Konfigurieren von Azure Storage-Firewalls und virtuellen NetzwerkenConfigure Azure Storage firewalls and virtual networks

Azure Storage bietet ein mehrschichtiges Sicherheitsmodell.Azure Storage provides a layered security model. Mit diesem Modell können Sie die Zugriffsebene für Ihre Speicherkonten sichern und steuern, die von Ihren Anwendungen und Unternehmensumgebungen gefordert werden – abhängig vom Typ und der Teilmenge der verwendeten Netzwerke.This model enables you to secure and control the level of access to your storage accounts that your applications and enterprise environments demand, based on the type and subset of networks used. Wenn Netzwerkregeln konfiguriert wurden, können nur Anwendungen, die Daten über die angegebene Gruppe von Netzwerken anfordern, auf ein Speicherkonto zugreifen.When network rules are configured, only applications requesting data over the specified set of networks can access a storage account. Sie können den Zugriff auf Ihr Speicherkonto auf Anforderungen beschränken, die aus angegebenen IP-Adressen, IP-Adressbereichen oder einer Liste von Subnetzen in einem virtuellen Azure-Netzwerk (VNet) stammen.You can limit access to your storage account to requests originating from specified IP addresses, IP ranges or from a list of subnets in an Azure Virtual Network (VNet).

Speicherkonten verfügen über einen öffentlichen Endpunkt, auf den über das Internet zugegriffen werden kann.Storage accounts have a public endpoint that is accessible through the internet. Sie können auch private Endpunkte für Ihr Speicherkonto erstellen, das dem Speicherkonto eine private IP-Adresse aus Ihrem VNet zuweist und den gesamten Datenverkehr zwischen Ihrem VNet und dem Speicherkonto über einen privaten Link sichert.You can also create Private Endpoints for your storage account, which assigns a private IP address from your VNet to the storage account, and secures all traffic between your VNet and the storage account over a private link. Die Azure Storage-Firewall ermöglicht Zugriffssteuerung für den öffentlichen Endpunkt Ihres Speicherkontos.The Azure storage firewall provides access control access for the public endpoint of your storage account. Sie können die Firewall auch zum Blockieren des gesamten Zugriffs über den öffentlichen Endpunkt einsetzen, wenn private Endpunkte verwendet werden.You can also use the firewall to block all access through the public endpoint when using private endpoints. Ihre Storage-Firewallkonfiguration ermöglicht auch die Auswahl vertrauenswürdiger Azure-Plattformdienste für sicheren Zugriff auf das Speicherkonto.Your storage firewall configuration also enables select trusted Azure platform services to access the storage account securely.

Eine Anwendung, die bei aktivierten Netzwerkregeln auf ein Speicherkonto zugreift, benötigt weiterhin eine ordnungsgemäße Autorisierung für die Anforderung.An application that accesses a storage account when network rules are in effect still requires proper authorization for the request. Für die Autorisierung können Azure Active Directory (Azure AD)-Anmeldeinformationen für Blobs und Warteschlangen mit einem gültigen Kontozugriffsschlüssel oder mit einem SAS-Token verwendet werden.Authorization is supported with Azure Active Directory (Azure AD) credentials for blobs and queues, with a valid account access key, or with an SAS token.

Wichtig

Wenn Sie Firewallregeln für Ihr Speicherkonto aktivieren, werden eingehende Datenanforderungen standardmäßig blockiert – es sei denn, die Anforderungen stammen von einem Dienst, der innerhalb eines virtuellen Azure-Netzwerks (VNet) agiert, oder aus zulässigen öffentlichen IP-Adressen.Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests originate from a service operating within an Azure Virtual Network (VNet) or from allowed public IP addresses. Unter anderem werden Anforderungen von anderen Azure-Diensten, aus dem Azure-Portal und von Protokollierungs-/Metrikdiensten blockiert.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on.

Sie können Azure-Diensten, die innerhalb eines VNETs agieren, Zugriff gewähren, indem Sie Datenverkehr aus dem Subnetz zulassen, das die Dienstinstanz hostet.You can grant access to Azure services that operate from within a VNet by allowing traffic from the subnet hosting the service instance. Sie können auch eine begrenzte Anzahl von Szenarien über den nachstehend beschriebenen Mechanismus Ausnahmen aktivieren.You can also enable a limited number of scenarios through the Exceptions mechanism described below. Der Zugriff auf Daten aus dem Speicherkonto über das Azure-Portal muss über einen Computer erfolgen, der sich innerhalb der von Ihnen eingerichteten vertrauenswürdigen Grenze (IP-Adresse oder VNET) befindet.To access data from the storage account through the Azure portal, you would need to be on a machine within the trusted boundary (either IP or VNet) that you set up.

Hinweis

Dieser Artikel wurde aktualisiert und beinhaltet jetzt das neue Az-Modul von Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Sie können das AzureRM-Modul weiterhin verwenden, das bis mindestens Dezember 2020 weiterhin Fehlerbehebungen erhält.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Weitere Informationen zum neuen Az-Modul und zur Kompatibilität mit AzureRM finden Sie unter Introducing the new Azure PowerShell Az module (Einführung in das neue Az-Modul von Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Anweisungen zur Installation des Az-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).For Az module installation instructions, see Install Azure PowerShell.

