Role, oprávnění a zabezpečení v Azure MonitorRoles, permissions, and security in Azure Monitor

Poznámka

Tento článek je aktualizovaný a využívá nový modul Az Azure PowerShellu.This article has been updated to use the new Azure PowerShell Az module. Můžete dál využívat modul AzureRM, který bude dostávat opravy chyb nejméně do prosince 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Další informace o kompatibilitě nového modulu Az a modulu AzureRM najdete v tématu Seznámení s novým modulem Az Azure PowerShellu.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pokyny k instalaci modulu Az najdete v tématu věnovaném instalaci Azure PowerShellu.For Az module installation instructions, see Install Azure PowerShell.

Mnoho týmů potřebuje výhradně regulovat přístup k datům a nastavením monitorování.Many teams need to strictly regulate access to monitoring data and settings. Například pokud máte členy týmu, kteří pracují výhradně na monitorování (technické podpory, DevOps technici) nebo pokud používáte poskytovatele spravované služby, můžete jim udělit přístup pouze k monitorování dat a omezit jejich schopnost vytvářet, upravovat nebo Odstraňte prostředky.For example, if you have team members who work exclusively on monitoring (support engineers, DevOps engineers) or if you use a managed service provider, you may want to grant them access to only monitoring data while restricting their ability to create, modify, or delete resources. Tento článek ukazuje, jak rychle použít integrovanou roli RBAC pro monitorování pro uživatele v Azure nebo vytvořit vlastní roli pro uživatele, který potřebuje omezená oprávnění monitorování.This article shows how to quickly apply a built-in monitoring RBAC role to a user in Azure or build your own custom role for a user who needs limited monitoring permissions. Pak popisuje bezpečnostní požadavky pro vaše prostředky související s Azure Monitor a způsob, jakým můžete omezit přístup k datům, která obsahují.It then discusses security considerations for your Azure Monitor-related resources and how you can limit access to the data they contain.

Předdefinované role monitorováníBuilt-in monitoring roles

Předdefinované role Azure Monitor jsou navržené tak, aby lépe omezily přístup k prostředkům v rámci předplatného, a zároveň umožňují uživatelům, kteří zodpovídají za monitorování infrastruktury, získat a nakonfigurovat potřebná data.Azure Monitor’s built-in roles are designed to help limit access to resources in a subscription while still enabling those responsible for monitoring infrastructure to obtain and configure the data they need. Azure Monitor poskytuje dvě předem připravené role: čtečku monitorování a přispěvatel monitorování.Azure Monitor provides two out-of-the-box roles: A Monitoring Reader and a Monitoring Contributor.

Čtečka monitorováníMonitoring Reader

Lidé, kteří mají přiřazenou roli Čtenář monitorování, můžou zobrazit všechna data monitorování v rámci předplatného, ale nemůžou upravovat žádné prostředky ani upravovat žádná nastavení související s monitorováním prostředků.People assigned the Monitoring Reader role can view all monitoring data in a subscription but cannot modify any resource or edit any settings related to monitoring resources. Tato role je vhodná pro uživatele v organizaci, jako je například podpora nebo provozní technici, kteří potřebují mít tyto možnosti:This role is appropriate for users in an organization, such as support or operations engineers, who need to be able to:

  • Zobrazení řídicích panelů pro monitorování na portálu a vytváření vlastních privátních řídicích panelů pro monitorování.View monitoring dashboards in the portal and create their own private monitoring dashboards.
  • Zobrazit pravidla výstrah definovaná v upozorněních AzureView alert rules defined in Azure Alerts
  • Dotaz na metriky pomocí Azure Monitor REST API, rutin prostředí PowerShellnebo rozhraní příkazového řádku pro více platforem.Query for metrics using the Azure Monitor REST API, PowerShell cmdlets, or cross-platform CLI.
  • Pomocí portálu Azure Monitor REST API, rutiny PowerShellu nebo rozhraní příkazového řádku pro více platforem dotazování protokolu aktivit.Query the Activity Log using the portal, Azure Monitor REST API, PowerShell cmdlets, or cross-platform CLI.
  • Zobrazit nastavení diagnostiky pro prostředek.View the diagnostic settings for a resource.
  • Zobrazit Profil protokolu pro předplatné.View the log profile for a subscription.
  • Zobrazit nastavení automatického škálování.View autoscale settings.
  • Zobrazit aktivitu a nastavení výstrahView alert activity and settings.
  • Přístup k datům Application Insights a zobrazení dat v nástroji AI Analytics.Access Application Insights data and view data in AI Analytics.
  • Vyhledejte Log Analytics data pracovního prostoru, včetně údajů o využití pro pracovní prostor.Search Log Analytics workspace data including usage data for the workspace.
  • Zobrazení Log Analytics skupin pro správu.View Log Analytics management groups.
  • Načtěte schéma hledání v pracovním prostoru Log Analytics.Retrieve the search schema in Log Analytics workspace.
  • Vypíše sady monitorování v pracovním prostoru Log Analytics.List monitoring packs in Log Analytics workspace.
  • Načte a spustí uložená hledání v pracovním prostoru Log Analytics.Retrieve and execute saved searches in Log Analytics workspace.
  • Načtěte konfiguraci úložiště Log Analytics pracovního prostoru.Retrieve the Log Analytics workspace storage configuration.

