Konfigurace bran firewall Azure Storage a virtuálních sítí
Azure Storage poskytuje vrstvený model zabezpečení. Tento model umožňuje zabezpečit a řídit úroveň přístupu k účtům úložiště, které vaše aplikace a podniková prostředí vyžadují, na základě typu a podmnožiny používaných sítí nebo prostředků. Pokud jsou nakonfigurovaná pravidla sítě, mají k účtu úložiště přístup pouze aplikace požadující data přes zadanou sadu sítí nebo prostřednictvím zadané sady prostředků Azure. Přístup k účtu úložiště můžete omezit na požadavky pocházející ze zadaných IP adres, rozsahů IP adres, podsítí v azure Virtual Network (VNet) nebo instancí prostředků některých služeb Azure.
Storage účty mají veřejný koncový bod, který je přístupný přes internet. Pro svůj účet úložiště můžete také vytvořit privátní koncové body,které účtu úložiště přiřadí privátní IP adresu z vaší virtuální sítě a zabezpečí veškerý provoz mezi vaší virtuální sítí a účtem úložiště přes privátní propojení. Brána firewall úložiště Azure poskytuje řízení přístupu pro veřejný koncový bod vašeho účtu úložiště. Bránu firewall můžete použít také k blokování veškerého přístupu prostřednictvím veřejného koncového bodu při použití privátních koncových bodů. Konfigurace brány firewall úložiště také umožňuje zabezpečený přístup k účtu úložiště výběrem důvěryhodných služeb platformy Azure.
Aplikace, která přistupuje k účtu úložiště, když jsou v platnosti pravidla sítě, stále vyžaduje správnou autorizaci pro požadavek. Autorizace se podporuje s Azure Active Directory (Azure AD) pro objekty blob a fronty, s platným přístupový klíčem účtu nebo tokenem SAS.
Důležité
Zapnutí pravidel brány firewall pro váš účet úložiště ve výchozím nastavení blokuje příchozí požadavky na data, pokud požadavky nepocházejí ze služby provozované v rámci služby Azure Virtual Network (VNet) nebo z povolených veřejných IP adres. Mezi zablokované žádosti patří požadavky z jiných služeb Azure, z Azure Portal, protokolování a metrik atd.
Přístup ke službám Azure, které fungují z virtuální sítě, můžete udělit povolením provozu z podsítě, která je hostitelem instance služby. Prostřednictvím mechanismu výjimek popsaného níže můžete také povolit omezený počet scénářů. Pokud chcete získat přístup k datům z účtu úložiště prostřednictvím Azure Portal, musíte být na počítači v rámci důvěryhodné hranice (IP nebo virtuální sítě), kterou jste nastavili.
Poznámka
Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Scénáře
Pokud chcete zabezpečit svůj účet úložiště, měli byste nejprve nakonfigurovat pravidlo pro odepření přístupu k provozu ze všech sítí (včetně internetového provozu) ve veřejném koncovém bodu ve výchozím nastavení. Pak byste měli nakonfigurovat pravidla, která udělí přístup k provozu z konkrétních virtuálních sítí. Můžete také nakonfigurovat pravidla, která udělují přístup k provozu z vybraných rozsahů IP adres veřejného internetu a povolují připojení z konkrétních internetových nebo místních klientů. Tato konfigurace umožňuje vytvořit zabezpečenou hranici sítě pro vaše aplikace.
Můžete kombinovat pravidla brány firewall, která umožňují přístup z konkrétních virtuálních sítí a z rozsahů veřejných IP adres ve stejném účtu úložiště. Storage brány firewall je možné použít pro existující účty úložiště nebo při vytváření nových účtů úložiště.
Storage pravidla brány firewall platí pro veřejný koncový bod účtu úložiště. K povolení provozu pro privátní koncové body účtu úložiště nepotřebujete žádná pravidla přístupu k bráně firewall. Proces schválení vytvoření privátního koncového bodu uděluje implicitní přístup k provozu z podsítě, která je hostitelem privátního koncového bodu.
