Configurare i firewall e le reti virtuali di Archiviazione di Azure

Archiviazione di Azure offre un modello di sicurezza su più livelli, Questo modello ti consente di controllare il livello di accesso agli account di archiviazione richiesti dalle applicazioni e dagli ambienti aziendali, in base al tipo e al sottoinsieme di reti o risorse usate.

Quando si configurano regole di rete, solo le applicazioni che richiedono dati nel set specificato di reti o tramite il set specificato di risorse di Azure possono accedere a un account di archiviazione. È possibile limitare l'accesso all'account di archiviazione alle richieste provenienti da indirizzi IP, intervalli IP, subnet in una rete virtuale di Azure o istanze di risorse di alcuni servizi di Azure.

Gli account di archiviazione hanno un endpoint pubblico accessibile tramite Internet. È anche possibile creare endpoint privati per l'account di archiviazione. La creazione di endpoint privati assegna un indirizzo IP privato dalla rete virtuale all'account di archiviazione. Consente di proteggere il traffico tra la rete virtuale e l'account di archiviazione tramite un collegamento privato.

Il firewall di Archiviazione di Azure fornisce il controllo di accesso per l'endpoint pubblico dell'account di archiviazione. Si può usare il firewall anche per bloccare tutti gli accessi tramite l'endpoint pubblico quando si usano endpoint privati. La configurazione del firewall consente anche ai servizi della piattaforma Azure attendibili di accedere all'account di archiviazione.

Per accedere a un account di archiviazione quando le regole di rete sono applicate, un'applicazione deve ancora inviare una richiesta che deve essere correttamente autorizzata. L'autorizzazione è supportata con le credenziali di Microsoft Entra per BLOB, tabelle, condivisioni file e code, con una chiave di accesso all'account valida o con un token di firma di accesso condiviso. Quando si configura un contenitore BLOB per l'accesso anonimo, le richieste di lettura dei dati in tale contenitore non devono essere autorizzate. Le regole del firewall rimangono attive e bloccano il traffico anonimo.

L'attivazione delle regole del firewall per l'account di archiviazione blocca le richieste in ingresso per i dati per impostazione predefinita, a meno che le richieste non provengano da un servizio in esecuzione all'interno di una rete virtuale di Azure o da indirizzi IP pubblici consentiti. Le richieste bloccate includono quelle provenienti da altri servizi di Azure, dal portale di Azure e dai servizi di registrazione e metriche.

È possibile concedere l'accesso ai servizi di Azure che operano dall'interno di una rete virtuale consentendo il traffico dalla subnet che ospita l'istanza del servizio. È anche possibile abilitare un numero limitato di scenari tramite il meccanismo di eccezioni descritto in questo articolo. Per accedere ai dati dall'account di archiviazione tramite il portale di Azure, è necessario trovarsi in un computer entro il limite attendibile (IP o rete virtuale) configurato.

Nota

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Scenari

Per proteggere l'account di archiviazione, occorre innanzitutto configurare una regola per negare l'accesso al traffico da tutte le reti (incluso il traffico Internet) nell'endpoint pubblico, per impostazione predefinita. È quindi necessario configurare regole che concedono l'accesso al traffico da reti virtuali specifiche. È anche possibile configurare regole per concedere l'accesso al traffico da specifici intervalli di indirizzi IP della rete Internet pubblica, abilitando le connessioni da client Internet o client locali specifici. Questa configurazione consente di creare un limite di rete sicuro per le applicazioni.

È possibile combinare regole del firewall che consentono l'accesso da reti virtuali specifiche e da intervalli di indirizzi IP pubblici nello stesso account di archiviazione. È possibile applicare regole del firewall di archiviazione agli account di archiviazione esistenti o quando si creano nuovi account di archiviazione.

Le regole del firewall di archiviazione si applicano all'endpoint pubblico di un account di archiviazione. Non sono necessarie regole di accesso al firewall per consentire il traffico per gli endpoint privati di un account di archiviazione. Il processo di approvazione della creazione di un endpoint privato concede l'accesso implicito al traffico dalla subnet che ospita l'endpoint privato.

Importante

Le regole del firewall di Archiviazione di Azure si applicano solo alle operazioni del piano dati. Le operazioni del piano di controllo non sono soggette alle restrizioni specificate nelle regole del firewall.

Alcune operazioni, ad esempio le operazioni del contenitore BLOB, possono essere eseguite tramite il piano di controllo e il piano dati. Pertanto, se si tenta di eseguire un'operazione come elencare i contenitori dal portale di Azure, l'operazione avrà esito positivo a meno che non venga bloccata da un altro meccanismo. I tentativi di accesso ai dati BLOB da un'applicazione, ad esempio Azure Storage Explorer, sono controllati dalle restrizioni del firewall.