Poznámka

Tato role neuděluje oprávnění ke čtení pro data protokolu, která byla streamovaná do centra událostí nebo uložená v účtu úložiště.This role does not give read access to log data that has been streamed to an event hub or stored in a storage account. Informace o konfiguraci přístupu k těmto prostředkům najdete níže .See below for information on configuring access to these resources.

Přispěvatel monitorováníMonitoring Contributor

Lidé, kteří mají přiřazenou roli Přispěvatel monitorování, můžou zobrazit všechna data monitorování v rámci předplatného a vytvářet nebo upravovat nastavení monitorování, ale nemůžou upravovat žádné další prostředky.People assigned the Monitoring Contributor role can view all monitoring data in a subscription and create or modify monitoring settings, but cannot modify any other resources. Tato role je nadmnožinou role čtenář monitorování a je vhodná pro členy týmového týmu nebo poskytovatelů spravovaných služeb, kteří kromě výše uvedených oprávnění potřebují také:This role is a superset of the Monitoring Reader role, and is appropriate for members of an organization’s monitoring team or managed service providers who, in addition to the permissions above, also need to be able to:

  • Publikujte řídicí panely monitorování jako sdílený řídicí panel.Publish monitoring dashboards as a shared dashboard.
  • Nastavení diagnostiky pro prostředek.*Set diagnostic settings for a resource.*
  • Nastavte Profil protokolu pro předplatné.*Set the log profile for a subscription.*
  • Nastavení aktivity a nastavení pravidel upozornění prostřednictvím výstrah AzureSet alert rules activity and settings via Azure Alerts.
  • Vytvoření Application Insights webové testy a součásti.Create Application Insights web tests and components.
  • Vypíše Log Analytics sdílené klíče pracovního prostoru.List Log Analytics workspace shared keys.
  • Povolte nebo zakažte sady monitorování v pracovním prostoru Log Analytics.Enable or disable monitoring packs in Log Analytics workspace.
  • Vytváření a odstraňování a spouštění uložených hledání v pracovním prostoru Log Analytics.Create and delete and execute saved searches in Log Analytics workspace.
  • Vytvořte a odstraňte konfiguraci úložiště Log Analytics pracovního prostoru.Create and delete the Log Analytics workspace storage configuration.

aby bylo možné nastavit profil protokolu nebo nastavení diagnostiky, musí mít uživatel *také samostatně udělené oprávnění klíče listkey pro cílový prostředek (účet úložiště nebo obor názvů centra událostí).*user must also separately be granted ListKeys permission on the target resource (storage account or event hub namespace) to set a log profile or diagnostic setting.

Poznámka

Tato role neuděluje oprávnění ke čtení pro data protokolu, která byla streamovaná do centra událostí nebo uložená v účtu úložiště.This role does not give read access to log data that has been streamed to an event hub or stored in a storage account. Informace o konfiguraci přístupu k těmto prostředkům najdete níže .See below for information on configuring access to these resources.

Oprávnění monitorování a vlastní role RBACMonitoring permissions and custom RBAC roles

Pokud výše uvedené předdefinované role nevyhovují přesně vašim potřebám vašeho týmu, můžete vytvořit vlastní roli RBAC s podrobnějšími oprávněními.If the above built-in roles don’t meet the exact needs of your team, you can create a custom RBAC role with more granular permissions. Níže jsou uvedené běžné operace Azure Monitor RBAC s jejich popisy.Below are the common Azure Monitor RBAC operations with their descriptions.

