zabezpečení sítě.
  • Pravidla sítě se vynucují ve všech síťových protokolech pro Azure Storage, včetně REST a SMB.
  • Pravidla sítě nemají vliv na diskový provoz virtuálního počítače, včetně operací připojení a odpojení a vstupně-výstupních operací disku, ale pomáhají chránit přístup REST k objektům blob stránky.
  • V účtech úložiště můžete použít nespravované disky s pravidly sítě použitými k zálohování a obnovení virtuálních počítačů vytvořením výjimky. Výjimky brány firewall se nevztahují na spravované disky, protože je Azure už spravuje.
  • Klasické účty úložiště nepodporují brány firewall a virtuální sítě.
  • Pokud odstraníte podsíť, která je součástí pravidla virtuální sítě, odebere se z pravidel sítě pro účet úložiště. Pokud vytvoříte novou podsíť se stejným názvem, nebude mít přístup k účtu úložiště. Pokud chcete povolit přístup, musíte explicitně autorizovat novou podsíť v pravidlech sítě pro účet úložiště.
  • Při odkazování na koncový bod služby v klientské aplikaci se doporučuje vyhnout se závislosti na IP adrese uložené v mezipaměti. IP adresa účtu úložiště se může změnit a spoléhat se na IP adresu uloženou v mezipaměti může vést k neočekávanému chování. Kromě toho doporučujeme dodržovat hodnotu TTL (Time to Live) záznamu DNS a vyhnout se jeho přepsání. Přepsání hodnoty TTL DNS může vést k neočekávanému chování.
  • Přístup k účtu úložiště z důvěryhodných služeb má záměrně přednost před ostatními omezeními síťového přístupu. Pokud nastavíte přístup k veřejné síti na Zakázáno po předchozím nastavení na Povoleno z vybraných virtuálních sítí a IP adres, všechny instance prostředků a výjimky , které jste dříve nakonfigurovali, včetně povolení služeb Azure v seznamu důvěryhodných služeb pro přístup k tomuto účtu úložiště, zůstanou platné. V důsledku toho můžou mít tyto prostředky a služby stále přístup k účtu úložiště.

Autorizace

Klienti s uděleným přístupem prostřednictvím síťových pravidel musí dál splňovat požadavky na autorizaci účtu úložiště pro přístup k datům. Autorizace se podporuje pomocí přihlašovacích údajů Microsoft Entra pro objekty blob a fronty, s platným přístupovým klíčem účtu nebo pomocí tokenu sdíleného přístupového podpisu (SAS).

Když nakonfigurujete kontejner objektů blob pro anonymní veřejný přístup, požadavky na čtení dat v tomto kontejneru nemusí být autorizované, ale pravidla brány firewall zůstanou v platnosti a budou blokovat anonymní provoz.

Změna výchozího pravidla přístupu k síti

Účty úložiště ve výchozím nastavení přijímají připojení z klientů v jakékoli síti. Můžete omezit přístup k vybraným sítím nebo zakázat provoz ze všech sítí a povolit přístup pouze prostřednictvím privátního koncového bodu.

Výchozí pravidlo je nutné nastavit tak, aby odepřela, nebo pravidla sítě nemají žádný vliv. Změna tohoto nastavení ale může ovlivnit schopnost vaší aplikace připojit se ke službě Azure Storage. Než toto nastavení změníte, nezapomeňte udělit přístup všem povoleným sítím nebo nastavit přístup prostřednictvím privátního koncového bodu.

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

  1. Přejděte do účtu úložiště, který chcete zabezpečit.

  2. V části Zabezpečení a sítě vyhledejte nastavení sítě.

  3. Vyberte, jaký typ přístupu k veřejné síti chcete povolit:

    • Pokud chcete povolit provoz ze všech sítí, vyberte Povoleno ze všech sítí.

    • Pokud chcete povolit provoz jenom z konkrétních virtuálních sítí, vyberte Povoleno z vybraných virtuálních sítí a IP adres.

    • Pokud chcete blokovat provoz ze všech sítí, vyberte Zakázáno.

