Настройка брандмауэров службы хранилища Azure и виртуальных сетей

Служба хранилища Azure предоставляет многоуровневую модель безопасности. Эта модель позволяет защищать и контролировать уровень доступа к вашим учетным записям хранения, который требуется вашим приложениям и корпоративным средам, в зависимости от типа и подмножества используемых сетей или ресурсов.

При настройке сетевых правил только приложения, запрашивающие данные по указанному набору сетей или через указанный набор ресурсов Azure, могут получить доступ к учетной записи хранения. Вы можете ограничить доступ к учетной записи хранения запросам, поступающим из указанных IP-адресов, диапазонов IP-адресов, подсетей в виртуальной сети Azure или экземпляров ресурсов некоторых служб Azure.

Учетные записи хранения имеют общедоступную конечную точку, доступную через Интернет. Вы также можете создать частные конечные точки для учетной записи хранения. Создание частных конечных точек назначает частный IP-адрес из виртуальной сети учетной записи хранения. Это помогает защитить трафик между виртуальной сетью и учетной записью хранения через приватный канал.

Брандмауэр службы хранилища Azure предоставляет контроль доступа для общедоступной конечной точки вашей учетной записи хранения. Брандмауэр также можно использовать для блокировки доступа через общедоступную конечную точку при использовании частных конечных точек. Конфигурация брандмауэра также позволяет доверенным службам платформы Azure получить доступ к учетной записи хранения.

При этом приложению, которое обращается к учетной записи хранения, когда действуют сетевые правила, по-прежнему необходима надлежащая авторизация для выполнения запроса. Авторизация поддерживается с учетными данными Microsoft Entra для больших двоичных объектов, таблиц, общих папок и очередей, с допустимым ключом доступа к учетной записи или маркером подписанного URL-адреса (SAS). При настройке контейнера BLOB-объектов для анонимного доступа запросы на чтение данных в этом контейнере не должны быть авторизованы. Правила брандмауэра остаются в силе и будут блокировать анонимный трафик.

Включение правил брандмауэра для учетной записи хранения блокирует входящие запросы данных по умолчанию, если только запросы не исходят из службы, которая работает в виртуальной сети Azure или из разрешенных общедоступных IP-адресов. Запросы, которые блокируются, включают их из других служб Azure, из портал Azure и из служб ведения журнала и метрик.

Вы можете предоставить доступ к службам Azure, работающим из виртуальной сети, разрешая трафик из подсети, на которой размещен экземпляр службы. Кроме того, можно включить ограниченное количество сценариев с помощью механизма исключений, описываемого в этой статье. Чтобы получить доступ к данным из учетной записи хранения через портал Azure, необходимо быть на компьютере в пределах доверенной границы (IP-адреса или виртуальной сети), которую вы настроили.

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Сценарии

Чтобы защитить учетную запись хранения, необходимо сначала настроить правило, по умолчанию запрещающее доступ к трафику из всех сетей (включая интернет-трафик) в общедоступной конечной точке. Затем необходимо настроить правила, предоставляющие доступ к трафику из определенных виртуальных сетей. Вы также можете настроить правила, разрешающие доступ трафику из определенных диапазонов общедоступных IP-адресов в Интернете, позволяя устанавливать подключения из конкретных локальных или интернет-клиентов. Эта конфигурация помогает создать безопасную сетевую границу для приложений.

Вы можете сочетать правила брандмауэра, разрешающие доступ из конкретных виртуальных сетей, и правила, разрешающие доступ из диапазонов общедоступных IP-адресов, в одной и той же учетной записи хранения. Правила брандмауэра хранилища можно применять к существующим учетным записям хранения или при создании новых учетных записей хранения.

Правила брандмауэра службы хранилища применяются к общедоступной конечной точке учетной записи хранения. Вам не нужно задавать никакие правила доступа брандмауэра, чтобы разрешить трафик для частных конечных точек учетной записи хранения. Процесс утверждения создания частной конечной точки предоставляет неявный доступ к трафику из подсети, в которой размещается эта частная конечная точка.

Внимание

служба хранилища Azure правила брандмауэра применяются только к операциям плоскости данных. Операции плоскости управления не применяются к ограничениям, указанным в правилах брандмауэра.

Некоторые операции, такие как операции контейнера BLOB-объектов, можно выполнять как с помощью плоскости управления, так и плоскости данных. Таким образом, если вы пытаетесь выполнить операцию, например перечисление контейнеров из портал Azure, операция будет выполнена успешно, если она не заблокирована другим механизмом. Попытки доступа к данным BLOB-объектов из приложения, например служба хранилища Azure Explorer, управляются ограничениями брандмауэра.