SzenarienScenarios

Zum Sichern Ihres Speicherkontos sollten Sie zuerst eine Regel so konfigurieren, dass der Zugriff auf Datenverkehr aus allen Netzwerken (einschließlich Internetdatenverkehr) auf dem öffentlichen Endpunkt standardmäßig verweigert wird.To secure your storage account, you should first configure a rule to deny access to traffic from all networks (including internet traffic) on the public endpoint, by default. Anschließend sollten Sie Regeln konfigurieren, die den Zugriff auf Datenverkehr aus bestimmten VNETs gewähren.Then, you should configure rules that grant access to traffic from specific VNets. Darüber hinaus können Sie Regeln konfigurieren, um den Zugriff auf Datenverkehr aus ausgewählten öffentlichen Internet-IP-Adressbereichen zu gewähren und so Verbindungen von bestimmten Internetclients oder lokalen Clients zu ermöglichen.You can also configure rules to grant access to traffic from select public internet IP address ranges, enabling connections from specific internet or on-premises clients. Mit dieser Konfiguration können Sie eine sichere Netzwerkgrenze für Ihre Anwendungen erstellen.This configuration enables you to build a secure network boundary for your applications.

Sie können Firewallregeln kombinieren, die den Zugriff aus bestimmten virtuellen Netzwerken und aus öffentlichen IP-Adressbereichen in demselben Speicherkonto zulassen.You can combine firewall rules that allow access from specific virtual networks and from public IP address ranges on the same storage account. Storage-Firewallregeln können auf vorhandene Speicherkonten oder bei der Erstellung neuer Speicherkonten angewendet werden.Storage firewall rules can be applied to existing storage accounts, or when creating new storage accounts.

Storage-Firewallregeln gelten für den öffentlichen Endpunkt eines Speicherkontos.Storage firewall rules apply to the public endpoint of a storage account. Sie benötigen keine Firewallzugriffsregeln, um Datenverkehr für private Endpunkte eines Speicherkontos zuzulassen.You don't need any firewall access rules to allow traffic for private endpoints of a storage account. Der Vorgang zur Genehmigung der Erstellung eines privaten Endpunkts gewährt impliziten Zugriff auf Datenverkehr aus dem Subnetz, das den privaten Endpunkt hostet.The process of approving the creation of a private endpoint grants implicit access to traffic from the subnet that hosts the private endpoint.

Netzwerkregeln werden für alle Netzwerkprotokolle in Azure Storage, einschließlich REST und SMB, erzwungen.Network rules are enforced on all network protocols to Azure storage, including REST and SMB. Für den Zugriff auf Daten mithilfe von Tools wie Azure-Portal, Storage-Explorer und AZCopy müssen explizite Netzwerkregeln konfiguriert werden.To access data using tools such as the Azure portal, Storage Explorer, and AZCopy, explicit network rules must be configured.

Angewendete Netzwerkregeln werden für alle Anforderungen erzwungen.Once network rules are applied, they're enforced for all requests. SAS-Token, die Zugriff auf eine bestimmte IP-Adresse gewähren, beschränken den Zugriff des Tokeninhabers, gewähren jedoch keinen neuen Zugriff außerhalb der konfigurierten Netzwerkregeln.SAS tokens that grant access to a specific IP address serve to limit the access of the token holder, but don't grant new access beyond configured network rules.

Datenverkehr für VM-Datenträger (einschließlich Vorgängen zur Einbindung/Aufhebung der Einbindung sowie E/A-Vorgänge des Datenträgers) ist von Netzwerkregeln nicht betroffen.Virtual machine disk traffic (including mount and unmount operations, and disk IO) is not affected by network rules. Der REST-Zugriff auf Seitenblobs wird durch Netzwerkregeln geschützt.REST access to page blobs is protected by network rules.

Firewalls und virtuelle Netzwerke werden von klassischen Speicherkonten nicht unterstützt.Classic storage accounts do not support firewalls and virtual networks.

Sie können nicht verwaltete Datenträger in Speicherkonten mit angewendeten Netzwerkregeln verwenden, um virtuelle Computer durch Erstellung einer Ausnahme zu sichern und wiederherzustellen.You can use unmanaged disks in storage accounts with network rules applied to backup and restore VMs by creating an exception. Dieser Prozess ist in diesem Artikel im Abschnitt Ausnahmen dokumentiert.This process is documented in the Exceptions section of this article. Firewallausnahmen gelten nicht für verwaltete Datenträger, da sie bereits von Azure verwaltet werden.Firewall exceptions aren't applicable with managed disks as they're already managed by Azure.

Ändern der Standard-NetzwerkzugriffsregelChange the default network access rule

Standardmäßig akzeptieren Speicherkonten Verbindungen von Clients in jedem Netzwerk.By default, storage accounts accept connections from clients on any network. Um den Zugriff auf ausgewählte Netzwerke zu beschränken, müssen Sie zunächst die Standardaktion ändern.To limit access to selected networks, you must first change the default action.

Warnung

Änderungen an Netzwerkregeln können die Fähigkeit von Anwendungen, eine Verbindung mit Azure Storage herzustellen, beeinträchtigen.Making changes to network rules can impact your applications' ability to connect to Azure Storage. Durch Festlegen der Standardnetzwerkregel auf Verweigern wird sämtlicher Zugriff auf die Daten blockiert – es sei denn, es werden auch bestimmte Netzwerkregeln angewendet, die Zugriff gewähren.Setting the default network rule to deny blocks all access to the data unless specific network rules that grant access are also applied. Gewähren Sie mithilfe von Netzwerkregeln Zugriff auf alle zulässigen Netzwerke, bevor Sie die Standardregel ändern, um Zugriff zu verweigern.Be sure to grant access to any allowed networks using network rules before you change the default rule to deny access.

Verwalten standardmäßiger NetzwerkzugriffsregelnManaging default network access rules

Standardmäßige Netzwerkzugriffsregeln für Speicherkonten können über das Azure-Portal, über PowerShell oder per CLI v2 verwaltet werden.You can manage default network access rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure-PortalAzure portal

  1. Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.Go to the storage account you want to secure.

  2. Klicken Sie auf das Einstellungsmenü mit dem Namen Firewalls und virtuelle Netzwerke.Click on the settings menu called Firewalls and virtual networks.