  4. Výběrem možnosti Uložit se vaše změny uplatní.

Upozornění

Přístup k účtu úložiště z důvěryhodných služeb má záměrně přednost před ostatními omezeními síťového přístupu. Pokud nastavíte přístup k veřejné síti na Zakázáno po předchozím nastavení na Povoleno z vybraných virtuálních sítí a IP adres, všechny instance prostředků a výjimky , které jste dříve nakonfigurovali, včetně povolení služeb Azure v seznamu důvěryhodných služeb pro přístup k tomuto účtu úložiště, zůstanou platné. V důsledku toho můžou mít tyto prostředky a služby stále přístup k účtu úložiště.

Udělení přístupu z virtuální sítě

Účty úložiště můžete nakonfigurovat tak, aby povolily přístup jenom z konkrétních podsítí. Povolené podsítě můžou patřit do virtuální sítě ve stejném předplatném nebo jiném předplatném, včetně těch, které patří do jiného tenanta Microsoft Entra. S koncovými body služby mezi oblastmi můžou být povolené podsítě také v různých oblastech od účtu úložiště.

Můžete povolit koncový bod služby pro Azure Storage v rámci virtuální sítě. Koncový bod služby směruje provoz z virtuální sítě přes optimální cestu ke službě Azure Storage. S každým požadavkem se odesílají také identity podsítě a virtuální sítě. Správci pak můžou nakonfigurovat pravidla sítě pro účet úložiště, která umožňují přijímat požadavky z konkrétních podsítí ve virtuální síti. Klienti udělení přístup prostřednictvím těchto pravidel sítě musí i nadále splňovat požadavky na autorizaci účtu úložiště pro přístup k datům.

Každý účet úložiště podporuje až 400 pravidel virtuální sítě. Tato pravidla můžete kombinovat s pravidly sítě PROTOKOLU IP.

Důležité

Při odkazování na koncový bod služby v klientské aplikaci se doporučuje vyhnout se závislosti na IP adrese uložené v mezipaměti. IP adresa účtu úložiště se může změnit a spoléhat se na IP adresu uloženou v mezipaměti může vést k neočekávanému chování.

Kromě toho doporučujeme dodržovat hodnotu TTL (Time to Live) záznamu DNS a vyhnout se jeho přepsání. Přepsání hodnoty TTL DNS může vést k neočekávanému chování.

Požadována oprávnění

Pokud chcete použít pravidlo virtuální sítě na účet úložiště, musí mít uživatel příslušná oprávnění pro přidávané podsítě. Přispěvatel účtu úložiště nebo uživatel, který má oprávnění k Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action operaci poskytovatele prostředků Azure, může použít pravidlo pomocí vlastní role Azure.

Účet úložiště a virtuální sítě, které získají přístup, můžou být v různých předplatných, včetně předplatných, která jsou součástí jiného tenanta Microsoft Entra.

Konfigurace pravidel, která udělují přístup k podsítím ve virtuálních sítích, které jsou součástí jiného tenanta Microsoft Entra, se v současné době podporují jenom prostřednictvím PowerShellu, Azure CLI a rozhraní REST API. Taková pravidla nemůžete nakonfigurovat prostřednictvím webu Azure Portal, ale můžete je zobrazit na portálu.

Koncové body služby Azure Storage mezi oblastmi

Koncové body služeb napříč oblastmi pro Azure Storage byly obecně dostupné v dubnu 2023. Fungují mezi virtuálními sítěmi a instancemi služby úložiště v libovolné oblasti. U koncových bodů služeb mezi oblastmi už podsítě nepoužívají veřejnou IP adresu ke komunikaci s žádným účtem úložiště, včetně těch v jiné oblasti. Místo toho veškerý provoz z podsítí do účtů úložiště používá privátní IP adresu jako zdrojovou IP adresu. V důsledku toho se všechny účty úložiště, které používají pravidla sítě PROTOKOLU IP k povolení provozu z těchto podsítí, už nebudou mít žádný vliv.