Список операций плоскости данных см. в справочнике по REST API служба хранилища Azure. Список операций уровня управления см. в справочнике по REST API поставщика ресурсов служба хранилища Azure.

Настройка сетевого доступа к служба хранилища Azure

Вы можете управлять доступом к данным в учетной записи хранения через сетевые конечные точки или через доверенные службы или ресурсы в любом сочетании, включая:

Сведения о конечных точках виртуальной сети

Существует два типа конечных точек виртуальной сети для учетных записей хранения:

Конечные точки службы виртуальной сети являются общедоступными и доступными через Интернет. Брандмауэр служба хранилища Azure предоставляет возможность управления доступом к учетной записи хранения через такие общедоступные конечные точки. При включении доступа к общедоступной сети к учетной записи хранения все входящие запросы данных блокируются по умолчанию. Доступ к данным сможет получить только приложения, запрашивающие данные из разрешенных источников, настроенных в параметрах брандмауэра учетной записи хранения. Источники могут включать исходный IP-адрес или подсеть виртуальной сети клиента, службу Azure или экземпляр ресурсов, через который клиенты или службы обращаются к данным. Запросы, которые блокируются, включают их из других служб Azure, из портал Azure и из служб ведения журнала и метрик, если вы явно не разрешаете доступ в конфигурации брандмауэра.

Частная конечная точка использует частный IP-адрес из виртуальной сети для доступа к учетной записи хранения через магистральную сеть Майкрософт. При использовании частной конечной точки трафик между виртуальной сетью и учетной записью хранения защищены через приватный канал. Правила брандмауэра хранилища применяются только к общедоступным конечным точкам учетной записи хранения, а не к частным конечным точкам. Процесс утверждения создания частной конечной точки предоставляет неявный доступ к трафику из подсети, в которой размещается эта частная конечная точка. Политики сети можно использовать для управления трафиком частных конечных точек, если требуется уточнить правила доступа. Если вы хотите использовать исключительно частные конечные точки, можно использовать брандмауэр для блокировки доступа через общедоступную конечную точку.

Сведения о том, когда следует использовать каждую конечную точку в вашей среде, см. в статье "Сравнение частных конечных точек и конечных точек службы".

Как приблизиться к сетевой безопасности для учетной записи хранения

Чтобы защитить учетную запись хранения и создать безопасную сетевую границу для приложений:

  1. Сначала отключите весь доступ к общедоступной сети для учетной записи хранения в параметре доступа к общедоступной сети в брандмауэре учетной записи хранения.

  2. По возможности настройте частные ссылки на учетную запись хранения из частных конечных точек в подсетях виртуальной сети, где клиенты находятся, для которых требуется доступ к данным.

  3. Если клиентским приложениям требуется доступ через общедоступные конечные точки, измените параметр доступа к общедоступной сети на "Включено" из выбранных виртуальных сетей и IP-адресов. Затем, по мере необходимости:

    1. Укажите подсети виртуальной сети, из которых требуется разрешить доступ.
    2. Укажите диапазоны общедоступных IP-адресов клиентов, из которых требуется разрешить доступ, например локальные сети.
    3. Разрешение доступа из выбранных экземпляров ресурсов Azure.
    4. Добавьте исключения, чтобы разрешить доступ из доверенных служб, необходимых для таких операций, как резервное копирование данных.
    5. Добавьте исключения для ведения журнала и метрик.

После применения правил сети они применяются для всех запросов. Маркеры SAS, предоставляющие доступ к конкретному IP-адресу, служат для ограничения доступа владельца маркера, но они не предоставляют новый доступ за пределами настроенных сетевых правил.

Ограничения и рекомендации

Перед реализацией сетевой безопасности для учетных записей хранения ознакомьтесь с важными ограничениями и рекомендациями, рассмотренными в этом разделе.