  3. Wenn der Zugriff standardmäßig verweigert werden soll, wählen Sie aus, dass Zugriff über Ausgewählte Netzwerke gewährt werden soll.To deny access by default, choose to allow access from Selected networks. Wenn Sie Datenverkehr aus allen Netzwerken zulassen möchten, wählen Sie aus, dass der Zugriff über Alle Netzwerke gewährt werden soll.To allow traffic from all networks, choose to allow access from All networks.

  4. Klicken Sie zum Übernehmen der Änderungen auf Speichern.Click Save to apply your changes.

PowerShellPowerShell

  1. Installieren Sie Azure PowerShell, und melden Sie sich an.Install the Azure PowerShell and sign in.

  2. Zeigen Sie den Status der Standardregel für das Speicherkonto an.Display the status of the default rule for the storage account.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").DefaultAction
    
  3. Legen Sie die Standardregel auf das standardmäßige Verweigern jeglichen Netzwerkzugriffs fest.Set the default rule to deny network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
    
  4. Legen Sie die Standardregel auf das standardmäßige Zulassen von Netzwerkzugriff fest.Set the default rule to allow network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
    

CLI v2CLIv2

  1. Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.Install the Azure CLI and sign in.

  2. Zeigen Sie den Status der Standardregel für das Speicherkonto an.Display the status of the default rule for the storage account.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.defaultAction
    
  3. Legen Sie die Standardregel auf das standardmäßige Verweigern jeglichen Netzwerkzugriffs fest.Set the default rule to deny network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
    
  4. Legen Sie die Standardregel auf das standardmäßige Zulassen von Netzwerkzugriff fest.Set the default rule to allow network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
    

Gewähren des Zugriffs aus einem virtuellen NetzwerkGrant access from a virtual network

Sie können Speicherkonten so konfigurieren, dass nur über bestimmte Subnetze zugegriffen werden kann.You can configure storage accounts to allow access only from specific subnets. Die zulässigen Subnetze gehören möglicherweise zu einem VNET in demselben Abonnement oder in einem anderen Abonnement – einschließlich Abonnements, die zu einem anderen Azure Active Directory-Mandanten gehören.The allowed subnets may belong to a VNet in the same subscription, or those in a different subscription, including subscriptions belonging to a different Azure Active Directory tenant.

Aktivieren Sie einen Dienstendpunkt für Azure Storage innerhalb des VNETs.Enable a Service endpoint for Azure Storage within the VNet. Der Dienstendpunkt leitet Datenverkehr aus dem VNET über einen optimalen Pfad an den Azure Storage-Dienst weiter.The service endpoint routes traffic from the VNet through an optimal path to the Azure Storage service. Mit jeder Anforderung werden außerdem die Identitäten des Subnetzes und des virtuellen Netzwerks übertragen.The identities of the subnet and the virtual network are also transmitted with each request. Administratoren können anschließend Netzwerkregeln für das Speicherkonto konfigurieren, die den Empfang von Anforderungen aus bestimmten Subnetzen in einem VNET zulassen.Administrators can then configure network rules for the storage account that allow requests to be received from specific subnets in a VNet. Clients, denen über diese Netzwerkregeln Zugriff gewährt wird, müssen weiterhin die Autorisierungsanforderungen des Speicherkontos erfüllen, um auf die Daten zugreifen zu können.Clients granted access via these network rules must continue to meet the authorization requirements of the storage account to access the data.

Jedes Speicherkonto unterstützt bis zu 100 VNET-Regeln, die mit IP-Netzwerkregeln kombiniert werden können.Each storage account supports up to 100 virtual network rules, which may be combined with IP network rules.

Verfügbare Regionen für virtuelle NetzwerkeAvailable virtual network regions

Dienstendpunkte können in der Regel zwischen virtuellen Netzwerken und Dienstinstanzen in der gleichen Azure-Region verwendet werden.In general, service endpoints work between virtual networks and service instances in the same Azure region. Wenn Dienstendpunkte mit Azure Storage verwendet werden, schließt dieser Bereich auch Regionspaare mit ein.When using service endpoints with Azure Storage, this scope grows to include the paired region. Dienstendpunkte ermöglichen Kontinuität während eines regionalen Failovers sowie unterbrechungsfreien Zugriff auf Instanzen von georedundantem Speicher mit Lesezugriff (Read-Access Geo-Redundant Storage, RA-GRS).Service endpoints allow continuity during a regional failover and access to read-only geo-redundant storage (RA-GRS) instances. Netzwerkregeln, die Zugriff aus einem virtuellen Netzwerk auf ein Speicherkonto gewähren, gewähren auch Zugriff auf jede RA-GRS-Instanz.Network rules that grant access from a virtual network to a storage account also grant access to any RA-GRS instance.

Wenn Sie die Notfallwiederherstellung für einen regionalen Ausfall planen, sollten Sie die VNETs im Voraus im Regionspaar bereitstellen.When planning for disaster recovery during a regional outage, you should create the VNets in the paired region in advance. Aktivieren Sie Dienstendpunkte für Azure Storage mit Netzwerkregeln, die den Zugriff über diese alternativen virtuellen Netzwerke gewähren.Enable service endpoints for Azure Storage, with network rules granting access from these alternative virtual networks. Wenden Sie diese Regeln dann auf Ihre georedundanten Speicherkonten an.Then apply these rules to your geo-redundant storage accounts.

Hinweis

Dienstendpunkte gelten nicht für Datenverkehr außerhalb der Region des virtuellen Netzwerks und des angegebenen Regionspaars.Service endpoints don't apply to traffic outside the region of the virtual network and the designated region pair. Netzwerkregeln, die Zugriff aus virtuellen Netzwerken auf Speicherkonten gewähren, können nur in der primären Region eines Speicherkontos oder im angegebenen Regionspaar angewendet werden.You can only apply network rules granting access from virtual networks to storage accounts in the primary region of a storage account or in the designated paired region.