Pravidla sítě se pro úložiště Azure, včetně REST a SMB, vynucuje na všech síťových protokolech. Pro přístup k datům pomocí nástrojů, jako jsou Azure Portal, Průzkumník služby Storage a AzCopy, musí být nakonfigurovaná explicitní síťová pravidla.
Po použití pravidel sítě se vynucuje pro všechny požadavky. Tokeny SAS, které udělují přístup ke konkrétní IP adrese, slouží k omezení přístupu držitele tokenu, ale neudělují nový přístup nad rámec nakonfigurovaných pravidel sítě.
Provoz disku virtuálního počítače (včetně operací připojení a odpojení a V/V disku) nejsou ovlivněny pravidly sítě. Přístup REST k objektům blob stránky je chráněný pravidly sítě.
Klasické účty úložiště nepodporují brány firewall a virtuální sítě.
V účtech úložiště můžete použít nespravované disky s pravidly sítě použitými k zálohování a obnovení virtuálních počítačů vytvořením výjimky. Tento proces je zdokumentovaný v části Správa výjimek v tomto článku. Výjimky brány firewall se neužijí u spravovaných disků, protože je už spravuje Azure.
Změna výchozího pravidla přístupu k síti
Účty úložiště ve výchozím nastavení přijímají připojení z klientů v jakékoli síti. Chcete-li omezit přístup na vybrané sítě, musíte nejdřív změnit výchozí akci.
Upozornění
Změny pravidel sítě mohou mít vliv na schopnost vaší aplikace připojit se k Azure Storage. Pokud nastavíte výchozí pravidlo sítě tak, aby se zamítl veškerý přístup k datům, zablokuje se také konkrétní pravidla sítě, která udělí přístup. Než změníte výchozí pravidlo a odepřete přístup, nezapomeňte prostřednictvím pravidel sítě udělit přístup všem povoleným sítím.
Správa výchozích pravidel síťového přístupu
Výchozí pravidla přístupu k síti pro účty úložiště můžete spravovat prostřednictvím Azure Portal, PowerShellu nebo CLIv2.
Přejděte do účtu úložiště, který chcete zabezpečit.
V nabídce nastavení vyberte Sítě.
Pokud chcete ve výchozím nastavení odepřít přístup, zvolte, že chcete povolit přístup z vybraných sítí. Pokud chcete povolit přenos ze všech sítí, zvolte povolení přístupu ze všech sítí.
Vyberte Uložit, aby se tyto změny použily.
Udělení přístupu z virtuální sítě
Účty úložiště můžete nakonfigurovat tak, aby povolují přístup pouze z konkrétních podsítí. Povolené podsítě mohou patřit do virtuální sítě ve stejném předplatném nebo do jiného předplatného, včetně předplatných patřících do jiného Azure Active Directory tenanta.
Povolte koncový bod služby pro Azure Storage v rámci virtuální sítě. Koncový bod služby směruje provoz z virtuální sítě přes optimální cestu k Azure Storage službě. S každým požadavkem se odesílají také identity podsítě a virtuální sítě. Správci pak můžou nakonfigurovat pravidla sítě pro účet úložiště, která umožňují přijetí požadavků z konkrétních podsítí ve virtuální síti. Klienti, kteří mají přístup prostřednictvím těchto pravidel sítě, musí dál splňovat požadavky na autorizaci účtu úložiště pro přístup k datům.
Každý účet úložiště podporuje až 200 pravidel virtuální sítě, která je možné kombinovat s pravidly sítě IP.
Důležité
Pokud odstraníte podsíť, která byla součástí pravidla sítě, odebere se z pravidel sítě pro účet úložiště. Pokud vytvoříte novou podsíť se stejným názvem, nebude mít přístup k účtu úložiště. Pokud chcete povolit přístup, musíte novou podsíť explicitně autorizovat v pravidlech sítě pro účet úložiště.