Per un elenco delle operazioni del piano dati, vedere Informazioni di riferimento sull'API REST di Archiviazione di Azure. Per un elenco delle operazioni del piano di controllo, vedere Informazioni di riferimento sull'API REST del provider di risorse di Archiviazione di Azure.

Configurare l'accesso di rete ad Archiviazione di Azure

È possibile controllare l'accesso ai dati nell'account di archiviazione tramite endpoint di rete o tramite servizi o risorse attendibili in qualsiasi combinazione, tra cui:

Informazioni sugli endpoint di rete virtuale

Esistono due tipi di endpoint di rete virtuale per gli account di archiviazione:

Gli endpoint servizio di rete virtuale sono pubblici e accessibili tramite Internet. Il firewall di Archiviazione di Azure consente di controllare l'accesso all'account di archiviazione su tali endpoint pubblici. Quando si abilita l'accesso alla rete pubblica all'account di archiviazione, tutte le richieste in ingresso per i dati vengono bloccate per impostazione predefinita. Solo le applicazioni che richiedono dati da origini consentite configurate nelle impostazioni del firewall dell'account di archiviazione potranno accedere ai dati. Le origini possono includere l'indirizzo IP di origine o la subnet di rete virtuale di un client oppure un servizio o un'istanza di risorse di Azure tramite cui i client o i servizi accedono ai dati. Le richieste bloccate includono quelle provenienti da altri servizi di Azure, dal portale di Azure e dai servizi di registrazione e metriche, a meno che non si consenta esplicitamente l'accesso nella configurazione del firewall.

Un endpoint privato usa un indirizzo IP privato dalla rete virtuale per accedere a un account di archiviazione tramite la rete backbone Microsoft. Con un endpoint privato, il traffico tra la rete virtuale e l'account di archiviazione viene protetto tramite un collegamento privato. Le regole del firewall di archiviazione si applicano solo agli endpoint pubblici di un account di archiviazione, non agli endpoint privati. Il processo di approvazione della creazione di un endpoint privato concede l'accesso implicito al traffico dalla subnet che ospita l'endpoint privato. È possibile usare criteri di rete per controllare il traffico sugli endpoint privati se si vogliono perfezionare le regole di accesso. Se si vogliono usare esclusivamente endpoint privati, è possibile usare il firewall per bloccare l'accesso tramite l'endpoint pubblico.

Per decidere quando usare ogni tipo di endpoint nell'ambiente, vedere Confrontare endpoint privati ed endpoint servizio.

Come affrontare la sicurezza di rete per l'account di archiviazione

Per proteggere l'account di archiviazione e creare un limite di rete sicuro per le applicazioni:

  1. Per iniziare, disabilitare tutti gli accessi alla rete pubblica per l'account di archiviazione nell'impostazione Accesso alla rete pubblica nel firewall dell'account di archiviazione.

  2. Se possibile, configurare collegamenti privati all'account di archiviazione da endpoint privati nelle subnet di rete virtuale in cui risiedono i client che richiedono l'accesso ai dati.

  3. Se le applicazioni client richiedono l'accesso agli endpoint pubblici, modificare l'impostazione Accesso alla rete pubblica su Abilitato da reti virtuali e indirizzi IP selezionati. Quindi, in base alle esigenze:

    1. Specificare le subnet di rete virtuale da cui si vuole consentire l'accesso.
    2. Specificare gli intervalli di indirizzi IP pubblici dei client da cui si vuole consentire l'accesso, ad esempio quelli nelle reti locali.
    3. Consentire l'accesso da istanze di risorse di Azure selezionate.
    4. Aggiungere eccezioni per consentire l'accesso da servizi attendibili necessari per operazioni quali il backup dei dati.
    5. Aggiungere eccezioni per la registrazione e le metriche.

Dopo aver applicato le regole di rete, queste vengono applicate per tutte le richieste. I token di firma di accesso condiviso che concedono l'accesso a un indirizzo IP specifico hanno lo scopo di limitare l'accesso del titolare del token, ma non concedono nuovi accessi oltre le regole di rete configurate.

Restrizioni e considerazioni

Prima di implementare la sicurezza di rete per gli account di archiviazione, esaminare le importanti restrizioni e considerazioni illustrate in questa sezione.