Konfigurace koncových bodů služby mezi virtuálními sítěmi a instancemi služby ve spárované oblasti může být důležitou součástí vašeho plánu zotavení po havárii. Koncové body služby umožňují kontinuitu během regionálního převzetí služeb při selhání a přístup k instancím geograficky redundantního úložiště jen pro čtení (RA-GRS). Pravidla sítě, která udělují přístup z virtuální sítě k účtu úložiště, také udělují přístup k jakékoli instanci RA-GRS.

Při plánování zotavení po havárii během regionálního výpadku vytvořte virtuální sítě v spárované oblasti předem. Povolte koncové body služby pro Azure Storage s pravidly sítě, která udělují přístup z těchto alternativních virtuálních sítí. Pak tato pravidla použijte pro vaše geograficky redundantní účty úložiště.

Koncové body místní služby a mezi oblastmi nemůžou existovat ve stejné podsíti. Pokud chcete existující koncové body služby nahradit koncovými body napříč oblastmi, odstraňte stávající Microsoft.Storage koncové body a znovu je vytvořte jako koncové body mezi oblastmi (Microsoft.Storage.Global).

Správa pravidel virtuální sítě

Pravidla virtuální sítě pro účty úložiště můžete spravovat prostřednictvím webu Azure Portal, PowerShellu nebo Azure CLI v2.

Pokud chcete povolit přístup k účtu úložiště z virtuální sítě nebo podsítě v jiném tenantovi Microsoft Entra, musíte použít PowerShell nebo Azure CLI. Azure Portal nezobrazuje podsítě v jiných tenantech Microsoft Entra.

  1. Přejděte do účtu úložiště, který chcete zabezpečit.

  2. Vyberte Sítě.

  3. Zkontrolujte, že jste zvolili povolení přístupu z vybraných sítí.

  4. Pokud chcete udělit přístup k virtuální síti pomocí nového pravidla sítě, vyberte v části Virtuální sítě možnost Přidat existující virtuální síť. Vyberte možnosti Virtuální sítě a podsítě a pak vyberte Přidat.

    Pokud chcete vytvořit novou virtuální síť a udělit jí přístup, vyberte Přidat novou virtuální síť. Zadejte potřebné informace k vytvoření nové virtuální sítě a pak vyberte Vytvořit.

    Pokud pro vybranou virtuální síť a podsítě nebyl dříve nakonfigurovaný koncový bod služby pro Službu Azure Storage, můžete ho nakonfigurovat jako součást této operace.

    V současné době se při vytváření pravidla zobrazí pouze virtuální sítě, které patří do stejného tenanta Microsoft Entra. Pokud chcete udělit přístup k podsíti ve virtuální síti, která patří do jiného tenanta, použijte PowerShell, Azure CLI nebo rozhraní REST API.

  5. Pokud chcete odebrat virtuální síť nebo pravidlo podsítě, výběrem tří teček (...) otevřete místní nabídku pro virtuální síť nebo podsíť a pak vyberte Odebrat.

  6. Výběrem možnosti Uložit se vaše změny uplatní.

Důležité

Pokud odstraníte podsíť, která je součástí pravidla sítě, odebere se z pravidel sítě pro účet úložiště. Pokud vytvoříte novou podsíť se stejným názvem, nebude mít přístup k účtu úložiště. Pokud chcete povolit přístup, musíte explicitně autorizovat novou podsíť v pravidlech sítě pro účet úložiště.

Udělení přístupu z rozsahu internetových IP adres

Pravidla sítě IP můžete použít k povolení přístupu z konkrétních rozsahů veřejných internetových IP adres vytvořením pravidel sítě IP. Každý účet úložiště podporuje až 400 pravidel. Tato pravidla udělují přístup ke konkrétním internetovým službám a místním sítím a blokují obecný internetový provoz.

Omezení pravidel sítě PROTOKOLU IP

Pro rozsahy IP adres platí následující omezení:

  • Pravidla sítě IP jsou povolená jenom pro veřejné internetové IP adresy.

    Rozsahy IP adres vyhrazené pro privátní sítě (jak je definováno v dokumentu RFC 1918) nejsou v pravidlech IP adres povolené. Privátní sítě zahrnují adresy začínající 10, 172.16 až 172.31 a 192.168.