Dostupné oblasti virtuálních sítí
Obecně platí, že koncové body služby fungují mezi virtuálními sítěmi a instancemi služby ve stejné oblasti Azure. Při použití koncových bodů služby Azure Storage se tento obor rozrůstá tak, aby zahrnoval spárované oblasti. Koncové body služby umožňují kontinuitu během regionálního převzetí služeb při selhání a přístup k instancím geograficky redundantního úložiště jen pro čtení (RA-GRS). Pravidla sítě, která udělí přístup z virtuální sítě k účtu úložiště, také udělí přístup k libovolné instanci RA-GRS.
Při plánování zotavení po havárii během oblastní výpadku byste měli virtuální sítě ve spárované oblasti vytvořit předem. Povolte koncové body služby pro Azure Storage s pravidly sítě, která udělují přístup z těchto alternativních virtuálních sítí. Pak tato pravidla použijte na své účty geograficky redundantního úložiště.
Poznámka
Koncové body služby se nevztahují na provoz mimo oblast virtuální sítě a určený pár oblastí. Pravidla sítě, která udělují přístup z virtuálních sítí, můžete použít jenom k účtům úložiště v primární oblasti účtu úložiště nebo do určené spárované oblasti.
Požadovaná oprávnění
Aby uživatel mohl použít pravidlo virtuální sítě pro účet úložiště, musí mít odpovídající oprávnění k přidávaným podsítím. Použití pravidla může provádět přispěvatel Storage účtu nebo uživatel, který získal oprávnění k operaci poskytovatele prostředků Azure prostřednictvím Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action vlastní role Azure.
Storage účet a virtuální sítě s udělený přístupem mohou být v různých předplatných, včetně předplatných, která jsou součástí jiného tenanta Azure AD.
Poznámka
Konfigurace pravidel, která udělí přístup k podsíti ve virtuálních sítích, které jsou součástí jiného tenanta Azure Active Directory, se v současné době podporuje pouze prostřednictvím PowerShellu, rozhraní příkazového řádku a rozhraní REST API. Tato pravidla není možné konfigurovat prostřednictvím Azure Portal, i když je lze zobrazit na portálu.
Správa pravidel virtuální sítě
Pravidla virtuální sítě pro účty úložiště můžete spravovat prostřednictvím Azure Portal, PowerShellu nebo CLIv2.
Přejděte do účtu úložiště, který chcete zabezpečit.
V nabídce nastavení vyberte Sítě.
Zkontrolujte, že jste vybrali povolení přístupu z vybraných sítí.
Pokud chcete udělit přístup k virtuální síti pomocí nového pravidla sítě, vyberte v části Virtuální sítě možnost Přidat existující virtuální síť, vyberte Možnosti virtuálních sítí a podsítí a pak vyberte Přidat. Pokud chcete vytvořit novou virtuální síť a udělit pro ní přístup, vyberte Přidat novou virtuální síť. Zadejte informace potřebné k vytvoření nové virtuální sítě a pak vyberte Vytvořit.
Poznámka
pokud koncový bod služby pro Azure Storage ještě nebyl nakonfigurovaný pro vybranou virtuální síť a podsítě, můžete ho nakonfigurovat jako součást této operace.
v současné době se při vytváření pravidel zobrazují jenom virtuální sítě patřící do stejného Azure Active Directory tenanta. Pokud chcete udělit přístup k podsíti ve virtuální síti patřící jinému tenantovi, použijte PowerShell, rozhraní příkazového řádku nebo rozhraní REST API.
Chcete-li odebrat virtuální síť nebo pravidlo podsítě, vyberte ... a otevřete tak kontextovou nabídku pro virtuální síť nebo podsíť a vyberte možnost Odebrat.
Pokud chcete změny použít, vyberte Uložit .
Udělení přístupu z internetového rozsahu IP adres
Můžete použít pravidla sítě IP k povolení přístupu z konkrétních rozsahů veřejných internetových IP adres vytvořením pravidel sítě IP. Každý účet úložiště podporuje až 200 pravidel. Tato pravidla udělují přístup ke konkrétním internetovým službám a místním sítím a blokují obecný internetový provoz.