  • служба хранилища Azure правила брандмауэра применяются только к операциям плоскости данных. Операции плоскости управления не применяются к ограничениям, указанным в правилах брандмауэра.
  • Просмотрите ограничения для правил IP-сети.
  • Чтобы получить доступ к данным с помощью таких средств, как портал Azure, служба хранилища Azure Explorer и AzCopy, необходимо находиться на компьютере в пределах доверенной границы, которая устанавливается при настройке правил безопасности сети.
  • Правила сети применяются ко всем сетевым протоколам для служба хранилища Azure, включая REST и SMB.
  • Правила сети не влияют на трафик диска виртуальной машины, включая операции подключения и отключение операций ввода-вывода и операций ввода-вывода диска, но они помогают защитить доступ REST к страничных BLOB-объектам.
  • Вы можете использовать неуправляемые диски в учетных записях хранения с правилами сети, применяемыми для резервного копирования и восстановления виртуальных машин, создав исключение. Исключения брандмауэра не применимы к управляемым дискам, так как Azure уже управляет ими.
  • Классические учетные записи хранения не поддерживают брандмауэры и виртуальные сети.
  • Если удалить подсеть, включенную в правило виртуальной сети, она будет удалена из сетевых правил для учетной записи хранения. При создании новой подсети с тем же именем он не будет иметь доступа к учетной записи хранения. Чтобы разрешить ей доступ, необходимо явно авторизовать новую подсеть в правилах сети для учетной записи хранения.
  • При ссылке на конечную точку службы в клиентском приложении рекомендуется избегать использования зависимостей от кэшированного IP-адреса. IP-адрес учетной записи хранения может быть изменен, и использование кэшированного IP-адреса может привести к непредвиденному поведению. Кроме того, рекомендуется учитывать время жизни (TTL) записи DNS и не переопределять ее. Переопределение срока жизни DNS может привести к неожиданному поведению.
  • По умолчанию доступ к учетной записи хранения из доверенных служб имеет высший приоритет над другими ограничениями сетевого доступа. Если вы настроили доступ к общедоступной сети отключенным после ранее заданного значения "Включено" из выбранных виртуальных сетей и IP-адресов, все экземпляры ресурсов и исключения, настроенные ранее, включая разрешение служб Azure в списке доверенных служб для доступа к этой учетной записи хранения, останутся в силе. В результате эти ресурсы и службы могут по-прежнему иметь доступ к учетной записи хранения.

Авторизация

Клиенты, которым предоставлен доступ через сетевые правила, должны продолжать соответствовать требованиям авторизации учетной записи хранения для доступа к данным. Авторизация поддерживается с учетными данными Microsoft Entra для больших двоичных объектов и очередей, с допустимым ключом доступа к учетной записи или маркером подписанного URL-адреса (SAS).

При настройке контейнера BLOB-объектов для анонимного общедоступного доступа запросы на чтение данных в этом контейнере не нужно авторизовать, но правила брандмауэра остаются в силе и будут блокировать анонимный трафик.

Изменение сетевого правила доступа по умолчанию

По умолчанию учетные записи хранения принимают запросы на подключение от клиентов в сети. Вы можете ограничить доступ к выбранным сетям или запретить трафик из всех сетей и разрешить доступ только через частную конечную точку.

Необходимо задать правило по умолчанию, чтобы запретить, или сетевые правила не влияют. Однако изменение этого параметра может повлиять на возможность подключения приложения к служба хранилища Azure. Перед изменением этого параметра не забудьте предоставить доступ к любым разрешенным сетям или настроить доступ через частную конечную точку.

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

  1. Перейдите к учетной записи хранения, которую нужно защитить.

  2. Найдите параметры Сеть в разделе Безопасность и сеть.

  3. Выберите тип доступа к общедоступной сети, который вы хотите разрешить:

    • Чтобы разрешить трафик изо всех сетей, выберите Включено из всех сетей.

    • Чтобы разрешить трафик только из определенных виртуальных сетей, выберите Включено из выбранных виртуальных сетей и IP-адресов.

    • Чтобы заблокировать трафик из всех сетей, выберите Отключено.

  4. Нажмите кнопку Сохранить, чтобы применить изменения.

Внимание

По умолчанию доступ к учетной записи хранения из доверенных служб имеет высший приоритет над другими ограничениями сетевого доступа. Если вы настроили доступ к общедоступной сети отключенным после ранее заданного значения "Включено" из выбранных виртуальных сетей и IP-адресов, все экземпляры ресурсов и исключения, настроенные ранее, включая разрешение служб Azure в списке доверенных служб для доступа к этой учетной записи хранения, останутся в силе. В результате эти ресурсы и службы могут по-прежнему иметь доступ к учетной записи хранения.

Предоставление доступа из виртуальной сети

Вы можете настроить учетные записи хранения таким образом, чтобы они разрешали доступ только из определенных подсетей. Допустимые подсети могут принадлежать виртуальной сети в той же подписке или другой подписке, включая те, которые принадлежат другому клиенту Microsoft Entra. С конечными точками службы между регионами разрешенные подсети также могут находиться в разных регионах из учетной записи хранения.

