تكوين جدران حماية Azure والشبكات الظاهرية

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يوفر Azure Storage نموذج أمان متعدد الطبقات. يمكّنك هذا الطراز من تأمين والتحكم في مستوى الوصول إلى حسابات التخزين خاصتك التي تتطلبها تطبيقاتك وبيئات مؤسستك، استنادًا إلى نوع الشبكات أو الموارد المستخدمة ومجموعتها الفرعية. عند تكوين قواعد الشبكة، يمكن فقط للتطبيقات التي تطلب البيانات عبر مجموعة محددة من الشبكات أو من خلال المجموعة المحددة من موارد Azure الوصول إلى حساب تخزين. يمكنك قصر الوصول إلى حساب التخزين خاصتك على الطلبات التي تنشأ من عناوين IP المحددة أو نطاقات IP أو الشبكات الفرعية في شبكة Azure الظاهرية (VNet) أو مثيلات الموارد لبعض خدمات Azure.

تحتوي حسابات التخزين على نقطة نهاية عامة يمكن الوصول إليها من خلال الإنترنت. يمكنك أيضًا إنشاء نقاط نهاية خاصة لحساب التخزين خاصتك ، والذي يعين عنوان IP خاصًا من VNet الخاص بك إلى حساب التخزين، ويؤمن جميع نسب استخدام الشبكة بين VNet خاصتك وحساب التخزين عبر رابط خاص. يوفر Azure storage firewall التحكم في الوصول إلى نقطة النهاية العامة لحساب التخزين الخاص بك. يمكنك أيضاً استخدام جدار الحماية لمنع الوصول إلى كافة نقاط النهاية العامة عند استخدام نقاط النهاية الخاصة. كما يتيح تكوين جدار حماية التخزين الخاص بك خدمات النظام الأساسي Azure الموثوق بها للوصول إلى حساب التخزين بأمان.

لا يزال التطبيق الذي يصل إلى حساب التخزين عند سريان قواعد الشبكة يتطلب تصريحًا مناسبًا للطلب. يُدعم التصريح باستخدام بيانات اعتماد Azure Active Directory (Azure AD) الخاصة بالكائنات الثنائية كبيرة الحجم وقوائم الانتظار، أو باستخدام مفتاح وصول صالح إلى الحساب، أو باستخدام رمز SAS. عندما يتم تكوين حاوية كائن ثنائي كبير الحجم للوصول العام المجهول، لا تحتاج طلبات قراءة البيانات في تلك الحاوية إلى إذن، ولكن تظل قواعد جدار الحماية سارية وستحظر نسبة استخدام الشبكة المجهولة.

هام

يؤدي تشغيل قواعد جدار الحماية لحساب التخزين خاصتك إلى حظر الطلبات الواردة للحصول على البيانات افتراضيًا، إلا إذا كانت الطلبات تنشأ من خدمة تعمل داخل شبكة Azure الظاهرية (VNet) أو من عناوين IP العامة المسموح بها. تتضمن الطلبات المحظورة الطلبات الواردة من خدمات Azure الأخرى ومن مدخل Microsoft Azure ومن خدمات التسجيل والقياسات وما إلى ذلك.

يمكنك منح حق الوصول إلى خدمات Azure التي تعمل من داخل VNet من خلال السماح بنسبة استخدام الشبكة من الشبكة الفرعية التي تستضيف مثيل الخدمة. يمكنك أيضًا تمكين عدد محدود من السيناريوهات من خلال آلية الاستثناءات الموضحة أدناه. للوصول إلى البيانات من حساب التخزين من خلال مدخل Microsoft Azure، ستحتاج إلى أن تكون على جهاز داخل الحدود الموثوقة (إما IP أو VNet) التي أعددتها.

ملاحظة

تستخدم هذه المقالة الوحدة النمطية Azure Az PowerShell، وهي الوحدة النمطية PowerShell الموصى بها للتفاعل مع Azure. لبدء استخدام الوحدة النمطية Az PowerShell، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

السيناريوهات

لتأمين حساب التخزين خاصتك، يجب عليك أولًا تكوين قاعدة لمنع الوصول إلى حركة المرور من جميع الشبكات (بما في ذلك حركة المرور عبر الإنترنت) على نقطة النهاية العامة، بشكل افتراضي. بعد ذلك، يجب تكوين القواعد التي تمنح الوصول إلى نسبة استخدام الشبكة من VNets محددة. يمكنك أيضًا تكوين القواعد لمنح حق الوصول إلى نسبة استخدام الشبكة من نطاقات عناوين IP العامة المحددة للإنترنت، مما يتيح الاتصالات من إنترنت معين أو عملاء محليين. يمكنك هذا التكوين من إنشاء حدود شبكة آمنة لتطبيقاتك.

يمكنك دمج قواعد جدار الحماية التي تسمح بالوصول من شبكات ظاهرية محددة ومن نطاقات عناوين IP العامة على نفس حساب التخزين. يمكن تطبيق قواعد جدار حماية التخزين على حسابات التخزين الحالية، أو عند إنشاء حسابات تخزين جديدة.

تنطبق قواعد جدار حماية التخزين على نقطة النهاية العامة لحساب التخزين. لا تحتاج إلى أي قواعد وصول إلى جدار الحماية للسماح لنسبة استخدام الشبكة لنقاط النهاية الخاصة لحساب التخزين. توفر عملية الموافقة على إنشاء نقطة نهاية خاصة وصولًا ضمنيًا إلى نسبة استخدام الشبكة من الشبكة الفرعية التي تستضيف نقطة النهاية الخاصة.

تُفرض قواعد الشبكة على جميع بروتوكولات الشبكة لتخزين Azure، بما في ذلك REST و SMB. للوصول إلى البيانات باستخدام أدوات مثل مدخل Microsoft Azure ومستكشف التخزين و AzCopy، يجب تكوين قواعد الشبكة الصريحة.