Pro rozsahy IP adres platí následující omezení.
Pravidla sítě IP jsou povolena pouze pro veřejné internetové IP adresy.
Rozsahy IP adres rezervované pro privátní sítě (definované v dokumentu RFC 1918) nejsou povolené v pravidlech protokolu IP. Soukromé sítě obsahují adresy, které začínají na 10. * , 172,16. - 172,31. * * a * 192,168. * *.
Je nutné zadat povolené rozsahy internetových adres pomocí zápisu CIDR ve formě 16.17.18.0/24 nebo jako jednotlivé IP adresy, jako je 16.17.18.19.
Malé rozsahy adres používající velikosti předpony "/31" nebo "/32" se nepodporují. Tyto rozsahy by měly být nakonfigurované pomocí jednotlivých pravidel IP adres.
Pro konfiguraci pravidel brány firewall úložiště se podporují jenom IPV4 adresy.
Pravidla sítě protokolu IP nelze použít v následujících případech:
Pokud chcete omezit přístup ke klientům ve stejné oblasti Azure jako účet úložiště.
Pravidla sítě IP neovlivňují požadavky pocházející ze stejné oblasti Azure jako účet úložiště. Použijte pravidla virtuální sítě a povolte tak požadavky stejné oblasti.
Pro omezení přístupu ke klientům v spárované oblasti , která se nachází ve virtuální síti s koncovým bodem služby.
Pokud chcete omezit přístup ke službám Azure nasazeným ve stejné oblasti jako účet úložiště.
Služby nasazené ve stejné oblasti jako účet úložiště používají privátní IP adresy Azure ke komunikaci. Proto nemůžete omezit přístup ke konkrétním službám Azure na základě jejich veřejného odchozího rozsahu IP adres.
Konfigurace přístupu z místních sítí
Pokud chcete udělit přístup z místních sítí k vašemu účtu úložiště pomocí pravidla sítě protokolu IP, musíte identifikovat internetové IP adresy, které používá vaše síť. Požádejte o nápovědu správce sítě.
Pokud používáte ExpressRoute z vašich místních partnerských vztahů nebo partnerských vztahů Microsoftu, budete muset určit IP adresy NAT, které se používají. Ve veřejných partnerských vztazích každý okruh ExpressRoute automaticky využívá dvě IP adresy pro překlad adres (NAT), které se používají k provozu služeb Azure při vstupu do páteřní sítě Microsoft Azure. V případě partnerského vztahu Microsoftu se používají IP adresy NAT buď poskytované zákazníkem, nebo poskytovatelem služeb. Pokud chcete povolit přístup k prostředkům služby, musíte tyto veřejné IP adresy povolit v nastavení IP adresy brány firewall prostředku. Pokud chcete zjistit IP adresy veřejného partnerského okruhu ExpressRoute, otevřete lístek podpory pro ExpressRoute na webu Azure Portal. Další informace o překladu adres (NAT) pro veřejné partnerské vztahy a partnerské vztahy s Microsoftem v ExpressRoute.
Správa pravidel sítě IP
Pravidla sítě IP pro účty úložiště můžete spravovat pomocí Azure Portal, PowerShellu nebo CLIv2.
Přejděte do účtu úložiště, který chcete zabezpečit.
Vyberte položku v nabídce nastavení s názvem síť.
Ověřte, že jste vybrali povolení přístupu z vybraných sítí.
Pokud chcete udělit přístup k rozsahu IP adres Internetu, zadejte v části > Rozsah adres firewallu IP adresu nebo rozsah adres (ve formátu CIDR).
Chcete-li odebrat pravidlo sítě protokolu IP, vyberte ikonu odpadkového koše vedle rozsahu adres.
Vyberte Uložit, aby se tyto změny použily.