Вы можете включить конечную точку службы для служба хранилища Azure в виртуальной сети. Конечная точка службы направляет трафик из виртуальной сети через оптимальный путь к службе служба хранилища Azure. В каждом запросе также передаются удостоверения подсети и виртуальной сети. Затем администраторы могут настроить сетевые правила для учетной записи хранения, которая позволяет получать запросы из определенных подсетей в виртуальной сети. Клиенты, которым предоставлен доступ по этим сетевым правилам, по прежнему должны выполнять требования авторизации учетной записи хранения, чтобы получать доступ к данным.

Каждая учетная запись хранения поддерживает до 400 правил виртуальной сети. Эти правила можно объединить с правилами IP-сети.

Внимание

При ссылке на конечную точку службы в клиентском приложении рекомендуется избегать использования зависимостей от кэшированного IP-адреса. IP-адрес учетной записи хранения может быть изменен, и использование кэшированного IP-адреса может привести к непредвиденному поведению.

Кроме того, рекомендуется учитывать время жизни (TTL) записи DNS и не переопределять ее. Переопределение срока жизни DNS может привести к неожиданному поведению.

Необходимые разрешения

Чтобы применить правило виртуальной сети к учетной записи хранения, пользователь должен иметь соответствующие разрешения для добавляемых подсетей. Участник учетной записи хранения или пользователь, имеющий разрешение на Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action операцию поставщика ресурсов Azure, может применять правило с помощью настраиваемой роли Azure.

Учетная запись хранения и виртуальные сети, которые получают доступ, могут находиться в разных подписках, включая подписки, которые являются частью другого клиента Microsoft Entra.

Настройка правил, которые предоставляют доступ к подсетям в виртуальных сетях, которые являются частью другого клиента Microsoft Entra, в настоящее время поддерживаются только с помощью PowerShell, Azure CLI и REST API. Такие правила нельзя настроить с помощью портал Azure, хотя их можно просмотреть на портале.

служба хранилища Azure конечные точки службы между регионами

Конечные точки службы между регионами для служба хранилища Azure стали общедоступными в апреле 2023 года. Они работают между виртуальными сетями и экземплярами службы хранилища в любом регионе. С конечными точками службы между регионами подсети больше не используют общедоступный IP-адрес для обмена данными с любой учетной записью хранения, в том числе с другими регионами. Вместо этого весь трафик из подсетей в учетные записи хранения использует частный IP-адрес в качестве исходного IP-адреса. В результате все учетные записи хранения, использующие правила IP-сети для разрешения трафика из этих подсетей, больше не влияют.

Настройка конечных точек службы между виртуальными сетями и экземплярами служб в парном регионе может быть важной частью плана аварийного восстановления. Конечные точки служб обеспечивают непрерывность работы при отработке регионального отказа, а также доступ на чтение к экземплярам геоизбыточного хранилища (RA-GRS). Правила сети, предоставляющие доступ к учетной записи хранения из виртуальной сети, также предоставляют доступ к любому экземпляру RA-GRS.

При планировании аварийного восстановления во время регионального сбоя создайте виртуальные сети в парном регионе заранее. Включите конечные точки для службы хранилища Azure с применением сетевых правил, разрешающих доступ из этих альтернативных виртуальных сетей. Затем примените эти правила к учетным записям своего геоизбыточного хранилища.

Локальные и межрегионные конечные точки службы не могут сосуществовать в одной подсети. Чтобы заменить существующие конечные точки службы несколькими регионами, удалите существующие Microsoft.Storage конечные точки и повторно создайте их в виде конечных точек между регионами (Microsoft.Storage.Global).

Управление правилами виртуальной сети

Правила виртуальной сети для учетных записей хранения можно управлять с помощью портал Azure, PowerShell или Azure CLI версии 2.

Если вы хотите включить доступ к учетной записи хранения из виртуальной сети или подсети в другом клиенте Microsoft Entra, необходимо использовать PowerShell или Azure CLI. Портал Azure не отображает подсети в других клиентах Microsoft Entra.

  1. Перейдите к учетной записи хранения, которую нужно защитить.

  2. Выберите Сети.

  3. Убедитесь, что вы решили разрешить доступ из выбранных сетей.

  4. Чтобы предоставить доступ к виртуальной сети с помощью нового правила сети, в разделе "Виртуальные сети" выберите " Добавить существующую виртуальную сеть". Выберите параметры виртуальных сетей и подсетей, а затем нажмите кнопку "Добавить".