بمجرد تطبيق قواعد الشبكة، تُفرض على جميع الطلبات. تعمل رموز SAS التي تمنح الوصول إلى عنوان IP محدد على الحد من وصول حامل الرمز، ولكنها لا تمنح وصولًا جديدًا يتجاوز قواعد الشبكة التي كُونت.

لا تتأثر نسبة استخدام الشبكة لدى قرص الجهاز الظاهري (بما في ذلك عمليات التركيب وإلغاء التركيب وIO القرص) بقواعد الشبكة. الوصول إلى REST إلى كائنات ثنائية كبيرة الحجم للصفحة محمي بواسطة قواعد الشبكة.

لا تدعم حسابات التخزين الكلاسيكية جدران الحماية والشبكات الظاهرية.

يمكنك استخدام الأقراص غير المدارة في حسابات التخزين مع تطبيق قواعد الشبكة لعمل نسخة احتياطية واستعادة نظام VMS عن طريق إنشاء استثناء. تُوَثَق هذه العملية في قسم إدارة الاستثناءات من هذه المقالة. لا تنطبق استثناءات جدار الحماية على الأقراص المدارة لأنها تُدار بالفعل بواسطة Azure.

تغيير قاعدة الوصول إلى الشبكة الافتراضية

تقبل حسابات التخزين بشكل افتراضي اتصالات من العملاء على أي شبكة اتصال. يمكنك تقييد الوصول إلى الشبكات المحددة أو لمنع نسبة استخدام الشبكة من جميع الشبكات والسماح بالوصول فقط من خلال نقطة النهاية الخاصة .

تحذير

يمكن أن يؤثر تغيير هذا الإعداد على قدرة تطبيقك على الاتصال بمخزن Azure. تأكد من منح الوصول إلى أي شبكات مسموح بها أو إعداد الوصول من خلال نقطة نهاية خاصة قبل تغيير هذا الإعداد.

المدخل

1. انتقل إلى حساب التخزين الذي تريد تأمينه.

2. حدد موقع إعدادات الشبكة ضمن الأمان + الشبكات.

3. اختر نوع الوصول إلى الشبكة العامة الذي تريد السماح به.

   • للسماح بنسبة استخدام الشبكة من جميع الشبكات، حدد كل الشبكات.

   • للسماح بنسبة استخدام الشبكة فقط من شبكات ظاهرية محددة، حدد ممكّن من الشبكات الظاهرية وعناوين IP المحددة.

   • لحظر نسبة استخدام الشبكة من جميع الشبكات، استخدم PowerShell أو واجهة سطر الأوامر Azure. لا يظهر هذا الإعداد بعد في بوابة Azure.

4. حدد حفظ لتطبيق التغييرات الخاصة بك.

PowerShell

1. ثبِّت Azure PowerShellوسجِّل الدخول.

2. اختر نوع الوصول إلى الشبكة العامة الذي تريد السماح به.

   • للسماح بنسبة استخدام الشبكة من جميع الشبكات، استخدم Update-AzStorageAccountNetworkRuleSet الأمر، واضبط -DefaultAction المعلمة على Allow.

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
     

   • للسماح بنسبة استخدام الشبكة فقط من شبكات افتراضية محددة، استخدم Update-AzStorageAccountNetworkRuleSet الأمر واضبط -DefaultAction المعلمة على Deny.

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
     

   • لحظر نسبة استخدام الشبكة من جميع الشبكات، استخدم Set-AzStorageAccount الأمر واضبط -PublicNetworkAccess المعلمة على Disabled. لن يُسمح بنسبة استخدام الشبكة إلا من خلال نقطة نهاية خاصة . سيكون عليك إنشاء نقطة النهاية الخاصة تلك.

     Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
     

Azure CLI

1. ثبِتAzure CLI و سجِل الدخول.

2. اختر نوع الوصول إلى الشبكة العامة الذي تريد السماح به.

   • للسماح بنسبة استخدام الشبكة من جميع الشبكات، استخدم az storage account update الأمر، واضبط --default-action المعلمة على Allow.

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
     

   • للسماح بنسبة استخدام الشبكة فقط من شبكات افتراضية محددة، استخدم az storage account update الأمر واضبط --default-action المعلمة على Deny.

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
     

   • لحظر نسبة استخدام الشبكة من جميع الشبكات، استخدم az storage account update الأمر واضبط --public-network-access المعلمة على Disabled. لن يُسمح بنسبة استخدام الشبكة إلا من خلال نقطة نهاية خاصة . سيكون عليك إنشاء نقطة النهاية الخاصة تلك.

     az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
     

منح حق الوصول من شبكة اتصال ظاهرية

يمكنك تكوين حسابات التخزين للسماح بالوصول فقط من شبكات فرعية محددة. قد تنتمي الشبكات الفرعية المسموح بها إلى VNet في نفس الاشتراك، أو تلك الموجودة في اشتراك مختلف، بما في ذلك الاشتراكات التي تنتمي إلى مستأجر Microsoft Azure Active Directory مختلف.

يمكنك تمكين نقطة نهاية الخدمة لتخزين Azure داخل VNet. تقوم نقطة نهاية الخدمة بتوجيه حركة المرور من VNet عبر مسار مثالي إلى خدمة Azure Storage. كما يتم إرسال هويات الشبكة الفرعية والشبكة الافتراضية مع كل طلب. يمكن للمسؤولين بعد ذلك تكوين قواعد الشبكة لحساب التخزين التي تسمح باستقبال الطلبات من شبكات فرعية محددة في VNet. يجب على العملاء الذين يمنحون حق الوصول عبر قواعد الشبكة هذه الاستمرار في تلبية متطلبات الترخيص لحساب التخزين للوصول إلى البيانات.

يدعم كل حساب تخزين ما يصل إلى 200 قاعدة شبكة ظاهرية، والتي يمكن دمجها مع قواعد شبكة IP .