Erforderliche BerechtigungenRequired permissions

Wenn Sie eine VNET-Regel auf ein Speicherkonto anwenden möchten, muss der Benutzer über geeignete Berechtigungen für die hinzuzufügenden Subnetze verfügen.To apply a virtual network rule to a storage account, the user must have the appropriate permissions for the subnets being added. Die dazu erforderliche Berechtigung Dienst mit einem Subnetz verknüpfen ist Teil der integrierten Rolle Speicherkontomitwirkender.The permission needed is Join Service to a Subnet and is included in the Storage Account Contributor built-in role. Sie kann aber auch benutzerdefinierten Rollendefinitionen hinzugefügt werden.It can also be added to custom role definitions.

Das Speicherkonto und die virtuellen Netzwerke, denen Zugriff gewährt wurde, können sich in verschiedenen Abonnements befinden – einschließlich Abonnements, die zu einem anderen Azure AD-Mandanten gehören.Storage account and the virtual networks granted access may be in different subscriptions, including subscriptions that are a part of a different Azure AD tenant.

Hinweis

Die Konfiguration von Regeln, die Zugriff auf Subnetze in virtuellen Netzwerken gewähren, die Teil eines anderen Azure Active Directory-Mandanten sind, wird zurzeit nur über PowerShell, CLI und Rest-APIs unterstützt.Configuration of rules that grant access to subnets in virtual networks that are a part of a different Azure Active Directory tenant are currently only supported through Powershell, CLI and REST APIs. Diese Regeln können nicht über das Azure-Portal konfiguriert werden, obwohl sie möglicherweise im Portal angezeigt werden.Such rules cannot be configured through the Azure portal, though they may be viewed in the portal.

Verwalten von VNET-RegelnManaging virtual network rules

VNET-Regeln für Speicherkonten können über das Azure-Portal, über PowerShell oder per CLI v2 verwaltet werden.You can manage virtual network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure-PortalAzure portal

  1. Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.Go to the storage account you want to secure.

  2. Klicken Sie auf das Einstellungsmenü mit dem Namen Firewalls und virtuelle Netzwerke.Click on the settings menu called Firewalls and virtual networks.

  3. Vergewissern Sie sich, dass Sie den Zugriff über Ausgewählte Netzwerke ausgewählt haben.Check that you've selected to allow access from Selected networks.

  4. Wenn Sie mit einer neuen Netzwerkregel den Zugriff auf ein virtuelles Netzwerk zulassen möchten, klicken Sie unter Virtuelle Netzwerke auf Vorhandenes virtuelles Netzwerk hinzufügen, wählen Sie die Optionen Virtuelle Netzwerke und Subnetze aus, und klicken Sie anschließend auf Hinzufügen.To grant access to a virtual network with a new network rule, under Virtual networks, click Add existing virtual network, select Virtual networks and Subnets options, and then click Add. Wenn Sie ein neues virtuelles Netzwerk erstellen und ihm Zugriff gewähren möchten, klicken Sie auf Neues virtuelles Netzwerk hinzufügen.To create a new virtual network and grant it access, click Add new virtual network. Geben Sie die erforderlichen Informationen zum Erstellen des neuen virtuellen Netzwerks an, und klicken Sie anschließend auf Erstellen.Provide the information necessary to create the new virtual network, and then click Create.

    Hinweis

    Wenn für das ausgewählte virtuelle Netzwerk und die Subnetze noch kein Dienstendpunkt für Azure Storage konfiguriert wurde, können Sie dies im Rahmen dieses Vorgangs nachholen.If a service endpoint for Azure Storage wasn't previously configured for the selected virtual network and subnets, you can configure it as part of this operation.

    Zurzeit werden nur virtuelle Netzwerke, die zu demselben Azure Active Directory-Mandanten gehören, während der Regelerstellung zur Auswahl angezeigt.Presently, only virtual networks belonging to the same Azure Active Directory tenant are shown for selection during rule creation. Verwenden Sie PowerShell, die CLI oder REST-APIs, um den Zugriff auf ein Subnetz in einem virtuellen Netzwerk zu gewähren, das zu einem anderen Mandanten gehört.To grant access to a subnet in a virtual network belonging to another tenant, please use Powershell, CLI or REST APIs.

  5. Wenn Sie eine Regel für virtuelle Netzwerke oder Subnetze entfernen möchten, klicken Sie auf ... , um das Kontextmenü für das virtuelle Netzwerk oder Subnetz zu öffnen, und klicken Sie anschließend auf Entfernen.To remove a virtual network or subnet rule, click ... to open the context menu for the virtual network or subnet, and click Remove.

  6. Klicken Sie zum Übernehmen der Änderungen auf Speichern.Click Save to apply your changes.

PowerShellPowerShell

  1. Installieren Sie Azure PowerShell, und melden Sie sich an.Install the Azure PowerShell and sign in.

  2. Listen Sie die VNET-Regeln auf.List virtual network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
    
  3. Aktivieren Sie den Dienstendpunkt für Azure Storage in einem vorhandenen virtuellen Netzwerk und Subnetz.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzVirtualNetwork
    
  4. Fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu.Add a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    

    Tipp

    Wenn Sie eine Netzwerkregel für ein Subnetz in einem VNET hinzufügen möchten, das zu einem anderen Azure AD-Mandanten gehört, verwenden Sie einen voll qualifizierten VirtualNetworkResourceId-Parameter im Format „/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name“.To add a network rule for a subnet in a VNet belonging to another Azure AD tenant, use a fully-qualified VirtualNetworkResourceId parameter in the form "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

  5. Entfernen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz.Remove a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls haben die Netzwerkregeln keine Wirkung.Be sure to set the default rule to deny, or network rules have no effect.