    Чтобы создать виртуальную сеть и предоставить ей доступ, нажмите Добавить новую виртуальную сеть. Укажите необходимые сведения для создания новой виртуальной сети и нажмите кнопку "Создать".

    Если конечная точка службы для службы хранилища Azure еще не настроена для выбранной виртуальной сети и подсетей, ее можно настроить в ходе этой операции.

    В настоящее время во время создания правила отображаются только виртуальные сети, принадлежащие одному клиенту Microsoft Entra. Чтобы предоставить доступ к подсети в виртуальной сети, которая принадлежит другому клиенту, используйте PowerShell, Azure CLI или REST API.

  5. Чтобы удалить правило виртуальной сети или подсети, выберите многоточие (...), чтобы открыть контекстное меню для виртуальной сети или подсети, а затем нажмите кнопку "Удалить".

  6. Нажмите кнопку Сохранить, чтобы применить изменения.

Внимание

Если удалить подсеть, включенную в правило сети, она будет удалена из правил сети для учетной записи хранения. При создании новой подсети с тем же именем он не будет иметь доступа к учетной записи хранения. Чтобы разрешить ей доступ, необходимо явно авторизовать новую подсеть в правилах сети для учетной записи хранения.

Предоставление доступа из диапазона IP-адресов в Интернете

Сетевые правила для IP-адресов можно использовать для предоставления доступа с конкретных общедоступных диапазонов IP-адресов в Интернете. Каждая учетная запись хранения поддерживает до 400 правил. Эти правила предоставляют доступ к определенным интернет-службам и локальным сетям и блокируют общий интернет-трафик.

Ограничения для правил IP-сети

Следующие ограничения применяются к диапазонам IP-адресов:

  • Сетевые правила для IP-адресов можно применять только для общедоступных IP-адресов в Интернете.

    Диапазоны IP-адресов, зарезервированные для частных сетей (как определено в документе RFC 1918), запрещено использовать в правилах IP. Частные сети включают адреса, начинающиеся с 10, 172.16 до 172.31 и 192.168.

  • Необходимо предоставить допустимые диапазоны адресов Интернета с помощью нотации CIDR в форме 16.17.18.0/24 или в качестве отдельных IP-адресов, таких как 16.17.18.19.

  • Небольшие диапазоны адресов, использующие размеры префикса /31 или /32, не поддерживаются. Настройте эти диапазоны с помощью отдельных правил IP-адресов.

  • Для настройки правил брандмауэра хранилища поддерживаются только адреса IPv4.

Внимание

В следующих случаях нельзя использовать правила IP-сети:

  • Чтобы ограничить доступ клиентам в том же регионе Azure, что и учетная запись хранения. Правила IP-сети не влияют на запросы, исходящие из того же региона Azure, что и учетная запись хранения. Используйте правила виртуальной сети для разрешения запросов из того же региона.
  • Ограничение доступа к клиентам в парном регионе, в виртуальной сети с конечной точкой службы.
  • Чтобы ограничить доступ службам Azure, развернутым в том же регионе, что и учетная запись хранения. Службы, развернутые в том же регионе, что и учетная запись хранения, используют для связи частные IP-адреса Azure. Таким образом, вы не можете ограничить доступ к определенным службам Azure на основе диапазона общедоступных исходящих IP-адресов.

Настройка доступа из локальных сетей

Чтобы предоставить доступ из локальных сетей к учетной записи хранения с помощью правила IP-сети, необходимо определить IP-адреса, которые используются в сети. За помощью обращайтесь к администратору сети.

Если вы используете Azure ExpressRoute из локальной среды, необходимо определить IP-адреса NAT, используемые для пиринга Майкрософт. Поставщик услуг или клиент предоставляют IP-адреса NAT.

Чтобы разрешить доступ к ресурсам службы, необходимо разрешить эти общедоступные IP-адреса в параметре брандмауэра для IP-адресов ресурсов.

Управление правилами IP-сети

Вы можете управлять правилами IP-сети для учетных записей хранения с помощью портал Azure, PowerShell или Azure CLI версии 2.

  1. Перейдите к учетной записи хранения, которую нужно защитить.

  2. Выберите Сети.

  3. Убедитесь, что вы решили разрешить доступ из выбранных сетей.

  4. Чтобы предоставить доступ к диапазону IP-адресов в Интернете, введите IP-адрес или диапазон адресов (в формате CIDR) в разделе Брандмауэр>Диапазон адресов.