  • Le regole del firewall di Archiviazione di Azure si applicano solo alle operazioni del piano dati. Le operazioni del piano di controllo non sono soggette alle restrizioni specificate nelle regole del firewall.
  • Esaminare le Restrizioni per le regole di rete IP.
  • Per accedere ai dati usando strumenti come il portale di Azure, Azure Storage Explorer e AzCopy, è necessario trovarsi in un computer entro il limite attendibile stabilito durante la configurazione delle regole di sicurezza di rete.
  • Le regole di rete vengono applicate a tutti i protocolli di rete per Archiviazione di Azure, inclusi REST e SMB.
  • Le regole di rete non influiscono sul traffico su disco delle macchine virtuali, incluse le operazioni di montaggio e smontaggio e I/O del disco, ma consentono di proteggere l'accesso REST ai BLOB di pagine.
  • È possibile usare dischi non gestiti in account di archiviazione a cui sono applicate regole di rete per eseguire operazioni di backup e ripristino di macchine virtuali mediante la creazione di un'eccezione. Le eccezioni del firewall non sono applicabili ai dischi gestiti, perché Azure li gestisce già.
  • Gli account di archiviazione classici non supportano firewall e reti virtuali.
  • Se si elimina una subnet inclusa in una regola di rete virtuale, verrà rimossa dalle regole di rete per l'account di archiviazione. Se si crea una nuova subnet con lo stesso nome, questa non avrà accesso all'account di archiviazione. Per consentire l'accesso, è necessario autorizzare in modo esplicito la nuova subnet nelle regole di rete per l'account di archiviazione.
  • Quando si fa riferimento a un endpoint servizio in un'applicazione client, è consigliabile evitare di assumere una dipendenza da un indirizzo IP memorizzato nella cache. L'indirizzo IP dell'account di archiviazione è soggetto a modifiche e l'utilizzo di un indirizzo IP memorizzato nella cache può comportare un comportamento imprevisto. È inoltre consigliabile rispettare il TTL (Time-To-Live) del record DNS ed evitare di eseguirne l'override. L'override del TTL DNS può comportare un comportamento imprevisto.
  • Per progettazione, l'accesso a un account di archiviazione da servizi attendibili ha una precedenza più alta rispetto ad altre restrizioni di accesso alla rete. Se si imposta l'accesso alla rete pubblica su Disabilitato dopo l'impostazione precedente su Abilitato da reti virtuali e indirizzi IP selezionati, tutte le istanze di risorse e le eccezioni configurate in precedenza, incluso Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione, rimarranno effettive. Di conseguenza, tali risorse e servizi potrebbero avere ancora accesso all'account di archiviazione.

Autorizzazione

I client a cui è stato concesso l'accesso tramite regole di rete devono continuare a soddisfare i requisiti di autorizzazione dell'account di archiviazione per accedere ai dati. L'autorizzazione è supportata con le credenziali di Microsoft Entra per BLOB e code, con una chiave di accesso all'account valida o con un token di firma di accesso condiviso.

Quando si configura un contenitore BLOB per l'accesso pubblico anonimo, le richieste di lettura dei dati in tale contenitore non devono essere autorizzate, ma le regole del firewall rimangono attive e bloccano il traffico anonimo.

Modificare la regola predefinita di accesso alla rete

Per impostazione predefinita, gli account di archiviazione accettano connessioni da client di qualsiasi rete. È possibile limitare l'accesso alle reti selezionate o impedire il traffico da tutte le reti e consentire l'accesso solo tramite un endpoint privato.

È necessario impostare la regola predefinita su deny; in caso contrario, le regole di rete non avranno alcun effetto. Tuttavia, la modifica di questa impostazione può influire sulla capacità dell'applicazione di connettersi ad Archiviazione di Azure. Assicurarsi di concedere l'accesso a qualsiasi rete consentita o configurare l'accesso tramite un endpoint privato prima di modificare questa impostazione.

Nota

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

  1. Passare all'account di archiviazione che si vuole proteggere.

  2. Individuare le impostazioni di Rete in Sicurezza e rete.

  3. Scegliere il tipo di accesso alla rete pubblica che si vuole consentire:

    • Per consentire il traffico da tutte le reti, selezionare Abilitato da tutte le reti.

    • Per consentire il traffico solo da reti virtuali specifiche, selezionare Abilitato da reti virtuali e indirizzi IP selezionati.

    • Per bloccare il traffico da tutte le reti, selezionare Disabilitato.

  4. Seleziona Salva per applicare le modifiche.

Attenzione

Per progettazione, l'accesso a un account di archiviazione da servizi attendibili ha una precedenza più alta rispetto ad altre restrizioni di accesso alla rete. Se si imposta l'accesso alla rete pubblica su Disabilitato dopo l'impostazione precedente su Abilitato da reti virtuali e indirizzi IP selezionati, tutte le istanze di risorse e le eccezioni configurate in precedenza, incluso Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione, rimarranno effettive. Di conseguenza, tali risorse e servizi potrebbero avere ancora accesso all'account di archiviazione.

Concedere l'accesso da una rete virtuale

È possibile configurare gli account di archiviazione in modo da consentire l'accesso solo da subnet specifiche. Le subnet consentite possono appartenere a una rete virtuale nella stessa sottoscrizione o a una sottoscrizione diversa, incluse quelle appartenenti a un tenant Microsoft Entra diverso. Con endpoint servizio tra aree diverse, anche le subnet consentite possono trovarsi in aree diverse dall'account di archiviazione.