OperaceOperation PopisDescription
Microsoft. Insights/ActionGroups/[čtení, zápis, odstranění]Microsoft.Insights/ActionGroups/[Read, Write, Delete] Skupiny akcí čtení, zápisu a odstranění.Read/write/delete action groups.
Microsoft. Insights/Upozorněníprotokoluaktivit/[čtení, zápis, odstranění]Microsoft.Insights/ActivityLogAlerts/[Read, Write, Delete] Čtení, zápis a odstraňování výstrah protokolu aktivit.Read/write/delete activity log alerts.
Microsoft. Insights/AlertRules/[čtení, zápis, odstranění]Microsoft.Insights/AlertRules/[Read, Write, Delete] Pravidla upozornění pro čtení, zápis a odstranění (z klasických výstrah).Read/write/delete alert rules (from alerts classic).
Microsoft.Insights/AlertRules/Incidents/ReadMicrosoft.Insights/AlertRules/Incidents/Read Vypíše incidenty (historii aktivovaného pravidla výstrahy) pro pravidla upozornění.List incidents (history of the alert rule being triggered) for alert rules. To platí jenom pro portál.This only applies to the portal.
Microsoft. Insights/AutoscaleSettings/[čtení, zápis, odstranění]Microsoft.Insights/AutoscaleSettings/[Read, Write, Delete] Nastavení automatického škálování pro čtení, zápis a odstraněníRead/write/delete autoscale settings.
Microsoft. Insights/DiagnosticSettings/[čtení, zápis, odstranění]Microsoft.Insights/DiagnosticSettings/[Read, Write, Delete] Nastavení diagnostiky pro čtení, zápis a odstraněníRead/write/delete diagnostic settings.
Microsoft.Insights/EventCategories/ReadMicrosoft.Insights/EventCategories/Read Umožňuje zobrazit výčet všech kategorií v protokolu aktivit.Enumerate all categories possible in the Activity Log. Použito Azure Portal.Used by the Azure portal.
Microsoft.Insights/eventtypes/digestevents/ReadMicrosoft.Insights/eventtypes/digestevents/Read Toto oprávnění je nezbytné pro uživatele, kteří potřebují přístup k protokolům aktivit prostřednictvím portálu.This permission is necessary for users who need access to Activity Logs via the portal.
Microsoft. Insights/EventTypes/Values/ReadMicrosoft.Insights/eventtypes/values/Read Vypíše události protokolu aktivit (události správy) v předplatném.List Activity Log events (management events) in a subscription. Toto oprávnění platí pro programový i portálový přístup k protokolu aktivit.This permission is applicable to both programmatic and portal access to the Activity Log.
Microsoft. Insights/ExtendedDiagnosticSettings/[čtení, zápis, odstranění]Microsoft.Insights/ExtendedDiagnosticSettings/[Read, Write, Delete] Nastavení diagnostiky pro čtení, zápis a odstranění pro protokoly toku sítě.Read/write/delete diagnostic settings for network flow logs.
Microsoft. Insights/LogDefinitions/ReadMicrosoft.Insights/LogDefinitions/Read Toto oprávnění je nezbytné pro uživatele, kteří potřebují přístup k protokolům aktivit prostřednictvím portálu.This permission is necessary for users who need access to Activity Logs via the portal.
Microsoft. Insights/LogProfiles/[čtení, zápis, odstranění]Microsoft.Insights/LogProfiles/[Read, Write, Delete] Profily protokolů pro čtení, zápis a odstranění (streamování protokolů aktivit do centra událostí nebo účtu úložiště).Read/write/delete log profiles (streaming Activity Log to event hub or storage account).
Microsoft. Insights/MetricAlerts/[čtení, zápis, odstranění]Microsoft.Insights/MetricAlerts/[Read, Write, Delete] Čtení, zápis a odstraňování pro výstrahy metriky téměř v reálném časeRead/write/delete near real-time metric alerts
Microsoft. Insights/MetricDefinitions/ReadMicrosoft.Insights/MetricDefinitions/Read Čtení definic metriky (seznam dostupných typů metrik pro prostředek).Read metric definitions (list of available metric types for a resource).
Microsoft. Insights/metriky/čístMicrosoft.Insights/Metrics/Read Načte metriky pro prostředek.Read metrics for a resource.
Microsoft. Insights/registr/ActionMicrosoft.Insights/Register/Action Zaregistrujte poskytovatele prostředků Azure Monitor.Register the Azure Monitor resource provider.
Microsoft. Insights/ScheduledQueryRules/[čtení, zápis, odstranění]Microsoft.Insights/ScheduledQueryRules/[Read, Write, Delete] Výstrahy protokolu čtení, zápisu a odstraňování v Azure Monitor.Read/write/delete log alerts in Azure Monitor.