Udělení přístupu z Azure Resource Instances (Preview)
V některých případech může být aplikace závislá na prostředcích Azure, které se nedají izolovat přes virtuální síť nebo pravidlo IP adresy. Pořád ale chcete zabezpečit a omezit přístup k účtu úložiště jenom na prostředky Azure vaší aplikace. Účty úložiště můžete nakonfigurovat tak, aby povolovaly přístup ke konkrétním instancím prostředků některých služeb Azure tím, že se vytvoří pravidlo instance prostředku.
Typy operací, které může instance prostředků provádět u dat účtu úložiště, se určují pomocí přiřazení rolí Azure instance prostředku. Instance prostředků musí být ze stejného tenanta jako váš účet úložiště, ale můžou patřit do libovolného předplatného v tenantovi.
Poznámka
Tato funkce je ve verzi Public Preview a je dostupná ve všech oblastech veřejného cloudu.
Můžete přidat nebo odebrat pravidla sítě prostředků v Azure Portal.
Začněte tím, že se přihlásíte k Azure Portal .
Vyhledejte svůj účet úložiště a zobrazte přehled účtu.
Vyberte sítě , aby se zobrazila stránka konfigurace pro síťové služby.
V rozevíracím seznamu typ prostředku vyberte typ prostředku vaší instance prostředku.
V rozevíracím seznamu název instance vyberte instanci prostředku. Můžete se také rozhodnout zahrnout všechny instance prostředků do aktivního tenanta, předplatného nebo skupiny prostředků.
Vyberte Uložit, aby se tyto změny použily. Instance prostředků se zobrazí v části instance prostředků na stránce nastavení sítě.
Chcete-li odebrat instanci prostředku, vyberte ikonu odstranění ( 
) vedle instance prostředku.
Udělení přístupu k důvěryhodným službám Azure
Některé služby Azure fungují ze sítí, které není možné zahrnout do svých síťových pravidel. K účtu úložiště můžete udělit podmnožinu takových důvěryhodných služeb Azure a přitom zachovat Síťová pravidla pro ostatní aplikace. Tyto důvěryhodné služby pak budou používat silné ověřování pro zabezpečené připojení k vašemu účtu úložiště.
Vytvořením výjimky pro síťové pravidlo můžete udělit přístup k důvěryhodným službám Azure. Podrobné pokyny najdete v části Správa výjimek v tomto článku.
Když udělíte přístup k důvěryhodným službám Azure, udělíte jim následující typy přístupu:
- Důvěryhodný přístup pro vybrané operace k prostředkům, které jsou zaregistrované ve vašem předplatném
- Důvěryhodný přístup k prostředkům na základě spravované identity přiřazené systémem.
Důvěryhodný přístup k prostředkům zaregistrovaným ve vašem předplatném
Prostředky některých služeb, Pokud jsou zaregistrované ve vašem předplatném, mají přístup k vašemu účtu úložiště ve stejném předplatném pro vybrané operace, jako je například zápis protokolů nebo zálohování. V následující tabulce jsou popsány jednotlivé služby a operace, které jsou povoleny.