È possibile abilitare un endpoint servizio per Archiviazione di Azure all'interno della rete virtuale. L'endpoint servizio instrada il traffico dalla rete virtuale attraverso un percorso ottimale al servizio Archiviazione di Azure. Con ogni richiesta vengono anche trasmesse le identità della subnet e della rete virtuale. Gli amministratori possono quindi configurare regole di rete per l'account di archiviazione che consentano la ricezione di richieste da subnet specifiche in una rete virtuale. Per accedere ai dati, i client ai quali viene garantito l'accesso con queste regole di rete devono continuare a soddisfare i requisiti di autorizzazione dell'account di archiviazione.

Ogni account di archiviazione supporta fino a 400 regole di rete virtuale. È possibile combinare queste regole con le regole di rete IP.

Importante

Quando si fa riferimento a un endpoint servizio in un'applicazione client, è consigliabile evitare di assumere una dipendenza da un indirizzo IP memorizzato nella cache. L'indirizzo IP dell'account di archiviazione è soggetto a modifiche e l'utilizzo di un indirizzo IP memorizzato nella cache può comportare un comportamento imprevisto.

È inoltre consigliabile rispettare il TTL (Time-To-Live) del record DNS ed evitare di eseguirne l'override. L'override del TTL DNS può comportare un comportamento imprevisto.

Autorizzazioni necessarie

Per applicare una regola di rete virtuale a un account di archiviazione, l'utente deve avere le autorizzazioni appropriate per le subnet aggiunte. Un Collaboratore dell'account di archiviazione o un utente che dispone dell'autorizzazione per l'operazione provider di risorse di Azure Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action può applicare una regola usando un ruolo di Azure personalizzato.

L'account di archiviazione e le reti virtuali che ottengono l'accesso possono trovarsi in sottoscrizioni diverse, incluse le sottoscrizioni che fanno parte di un diverso tenant di Microsoft Entra.

La configurazione delle regole che concedono l'accesso alle subnet nelle reti virtuali che fanno parte di un tenant Microsoft Entra diverso sono attualmente supportate solo tramite PowerShell, l'interfaccia della riga di comando di Azure e le API REST. Non è possibile configurare tali regole tramite il portale di Azure, anche se è possibile visualizzarle nel portale.

Endpoint servizio tra aree di Archiviazione di Azure

Gli endpoint servizio tra aree per Archiviazione di Azure sono diventati disponibili a livello generale nel mese di aprile 2023. Funzionano tra reti virtuali e istanze del servizio di archiviazione in qualsiasi area. Con gli endpoint servizio tra aree, le subnet non usano più un indirizzo IP pubblico per comunicare con gli account di archiviazione, inclusi quelli in un'altra area. In alternativa, tutto il traffico dalle subnet agli account di archiviazione usa un indirizzo IP privato come IP di origine. Di conseguenza, tutti gli account di archiviazione che usano regole di rete IP per consentire il traffico da tali subnet non hanno più alcun effetto.

La configurazione degli endpoint servizio tra reti virtuali e istanze del servizio in un'area associata può essere una parte importante del piano di ripristino di emergenza. Gli endpoint di servizio garantiscono la continuità durante un failover a livello di area, nonché l'accesso alle istanze di archiviazione con ridondanza geografica e accesso in lettura. Le regole di rete che concedono l'accesso da una rete virtuale a un account di archiviazione concedono anche l'accesso a qualsiasi istanza RA-GRS.

Quando si pianifica il ripristino di emergenza durante un'interruzione a livello di area, creare in anticipo le reti virtuali nell'area abbinata. Abilitare gli endpoint di servizio per Archiviazione di Azure, con regole di rete che concedono l'accesso da queste reti virtuali alternative. Applicare quindi le regole agli account di archiviazione con ridondanza geografica.

Gli endpoint servizio locali e tra aree non possono coesistere nella stessa subnet. Per sostituire gli endpoint servizio esistenti con quelli tra aree, eliminare gli endpoint Microsoft.Storage esistenti e ricrearli come endpoint tra aree (Microsoft.Storage.Global).

Gestione delle regole di rete virtuale

È possibile gestire le regole di rete virtuale per gli account di archiviazione tramite il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure v2.

Per abilitare l'accesso all'account di archiviazione da una rete virtuale o una subnet in un altro tenant di Microsoft Entra, è necessario usare PowerShell o l'interfaccia della riga di comando di Azure. Il portale di Azure non mostra le subnet in altri tenant di Microsoft Entra.