Poznámka

Přístup k výstrahám, nastavení diagnostiky a metrikám prostředku vyžaduje, aby měl uživatel oprávnění ke čtení pro daný typ prostředku a rozsah daného prostředku.Access to alerts, diagnostic settings, and metrics for a resource requires that the user has Read access to the resource type and scope of that resource. Vytvoření ("zápisu") nastavení diagnostiky nebo profil protokolu, který archivuje do účtu úložiště nebo datových proudů do centra událostí vyžaduje, aby uživatel měl také oprávnění klíče listkey k cílovému prostředku.Creating (“write”) a diagnostic setting or log profile that archives to a storage account or streams to event hubs requires the user to also have ListKeys permission on the target resource.

Například pomocí výše uvedené tabulky můžete vytvořit vlastní roli RBAC pro "čtecí modul protokolu aktivit" takto:For example, using the above table you could create a custom RBAC role for an “Activity Log Reader” like this:

$role = Get-AzRoleDefinition "Reader"
$role.Id = $null
$role.Name = "Activity Log Reader"
$role.Description = "Can view activity logs."
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Insights/eventtypes/*")
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/mySubscription")
New-AzRoleDefinition -Role $role 

Otázky zabezpečení pro monitorování datSecurity considerations for monitoring data

Data monitorování – zejména soubory protokolů – můžou obsahovat citlivé informace, jako jsou IP adresy nebo uživatelská jména.Monitoring data—particularly log files—can contain sensitive information, such as IP addresses or user names. Data monitorování z Azure se nachází ve třech základních formulářích:Monitoring data from Azure comes in three basic forms:

  1. Protokol aktivit, který popisuje všechny akce na úrovni ovládacího prvku na vašem předplatném Azure.The Activity Log, which describes all control-plane actions on your Azure subscription.
  2. protokoly prostředků, které jsou protokoly emitované prostředkem.resource logs, which are logs emitted by a resource.
  3. Metriky, které jsou vygenerovány prostředky.Metrics, which are emitted by resources.

Všechny tři tyto datové typy můžou být uložené v účtu úložiště nebo streamované do centra událostí, z nichž obě jsou prostředky Azure pro obecné účely.All three of these data types can be stored in a storage account or streamed to Event Hub, both of which are general-purpose Azure resources. Vzhledem k tomu, že se jedná o prostředky pro obecné účely, vytváření, odstraňování a přístup k nim jsou privilegované operace rezervované pro správce.Because these are general-purpose resources, creating, deleting, and accessing them is a privileged operation reserved for an administrator. Doporučujeme použít následující postupy pro prostředky související se sledováním, abyste zabránili zneužití:We suggest that you use the following practices for monitoring-related resources to prevent misuse:

  • Pro data monitorování použijte jeden vyhrazený účet úložiště.Use a single, dedicated storage account for monitoring data. Pokud potřebujete data monitorování rozdělit do několika účtů úložiště, nikdy nesdílejte využití účtu úložiště mezi monitorováním a nemonitorovanými daty, protože to může nechtěně poskytnout uživatelům, kteří potřebují jenom přístup k datům monitorování (například SIEM třetí strany). přístup k datům, která nejsou sledovánaIf you need to separate monitoring data into multiple storage accounts, never share usage of a storage account between monitoring and non-monitoring data, as this may inadvertently give those who only need access to monitoring data (for example, a third-party SIEM) access to non-monitoring data.
  • V rámci všech nastavení diagnostiky použijte jeden vyhrazený Service Bus nebo obor názvů centra událostí.Use a single, dedicated Service Bus or Event Hub namespace across all diagnostic settings for the same reason as above.
  • Omezte přístup k účtům úložiště nebo centrům událostí souvisejícím s monitorováním, a to tak, že je zachováte v samostatné skupině prostředků, a pokud chcete omezit přístup jenom na tuto skupinu prostředků, použijte rozsah rolí monitorování.Limit access to monitoring-related storage accounts or event hubs by keeping them in a separate resource group, and use scope on your monitoring roles to limit access to only that resource group.
  • Nikdy udělte oprávnění klíče listkey pro účty úložiště nebo centra událostí v oboru předplatného, když uživatel potřebuje přístup k datům monitorování.Never grant the ListKeys permission for either storage accounts or event hubs at subscription scope when a user only needs access to monitoring data. Místo toho udělte uživatelům tato oprávnění v rámci prostředku nebo skupiny prostředků (Pokud máte vyhrazený rozsah skupiny prostředků monitorování).Instead, give these permissions to the user at a resource or resource group (if you have a dedicated monitoring resource group) scope.

Pokud uživatel nebo aplikace potřebuje přístup k datům monitorování v účtu úložiště, měli byste vygenerovat SAS účtu v účtu úložiště, který obsahuje data monitorování s přístupem jen pro čtení na úrovni služby k úložišti objektů BLOB.When a user or application needs access to monitoring data in a storage account, you should generate an Account SAS on the storage account that contains monitoring data with service-level read-only access to blob storage. V PowerShellu to může vypadat takto:In PowerShell, this might look like:

$context = New-AzStorageContext -ConnectionString "[connection string for your monitoring Storage Account]"
$token = New-AzStorageAccountSASToken -ResourceType Service -Service Blob -Permission "rl" -Context $context

Token pak můžete předat entitě, která musí číst z daného účtu úložiště, a může vypisovat a číst ze všech objektů BLOB v tomto účtu úložiště.You can then give the token to the entity that needs to read from that storage account, and it can list and read from all blobs in that storage account.

Případně, pokud potřebujete řídit toto oprávnění pomocí RBAC, můžete této entitě udělit oprávnění Microsoft. Storage/storageAccounts/klíče listkey/Action na daném účtu úložiště.Alternatively, if you need to control this permission with RBAC, you can grant that entity the Microsoft.Storage/storageAccounts/listkeys/action permission on that particular storage account. To je nezbytné pro uživatele, kteří potřebují mít možnost nastavit diagnostické nastavení nebo profil protokolu k archivaci na účet úložiště.This is necessary for users who need to be able to set a diagnostic setting or log profile to archive to a storage account. Můžete například vytvořit následující vlastní roli RBAC pro uživatele nebo aplikaci, které musí číst pouze z jednoho účtu úložiště:For example, you could create the following custom RBAC role for a user or application that only needs to read from one storage account:

$role = Get-AzRoleDefinition "Reader"
$role.Id = $null
$role.Name = "Monitoring Storage Account Reader"
$role.Description = "Can get the storage account keys for a monitoring storage account."
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Storage/storageAccounts/listkeys/action")
$role.Actions.Add("Microsoft.Storage/storageAccounts/Read")
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/mySubscription/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/myMonitoringStorageAccount")
New-AzRoleDefinition -Role $role 

Varování

Oprávnění klíče listkey umožňuje uživateli vypsat primární a sekundární klíč účtu úložiště.The ListKeys permission enables the user to list the primary and secondary storage account keys. Tyto klíče udělují uživateli všechna podepsaná oprávnění (čtení, zápis, vytváření objektů blob, odstraňování objektů BLOB atd.) napříč všemi podepsanými službami (BLOB, Queue, Table, File) v tomto účtu úložiště.These keys grant the user all signed permissions (read, write, create blobs, delete blobs, etc.) across all signed services (blob, queue, table, file) in that storage account. Doporučujeme použít výše popsané přidružení zabezpečení účtu, pokud je to možné.We recommend using an Account SAS described above when possible.