  • Povolené rozsahy internetových adres musíte zadat pomocí zápisu CIDR ve formátu 16.17.18.0/24 nebo jako jednotlivé IP adresy, jako je 16.17.18.19.

  • Malé rozsahy adres, které používají velikost předpon /31 nebo /32, nejsou podporovány. Nakonfigurujte tyto rozsahy pomocí jednotlivých pravidel IP adres.

  • Konfigurace pravidel brány firewall úložiště podporuje jenom adresy IPv4.

Důležité

Pravidla sítě PROTOKOLU IP nemůžete použít v následujících případech:

  • Pokud chcete omezit přístup k klientům ve stejné oblasti Azure jako účet úložiště. Pravidla sítě IP nemají žádný vliv na požadavky, které pocházejí ze stejné oblasti Azure jako účet úložiště. Pravidla virtuální sítě slouží k povolení požadavků stejné oblasti.
  • Pokud chcete omezit přístup k klientům ve spárované oblasti , které jsou ve virtuální síti s koncovým bodem služby.
  • Pokud chcete omezit přístup ke službám Azure nasazenými ve stejné oblasti jako účet úložiště. Služby nasazené ve stejném regionu jako účet úložiště používají pro komunikaci soukromé adresy IP Azure. Nemůžete tedy omezit přístup ke konkrétním službám Azure na základě jejich rozsahu veřejných odchozích IP adres.

Konfigurace přístupu z místních sítí

Pokud chcete udělit přístup z místních sítí k vašemu účtu úložiště pomocí pravidla sítě IP, musíte identifikovat internetové IP adresy, které vaše síť používá. Požádejte o pomoc správce sítě.

Pokud používáte Azure ExpressRoute z místního prostředí, musíte identifikovat IP adresy PŘEKLADU adres používané pro partnerský vztah Microsoftu. Poskytovatel služeb nebo zákazník poskytuje IP adresy NAT.

Pokud chcete povolit přístup k prostředkům služby, musíte tyto veřejné IP adresy povolit v nastavení brány firewall pro IP adresy prostředků.

Správa pravidel sítě IP

Pravidla sítě IP pro účty úložiště můžete spravovat prostřednictvím webu Azure Portal, PowerShellu nebo Azure CLI v2.

  1. Přejděte do účtu úložiště, který chcete zabezpečit.

  2. Vyberte Sítě.

  3. Zkontrolujte, že jste zvolili povolení přístupu z vybraných sítí.

  4. Pokud chcete udělit přístup k rozsahu INTERNETOVÝCH IP adres, zadejte IP adresu nebo rozsah adres (ve formátu CIDR) v části Rozsah adres brány firewall>.

  5. Pokud chcete odebrat pravidlo sítě PROTOKOLU IP, vyberte ikonu odstranění ( ) vedle rozsahu adres.

  6. Výběrem možnosti Uložit se vaše změny uplatní.

Udělení přístupu z instancí prostředků Azure

V některých případech může aplikace záviset na prostředcích Azure, které není možné izolovat prostřednictvím virtuální sítě nebo pravidla IP adresy. Přesto ale chcete zabezpečit a omezit přístup k účtu úložiště jenom na prostředky Azure vaší aplikace. Účty úložiště můžete nakonfigurovat tak, aby umožňovaly přístup ke konkrétním instancím prostředků důvěryhodných služeb Azure vytvořením pravidla instance prostředku.

Přiřazení rolí Azure instance prostředku určují typy operací, které může instance prostředku provádět s daty účtu úložiště. Instance prostředků musí být ze stejného tenanta jako váš účet úložiště, ale můžou patřit do libovolného předplatného v tenantovi.

Pravidla sítě prostředků můžete přidat nebo odebrat na webu Azure Portal:

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte svůj účet úložiště a zobrazte přehled účtu.

  3. Vyberte Sítě.

  4. V části Brány firewall a virtuální sítě vyberte pro vybrané sítě možnost povolit přístup.

  5. Posuňte se dolů a vyhledejte instance prostředků. V rozevíracím seznamu Typ prostředku vyberte typ prostředku vaší instance prostředku.