CLI v2CLIv2

  1. Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.Install the Azure CLI and sign in.

  2. Listen Sie die VNET-Regeln auf.List virtual network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
    
  3. Aktivieren Sie den Dienstendpunkt für Azure Storage in einem vorhandenen virtuellen Netzwerk und Subnetz.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
    
  4. Fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu.Add a network rule for a virtual network and subnet.

    $subnetid=(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    

    Tipp

    Verwenden Sie zum Hinzufügen einer Regel für ein Subnetz in einem VNET, das zu einem anderen Azure AD-Mandanten gehört, eine voll qualifizierte Subnetz-ID im Format „/subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>“.To add a rule for a subnet in a VNet belonging to another Azure AD tenant, use a fully-qualified subnet ID in the form "/subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>".

    Sie können den Parameter Abonnement verwenden, um die Subnetz-ID für ein VNET abzurufen, das zu einem anderen Azure AD-Mandanten gehört.You can use the subscription parameter to retrieve the subnet ID for a VNet belonging to another Azure AD tenant.

  5. Entfernen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz.Remove a network rule for a virtual network and subnet.

    $subnetid=(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls haben die Netzwerkregeln keine Wirkung.Be sure to set the default rule to deny, or network rules have no effect.

Gewähren von Zugriff aus einem Internet-IP-AdressbereichGrant access from an internet IP range

Sie können Speicherkonten so konfigurieren, dass der Zugriff über bestimmte öffentliche Internet-IP-Adressbereichen zugelassen wird.You can configure storage accounts to allow access from specific public internet IP address ranges. Diese Konfiguration gewährt bestimmten internetbasierten Diensten und lokalen Netzwerken Zugriff und blockiert gleichzeitig den allgemeinen Internetdatenverkehr.This configuration grants access to specific internet-based services and on-premises networks and blocks general internet traffic.

Geben Sie zulässige Internetadressbereiche in CIDR-Notation im Format 16.17.18.0/24 oder als einzelne IP-Adressen (beispielsweise 16.17.18.19) an.Provide allowed internet address ranges using CIDR notation in the form 16.17.18.0/24 or as individual IP addresses like 16.17.18.19.

Hinweis

Kleine Adressbereiche mit der Präfixgröße „/ 31“ oder „/ 32“ werden nicht unterstützt.Small address ranges using "/31" or "/32" prefix sizes are not supported. Diese Bereiche müssen mit einzelnen IP-Adressregeln konfiguriert werden.These ranges should be configured using individual IP address rules.

IP-Netzwerkregeln sind nur für öffentliche Internet-IP-Adressen zulässig.IP network rules are only allowed for public internet IP addresses. Für private Netzwerke reservierte IP-Adressbereiche (wie in RFC 1918 definiert) sind in IP-Adressregeln nicht zulässig.IP address ranges reserved for private networks (as defined in RFC 1918) aren't allowed in IP rules. Private Netzwerke enthalten Adressen, die mit 10.* , 172.16.* - 172.31.* und 192.168.* beginnen.Private networks include addresses that start with 10.*, 172.16.* - 172.31.*, and 192.168.*.

Hinweis

IP-Netzwerkregeln haben keine Auswirkungen auf Anforderungen, die aus der Azure-Region stammen, in der sich auch das Speicherkonto befindet.IP network rules have no effect on requests originating from the same Azure region as the storage account. Verwenden Sie VNET-Regeln, um Anforderungen aus der gleichen Region zuzulassen.Use Virtual network rules to allow same-region requests.

Hinweis

Dienste, die in derselben Region wie das Speicherkonto bereitgestellt werden, verwenden für die Kommunikation private Azure-IP-Adressen.Services deployed in the same region as the storage account use private Azure IP addresses for communication. Deshalb können Sie den Zugriff auf bestimmte Azure-Dienste nicht basierend auf deren IP-Adressbereich für öffentlichen eingehenden Datenverkehr einschränken.Thus, you cannot restrict access to specific Azure services based on their public inbound IP address range.

Für die Konfiguration von Storage-Firewallregeln werden nur IPv4-Adressen unterstützt.Only IPV4 addresses are supported for configuration of storage firewall rules.

Jedes Speicherkonto unterstützt bis zu 100 IP-Netzwerkregeln.Each storage account supports up to 100 IP network rules.

Konfigurieren des Zugriffs aus lokalen NetzwerkenConfiguring access from on-premises networks

Wenn Sie mit einer IP-Netzwerkregel den Zugriff über Ihre lokalen Netzwerke auf das Speicherkonto gewähren möchten, müssen Sie die von Ihrem Netzwerk verwendeten Internet-IP-Adressen ermitteln.To grant access from your on-premises networks to your storage account with an IP network rule, you must identify the internet facing IP addresses used by your network. Hilfe erhalten Sie von Ihrem Netzwerkadministrator.Contact your network administrator for help.

Wenn Sie ExpressRoute lokal für öffentliches Peering oder für Microsoft-Peering verwenden, müssen Sie die verwendeten NAT-IP-Adressen identifizieren.If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Beim öffentlichen Peering werden für jede ExpressRoute-Verbindung standardmäßig zwei NAT-IP-Adressen verwendet. Diese werden auf den Datenverkehr der Azure-Dienste angewendet, wenn der Datenverkehr im Microsoft Azure-Netzwerk-Backbone eintrifft.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Beim Microsoft-Peering werden die verwendeten NAT-IP-Adressen entweder vom Kunden oder vom Dienstanbieter bereitgestellt.For Microsoft peering, the NAT IP addresses used are either customer provided or are provided by the service provider. Um den Zugriff auf Ihre Dienstressourcen zuzulassen, müssen Sie diese öffentlichen IP-Adressen in der Ressourceneinstellung der IP-Firewall zulassen.To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Öffnen Sie über das Azure-Portal ein Supportticket für ExpressRoute, um die IP-Adressen Ihrer ExpressRoute-Verbindung für öffentliches Peering zu ermitteln.To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Erfahren Sie mehr über NAT für öffentliches ExpressRoute-Peering und Microsoft-Peering.Learn more about NAT for ExpressRoute public and Microsoft peering.