  5. Чтобы удалить правило IP-сети, щелкните значок удаления ( ) рядом с диапазоном адресов.

  6. Нажмите кнопку Сохранить, чтобы применить изменения.

Предоставление доступа из экземпляров ресурсов Azure

В некоторых случаях приложение может зависеть от ресурсов Azure, которые не могут быть изолированы через виртуальную сеть или правило IP-адреса. Но вы по-прежнему хотите защитить и ограничить доступ учетной записи хранения только к ресурсам Azure приложения. Вы можете настроить учетные записи хранения, чтобы разрешить доступ к определенным экземплярам ресурсов доверенных служб Azure, создав правило экземпляра ресурса.

Назначения ролей Azure экземпляра ресурса определяют типы операций, которые экземпляр ресурса может выполнять в данных учетной записи хранения. Экземпляры ресурсов должны находиться в том же клиенте, что и учетная запись хранения, но они могут принадлежать любой подписке в клиенте.

В портал Azure можно добавить или удалить правила сети ресурсов:

  1. Войдите на портал Azure.

  2. Найдите учетную запись хранения и отобразите общие сведения о ней.

  3. Выберите Сети.

  4. В разделе "Брандмауэры и виртуальные сети" для выбранных сетей выберите параметр, чтобы разрешить доступ.

  5. Прокрутите вниз, чтобы найти экземпляры ресурсов. В раскрывающемся списке "Тип ресурса" выберите тип ресурса экземпляра ресурса.

  6. В раскрывающемся списке имени экземпляра выберите экземпляр ресурса. Вы также можете выбрать включение всех экземпляров ресурсов в активный клиент, подписку или группу ресурсов.

  7. Нажмите кнопку Сохранить, чтобы применить изменения. Экземпляр ресурса отображается в разделе "Экземпляры ресурсов" страницы параметров сети.

Чтобы удалить экземпляр ресурса, щелкните значок удаления () рядом с экземпляром ресурса.

Предоставить доступ к доверенным службам Azure

Некоторые службы Azure работают из сетей, которые нельзя включить в правила сети. Вы можете предоставить подмножеству таких доверенных служб Azure доступ к учетной записи хранения, поддерживая сетевые правила для других приложений. Эти доверенные службы будут использовать надежную проверку подлинности для подключения к учетной записи хранения.

Вы можете предоставить доступ доверенным службам Azure, создав исключение сетевого правила. В разделе "Управление исключениями" этой статьи приведены пошаговые инструкции .

Доверенный доступ для ресурсов, зарегистрированных в клиенте Microsoft Entra

Ресурсы некоторых служб могут получить доступ к учетной записи хранения для выбранных операций, таких как запись журналов или выполнение резервных копий. Эти службы должны быть зарегистрированы в подписке, расположенной в том же клиенте Microsoft Entra, что и ваша учетная запись хранения. В следующей таблице описаны каждая служба и разрешенные операции.

Service Имя поставщика ресурсов Разрешенные операции
Azure Backup Microsoft.RecoveryServices Запуск резервных копий и восстановление неуправляемых дисков в инфраструктуре как услуга (IaaS) виртуальных машин (не требуется для управляемых дисков). Подробнее.
Azure Data Box Microsoft.DataBox Импортируйте данные в Azure. Подробнее.
Azure DevTest Labs Microsoft.DevTestLab Создайте пользовательские образы и установите артефакты. Подробнее.
Сетку событий Azure Microsoft.EventGrid Включите публикацию событий Хранилище BLOB-объектов Azure и разрешить публикацию в очередях хранилища.
Центры событий Azure Microsoft.EventHub Архивируйте данные с помощью записи центров событий. Подробнее здесь.
Служба синхронизации файлов Azure Microsoft.StorageSync Преобразуйте локальный файловый сервер в кэш для общих папок Azure. Эта возможность позволяет выполнять синхронизацию нескольких сайтов, быстрое аварийное восстановление и облачное резервное копирование. Подробнее.
Azure HDInsight Microsoft.HDInsight Подготавливает начальное содержимое файловой системы по умолчанию для нового кластера HDInsight. Подробнее.
Импорт и экспорт Microsoft Azure Microsoft.ImportExport Импортируйте данные в служба хранилища Azure или экспортируйте данные из служба хранилища Azure. Подробнее.
Azure Monitor Microsoft.Insights Запись данных мониторинга в безопасную учетную запись хранения, включая журналы ресурсов, Microsoft Defender для конечной точки данные, журналы входа и аудита Microsoft Entra и журналы Microsoft Intune. Подробнее.
Сетевые службы Azure Microsoft.Network Храните и анализируйте журналы сетевого трафика, включая Наблюдатель за сетями Azure и службы Диспетчер трафика Azure. Подробнее.
Azure Site Recovery Microsoft.SiteRecovery Включите репликацию для аварийного восстановления виртуальных машин Azure IaaS при использовании кэша, источника или целевой учетной записи хранения с поддержкой брандмауэра. Подробнее.