هام

إذا حذفت شبكة فرعية تم تضمينها في قاعدة شبكة، فستتم إزالتها من قواعد الشبكة لحساب التخزين. إذا قمت بإنشاء شبكة فرعية جديدة بنفس الاسم، فلن تتمكن من الوصول إلى حساب التخزين. للسماح بالوصول، يجب عليك تفويض الشبكة الفرعية الجديدة بشكل صريح في قواعد الشبكة لحساب التخزين.

الأذونات المطلوبة

لتطبيق قاعدة الشبكة الظاهرية على حساب التخزين، يجب أن يكون لدى المستخدم الأذونات المناسبة للشبكات الفرعية التي تتم إضافتها. يمكن تطبيق قاعدة بواسطة مساهم في حساب التخزين أو مستخدم تم منحه إذنًا لعملية Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action موفر موارد Azure عبر دور Azure مخصص.

قد يكون حساب التخزين والشبكات الافتراضية الممنوحة الوصول في اشتراكات مختلفة، بما في ذلك الاشتراكات التي هي جزء من مستأجر Azure AD مختلف.

ملاحظة

تكوين القواعد التي تمنح الوصول إلى الشبكات الفرعية في الشبكات الافتراضية التي هي جزء من مستأجر Microsoft Azure Active Directory مختلف مدعوم حاليًا فقط من خلال PowerShell و CLI و REST API. لا يمكن تكوين هذه القواعد من خلال مدخل Microsoft Azure، على الرغم من أنه يمكن عرضها في البوابة.

مناطق الشبكة الافتراضية المتاحة

افتراضيًا، تعمل نقاط نهاية الخدمة بين الشبكات الظاهرية ومثيلات الخدمة في نفس منطقة Azure. عند استخدام نقاط نهاية الخدمة مع Azure Storage، تعمل نقاط نهاية الخدمة أيضًا بين الشبكات الافتراضية ومثيلات الخدمة في منطقة مقترنة . إذا كنت ترغب في استخدام نقطة نهاية الخدمة لمنح الوصول إلى الشبكات الظاهرية في مناطق أخرى، فيجب عليك تسجيل ميزة AllowGlobalTagsForStorage في اشتراك الشبكة الظاهرية. تتوفر هذه الإمكانية حالياً في المعاينة العامة.

تسمح نقاط نهاية الخدمة بالاستمرارية أثناء تجاوز الفشل المحلي والوصول إلى حالات التخزين الاحتياطي الجغرافي للقراءة فقط (RA - GRS). كما تمنح قواعد الشبكة التي تمنح الوصول من الشبكة الافتراضية إلى حساب التخزين الوصول إلى أي مثيل RA - GRS.

عند التخطيط للإصلاح بعد كارثة خلال انقطاع محلي، يجب عليك إنشاء شبكات VNets في المنطقة المقترنة مسبقًا. تمكين نقاط نهاية الخدمة لتخزين Azure، مع قواعد الشبكة التي تمنح الوصول من هذه الشبكات الظاهرية البديلة. ثم طبق هذه القواعد على حسابات التخزين المكررة جغرافيًا.

تمكين الوصول إلى الشبكات الظاهرية في مناطق أخرى (معاينة)

لتمكين الوصول من شبكة ظاهرية تقع في منطقة أخرى، سجِل ميزة AllowGlobalTagsForStorage في اشتراك الشبكة الظاهرية. لن تستخدم الشبكات الفرعية في المناطق الأخرى التي تحتوي على نقاط نهاية لخدمة التخزين عنوان IP عام للتواصل مع حساب التخزين. ستنشأ جميع نسب استخدام الشبكة من عنوان IP خاص ولن يكون لأي قواعد شبكة IP تسمح بنسب استخدام الشركة من هذه الشبكات الفرعية أي تأثير بعد الآن.

هام

هذه الإمكانية حاليًا في PREVIEW.

للحصول على الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي، أو المعاينة، أو التي لم يتم إصدارها بعد في التوفر العام، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.

المدخل

أثناء المعاينة، يجب عليك استخدام إما PowerShell أو واجهة سطر الأوامر Azure لتمكين هذه الميزة.

PowerShell

1. افتح نافذة أوامر Windows PowerShell.

2. سجل الدخول إلى اشتراكك في Azure باستخدام الأمر Connect-AzAccount واتبع الإرشادات التي تظهر على الشاشة.

   Connect-AzAccount
   

3. إذا كانت هويتك مرتبطة بأكثر من اشتراك واحد، فعيِّن اشتراكك النشط إلى اشتراك الشبكة الافتراضية.

   $context = Get-AzSubscription -SubscriptionId <subscription-id>
   Set-AzContext $context
   

   استبدل قيمة العنصر النائب <subscription-id> بمعرف اشتراكك.

4. تسجيل الميزة AllowGlobalTagsForStorage باستخدام الأمر Register-AzProviderFeature.

   Register-AzProviderFeature -ProviderNamespace Microsoft.Network -FeatureName AllowGlobalTagsForStorage
   

   ملاحظة

   قد لا تكتمل عملية التسجيل على الفور. تأكد من التحقق من تسجيل الميزة قبل استخدامها.

5. للتحقق من اكتمال التسجيل، استخدم أمر Get-AzProviderFeature .

   Get-AzProviderFeature -ProviderNamespace Microsoft.Network -FeatureName AllowGlobalTagsForStorage
   

Azure CLI

1. افتح Azure Cloud Shell، أو إذا قمت بتثبيت واجهة سطر الأوامر Azure محليًا، افتح تطبيق وحدة تحكم الأوامر مثل Windows PowerShell.

2. إذا كانت هويتك مرتبطة بأكثر من اشتراك واحد، فعيِن اشتراكك النشط إلى اشتراك الشبكة الافتراضية.

   az account set --subscription <subscription-id>
   

   استبدل قيمة العنصر النائب <subscription-id> بمعرف اشتراكك.

3. سجِل ميزة AllowGlobalTagsForStorage باستخدام الأمر az feature register.

   az feature register --namespace Microsoft.Network --name AllowGlobalTagsForStorage
   

   ملاحظة

   قد لا تكتمل عملية التسجيل على الفور. تأكد من التحقق من تسجيل الميزة قبل استخدامها.