Podobný vzor může následovat s centry událostí, ale nejdřív je potřeba vytvořit vyhrazené autorizační pravidlo pro naslouchání.A similar pattern can be followed with event hubs, but first you need to create a dedicated Listen authorization rule. Pokud chcete udělit přístup k aplikaci, která potřebuje jenom naslouchat centrům událostí souvisejících s monitorováním, udělejte toto:If you want to grant, access to an application that only needs to listen to monitoring-related event hubs, do the following:

  1. Vytvořte zásady sdíleného přístupu v prostředcích událostí, které byly vytvořeny pro streamování dat monitorování pouze pomocí deklarací naslouchání.Create a shared access policy on the event hub(s) that were created for streaming monitoring data with only Listen claims. To se dá udělat na portálu.This can be done in the portal. Například můžete zavolat "monitoringReadOnly".For example, you might call it “monitoringReadOnly.” Pokud je to možné, budete chtít předat tento klíč přímo příjemci a přeskočit další krok.If possible, you will want to give that key directly to the consumer and skip the next step.

  2. Pokud je příjemce schopný získat klíčovou ad hoc, udělte uživateli akci klíče listkey pro toto centrum událostí.If the consumer needs to be able to get the key ad hoc, grant the user the ListKeys action for that event hub. To je nezbytné taky pro uživatele, kteří potřebují mít možnost nastavit diagnostické nastavení nebo profil protokolu pro streamování na centra událostí.This is also necessary for users who need to be able to set a diagnostic setting or log profile to stream to event hubs. Můžete například vytvořit pravidlo RBAC:For example, you might create an RBAC rule:

    $role = Get-AzRoleDefinition "Reader"
    $role.Id = $null
    $role.Name = "Monitoring Event Hub Listener"
    $role.Description = "Can get the key to listen to an event hub streaming monitoring data."
    $role.Actions.Clear()
    $role.Actions.Add("Microsoft.ServiceBus/namespaces/authorizationrules/listkeys/action")
    $role.Actions.Add("Microsoft.ServiceBus/namespaces/Read")
    $role.AssignableScopes.Clear()
    $role.AssignableScopes.Add("/subscriptions/mySubscription/resourceGroups/myResourceGroup/providers/Microsoft.ServiceBus/namespaces/mySBNameSpace")
    New-AzRoleDefinition -Role $role 
    

Monitorování v rámci zabezpečeného Virtual NetworkMonitoring within a secured Virtual Network

Azure Monitor potřebuje přístup k prostředkům Azure, abyste mohli poskytovat služby, které povolíte.Azure Monitor needs access to your Azure resources to provide the services you enable. Pokud chcete monitorovat prostředky Azure a zároveň je zabezpečit před přístupem k veřejnému Internetu, můžete povolit následující nastavení.If you would like to monitor your Azure resources while still securing them from access to the Public Internet, you can enable the following settings.

Zabezpečené účty úložištěSecured Storage Accounts

Data monitorování se často zapisují do účtu úložiště.Monitoring data is often written to a storage account. Možná budete chtít zajistit, aby data zkopírovaná do účtu úložiště nezískal přístup neautorizovaných uživatelů.You may want to make sure that the data copied to a Storage Account cannot be accessed by unauthorized users. Pro zvýšení zabezpečení můžete uzamknout síťový přístup a povolit přístup jenom autorizovaným prostředkům a důvěryhodným službám Microsoftu k účtu úložiště tím, že omezíte účet úložiště tak, aby používal vybrané sítě.For additional security, you can lock down network access to only allow your authorized resources and trusted Microsoft services access to a storage account by restricting a storage account to use "selected networks". Dialog Azure Storage nastavení Azure Monitor se považuje za jednu z těchto "důvěryhodných služeb Microsoftu", pokud povolíte důvěryhodným službám Microsoftu přístup k zabezpečenému úložišti, bude mít Azure monitor přístup k vašemu účtu zabezpečeného úložiště. povolení zápisu Azure Monitorch protokolů prostředků, protokolů aktivit a metrik do účtu úložiště za těchto chráněných podmínek.Azure Storage Settings Dialog Azure Monitor is considered one of these "trusted Microsoft services" If you allow trusted Microsoft services to access your Secured Storage, Azure monitor will have access to your secured Storage Account; enabling writing Azure Monitor resource logs, activity log, and metrics to your Storage Account under these protected conditions. Umožní vám taky Log Analytics číst protokoly ze zabezpečeného úložiště.This will also enable Log Analytics to read logs from secured storage.

Další informace najdete v tématu zabezpečení sítě a Azure StorageFor more information, see Network security and Azure Storage

Další krokyNext steps