Доверенный доступ на основе управляемого удостоверения

В следующей таблице перечислены службы, которые могут получить доступ к данным учетной записи хранения, если экземпляры ресурсов этих служб имеют соответствующее разрешение.

Service Имя поставщика ресурсов Характер использования
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats Обеспечивает доступ к учетным записям хранения.
Управление API Azure Microsoft.ApiManagement/service Обеспечивает доступ к учетным записям хранения за брандмауэрами с помощью политик. Подробнее.
Автономные системы Майкрософт Microsoft.AutonomousSystems/workspaces Обеспечивает доступ к учетным записям хранения.
Кэш Azure для Redis Microsoft.Cache/Redis Обеспечивает доступ к учетным записям хранения. Подробнее.
Поиск с использованием ИИ Azure Microsoft.Search/searchServices Обеспечивает доступ к учетным записям хранения для индексирования, обработки и запроса.
Службы ИИ Azure Microsoft.CognitiveService/accounts Обеспечивает доступ к учетным записям хранения. Подробнее.
Реестр контейнеров Azure Microsoft.ContainerRegistry/registries С помощью набора задач ACR предоставляет доступ к учетным записям хранения при создании образов контейнеров.
Управление затратами Microsoft Microsoft.CostManagementExports Включает экспорт в учетные записи хранения за брандмауэром. Подробнее.
Azure Databricks Microsoft.Databricks/accessConnectors Обеспечивает доступ к учетным записям хранения.
Azure Data Factory Microsoft.DataFactory/factories Обеспечивает доступ к учетным записям хранения через среду выполнения Фабрики данных.
Хранилище службы Azure Backup Microsoft.DataProtection/BackupVaults Обеспечивает доступ к учетным записям хранения.
Azure Data Share Microsoft.DataShare/accounts Обеспечивает доступ к учетным записям хранения.
База данных Azure для PostgreSQL Microsoft.DBForPostgreSQL Обеспечивает доступ к учетным записям хранения.
Центр Интернета вещей Azure Microsoft.Devices/IotHubs Позволяет записывать данные из Центра Интернета вещей в хранилище BLOB-объектов. Подробнее.
Azure DevTest Labs Microsoft.DevTestLab/labs Обеспечивает доступ к учетным записям хранения.
Сетку событий Azure Microsoft.EventGrid/domains Обеспечивает доступ к учетным записям хранения.
Сетку событий Azure Microsoft.EventGrid/partnerTopics Обеспечивает доступ к учетным записям хранения.
Сетку событий Azure Microsoft.EventGrid/systemTopics Обеспечивает доступ к учетным записям хранения.
Сетку событий Azure Microsoft.EventGrid/topics Обеспечивает доступ к учетным записям хранения.
Microsoft Fabric Microsoft.Fabric Обеспечивает доступ к учетным записям хранения.
API Azure для здравоохранения Microsoft.HealthcareApis/services Обеспечивает доступ к учетным записям хранения.
API Azure для здравоохранения Microsoft.HealthcareApis/workspaces Обеспечивает доступ к учетным записям хранения.
Azure IoT Central Microsoft.IoTCentral/IoTApps Обеспечивает доступ к учетным записям хранения.
Управляемый модуль HSM в Azure Key Vault Microsoft.keyvault/managedHSMs Обеспечивает доступ к учетным записям хранения.
Приложения логики Azure Microsoft.Logic/integrationAccounts Позволяет приложениям логики получать доступ к учетным записям хранения. Подробнее.
Приложения логики Azure Microsoft.Logic/workflows Позволяет приложениям логики получать доступ к учетным записям хранения. Подробнее.
Студия машинного обучения Azure Microsoft.MachineLearning/registries Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы в хранилище BLOB-объектов и считывать данные. Подробнее.
Машинное обучение Azure Microsoft.MachineLearningServices Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы в хранилище BLOB-объектов и считывать данные. Подробнее.
Машинное обучение Azure Microsoft.MachineLearningServices/workspaces Позволяет авторизованным рабочим областям Машинное обучение Azure записывать выходные данные эксперимента, модели и журналы в хранилище BLOB-объектов и считывать данные. Подробнее.
Службы мультимедиа Azure Microsoft.Media/mediaservices Обеспечивает доступ к учетным записям хранения.
Служба "Миграция Azure" Microsoft.Migrate/migrateprojects Обеспечивает доступ к учетным записям хранения.
Пространственные привязки Azure. Microsoft.MixedReality/remoteRenderingAccounts Обеспечивает доступ к учетным записям хранения.
Azure ExpressRoute Microsoft.Network/expressRoutePorts Обеспечивает доступ к учетным записям хранения.
Microsoft Power Platform Microsoft.PowerPlatform/enterprisePolicies Обеспечивает доступ к учетным записям хранения.
Microsoft Project Arcadia Microsoft.ProjectArcadia/workspaces Обеспечивает доступ к учетным записям хранения.
Каталог данных Azure Microsoft.ProjectBabylon/accounts Обеспечивает доступ к учетным записям хранения.
Microsoft Purview Microsoft.Purview/accounts Обеспечивает доступ к учетным записям хранения.
Azure Site Recovery Microsoft.RecoveryServices/vaults Обеспечивает доступ к учетным записям хранения.
Центр безопасности Microsoft.Security/dataScanners Обеспечивает доступ к учетным записям хранения.
Особенность Microsoft.Singularity/accounts Обеспечивает доступ к учетным записям хранения.
База данных SQL Azure Microsoft.Sql Позволяет записывать данные аудита в учетные записи хранения за брандмауэром.
Серверы SQL Azure Microsoft.Sql/servers Позволяет записывать данные аудита в учетные записи хранения за брандмауэром.
Azure Synapse Analytics Microsoft.Sql Позволяет импортировать и экспортировать данные из определенных баз данных SQL с помощью COPY инструкции или PolyBase (в выделенном пуле) или openrowset функции и внешних таблиц в бессерверном пуле. Подробнее.
Azure Stream Analytics Microsoft.StreamAnalytics Позволяет записывать данные из задания потоковой передачи в хранилище BLOB-объектов. Подробнее.
Azure Stream Analytics Microsoft.StreamAnalytics/streamingjobs Позволяет записывать данные из задания потоковой передачи в хранилище BLOB-объектов. Подробнее.
Azure Synapse Analytics Microsoft.Synapse/workspaces Обеспечивает доступ к данным в служба хранилища Azure.
Видеоанализатор Azure для медиа Microsoft.VideoIndexer/Accounts Обеспечивает доступ к учетным записям хранения.