4. للتحقق من اكتمال التسجيل، استخدم الأمر az feature.

   az feature show --namespace Microsoft.Network --name AllowGlobalTagsForStorage
   

إدارة قواعد الشبكة الافتراضية

يمكنك إدارة قواعد الشبكة الظاهرية لحسابات التخزين من خلال مدخل Microsoft Azure أو PowerShell أو CLIv2.

ملاحظة

إذا قمت بتسجيل الميزة AllowGlobalTagsForStorage، وأردت تمكين الوصول إلى حساب التخزين خاصتك من شبكة افتراضية/شبكة فرعية في مستأجر Azure AD آخر، أو في منطقة أخرى غير منطقة حساب التخزين أو منطقته المقترنة، فيجب عليك استخدام PowerShell أو واجهة سطر الأوامر Azure. لا تعرض مدخل Microsoft Azure شبكات فرعية في مستأجري Azure AD الآخرين أو في مناطق أخرى غير منطقة حساب التخزين أو منطقته المقترنة، وبالتالي لا يمكن استخدامها لتكوين قواعد الوصول للشبكات الافتراضية في مناطق أخرى.

المدخل

1. انتقل إلى حساب التخزين الذي تريد تأمينه.

2. حدد من قائمة الإعدادات المسماة الربط الشبكي.

3. تحقق من اختيارك للسماح بالوصول من الشبكات المحددة.

4. لمنح الوصول إلى شبكة ظاهرية مع قاعدة شبكة جديدة، ضمن الشبكات الظاهرية، حدد إضافة شبكة ظاهرية موجودة، وحدد الشبكات الظاهرية و الشبكات الفرعية، ثم حدد إضافة. لإنشاء شبكة ظاهرية جديدة ومنحها حق الوصول، حدد إضافة شبكة ظاهرية جديدة. قدم المعلومات اللازمة لإنشاء الشبكة الافتراضية الجديدة، ثم حدد إنشاء.

   ملاحظة

   إذا لم تُكَوَن نقطة نهاية الخدمة لـAzure Storage مسبقًا للشبكة الافتراضية والشبكات الفرعية المحددة، فيمكنك تكوينها كجزء من هذه العملية.

   في الوقت الحالي، تُعرَض الشبكات الافتراضية التي تنتمي إلى نفس مستأجر Microsoft Azure Active Directory فقط للاختيار أثناء إنشاء القواعد. لمنح الوصول إلى شبكة فرعية في شبكة افتراضية تخص مستأجرًا آخر، يرجى استخدام واجهات برمجة تطبيقات PowerShell أو CLI أو REST.

   حتى إذا قمت بتسجيل الميزة AllowGlobalTagsForStorageOnly، فلن تُعرَض الشبكات الفرعية في مناطق أخرى غير منطقة حساب التخزين أو منطقته المقترنة للاختيار. إذا كنت ترغب في تمكين الوصول إلى حساب التخزين خاصتك من شبكة ظاهرية/شبكة فرعية في منطقة مختلفة، فاستخدم الإرشادات الموجودة في علامات التبويب PowerShell أو Azure CLI.

5. لإزالة قاعدة شبكة ظاهرية أو شبكة فرعية، حدد ... لفتح قائمة السياق للشبكة الظاهرية أو الشبكة الفرعية، وحدد إزالة.

6. حدد حفظ لتطبيق التغييرات خاصتك.

PowerShell

1. ثبِّت Azure PowerShellوسجِّل الدخول.

2. قائمة قواعد الشبكة الظاهرية.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
   

3. تمكين نقطة نهاية الخدمة لتخزين Azure على شبكة افتراضية وشبكة فرعية موجودة.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzVirtualNetwork
   

4. إضافة قاعدة شبكة اتصال لشبكة ظاهرية وشبكة فرعية.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

   تلميح

   لإضافة قاعدة شبكة لشبكة فرعية في VNet تنتمي إلى مستأجر Azure AD آخر، استخدم معلمة VirtualNetworkResourceId مؤهلة بالكامل في النموذج "/ subscribions/subscription - ID/resourceGroups/resourceGroup - name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name ".

5. قم بإزالة قاعدة الشبكة للشبكة الافتراضية والشبكة الفرعية.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

هام

تأكد من تعيين القاعدة الافتراضية إلى رفض، أو أن قواعد الشبكة ليس لها أي تأثير.

Azure CLI

1. ثبِتAzure CLI و سجِل الدخول.

2. قائمة قواعد الشبكة الظاهرية.

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
   

3. تمكين نقطة نهاية الخدمة لتخزين Azure على شبكة افتراضية وشبكة فرعية موجودة.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
   

4. إضافة قاعدة شبكة اتصال لشبكة ظاهرية وشبكة فرعية.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

   تلميح

   لإضافة قاعدة لشبكة فرعية في VNet تنتمي إلى مستأجر Azure AD آخر, استخدم معرّف شبكة فرعية مؤهل بالكامل في النموذج "/subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>".

   يمكنك استخدام معلمة الاشتراك لاسترداد معرف الشبكة الفرعية لـVNet الذي ينتمي إلى مستأجر Azure AD آخر.

5. قم بإزالة قاعدة الشبكة للشبكة الافتراضية والشبكة الفرعية.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

هام

تأكد من تعيين القاعدة الافتراضية إلى رفض، أو أن قواعد الشبكة ليس لها أي تأثير.

منح حق الوصول من نطاق IP للإنترنت

يمكنك استخدام قواعد شبكة IP للسماح بالوصول من نطاقات عناوين IP عامة معينة عبر الإنترنت عن طريق إنشاء قواعد شبكة IP. يدعم كل حساب تخزين ما يصل إلى 200 قاعدة. وتمنح هذه القواعد إمكانية الوصول إلى خدمات محددة قائمة على الإنترنت وشبكات محلية وتحجب حركة المرور العامة على الإنترنت.

تنطبق القيود التالية على نطاقات عناوين IP.