  1. Passare all'account di archiviazione che si vuole proteggere.

  2. Selezionare Rete.

  3. Verificare di aver scelto di consentire l'accesso da Reti selezionate.

  4. Per concedere l'accesso a una rete virtuale usando una nuova regola di rete, in Reti virtuali selezionare Aggiungi rete virtuale esistente. Selezionare le opzioni Reti virtuali e Subnet e quindi selezionare Aggiungi.

    Per creare una nuova rete virtuale e concedere l'accesso, selezionare Aggiungi nuova rete virtuale. Specificare le informazioni necessarie per creare la nuova rete virtuale e quindi selezionare Crea.

    Se un endpoint di servizio per Archiviazione di Azure non è stato configurato in precedenza per la rete virtuale e le subnet selezionate, è possibile configurarlo in questa operazione.

    Attualmente, solo le reti virtuali che appartengono allo stesso tenant di Microsoft Entra vengono visualizzate per la selezione durante la creazione di regole. Per concedere l'accesso a una subnet in una rete virtuale appartenente a un altro tenant, usare PowerShell, l'interfaccia della riga di comando di Azure o le API REST.

  5. Per rimuovere una regola di rete virtuale o subnet, selezionare i puntini di sospensione (...) per aprire il menu di scelta rapida per la rete virtuale o la subnet e quindi selezionare Rimuovi.

  6. Seleziona Salva per applicare le modifiche.

Importante

Se si elimina una subnet inclusa in una regola di rete, verrà rimossa dalle regole di rete per l'account di archiviazione. Se si crea una nuova subnet con lo stesso nome, questa non avrà accesso all'account di archiviazione. Per consentire l'accesso, è necessario autorizzare in modo esplicito la nuova subnet nelle regole di rete per l'account di archiviazione.

Concedere l'accesso da un intervallo IP di Internet

È possibile usare le regole di rete IP per consentire l'accesso da intervalli di indirizzi IP Internet pubblici specifici creando regole di rete IP. Ogni account di archiviazione supporta fino a 400 regole. Queste regole concedono l'accesso a servizi specifici basati su Internet e alle reti locali e blocca il traffico Internet generale.

Restrizioni per le regole di rete IP

Agli intervalli di indirizzi IP si applicano le restrizioni seguenti:

  • Le regole di rete IP sono consentite solo per gli indirizzi IP di Internet pubblico.

    Gli intervalli di indirizzi IP riservati per le reti private (come definito nell'RFC 1918) non sono consentiti nelle regole IP. Le reti private includono indirizzi che iniziano con 10, 172.16 a 172.31 e 192.168.

  • È necessario specificare intervalli di indirizzi Internet consentiti usando notazione CIDR nel formato 16.17.18.0/24 o come indirizzi IP singoli, ad esempio 16.17.18.19.

  • Gli intervalli di indirizzi di piccole dimensioni che usano le dimensioni del prefisso /31 o /32 non sono supportati. Configurare questi intervalli usando singole regole di indirizzo IP.

  • Per la configurazione delle regole del firewall di archiviazione sono supportati solo gli indirizzi IPv4.

Importante

Non è possibile usare le regole di rete IP nei casi seguenti:

  • Per limitare l'accesso ai client nella stessa area di Azure dell'account di archiviazione. Le regole di rete IP non hanno alcun effetto sulle richieste provenienti dalla stessa area di Azure dell'account di archiviazione. Usare le regole di rete virtuale per consentire richieste della stessa area.
  • Per limitare l'accesso ai client in un'area associata che si trovano in una rete virtuale con un endpoint di servizio.
  • Per limitare l'accesso ai servizi di Azure distribuiti nella stessa area dell'account di archiviazione. I servizi distribuiti nella stessa area dell'account di archiviazione usano indirizzi IP privati di Azure per la comunicazione. Non è quindi possibile limitare l'accesso a servizi di Azure specifici in base all'intervallo di indirizzi IP in uscita pubblico.

Configurazione dell'accesso da reti locali

Per concedere l'accesso dalle reti locali all'account di archiviazione usando una regola di rete IP, è necessario identificare gli indirizzi IP con connessione Internet usati dalla rete. Per assistenza contattare l'amministratore di rete.

Se si usa Azure ExpressRoute dall'ambiente locale, è necessario identificare gli indirizzi IP NAT usati per il peering Microsoft. Il provider di servizi o il cliente fornisce gli indirizzi IP NAT.

Per consentire l'accesso alle risorse del servizio, è necessario consentire questi indirizzi IP pubblici nell'impostazione del firewall per gli INDIRIZZI IP delle risorse.

Gestione delle regole di rete IP

È possibile gestire le regole di rete IP per gli account di archiviazione tramite il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure v2.

  1. Passare all'account di archiviazione che si vuole proteggere.

  2. Selezionare Rete.

  3. Verificare di aver scelto di consentire l'accesso da Reti selezionate.

  4. Per concedere l'accesso a un intervallo IP di Internet, immettere l'indirizzo IP o l'intervallo di indirizzi (in formato CIDR) in Firewall>Intervallo di indirizzi.