  6. V rozevíracím seznamu Název instance vyberte instanci prostředku. Můžete se také rozhodnout zahrnout všechny instance prostředků do aktivního tenanta, předplatného nebo skupiny prostředků.

  7. Výběrem možnosti Uložit se vaše změny uplatní. Instance prostředku se zobrazí v části Instance prostředků na stránce nastavení sítě.

Pokud chcete odebrat instanci prostředku, vyberte ikonu odstranění ( ) vedle instance prostředku.

Udělení přístupu k důvěryhodným službám Azure

Některé služby Azure fungují ze sítí, které nemůžete zahrnout do pravidel sítě. K účtu úložiště můžete udělit podmnožinu takových důvěryhodných služeb Azure a přitom zachovat pravidla sítě pro jiné aplikace. Tyto důvěryhodné služby pak budou používat silné ověřování pro připojení k vašemu účtu úložiště.

Přístup k důvěryhodným službám Azure můžete udělit vytvořením výjimky pravidla sítě. Část Spravovat výjimky v tomto článku obsahuje podrobné pokyny.

Důvěryhodný přístup k prostředkům zaregistrovaným v tenantovi Microsoft Entra

Prostředky některých služeb mají přístup k vašemu účtu úložiště pro vybrané operace, jako jsou zápis protokolů nebo spouštění záloh. Tyto služby musí být zaregistrované v předplatném, které se nachází ve stejném tenantovi Microsoft Entra jako váš účet úložiště. Následující tabulka popisuje jednotlivé služby a povolené operace.

Služba Název poskytovatele prostředků Povolené operace
Azure Backup Microsoft.RecoveryServices Spouštění záloh a obnovení nespravovaných disků ve virtuálních počítačích infrastruktury jako služby (IaaS) (nevyžaduje se pro spravované disky). Další informace.
Azure Data Box Microsoft.DataBox Import dat do Azure Další informace.
Azure DevTest Labs Microsoft.DevTestLab Vytváření vlastních imagí a instalace artefaktů Další informace.
Azure Event Grid Microsoft.EventGrid Povolte publikování událostí služby Azure Blob Storage a povolte publikování do front úložiště.
Azure Event Hubs Microsoft.EventHub Archivace dat pomocí funkce Event Hubs Capture Další informace
Synchronizace souborů Azure Microsoft.StorageSync Transformujte místní souborový server na mezipaměť sdílených složek Azure. Tato funkce umožňuje synchronizaci více lokalit, rychlé zotavení po havárii a zálohování na straně cloudu. Další informace.
Azure HDInsight Microsoft.HDInsight Zřiďte počáteční obsah výchozího systému souborů pro nový cluster HDInsight. Další informace.
Azure Import/Export Microsoft.ImportExport Importujte data do Služby Azure Storage nebo exportujte data ze služby Azure Storage. Další informace.
Azure Monitor Microsoft.Insights Zapisujte data monitorování do zabezpečeného účtu úložiště, včetně protokolů prostředků, dat Microsoft Defenderu for Endpoint, protokolů přihlášení a auditu Microsoft Entra a protokolů Microsoft Intune. Další informace.
Síťové služby Azure Microsoft.Network Protokoly síťového provozu můžete ukládat a analyzovat, včetně služeb Azure Network Watcher a Azure Traffic Manageru. Další informace.
Azure Site Recovery Microsoft.SiteRecovery Povolte replikaci pro zotavení po havárii virtuálních počítačů Azure IaaS, když používáte mezipaměť, zdroj nebo cílové účty úložiště s podporou brány firewall. Další informace.

Důvěryhodný přístup založený na spravované identitě

Následující tabulka uvádí služby, které mají přístup k datům účtu úložiště, pokud mají instance prostředků těchto služeb odpovídající oprávnění.