• يسمح بقواعد شبكة IP فقط لعناوين الإنترنت العام IP.

  لا يُسمح لنطاقات عناوين IP المحجوزة للشبكات الخاصة (كما هو محدد في RFC 1918) في قواعد IP. تتضمن الشبكات الخاصة العناوين التي تبدأ بـ 10.** و 172.16. - * 172.31. و *192.168..

• يجب عليك توفير نطاقات عناوين الإنترنت المسموح بها باستخدام تدوين CIDR في النموذج 16.17.18.0/24 أو كعناوين IP فردية مثل 16.17.18.19 .

• نطاقات العناوين الصغيرة التي تستخدم أحجام البادئات "/ 31 "أو "/ 32" غير مدعومة. يجب تكوين هذه النطاقات باستخدام قواعد عنوان IP الفردية.

• تُدعَم عناوين IPV 4 فقط لتكوين قواعد جدار حماية التخزين.

لا يمكن استخدام قواعد شبكة IP في الحالات التالية:

• لتقييد الوصول إلى العملاء في نفس منطقة Azure مثل حساب التخزين.

  لا تؤثر قواعد شبكة IP على الطلبات الصادرة من نفس منطقة Azure مثل حساب التخزين. استخدم قواعد الشبكة الافتراضية للسماح بطلبات المنطقة نفسها.

• لتقييد الوصول إلى العملاء في منطقة مقترنة موجودة في VNet بها نقطة نهاية خدمة.

• لتقييد الوصول إلى خدمات Azure المنتشرة في نفس منطقة حساب التخزين.

  تستخدم الخدمات التي تُنشَر في نفس المنطقة مثل حساب التخزين عناوين IP الخاصة بـAzure للاتصال. وبالتالي، لا يمكنك تقييد الوصول إلى خدمات Azure محددة بناءً على نطاق عناوين IP العامة الصادرة.

تكوين الوصول من الشبكات المحلية

لمنح الوصول من شبكاتك المحلية إلى حساب التخزين خاصتك مع قاعدة شبكة IP، يجب عليك تحديد عناوين IP التي تواجه الإنترنت والتي تستخدمها شبكتك. اتصل بمسؤول الشبكة للحصول على المساعدة.

إذا كنت تستخدم ExpressRoute محليًا، للتقريب العام أو لنظير Microsoft، فستحتاج إلى تحديد عناوين IP الخاصة بـ NAT المستخدمة. بالنسبة إلى النظير العام، تستخدم كل دائرة ExpressRoute بشكل افتراضي عنواني IP NAT المطبقين على حركة مرور خدمة Azure عندما تدخل نسبة استخدام الشبكة في شبكة Microsoft Azure الأساسية. بالنسبة إلى نظير Microsoft، تُوَفَر عناوين IP الخاصة ب NAT المستخدمة إما للعميل أو يتم توفيرها من قبل موفر الخدمة. للسماح بالوصول إلى موارد الخدمة الخاصة بك، يجب أن تسمح لعناوين IP العامة هذه في إعداد جدار حماية IP للمورد. للعثور على عناوين IP لدائرة ExpressRoute العامة، افتح بطاقة دعم مع ExpressRoute عبر مدخل Microsoft Azure. اعرف المزيد عن NAT for ExpressRoute public و نظير Microsoft.

إدارة قواعد شبكة IP

يمكنك إدارة قواعد شبكة IP لحسابات التخزين من خلال مدخل Microsoft Azure أو PowerShell أو CLIv2.

المدخل

1. انتقل إلى حساب التخزين الذي تريد تأمينه.

2. حدد من قائمة الإعدادات المسماة الربط الشبكي.

3. تحقق من اختيارك للسماح بالوصول من الشبكات المحددة.

4. لمنح الوصول إلى نطاق IP للإنترنت، أدخل عنوان IP أو نطاق العنوان (بتنسيق CIDR) تحت جدار الحماية> نطاق العنوان.

5. لإزالة قاعدة شبكة IP، حدد رمز سلة المهملات بجوار نطاق العنوان.

6. حدد حفظ لتطبيق التغييرات الخاصة بك.

PowerShell

1. ثبِّت Azure PowerShellوسجِّل الدخول.

2. سرد قواعد شبكة IP.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
   

3. أضف قاعدة شبكة لعنوان IP فردي.

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

4. أضف قاعدة الشبكة لنطاق عنوان IP.

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

5. قم بإزالة قاعدة شبكة لعنوان IP فردي.

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

6. قم بإزالة قاعدة شبكة لنطاق عنوان IP.

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

هام

تأكد من تعيين القاعدة الافتراضية إلى رفض، أو أن قواعد الشبكة ليس لها أي تأثير.

Azure CLI

1. ثبِتAzure CLI و سجِل الدخول.

2. سرد قواعد شبكة IP.

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
   

3. أضف قاعدة شبكة لعنوان IP فردي.

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

4. أضف قاعدة الشبكة لنطاق عنوان IP.

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

5. قم بإزالة قاعدة شبكة لعنوان IP فردي.

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

6. قم بإزالة قاعدة شبكة لنطاق عنوان IP.

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

هام

تأكد من تعيين القاعدة الافتراضية إلى رفض، أو أن قواعد الشبكة ليس لها أي تأثير.

منح حق الوصول من مثيلات موارد Azure (معاينة)

في بعض الحالات، قد يعتمد التطبيق على موارد Azure التي لا يمكن عزلها من خلال شبكة ظاهرية أو قاعدة عنوان IP. ومع ذلك، لا تزال ترغب في تأمين وتقييد الوصول إلى حساب التخزين إلى موارد Azure الخاصة بتطبيقك فقط. يمكنك تكوين حسابات التخزين للسماح بالوصول إلى مثيلات موارد محددة لبعض خدمات Azure من خلال إنشاء قاعدة مثيل الموارد.