  5. Per rimuovere una regola di rete IP, selezionare l'icona di eliminazione () accanto all'intervallo di indirizzi.

  6. Seleziona Salva per applicare le modifiche.

Concedere l'accesso dalle istanze delle risorse di Azure

In alcuni casi, un'applicazione potrebbe dipendere dalle risorse di Azure che non possono essere isolate tramite una rete virtuale o una regola di indirizzo IP. Tuttavia, si vuole comunque proteggere e limitare l'accesso dell'account di archiviazione solo alle risorse di Azure dell'applicazione. È possibile configurare gli account di archiviazione per consentire l'accesso a istanze di risorse specifiche di servizi di Azure attendibili creando una regola di istanza della risorsa.

Le assegnazioni di ruolo di Azure dell'istanza della risorsa determinano i tipi di operazioni che un'istanza di risorse può eseguire sui dati dell'account di archiviazione. Le istanze di risorse devono appartenere allo stesso tenant dell'account di archiviazione, ma possono appartenere a qualsiasi sottoscrizione nel tenant.

È possibile aggiungere o rimuovere regole di rete delle risorse nel portale di Azure:

  1. Accedere al portale di Azure.

  2. Individuare l'account di archiviazione e visualizzare la sezione della panoramica dell'account.

  3. Selezionare Rete.

  4. In Firewall e reti virtuali, per Reti selezionate selezionare l'opzione per consentire l'accesso.

  5. Scorrere verso il basso fino a Istanze di risorse. Nell'elenco a discesa Tipo di risorsa selezionare il tipo di risorsa dell'istanza di risorse.

  6. Nell'elenco a discesa Nome istanza selezionare l'istanza di risorse. È anche possibile scegliere di includere tutte le istanze di risorse nel tenant, nella sottoscrizione o nel gruppo di risorse attivo.

  7. Seleziona Salva per applicare le modifiche. L'istanza della risorsa viene visualizzata nella sezione Istanze di risorse della pagina per le impostazioni di rete.

Per rimuovere l'istanza della risorsa, selezionare l'icona di eliminazione () accanto all'istanza di risorse.

Concedere l'accesso ai servizi di Azure attendibili

Alcuni servizi di Azure operano da reti che non è possibile includere nelle regole di rete. È possibile concedere a un subset di tali servizi di Azure attendibili l'accesso all'account di archiviazione, mantenendo al tempo stesso le regole di rete per altre app. Questi servizi attendibili useranno quindi l'autenticazione avanzata per connettersi all'account di archiviazione.

È possibile concedere l'accesso ai servizi di Azure attendibili creando un'eccezione di regola di rete. La sezione Gestire le eccezioni di questo articolo fornisce indicazioni dettagliate.

Accesso attendibile per le risorse registrate nel tenant di Microsoft Entra

Le risorse di alcuni servizi possono accedere all'account di archiviazione per operazioni selezionate, ad esempio la scrittura di log o l'esecuzione di backup. Questi servizi devono essere registrati in una sottoscrizione che si trova nello stesso tenant di Microsoft Entra dell'account di archiviazione. La tabella seguente descrive ogni servizio e le operazioni consentite.

Service Nome provider di risorse Operazioni consentite
Backup di Azure Microsoft.RecoveryServices Eseguire backup e ripristini di dischi non gestiti in macchine virtuali IaaS (Infrastructure as a Service) (non necessario per i dischi gestiti). Altre informazioni.
Azure Data Box Microsoft.DataBox Importare dati in Azure. Altre informazioni.
Azure DevTest Labs Microsoft.DevTestLab Creare immagini personalizzate e installare artefatti. Altre informazioni.
Azure Event Grid Microsoft.EventGrid Abilitare pubblicazione di eventi di Archivio BLOB di Azure e consentire la pubblicazione nelle code di archiviazione.
Hub eventi di Azure Microsoft.EventHub Archiviare dati usando Acquisizione di Hub eventi. Scopri di più.
Sincronizzazione file di Azure Microsoft.StorageSync Trasformare il file server locale in una cache per le condivisioni file di Azure. Questa funzionalità consente la sincronizzazione a più siti, il ripristino di emergenza rapido e il backup sul lato cloud. Altre informazioni.
Azure HDInsight Microsoft.HDInsight Consente di effettuare il provisioning del contenuto iniziale del file system predefinito per un nuovo cluster HDInsight. Altre informazioni.
Importazione/Esportazione di Azure Microsoft.ImportExport Importare dati in Archiviazione di Azure o esportare dati da Archiviazione di Azure. Altre informazioni.
Monitoraggio di Azure Microsoft.Insights Scrivere dati di monitoraggio in un account di archiviazione protetto, inclusi i log delle risorse, i dati Microsoft Defender per endpoint, i log di accesso e di controllo di Microsoft Entra e i log di microsoft Intune. Altre informazioni.
Servizi di rete di Azure Microsoft.Network Archiviare e analizzare i log del traffico di rete, inclusi i servizi Azure Network Watcher e Gestione traffico di Azure. Altre informazioni.
Azure Site Recovery Microsoft.SiteRecovery Abilitare la replica per il ripristino di emergenza di macchine virtuali IaaS di Azure quando si usa un account di archiviazione di origine, di destinazione o della cache abilitato per il firewall. Altre informazioni.