| Služba | Název poskytovatele prostředků | Povolené operace |
|---|---|---|
| Azure Backup | Microsoft. RecoveryServices | Spusťte zálohování a obnovujte nespravované disky ve virtuálních počítačích IAAS. (není vyžadováno pro Managed Disks). Přečtěte si další informace. |
| Azure Data Box | Microsoft. DataBox | Umožňuje importovat data do Azure pomocí Data Box. Přečtěte si další informace. |
| Azure DevTest Labs | Microsoft. DevTestLab | Vytvoření vlastní image a instalace artefaktů. Přečtěte si další informace. |
| Azure Event Grid | Microsoft. EventGrid | povolte publikování událostí Blob Storage a umožněte Event Grid publikování do front úložiště. Přečtěte si informace o událostech služby Blob Storage a publikování do front. |
| Azure Event Hubs | Microsoft. EventHub | Archivujte data pomocí Event Hubsho zachycení. Další informace |
| Synchronizace souborů Azure | Microsoft. StorageSync | Umožňuje transformovat souborový server Prem na mezipaměť pro sdílené složky Azure. Povoluje se synchronizace více webů, rychlé zotavení po havárii a zálohování na straně cloudu. Další informace |
| Azure HDInsight | Microsoft. HDInsight | Zřídí počáteční obsah výchozího systému souborů pro nový cluster HDInsight. Přečtěte si další informace. |
| Export pro import do Azure | Microsoft. ImportExport | umožňuje importovat data a Azure Storage nebo exportovat data z Azure Storage pomocí služby Azure Storage Import/export. Přečtěte si další informace. |
| Azure Monitor | Microsoft.Insights | povoluje zápis dat monitorování do zabezpečeného účtu úložiště, včetně protokolů prostředků, Azure Active Directory protokolů pro přihlášení a auditu a protokolů Microsoft Intune. Přečtěte si další informace. |
| Sítě Azure | Microsoft.Network | Ukládejte a analyzujte protokoly síťového provozu, včetně služeb Network Watcher a Analýza provozu. Přečtěte si další informace. |
| Azure Site Recovery | Microsoft. SiteRecovery | Povolení replikace pro zotavení po havárii virtuálních počítačů Azure s IaaS při použití mezipaměti, zdrojového nebo cílového účtu úložiště podporujícího bránu firewall Přečtěte si další informace. |
Důvěryhodný přístup na základě spravované identity přiřazené systémem
V následující tabulce jsou uvedeny služby, které mohou mít přístup k datům účtu úložiště, pokud se instance těchto služeb dostanou příslušným oprávněním.
Pokud na vašem účtu není povolená funkce hierarchického oboru názvů, můžete udělit oprávnění tím, že explicitně přiřadíte roli Azure k spravované identitě přiřazené systémem pro každou instanci prostředku. V takovém případě rozsah přístupu pro instanci odpovídá roli Azure přiřazené spravované identitě.
Stejný postup můžete použít pro účet, který má funkci hierarchického oboru názvů povoleno. Nemusíte ale přiřazovat roli Azure, pokud přidáte spravovanou identitu přiřazenou systémem do seznamu řízení přístupu (ACL) libovolného adresáře nebo objektu blob, který je obsažený v účtu úložiště. V takovém případě rozsah přístupu pro instanci odpovídá adresáři nebo souboru, ke kterému má spravovaná identita přiřazená systémem udělen přístup. Můžete také kombinovat role a seznamy ACL společně s Azure. další informace o tom, jak je kombinovat dohromady pro udělení přístupu, naleznete v tématu model řízení přístupu v Azure Data Lake Storage Gen2.
Tip
Doporučeným způsobem, jak udělit přístup ke konkrétním prostředkům, je použít pravidla instance prostředků. Pokud chcete udělit přístup ke konkrétním instancím prostředků, přečtěte si část udělení přístupu z Azure Resource Instances (Preview) v tomto článku.