تُحَدَد أنواع العمليات التي يمكن أن تجريها حالة المورد على بيانات حساب التخزين بواسطة تعيينات دور Azure الخاصة بحالة المورد. يجب أن تكون مثيلات الموارد من نفس المستأجر مثل حساب التخزين خاصتك، ولكنها يمكن أن تنتمي إلى أي اشتراك في المستأجر.

ملاحظة

هذه الميزة في معاينة عامة ومتوفرة في جميع مناطق السحابة العامة.

المدخل

يمكنك إضافة أو إزالة قواعد شبكة الموارد في مدخل Microsoft Azure.

1. وللبدء، يتعين تسجيل الدخول أولاً إلى ⁧⁩مدخل Azure⁧⁩.

2. حدد موقع حساب التخزين الخاص بك وعرض نظرة عامة على الحساب.

3. حدد الربط الشبكي لعرض صفحة التكوين للشبكة.

4. ضمن جدران الحماية والشبكات الظاهرية، للشبكات المحددة، حدد للسماح بالوصول.

5. مرر لأسفل للعثور على مثيلات الموارد، وفي القائمة المدرجة نوع المورد، اختر نوع المورد لمثيل الموارد خاصتك.

6. في القائمة المندرجة اسم المثيل، اختر مثيل المورد. يمكنك أيضًا اختيار تضمين جميع مثيلات الموارد في المستأجر النشط أو الاشتراك أو مجموعة الموارد.

7. حدد حفظ لتطبيق التغييرات الخاصة بك. يظهر مثيل المورد في قسم مثيلات الموارد في صفحة إعدادات الشبكة.

لإزالة مثيل المورد، حدد أيقونة الحذف () بجوار مثيل المورد.

PowerShell

يمكنك استخدام أوامر PowerShell لإضافة أو إزالة قواعد شبكة الموارد.

هام

تأكد من تعيين القاعدة الافتراضية إلى رفض، أو أن قواعد الشبكة ليس لها أي تأثير.

تثبيت وحدة المعاينة

ثبِت أحدث إصدار من وحدة PowerhellGet. ثم أغلق وحدة تحكم PowerShell وأعد فتحها.

install-Module PowerShellGet –Repository PSGallery –Force  

ثبِت وحدة معاينة Az. Storage.

Install-Module Az.Storage -Repository PsGallery -RequiredVersion 3.0.1-preview -AllowClobber -AllowPrerelease -Force 

لمزيد من المعلومات حول كيفية تثبيت وحدات PowerShell، راجع تثبيت وحدة Azure PowerShell

منح حق الوصول

أضف قاعدة الشبكة التي تمنح الوصول من مثيل المورد.

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

حدد العديد من مثيلات الموارد في وقت واحد عن طريق تعديل مجموعة قواعد الشبكة.

$resourceId1 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$resourceId2 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/mySQLServer"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule (@{ResourceId=$resourceId1;TenantId=$tenantId},@{ResourceId=$resourceId2;TenantId=$tenantId}) 

إزالة الوصول

قم بإزالة قاعدة الشبكة التي تمنح الوصول من مثيل المورد.

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Remove-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId  

قم بإزالة جميع قواعد الشبكة التي تمنح الوصول من مثيلات الموارد.

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule @()  

عرض قائمة بالمثيلات المسموح بها للموارد

عرض قائمة كاملة من مثيلات الموارد التي تم منحها الوصول إلى حساب التخزين.

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

$rule = Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName
$rule.ResourceAccessRules 

Azure CLI

يمكنك استخدام أوامر واجهة سطر الأوامر Azure لإضافة أو إزالة قواعد شبكة الموارد.

تثبيت ملحق المعاينة

1. افتح Azure Cloud Shell، أو إذا قمت بتثبيت واجهة سطر الأوامر Azure محليًا، افتح تطبيق وحدة تحكم الأوامر مثل Windows PowerShell.

2. بعد ذلك، تحقق من أن إصدار واجهة سطر الأوامر Azure الذي ثبته هو 2.13.0 أو أعلى باستخدام الأمر التالي.

   az --version
   

   إذا كان إصدار Azure CLI الخاص بك أقل من 2.13.0، فقم بتثبيت إصدار أحدث. راجع Install the Azure CLI.

3. اكتب الأمر التالي لتثبيت ملحق المعاينة.

   az extension add -n storage-preview
   

منح حق الوصول

أضف قاعدة الشبكة التي تمنح الوصول من مثيل المورد.

az storage account network-rule add \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

إزالة الوصول

قم بإزالة قاعدة الشبكة التي تمنح الوصول من مثيل المورد.

az storage account network-rule remove \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

عرض قائمة بالمثيلات المسموح بها للموارد

عرض قائمة كاملة من مثيلات الموارد التي تم منحها الوصول إلى حساب التخزين.

az storage account network-rule list \
    -g myResourceGroup \
    --account-name mystorageaccount

منح الوصول إلى خدمات Azure الموثوقة

تعمل بعض خدمات Azure من شبكات لا يمكن تضمينها في قواعد الشبكة خاصتك. يمكنك منح مجموعة فرعية من خدمات Azure الموثوقة الوصول إلى حساب التخزين، مع الحفاظ على قواعد الشبكة للتطبيقات الأخرى. ستستخدم هذه الخدمات الموثوقة بعد ذلك مصادقة قوية للاتصال بأمان بحساب التخزين خاصتك.

يمكنك منح الوصول إلى خدمات Azure الموثوقة عن طريق إنشاء استثناء قاعدة الشبكة. للحصول على إرشادات خطوة بخطوة، راجع قسم إدارة الاستثناءات من هذه المقالة.

عند منحك حق الوصول إلى خدمات Azure الموثوقة، فإنك تمنح الأنواع التالية من حق الوصول:

• وصول موثوق به لعمليات محددة إلى الموارد المسجلة في اشتراكك.
• الوصول الموثوق إلى الموارد بناءً على الهوية المدارة.