Accesso attendibile basato su un'identità gestita

Nella tabella seguente sono elencati i servizi che possono accedere ai dati dell'account di archiviazione se le istanze di risorse di tali servizi dispongono dell'autorizzazione appropriata.

Service Nome provider di risorse Scopo
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats Consente l'accesso agli account di archiviazione.
Gestione API di Azure Microsoft.ApiManagement/service Consente l'accesso agli account di archiviazione protetti da firewall tramite criteri. Altre informazioni.
Sistemi autonomi Microsoft Microsoft.AutonomousSystems/workspaces Consente l'accesso agli account di archiviazione.
Cache Redis di Azure Microsoft.Cache/Redis Consente l'accesso agli account di archiviazione. Altre informazioni.
Azure AI Search Microsoft.Search/searchServices Consente l'accesso agli account di archiviazione per l'indicizzazione, l'elaborazione e l'esecuzione di query.
Servizi di Azure AI Microsoft.CognitiveService/accounts Consente l'accesso agli account di archiviazione. Altre informazioni.
Registro Azure Container Microsoft.ContainerRegistry/registries Tramite la famiglia di funzionalità di Attività del Registro Azure Container, consente l'accesso agli account di archiviazione durante la compilazione di immagini del contenitore.
Gestione dei costi Microsoft Microsoft.CostManagementExports Abilita l'esportazione in account di archiviazione dietro un firewall. Altre informazioni.
Azure Databricks Microsoft.Databricks/accessConnectors Consente l'accesso agli account di archiviazione.
Azure Data Factory Microsoft.DataFactory/factories Consente l'accesso agli account di archiviazione tramite il runtime di Data Factory.
Insieme di credenziali di Backup di Azure Microsoft.DataProtection/BackupVaults Consente l'accesso agli account di archiviazione.
Condivisione dati di Azure Microsoft.DataShare/accounts Consente l'accesso agli account di archiviazione.
Database di Azure per PostgreSQL Microsoft.DBForPostgreSQL Consente l'accesso agli account di archiviazione.
Hub IoT di Azure Microsoft.Devices/IotHubs Consente la scrittura dei dati di un hub IoT nell'archivio BLOB. Altre informazioni.
Azure DevTest Labs Microsoft.DevTestLab/labs Consente l'accesso agli account di archiviazione.
Azure Event Grid Microsoft.EventGrid/domains Consente l'accesso agli account di archiviazione.
Azure Event Grid Microsoft.EventGrid/partnerTopics Consente l'accesso agli account di archiviazione.
Azure Event Grid Microsoft.EventGrid/systemTopics Consente l'accesso agli account di archiviazione.
Azure Event Grid Microsoft.EventGrid/topics Consente l'accesso agli account di archiviazione.
Microsoft Fabric Microsoft.Fabric Consente l'accesso agli account di archiviazione.
API di Azure per il settore sanitario Microsoft.HealthcareApis/services Consente l'accesso agli account di archiviazione.
API di Azure per il settore sanitario Microsoft.HealthcareApis/workspaces Consente l'accesso agli account di archiviazione.
Azure IoT Central Microsoft.IoTCentral/IoTApps Consente l'accesso agli account di archiviazione.
Modulo di protezione hardware gestito di Azure Key Vault Microsoft.keyvault/managedHSMs Consente l'accesso agli account di archiviazione.
App per la logica di azure Microsoft.Logic/integrationAccounts Consente alle app per la logica di accedere agli account di archiviazione. Altre informazioni.
App per la logica di azure Microsoft.Logic/workflows Consente alle app per la logica di accedere agli account di archiviazione. Altre informazioni.
Studio di Azure Machine Learning Microsoft.MachineLearning/registries Consente alle aree di lavoro di Azure Machine Learning autorizzate di scrivere output, modelli e log dell'esperimento nell'archivio BLOB e leggere i dati. Altre informazioni.
Azure Machine Learning Microsoft.MachineLearningServices Consente alle aree di lavoro di Azure Machine Learning autorizzate di scrivere output, modelli e log dell'esperimento nell'archivio BLOB e leggere i dati. Altre informazioni.
Azure Machine Learning Microsoft.MachineLearningServices/workspaces Consente alle aree di lavoro di Azure Machine Learning autorizzate di scrivere output, modelli e log dell'esperimento nell'archivio BLOB e leggere i dati. Altre informazioni.
Servizi multimediali di Azure Microsoft.Media/mediaservices Consente l'accesso agli account di archiviazione.
Azure Migrate Microsoft.Migrate/migrateprojects Consente l'accesso agli account di archiviazione.
Ancoraggi nello spazio di Azure Microsoft.MixedReality/remoteRenderingAccounts Consente l'accesso agli account di archiviazione.
Azure ExpressRoute Microsoft.Network/expressRoutePorts Consente l'accesso agli account di archiviazione.
Microsoft Power Platform Microsoft.PowerPlatform/enterprisePolicies Consente l'accesso agli account di archiviazione.
Microsoft Project Arcadia Microsoft.ProjectArcadia/workspaces Consente l'accesso agli account di archiviazione.
Azure Data Catalog Microsoft.ProjectBabylon/accounts Consente l'accesso agli account di archiviazione.
Microsoft Purview Microsoft.Purview/accounts Consente l'accesso agli account di archiviazione.
Azure Site Recovery Microsoft.RecoveryServices/vaults Consente l'accesso agli account di archiviazione.
Centro sicurezza Microsoft.Security/dataScanners Consente l'accesso agli account di archiviazione.
Singolarità Microsoft.Singularity/accounts Consente l'accesso agli account di archiviazione.
Database SQL di Azure Microsoft.Sql Consente di scrivere dati di controllo in account di archiviazione protetti da un firewall.
Server SQL di Azure Microsoft.Sql/servers Consente di scrivere dati di controllo in account di archiviazione protetti da un firewall.
Azure Synapse Analytics Microsoft.Sql Consente l'importazione e l'esportazione di dati da database SQL specifici tramite l'istruzione COPY o PolyBase (in un pool dedicato) o la funzione openrowset e le tabelle esterne in un pool serverless. Altre informazioni.
Analisi di flusso di Azure Microsoft.StreamAnalytics Consente la scrittura dei dati da un processo di streaming nell'archivio BLOB. Altre informazioni.
Analisi di flusso di Azure Microsoft.StreamAnalytics/streamingjobs Consente la scrittura dei dati da un processo di streaming nell'archivio BLOB. Altre informazioni.
Azure Synapse Analytics Microsoft.Synapse/workspaces Consente l'accesso ai dati in Archiviazione di Azure.
Video Indexer di Azure Microsoft.VideoIndexer/Accounts Consente l'accesso agli account di archiviazione.