Služba Název poskytovatele prostředků Účel
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats Umožňuje přístup k účtům úložiště.
Azure API Management Microsoft.ApiManagement/service Umožňuje přístup k účtům úložiště za branami firewall prostřednictvím zásad. Další informace.
Autonomní systémy Microsoftu Microsoft.AutonomousSystems/workspaces Umožňuje přístup k účtům úložiště.
Azure Cache for Redis Microsoft.Cache/Redis Umožňuje přístup k účtům úložiště. Další informace.
Azure AI Vyhledávač Microsoft.Search/searchServices Umožňuje přístup k účtům úložiště pro indexování, zpracování a dotazování.
Služby Azure AI Microsoft.CognitiveService/accounts Umožňuje přístup k účtům úložiště. Další informace.
Azure Container Registry Microsoft.ContainerRegistry/registries Prostřednictvím sady funkcí ACR Tasks umožňuje přístup k účtům úložiště při vytváření imagí kontejnerů.
Microsoft Cost Management Microsoft.CostManagementExports Umožňuje exportovat do účtů úložiště za bránou firewall. Další informace.
Azure Databricks Microsoft.Databricks/accessConnectors Umožňuje přístup k účtům úložiště.
Azure Data Factory Microsoft.DataFactory/factories Umožňuje přístup k účtům úložiště prostřednictvím modulu runtime služby Data Factory.
Azure Backup Vault Microsoft.DataProtection/BackupVaults Umožňuje přístup k účtům úložiště.
Azure Data Share Microsoft.DataShare/accounts Umožňuje přístup k účtům úložiště.
Azure Database for PostgreSQL Microsoft.DBForPostgreSQL Umožňuje přístup k účtům úložiště.
Azure IoT Hub Microsoft.Devices/IotHubs Umožňuje zápis dat ze služby IoT Hub do služby Blob Storage. Další informace.
Azure DevTest Labs Microsoft.DevTestLab/labs Umožňuje přístup k účtům úložiště.
Azure Event Grid Microsoft.EventGrid/domains Umožňuje přístup k účtům úložiště.
Azure Event Grid Microsoft.EventGrid/partnerTopics Umožňuje přístup k účtům úložiště.
Azure Event Grid Microsoft.EventGrid/systemTopics Umožňuje přístup k účtům úložiště.
Azure Event Grid Microsoft.EventGrid/topics Umožňuje přístup k účtům úložiště.
Microsoft Fabric Microsoft.Fabric Umožňuje přístup k účtům úložiště.
Azure Healthcare APIs Microsoft.HealthcareApis/services Umožňuje přístup k účtům úložiště.
Azure Healthcare APIs Microsoft.HealthcareApis/workspaces Umožňuje přístup k účtům úložiště.
Azure IoT Central Microsoft.IoTCentral/IoTApps Umožňuje přístup k účtům úložiště.
Managed HSM služby Azure Key Vault Microsoft.keyvault/managedHSMs Umožňuje přístup k účtům úložiště.
Azure Logic Apps Microsoft.Logic/integrationAccounts Umožňuje aplikacím logiky přístup k účtům úložiště. Další informace.
Azure Logic Apps Microsoft.Logic/workflows Umožňuje aplikacím logiky přístup k účtům úložiště. Další informace.
Studio Azure Machine Learning Microsoft.MachineLearning/registries Umožňuje autorizovaným pracovním prostorům Azure Machine Learning psát výstup experimentu, modely a protokoly do služby Blob Storage a číst data. Další informace.
Azure Machine Learning Microsoft.MachineLearningServices Umožňuje autorizovaným pracovním prostorům Azure Machine Learning psát výstup experimentu, modely a protokoly do služby Blob Storage a číst data. Další informace.
Azure Machine Learning Microsoft.MachineLearningServices/workspaces Umožňuje autorizovaným pracovním prostorům Azure Machine Learning psát výstup experimentu, modely a protokoly do služby Blob Storage a číst data. Další informace.
Azure Media Services Microsoft.Media/mediaservices Umožňuje přístup k účtům úložiště.
Azure Migrate Microsoft.Migrate/migrateprojects Umožňuje přístup k účtům úložiště.
Azure Spatial Anchors Microsoft.MixedReality/remoteRenderingAccounts Umožňuje přístup k účtům úložiště.
Azure ExpressRoute Microsoft.Network/expressRoutePorts Umožňuje přístup k účtům úložiště.
Microsoft Power Platform Microsoft.PowerPlatform/enterprisePolicies Umožňuje přístup k účtům úložiště.
Microsoft Project Arcadia Microsoft.ProjectArcadia/workspaces Umožňuje přístup k účtům úložiště.
Azure Data Catalog Microsoft.ProjectBabylon/accounts Umožňuje přístup k účtům úložiště.
Microsoft Purview Microsoft.Purview/accounts Umožňuje přístup k účtům úložiště.
Azure Site Recovery Microsoft.RecoveryServices/vaults Umožňuje přístup k účtům úložiště.
Security Center Microsoft.Security/dataScanners Umožňuje přístup k účtům úložiště.
Singularita Microsoft.Singularity/accounts Umožňuje přístup k účtům úložiště.
Azure SQL Database Microsoft.Sql Umožňuje zápis dat auditu do účtů úložiště za bránou firewall.
Servery Azure SQL Microsoft.Sql/servers Umožňuje zápis dat auditu do účtů úložiště za bránou firewall.
Azure Synapse Analytics Microsoft.Sql Umožňuje importovat a exportovat data z konkrétních databází SQL prostřednictvím COPY příkazu nebo PolyBase (ve vyhrazeném fondu) nebo openrowset funkce a externí tabulky v bezserverovém fondu. Další informace.
Azure Stream Analytics Microsoft.StreamAnalytics Umožňuje zápis dat z úlohy streamování do služby Blob Storage. Další informace.
Azure Stream Analytics Microsoft.StreamAnalytics/streamingjobs Umožňuje zápis dat z úlohy streamování do služby Blob Storage. Další informace.
Azure Synapse Analytics Microsoft.Synapse/workspaces Umožňuje přístup k datům ve službě Azure Storage.
Azure Video Indexer Microsoft.VideoIndexer/Accounts Umožňuje přístup k účtům úložiště.