وصول موثوق للموارد المسجلة في اشتراكك

يمكن لموارد بعض الخدمات، عند تسجيلها في اشتراكك، الوصول إلى حساب التخزين خاصتك في نفس الاشتراك لعمليات محددة، مثل سجلات الكتابة أو النسخ الاحتياطي. يُبين الجدول التالي كل خدمة والعمليات المسموح بها.

الخدمة	اسم موفر الموارد	العمليات المسموح بها
Azure Backup	Microsoft.RecoveryServices	شغِل النسخ الاحتياطية واستعادة الأقراص غير المدارة في أجهزة IAAS الظاهرية. (غير مطلوب للأقراص المدارة). تعرف على المزيد.
Azure Data Box	Microsoft.DataBox	تمكين استيراد البيانات إلى Azure باستخدام Data Box. تعرف على المزيد.
مختبرات Azure DevTest	Microsoft.DevTestLab	إنشاء نسخة مخصصة وتثبيت الأدوات. تعرف على المزيد.
Azure Event Grid	Microsoft.EventGrid	تمكين نشر حدث تخزين كائن ثنائي كبير الحجم والسماح لشبكة الأحداث بالنشر إلى قوائم انتظار التخزين. تعرف على أحداث التخزين و النشر في قوائم الانتظار.
مراكز أحداث Azure	⁧⁩Microsoft.EventHub⁧⁩	أرشفة البيانات باستخدام التقاط مراكز الأحداث. ⁧⁩تعرّف على المزيد⁧⁩.
Azure File Sync	Microsoft.StorageSync	يمكّنك من تحويل خادم الملف المسبق إلى ذاكرة تخزين مؤقت لمشاركات ملف Azure. السماح بالمزامنة متعددة المواقع، والإصلاح بعد كارثة سريع، والنسخ الاحتياطي على الجانب السحابي. معرفة المزيد
Azure HDInsight	Microsoft.HDInsight	توفير المحتويات الأولية لنظام الملفات الافتراضي لمجموعة HDInsight جديدة. تعرف على المزيد.
Azure Import Export	Microsoft.ImportExport	تمكين استيراد البيانات إلى Azure Storage أو تصدير البيانات من Azure Storage باستخدام خدمة استيراد/تصدير Azure Storage. تعرف على المزيد.
Azure Monitor	Microsoft.Insights	يسمح بكتابة بيانات المراقبة إلى حساب تخزين آمن، بما في ذلك سجلات الموارد وسجلات تسجيل الدخول والتدقيق في Azure Active Directory وسجلات Microsoft Intune. تعرف على المزيد.
شبكة Azure	Microsoft.Network	تخزين وتحليل سجلات نسبة استخدام الشبكة، بما في ذلك من خلال خدمات مراقب الشبكة وتحليلات نسبة استخدام الشبكة. تعرف على المزيد.
استرداد موقع Azure	Microsoft.SiteRecovery	تمكين النسخ المتماثل للإصلاح بعد كارثة للأجهزة الظاهرية Azure IaaS عند استخدام ذاكرة التخزين المؤقت أو المصدر أو حسابات التخزين المستهدفة التي تم تمكين جدار الحماية لها. تعرف على المزيد.

الوصول الموثوق به استنادًا إلى هوية مدارة

يسرد الجدول التالي الخدمات التي يمكنها الوصول إلى بيانات حساب التخزين خاصتك إذا تم منح مثيلات الموارد لهذه الخدمات الإذن المناسب.

إذا لم يكن حسابك يحتوي على ميزة مساحة الأسماء الهرمية الممكنة عليه، فيمكنك منح الإذن، عن طريق تعيين دور Azure صراحة إلى الهوية المدارة لكل مثيل مورد. في هذه الحالة، يتوافق نطاق الوصول للمثيل مع دور Azure المعين للهوية المُدارة.

يمكنك استخدام نفس الأسلوب لحساب تم تمكين ميزة مساحة الأسماء الهرمية عليه. ومع ذلك، لن تحتاج إلى تعيين دور Azure إذا قمت بإضافة الهوية المدارة إلى قائمة التحكم في الوصول (ACL) لأي دليل أو كائن ثنائي كبير الحجم مضمن في حساب التخزين. في هذه الحالة، يتوافق نطاق الوصول للمثيل مع الدليل أو الملف الذي تم منح الهوية المدارة حق الوصول إليه. يمكنك أيضًا دمج أدوار Azure وقوائم التحكم في الوصول معًا. لمعرفة المزيد حول كيفية دمجها معاً لمنح حق الوصول، راجع نموذج التحكم في الوصول في Azure Data Lake Storage Gen2.

تلميح

الطريقة الموصى بها لمنح حق الوصول إلى موارد محددة هي استخدام قواعد مثيل الموارد. لمنح حق الوصول إلى مثيلات موارد معينة، راجع القسم منح حق الوصول من مثيلات موارد Azure (معاينة) من هذه المقالة.