Se per l'account non è abilitata la funzionalità dello spazio dei nomi gerarchico, è possibile concedere l'autorizzazione assegnando in modo esplicito un ruolo di Azure all'identità gestita per ogni istanza di risorse. In questo caso l'ambito di accesso dell'istanza corrisponde al ruolo di Azure assegnato all'identità gestita.

È possibile usare la stessa tecnica per un account in cui è abilitata la funzionalità dello spazio dei nomi gerarchico. Tuttavia, non è necessario assegnare un ruolo di Azure se si aggiunge l'identità gestita all'elenco di controllo di accesso (ACL) di qualsiasi directory o BLOB che l'account di archiviazione contiene. In tal caso, l'ambito di accesso per l'istanza corrisponde alla directory o al file a cui l'identità gestita ha accesso.

È anche possibile combinare ruoli e ACL di Azure per concedere l'accesso. Per altre informazioni, vedere Modello di controllo di accesso in Azure Data Lake Storage.

È consigliabile usare le regole dell'istanza di risorse per concedere l'accesso a risorse specifiche.

Gestione delle eccezioni

In alcuni casi, ad esempio l'analisi dell'archiviazione, l'accesso ai log delle risorse di lettura e alle metriche è necessario dall'esterno del limite di rete. Quando si configurano servizi attendibili per accedere all'account di archiviazione, è possibile consentire l'accesso in lettura per i file di log, le tabelle delle metriche o entrambi creando un'eccezione di regola di rete. Le eccezioni alle regole di rete possono essere gestite tramite il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure v2.

Per altre informazioni sull'uso dell'analisi dell'archiviazione, vedere Usare l'analisi di Archiviazione di Azure per raccogliere i log e i dati delle metriche.

  1. Passare all'account di archiviazione che si vuole proteggere.

  2. Selezionare Rete.

  3. Verificare di aver scelto di consentire l'accesso da Reti selezionate.

  4. In Eccezioni selezionare le eccezioni da concedere.

  5. Seleziona Salva per applicare le modifiche.

Passaggi successivi

Altre informazioni su endpoint servizio di rete di Azure. Approfondire la sicurezza di Archiviazione di Azure.