Pokud pro váš účet není povolená funkce hierarchického oboru názvů, můžete udělit oprávnění explicitním přiřazením role Azure ke spravované identitě pro každou instanci prostředku. V tomto případě rozsah přístupu pro instanci odpovídá roli Azure, která je přiřazená spravované identitě.

Stejnou techniku můžete použít pro účet s povolenou funkcí hierarchického oboru názvů. Pokud ale přidáte spravovanou identitu do seznamu řízení přístupu (ACL) libovolného adresáře nebo objektu blob, který účet úložiště obsahuje, nemusíte přiřazovat roli Azure. V takovém případě rozsah přístupu instance odpovídá adresáři nebo souboru, ke kterému má spravovaná identita přístup.

Pokud chcete udělit přístup, můžete také zkombinovat role Azure a seznamy ACL. Další informace najdete v tématu Model řízení přístupu ve službě Azure Data Lake Storage.

K udělení přístupu ke konkrétním prostředkům doporučujeme použít pravidla instance prostředků.

Správa výjimek

V některých případech, jako je analýza úložiště, se vyžaduje přístup ke čtení protokolů prostředků a metrik mimo hranice sítě. Když nakonfigurujete důvěryhodné služby pro přístup k účtu úložiště, můžete povolit přístup pro čtení pro soubory protokolů, tabulky metrik nebo obojí vytvořením výjimky pravidla sítě. Výjimky pravidel sítě můžete spravovat prostřednictvím webu Azure Portal, PowerShellu nebo Azure CLI v2.

Další informace o práci s analýzou úložiště najdete v tématu Použití analýz služby Azure Storage ke shromažďování protokolů a dat metrik.

  1. Přejděte do účtu úložiště, který chcete zabezpečit.

  2. Vyberte Sítě.

  3. Zkontrolujte, že jste zvolili povolení přístupu z vybraných sítí.

  4. V části Výjimky vyberte výjimky, které chcete udělit.

  5. Výběrem možnosti Uložit se vaše změny uplatní.

Další kroky

Přečtěte si další informace o koncových bodech síťových služeb Azure. Ponořte se hlouběji do zabezpečení služby Azure Storage.