الخدمة	اسم موفر الموارد	الغرض
Azure لادارة واجهة برمجة التطبيقات API	⁧⁩⁧⁩Microsoft.ApiManagement/service⁧⁩⁧⁩	تمكين خدمة إدارة واجهة برمجة التطبيقات من الوصول إلى حسابات التخزين خلف جدار الحماية باستخدام النهج. تعرف على المزيد.
ذاكرة التخزين المؤقت في Azure لـ Redis	Microsoft.Cache/Redis	يسمح بالوصول إلى حسابات التخزين من خلال ذاكرة التخزين المؤقت لدى Azure Redis. معرفة المزيد
Azure للبحث المعرفي	Microsoft.Search/searchServices	تمكين خدمات البحث المعرفي من الوصول إلى حسابات التخزين للفهرسة والمعالجة والاستعلام.
خدمات Azure المعرفية	Microsoft.CognitiveService/accounts	تمكين الخدمات المعرفية من الوصول إلى حسابات التخزين. تعرف على المزيد.
مهام تسجيل حاوية Azure	Microsoft.ContainerRegistry/registries	يستطيع ACR Tasks الوصول إلى حسابات التخزين عند إنشاء صور الحاويات.
Azure Data Factory	Microsoft.DataFactory/factories	يسمح بالوصول إلى حسابات التخزين من خلال وقت تشغيل ADF.
مشاركة بيانات Azure	⁧⁩Microsoft.DataShare/accounts⁧⁩	يسمح بالوصول إلى حسابات التخزين من خلال مشاركة البيانات.
مختبرات Azure DevTest	Microsoft.DevTestLab/labs	يسمح بالوصول إلى حسابات التخزين من خلال مختبرات DevTest.
Azure Event Grid	Microsoft.EventGrid/topics	يسمح بالوصول إلى حسابات التخزين من خلال شبكة أحداث Azure.
واجهات برمجة تطبيقات الرعاية الصحية من Azure	Microsoft.HealthcareApis/services	يسمح بالوصول إلى حسابات التخزين من خلال واجهات برمجة تطبيقات Azure Healthcare.
تطبيقات Azure IoT Central	Microsoft.IoTCentral/IoTApps	يسمح بالوصول إلى حسابات التخزين من خلال تطبيقات Azure IoT المركزية.
Azure IoT Hub	Microsoft.Devices/IotHubs	يسمح بكتابة البيانات من مركز إنترنت الأشياء إلى وحدة تخزين كائن ثنائي كبير الحجم. معرفة المزيد
التطبيقات المنطقية لدى Azure	Microsoft.Logic/workflows	تمكين التطبيقات المنطقية من الوصول إلى حسابات التخزين. تعرف على المزيد.
خدمة Azure Machine Learning	Microsoft.MachineLearningServices	تقوم مساحات عمل Azure التعلم الآلي المعتمدة بكتابة مخرجات التجربة والنماذج والسجلات إلى وحدة تخزين كائن ثنائي كبير الحجم و قراءة البيانات. تعرف على المزيد.
خدمات الوسائط Azure	Microsoft.Media/mediaservices	يسمح بالوصول إلى حسابات التخزين من خلال خدمات الوسائط.
Azure Migrate	Microsoft.Migrate/migrateprojects	يسمح بالوصول إلى حسابات التخزين من خلال Azure Migrate.
Microsoft Purview	Microsoft.Purview/accounts	يسمح لـMicrosoft Purview بالوصول إلى حسابات التخزين.
Azure Remote Rendering	Microsoft.MixedReality/remoteRenderingAccounts	يسمح بالوصول إلى حسابات التخزين من خلال العرض عن بعد.
استرداد موقع Azure	⁧⁩⁧⁩Microsoft.RecoveryServices/vaults⁧⁩⁧⁩	يسمح بالوصول إلى حسابات التخزين من خلال استرداد الموقع.
قاعدة بيانات Azure SQL	Microsoft.Sql	يسمح بكتابة بيانات التدقيق لتخزين الحسابات خلف جدار الحماية.
تحليلات Azure Synapse	Microsoft.Sql	يسمح باستيراد وتصدير البيانات من قواعد بيانات SQL محددة باستخدام عبارة COPY أو PolyBase (في تجمع مخصص) أو وظيفة openrowset والجداول الخارجية في تجمع بلا خادم. تعرف على المزيد.
Azure Stream Analytics	Microsoft.StreamAnalytics	يسمح بكتابة البيانات من مهمة بث إلى تخزين كائن ثنائي كبير الحجم. تعرف على المزيد.
تحليلات Azure Synapse	Microsoft.Synapse/workspaces	تمكين الوصول إلى البيانات في Azure Storage من Azure Synapse Analytics.

منح حق الوصول إلى تحليلات التخزين

في بعض الحالات، يكون الوصول إلى سجلات الموارد المقروءة والمقاييس مطلوبًا من خارج حدود الشبكة. عند تكوين وصول الخدمات الموثوق بها إلى حساب التخزين، يمكنك السماح بالوصول للقراءة لملفات السجل أو جداول المقاييس أو كليهما عن طريق إنشاء استثناء لقاعدة الشبكة. للحصول على إرشادات خطوة بخطوة، راجع قسم إدارة الاستثناءات أدناه. لمعرفة المزيد حول العمل مع تحليلات التخزين، راجع استخدام تحليلات تخزين Azure لجمع بيانات السجلات والمقاييس.

إدارة الاستثناءات

يمكنك إدارة استثناءات قواعد الشبكة من خلال مدخل Microsoft Azure أو PowerShell أو Azure CLI v2.

المدخل

1. انتقل إلى حساب التخزين الذي تريد تأمينه.

2. حدد من قائمة الإعدادات المسماة الربط الشبكي.

3. تحقق من اختيارك للسماح بالوصول من الشبكات المحددة.

4. ضمن الاستثناءات، حدد الاستثناءات التي ترغب في منحها.

5. حدد حفظ لتطبيق التغييرات الخاصة بك.

PowerShell

1. ثبِّت Azure PowerShellوسجِّل الدخول.

2. اعرض الاستثناءات الخاصة بقواعد شبكة حساب التخزين.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
   

3. كوِن الاستثناءات لقواعد شبكة حساب التخزين.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
   

4. قم بإزالة الاستثناءات من قواعد شبكة حساب التخزين.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
   

هام

تأكد من تعيين القاعدة الافتراضيةرفض أو إزالة الاستثناءات ليس لها أي تأثير.

Azure CLI

1. ثبِتAzure CLI و سجِل الدخول.

2. اعرض الاستثناءات الخاصة بقواعد شبكة حساب التخزين.

   az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
   

3. كوِن الاستثناءات لقواعد شبكة حساب التخزين.

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
   

4. قم بإزالة الاستثناءات من قواعد شبكة حساب التخزين.

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
   

هام

تأكد من تعيين القاعدة الافتراضيةرفض أو إزالة الاستثناءات ليس لها أي تأثير.

الخطوات التالية

تعرف على المزيد حول نقاط نهاية خدمة شبكة Azure في نقاط نهاية الخدمة.

تعمق أكثر في أمان Azure Storage في دليل أمان Azure Storage.