| Služba | Název poskytovatele prostředků | Účel |
|---|---|---|
| Azure API Management | Microsoft.ApiManagement/service | Umožňuje službě Api Management přístup k účtům úložiště za bránou firewall pomocí zásad. Přečtěte si další informace. |
| Azure Cache for Redis | Microsoft.Cache/Redis | Umožňuje přístup k účtům úložiště prostřednictvím Azure Cache for Redis. |
| Azure Cognitive Search | Microsoft.Search/searchServices | Umožňuje Cognitive Search přístup k účtům úložiště pro indexování, zpracování a dotazování. |
| Azure Cognitive Services | Microsoft.CognitiveService/accounts | Umožňuje Cognitive Services přístup k účtům úložiště. Přečtěte si další informace. |
| Úlohy Azure Container Registry | Microsoft.ContainerRegistry/registry | Úlohy ACR při sestavování imagí kontejnerů přistupovat k účtům úložiště. |
| Azure Data Factory | Microsoft.DataFactory/factories | Umožňuje přístup k účtům úložiště prostřednictvím modulu runtime ADF. |
| Azure Data Share | Microsoft.DataShare/accounts | Umožňuje přístup k účtům úložiště prostřednictvím Data Share. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs | Umožňuje přístup k účtům úložiště prostřednictvím DevTest Labs. |
| Azure Event Grid | Microsoft.EventGrid/topics | Umožňuje přístup k účtům úložiště prostřednictvím Azure Event Grid. |
| Azure Healthcare APIs | Microsoft.HealthcareApis/services | Umožňuje přístup k účtům úložiště prostřednictvím rozhraní API pro zdravotnictví Azure. |
| Azure IoT Central aplikace | Microsoft.IoTCentral/IoTApps | Umožňuje přístup k účtům úložiště prostřednictvím Azure IoT Central Aplikace. |
| Azure IoT Hub | Microsoft.Devices/IotHubs | Umožňuje zápis dat z centra IoT do úložiště objektů blob. Další informace |
| Azure Logic Apps | Microsoft.Logic/workflows | Umožňuje aplikacím logiky přístup k účtům úložiště. Přečtěte si další informace. |
| Služba Azure Machine Learning | Microsoft.MachineLearningServices | Oprávnění Azure Machine Learning pracovní prostory zapisují výstup experimentu, modely a protokoly do úložiště objektů blob a čtou data. Přečtěte si další informace. |
| Azure Media Services | Microsoft.Media/mediaservices | Umožňuje přístup k účtům úložiště prostřednictvím Media Services. |
| Azure Migrate | Microsoft.Migrate/migrateprojects | Umožňuje přístup k účtům úložiště prostřednictvím Azure Migrate. |
| Azure Purview | Microsoft.Purview/accounts | Umožňuje Purview přístup k účtům úložiště. |
| Azure Remote Rendering | Microsoft.MixedReality/remoteRenderingAccounts | Umožňuje přístup k účtům úložiště prostřednictvím Remote Rendering. |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults | Umožňuje přístup k účtům úložiště prostřednictvím Site Recovery. |
| Databáze Azure SQL | Microsoft.Sql | Umožňuje zápis dat auditu do účtů úložiště za bránou firewall. |
| Azure Synapse Analytics | Microsoft.Sql | Umožňuje importovat a exportovat data z konkrétních SQL databází pomocí příkazu COPY nebo PolyBase (ve vyhrazeném fondu) nebo pomocí funkce a externích tabulek ve fondu openrowset bez serveru. Přečtěte si další informace. |
| Azure Stream Analytics | Microsoft.StreamAnalytics | Umožňuje zápis dat z úlohy streamování do úložiště objektů blob. Přečtěte si další informace. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | Umožňuje přístup k datům v Azure Storage z Azure Synapse Analytics. |
Udělení přístupu k analýze úložiště
V některých případech se vyžaduje přístup k protokolům a metrikám prostředků čtení mimo hranice sítě. Při konfiguraci přístupu důvěryhodných služeb k účtu úložiště můžete vytvořením výjimky pravidla sítě povolit přístup pro čtení souborů protokolů, tabulek metrik nebo obojího. Podrobné pokyny najdete níže v části Správa výjimek. Další informace o práci s analýzou úložiště najdete v tématu Azure Storage analytics keshromažďování protokolů a dat metrik.
Správa výjimek
Výjimky pravidel sítě můžete spravovat prostřednictvím Azure Portal, PowerShellu nebo Azure CLI v2.
Přejděte do účtu úložiště, který chcete zabezpečit.
V nabídce nastavení vyberte Sítě.
Zkontrolujte, že jste vybrali povolení přístupu z vybraných sítí.
V části Výjimky vyberte výjimky, které chcete udělit.
Vyberte Uložit, aby se tyto změny použily.
Další kroky
Přečtěte si další informace o koncových bodech síťových služeb Azure v koncových bodech služby.
Dig hlouběji do zabezpečení Azure Storage v Azure Storage příručce zabezpečení.