Если у вашей учетной записи нет функции иерархического пространства имен, вы можете предоставить разрешение, явно назначив роль Azure управляемому удостоверению для каждого экземпляра ресурса. В этом случае область доступа для экземпляра соответствует роли Azure, назначенной управляемому удостоверению.

Вы можете использовать тот же метод для учетной записи, в которой включена функция иерархического пространства имен. Однако вам не нужно назначать роль Azure, если вы добавите управляемое удостоверение в список управления доступом (ACL) любого каталога или большого двоичного объекта, содержащего учетную запись хранения. В этом случае область доступа для экземпляра соответствует каталогу или файлу, к которому имеет доступ управляемое удостоверение.

Вы также можете объединить роли Azure и списки управления доступом для предоставления доступа. Дополнительные сведения см. в статье "Модель управления доступом" в Azure Data Lake Storage.

Рекомендуется использовать правила экземпляра ресурсов для предоставления доступа к определенным ресурсам.

Управление исключениями

В некоторых случаях, например аналитика хранилища, требуется доступ к журналам ресурсов и метрикам за пределами сетевой границы. При настройке доверенных служб для доступа к учетной записи хранения можно разрешить доступ на чтение для файлов журналов, таблиц метрик или обоих, создав исключение правила сети. Исключения правил сети можно управлять с помощью портал Azure, PowerShell или Azure CLI версии 2.

Дополнительные сведения о работе с аналитикой хранилища см. в статье Использование аналитики службы хранилища Azure для сбора данных журналов и метрик.

  1. Перейдите к учетной записи хранения, которую нужно защитить.

  2. Выберите Сети.

  3. Убедитесь, что вы решили разрешить доступ из выбранных сетей.

  4. В разделе "Исключения" выберите исключения, которые требуется предоставить.

  5. Нажмите кнопку Сохранить, чтобы применить изменения.

Следующие шаги

Дополнительные сведения о конечных точках службы сети Azure. Углубиться в служба хранилища Azure безопасности.