Verwalten von IP-NetzwerkregelnManaging IP network rules

IP-Netzwerkregeln für Speicherkonten können über das Azure-Portal, über PowerShell oder per CLI v2 verwaltet werden.You can manage IP network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure-PortalAzure portal

  1. Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.Go to the storage account you want to secure.

  2. Klicken Sie auf das Einstellungsmenü mit dem Namen Firewalls und virtuelle Netzwerke.Click on the settings menu called Firewalls and virtual networks.

  3. Vergewissern Sie sich, dass Sie den Zugriff über Ausgewählte Netzwerke ausgewählt haben.Check that you've selected to allow access from Selected networks.

  4. Geben Sie unter Firewall > Adressbereich die IP-Adresse oder den IP-Adressbereich (im CIDR-Format) ein, um Zugriff auf einen Internet-IP-Adressbereich zu gewähren.To grant access to an internet IP range, enter the IP address or address range (in CIDR format) under Firewall > Address Range.

  5. Wenn Sie eine IP-Netzwerkregel entfernen möchten, klicken Sie auf das Papierkorbsymbol neben dem Adressbereich.To remove an IP network rule, click the trash can icon next to the address range.

  6. Klicken Sie zum Übernehmen der Änderungen auf Speichern.Click Save to apply your changes.

PowerShellPowerShell

  1. Installieren Sie Azure PowerShell, und melden Sie sich an.Install the Azure PowerShell and sign in.

  2. Listen Sie IP-Netzwerkregeln auf.List IP network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
    
  3. Fügen Sie eine Netzwerkregel für eine einzelne IP-Adresse hinzu.Add a network rule for an individual IP address.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  4. Fügen Sie eine Netzwerkregel für einen IP-Adressbereich hinzu.Add a network rule for an IP address range.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    
  5. Entfernen Sie eine Netzwerkregel für eine einzelne IP-Adresse.Remove a network rule for an individual IP address.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  6. Entfernen Sie eine Netzwerkregel für einen IP-Adressbereich.Remove a network rule for an IP address range.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls haben die Netzwerkregeln keine Wirkung.Be sure to set the default rule to deny, or network rules have no effect.

CLI v2CLIv2

  1. Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.Install the Azure CLI and sign in.

  2. Listen Sie IP-Netzwerkregeln auf.List IP network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
    
  3. Fügen Sie eine Netzwerkregel für eine einzelne IP-Adresse hinzu.Add a network rule for an individual IP address.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  4. Fügen Sie eine Netzwerkregel für einen IP-Adressbereich hinzu.Add a network rule for an IP address range.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    
  5. Entfernen Sie eine Netzwerkregel für eine einzelne IP-Adresse.Remove a network rule for an individual IP address.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  6. Entfernen Sie eine Netzwerkregel für einen IP-Adressbereich.Remove a network rule for an IP address range.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls haben die Netzwerkregeln keine Wirkung.Be sure to set the default rule to deny, or network rules have no effect.

AusnahmenExceptions

Mithilfe von Netzwerkregeln können Sie in den meisten Szenarien eine sichere Umgebung für Verbindungen zwischen Ihren Anwendungen und Ihren Daten erstellen.Network rules help to create a secure environment for connections between your applications and your data for most scenarios. Einige Anwendungen sind jedoch von Azure-Diensten abhängig, die über Regeln für virtuelle Netzwerke oder IP-Adressen nicht eindeutig isoliert werden können.However, some applications depend on Azure services that cannot be uniquely isolated through virtual network or IP address rules. Diese Dienste müssen jedoch für den Speicher gewährt werden, um eine vollständige Anwendungsfunktionalität zu ermöglichen.But such services must be granted to storage to enable full application functionality. In solchen Fällen können Sie über die Einstellung Hiermit erlauben Sie vertrauenswürdigen Microsoft-Diensten... diesen Diensten den Zugriff auf Ihre Daten, Protokolle oder Analysen ermöglichen.In such situations, you can use the Allow trusted Microsoft services... setting to enable such services to access your data, logs, or analytics.

Vertrauenswürdige Microsoft-DiensteTrusted Microsoft services

Einige Microsoft-Dienste werden aus Netzwerken betrieben, die in Ihren Netzwerkregeln nicht enthalten sein können.Some Microsoft services operate from networks that can't be included in your network rules. Sie können einer Teilmenge solcher vertrauenswürdiger Microsoft-Dienste Zugriff auf das Speicherkonto gewähren und gleichzeitig Netzwerkregeln für andere Apps beibehalten.You can grant a subset of such trusted Microsoft services access to the storage account, while maintaining network rules for other apps. Diese vertrauenswürdigen Dienste stellen dann mithilfe einer strengen Authentifizierung eine sichere Verbindung mit Ihrem Speicherkonto her.These trusted services will then use strong authentication to connect to your storage account securely. Wir haben zwei Modi für den vertrauenswürdigen Zugriff für Microsoft-Dienste ermöglicht.We've enabled two modes of trusted access for Microsoft services.

  • Ressourcen einiger Dienste können, sofern sie in Ihrem Abonnement registriert sind, für bestimmte Vorgänge auf Ihr Speicherkonto im gleichen Abonnement zugreifen. Hierzu zählen beispielsweise Sicherungsvorgänge und das Schreiben von Protokollen.Resources of some services, when registered in your subscription, can access your storage account in the same subscription for select operations, such as writing logs or backup.
  • Ressourcen einiger Dienste kann durch Zuweisen einer RBAC-Rolle zur vom System zugewiesenen verwalteten Identität der explizite Zugriff auf Ihr Speicherkonto gewährt werden.Resources of some services can be granted explicit access to your storage account by assigning an RBAC role to its system-assigned managed identity.

Wenn Sie die Einstellung Vertrauenswürdige Microsoft-Dienste zulassen festlegen, wird Ressourcen der folgenden Dienste, die im gleichen Abonnement registriert sind wie das Speicherkonto, Zugriff für eine eingeschränkte Gruppe von Vorgängen gewährt:When you enable the Allow trusted Microsoft services... setting, resources of the following services that are registered in the same subscription as your storage account are granted access for a limited set of operations as described:

DienstService Name des RessourcenanbietersResource Provider Name Zulässige VorgängeOperations allowed
Azure BackupAzure Backup Microsoft.RecoveryServicesMicrosoft.RecoveryServices Ausführen von Sicherungen und Wiederherstellungen von nicht verwalteten Datenträgern in virtuellen IAAS-ComputernRun backups and restores of unmanaged disks in IAAS virtual machines. (nicht für verwaltete Datenträger erforderlich).(not required for managed disks). Weitere InformationenLearn more.
Azure Data BoxAzure Data Box Microsoft.DataBoxMicrosoft.DataBox Ermöglicht den Import von Daten in Azure über die Data Box.Enables import of data to Azure using Data Box. Weitere InformationenLearn more.
Azure DevTest LabsAzure DevTest Labs Microsoft.DevTestLabMicrosoft.DevTestLab Erstellung benutzerdefinierter Images und Installation von Artefakten.Custom image creation and artifact installation. Weitere InformationenLearn more.
Azure Event GridAzure Event Grid Microsoft.EventGridMicrosoft.EventGrid Aktivieren Sie Blob Storage-Ereignisveröffentlichung, und erlauben Sie Event Grid die Veröffentlichung in Speicherwarteschlangen.Enable Blob Storage event publishing and allow Event Grid to publish to storage queues. Erfahren Sie mehr über Blob Storage-Ereignisse und das Veröffentlichen in Warteschlangen.Learn about blob storage events and publishing to queues.
Azure Event HubsAzure Event Hubs Microsoft.EventHubMicrosoft.EventHub Archivieren von Daten mit Event Hubs Capture.Archive data with Event Hubs Capture. Weitere Informationen.Learn More.
Azure-DateisynchronisierungAzure File Sync Microsoft.StorageSyncMicrosoft.StorageSync Ermöglicht das Transformieren eines lokalen Dateiservers in einen Cache für Azure-Dateifreigaben.Enables you to transform your on-prem file server to a cache for Azure File shares. Ermöglicht die Synchronisierung mit mehreren Standorten, eine schnelle Notfallwiederherstellung und die cloudbasierte Sicherung.Allowing for multi-site sync, fast disaster-recovery, and cloud-side backup. Weitere InformationenLearn more
Azure HDInsightAzure HDInsight Microsoft.HDInsightMicrosoft.HDInsight Stellen Sie die anfänglichen Inhalte des Standarddateisystems für einen neuen HDInsight-Cluster bereit.Provision the initial contents of the default file system for a new HDInsight cluster. Weitere InformationenLearn more.
Azure Import/ExportAzure Import Export Microsoft.ImportExportMicrosoft.ImportExport Ermöglicht das Importieren von Daten in Azure und das Exportieren von Daten aus Azure mit dem Dienst „Microsoft Azure Import/Export“.Enables import of data to Azure and export of data from Azure using Import/Export service. Weitere InformationenLearn more.
Azure MonitorAzure Monitor Microsoft.InsightsMicrosoft.Insights Ermöglicht das Schreiben von Überwachungsdaten in ein sicheres Speicherkonto, einschließlich Ressourcendiagnoseprotokollen, Azure Active Directory-Anmelde- und -Überwachungsprotokollen sowie Microsoft Intune-Protokollen.Allows writing of monitoring data to a secured storage account, including resource diagnostic logs, Azure Active Directory sign-in and audit logs, and Microsoft Intune logs. Weitere InformationenLearn more.
Azure-NetzwerkeAzure Networking Microsoft.NetworkMicrosoft.Network Speichern und Analysieren von Protokollen des Netzwerkdatenverkehrs.Store and analyze network traffic logs. Weitere InformationenLearn more.
Azure Site RecoveryAzure Site Recovery Microsoft.SiteRecoveryMicrosoft.SiteRecovery Aktivieren Sie die Replikation für die Notfallwiederherstellung von virtuellen Azure-IaaS-Computern bei Verwendung von firewallfähigen Cache-, Quell- oder Zielspeicherkonten.Enable replication for disaster-recovery of Azure IaaS virtual machines when using firewall-enabled cache, source, or target storage accounts. Weitere InformationenLearn more.

Die Einstellung Hiermit erlauben Sie vertrauenswürdigen Microsoft-Diensten... ermöglicht auch einer bestimmten Instanz der folgenden Dienste den Zugriff auf das Speicherkonto, wenn Sie der vom System zugewiesenen verwalteten Identität für diese Ressourceninstanz explizit eine RBAC-Rolle zuweisen.The Allow trusted Microsoft services... setting also allows a particular instance of the below services to access the storage account, if you explicitly assign an RBAC role to the system-assigned managed identity for that resource instance. In diesem Fall entspricht der Zugriffsbereich für die Instanz der RBAC-Rolle, die der verwalteten Identität zugewiesen ist.In this case, the scope of access for the instance corresponds to the RBAC role assigned to the managed identity.

DienstService Name des RessourcenanbietersResource Provider Name ZweckPurpose
Azure Container Registry TasksAzure Container Registry Tasks Microsoft.ContainerRegistry/registriesMicrosoft.ContainerRegistry/registries ACR Tasks können beim Erstellen von Containerimages auf Speicherkonten zugreifen.ACR Tasks can access storage accounts when building container images.
Azure Data FactoryAzure Data Factory Microsoft.DataFactory/factoriesMicrosoft.DataFactory/factories Ermöglicht den Zugriff auf Speicherkonten über die ADF Runtime.Allows access to storage accounts through the ADF runtime.
Azure Logic AppsAzure Logic Apps Microsoft.Logic/workflowsMicrosoft.Logic/workflows Ermöglicht Logik-Apps den Zugriff auf Speicherkonten.Enables logic apps to access storage accounts. Weitere InformationenLearn more.
Azure Machine LearningAzure Machine Learning Microsoft.MachineLearningServicesMicrosoft.MachineLearningServices Autorisierte Azure Machine Learning-Arbeitsbereiche schreiben Experimentausgaben, Modelle und Protokolle in Blob Storage.Authorized Azure Machine Learning workspaces write experiment output, models, and logs to Blob storage. Weitere InformationenLearn more.
Azure SQL Data WarehouseAzure SQL Data Warehouse Microsoft.SqlMicrosoft.Sql Ermöglicht das Importieren und Exportieren von Daten aus bestimmten SQL-Datenbankinstanzen mithilfe von PolyBase.Allows import and export of data from specific SQL Database instances using PolyBase. Weitere InformationenLearn more.
Azure Stream AnalyticsAzure Stream Analytics Microsoft.StreamAnalyticsMicrosoft.StreamAnalytics Ermöglicht das Schreiben von Daten aus einem Streamingauftrag in den BLOB-Speicher.Allows data from a streaming job to be written to Blob storage. Diese Funktion steht derzeit als Vorschau zur Verfügung.This feature is currently in preview. Weitere InformationenLearn more.
Azure Synapse AnalyticsAzure Synapse Analytics Microsoft.Synapse/workspacesMicrosoft.Synapse/workspaces Dies ermöglicht in Azure Storage den Zugriff auf Daten von Synapse Analytics.Enables access to data in Azure Storage from Synapse Analytics.

Zugriff auf Storage Analytics-DatenStorage analytics data access

In manchen Fällen ist der Lesezugriff auf Diagnoseprotokolle und -metriken von außerhalb des Netzwerks erforderlich.In some cases, access to read diagnostic logs and metrics is required from outside the network boundary. Wenn Sie für vertrauenswürdige Dienste den Zugriff auf das Speicherkonto konfigurieren, können Sie den Lesezugriff für die Protokolldateien, Metriktabellen oder beides erlauben.When configuring trusted services access to the storage account, you can allow read-access for the log files, metrics tables, or both. Weitere Informationen zum Arbeiten mit Storage AnalyticsLearn more about working with storage analytics.

Verwalten von AusnahmenManaging exceptions

Netzwerkregelausnahmen können über das Azure-Portal, über PowerShell oder per Azure CLI v2 verwaltet werden.You can manage network rule exceptions through the Azure portal, PowerShell, or Azure CLI v2.

Azure-PortalAzure portal

  1. Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.Go to the storage account you want to secure.

  2. Klicken Sie auf das Einstellungsmenü mit dem Namen Firewalls und virtuelle Netzwerke.Click on the settings menu called Firewalls and virtual networks.

  3. Vergewissern Sie sich, dass Sie den Zugriff über Ausgewählte Netzwerke ausgewählt haben.Check that you've selected to allow access from Selected networks.

  4. Wählen Sie unter Ausnahmen die Ausnahmen aus, die Sie gewähren möchten.Under Exceptions, select the exceptions you wish to grant.

  5. Klicken Sie zum Übernehmen der Änderungen auf Speichern.Click Save to apply your changes.

PowerShellPowerShell

  1. Installieren Sie Azure PowerShell, und melden Sie sich an.Install the Azure PowerShell and sign in.

  2. Zeigen Sie die Ausnahmen für die Speicherkonto-Netzwerkregeln an.Display the exceptions for the storage account network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
    
  3. Konfigurieren Sie die Ausnahmen von den Speicherkonto-Netzwerkregeln.Configure the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
    
  4. Entfernen Sie die Ausnahmen von den Speicherkonto-Netzwerkregeln.Remove the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
    

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls hat das Entfernen von Ausnahmen keine Wirkung.Be sure to set the default rule to deny, or removing exceptions have no effect.

CLI v2CLIv2

  1. Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.Install the Azure CLI and sign in.

  2. Zeigen Sie die Ausnahmen für die Speicherkonto-Netzwerkregeln an.Display the exceptions for the storage account network rules.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
    
  3. Konfigurieren Sie die Ausnahmen von den Speicherkonto-Netzwerkregeln.Configure the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
    
  4. Entfernen Sie die Ausnahmen von den Speicherkonto-Netzwerkregeln.Remove the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
    

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls hat das Entfernen von Ausnahmen keine Wirkung.Be sure to set the default rule to deny, or removing exceptions have no effect.

Nächste SchritteNext steps

Unter Dienstendpunkte erhalten Sie weitere Informationen zu Dienstendpunkten in Azure-Netzwerken.Learn more about Azure Network service endpoints in Service endpoints.

Im Azure Storage-Sicherheitsleitfaden erhalten Sie weitere Informationen zur Sicherheit von Azure Storage.Dig deeper into Azure Storage security in Azure Storage security guide.