Konfigurieren von Azure Storage-Firewalls und virtuellen Netzwerken

Azure Storage bietet ein mehrschichtiges Sicherheitsmodell. Mit diesem Modell können Sie den für Ihre Anwendungen und Unternehmensumgebungen benötigten Zugriff auf Ihre Speicherkonten schützen und steuern – abhängig von der Art und der Teilmenge der verwendeten Netzwerke oder Ressourcen. Wenn Netzwerkregeln konfiguriert wurden, können nur Anwendungen, die Daten über die angegebene Gruppe von Netzwerken oder über die angegebenen Azure-Ressourcen anfordern, auf ein Speicherkonto zugreifen. Sie können den Zugriff auf Ihr Speicherkonto auf Anforderungen beschränken, die von angegebenen IP-Adressen, aus angegebenen IP-Adressbereichen, aus angegebenen Subnetzen in einem virtuellen Azure-Netzwerk (VNET) oder von angegebenen Ressourceninstanzen einiger Azure-Dienste stammen.

Speicherkonten verfügen über einen öffentlichen Endpunkt, auf den über das Internet zugegriffen werden kann. Sie können auch private Endpunkte für Ihr Speicherkonto erstellen, das dem Speicherkonto eine private IP-Adresse aus Ihrem VNet zuweist und den gesamten Datenverkehr zwischen Ihrem VNet und dem Speicherkonto über einen privaten Link sichert. Die Azure Storage-Firewall ermöglicht Zugriffssteuerung für den öffentlichen Endpunkt Ihres Speicherkontos. Sie können die Firewall auch zum Blockieren des gesamten Zugriffs über den öffentlichen Endpunkt einsetzen, wenn private Endpunkte verwendet werden. Ihre Storage-Firewallkonfiguration ermöglicht auch die Auswahl vertrauenswürdiger Azure-Plattformdienste für sicheren Zugriff auf das Speicherkonto.

Eine Anwendung, die bei aktivierten Netzwerkregeln auf ein Speicherkonto zugreift, benötigt weiterhin eine ordnungsgemäße Autorisierung für die Anforderung. Für die Autorisierung können Azure Active Directory (Azure AD)-Anmeldeinformationen für Blobs und Warteschlangen mit einem gültigen Kontozugriffsschlüssel oder mit einem SAS-Token verwendet werden.

Wichtig

Wenn Sie Firewallregeln für Ihr Speicherkonto aktivieren, werden eingehende Datenanforderungen standardmäßig blockiert – es sei denn, die Anforderungen stammen von einem Dienst, der innerhalb eines virtuellen Azure-Netzwerks (VNet) agiert, oder aus zulässigen öffentlichen IP-Adressen. Unter anderem werden Anforderungen von anderen Azure-Diensten, aus dem Azure-Portal und von Protokollierungs-/Metrikdiensten blockiert.

Sie können Azure-Diensten, die innerhalb eines VNETs agieren, Zugriff gewähren, indem Sie Datenverkehr aus dem Subnetz zulassen, das die Dienstinstanz hostet. Sie können auch eine begrenzte Anzahl von Szenarien über den nachstehend beschriebenen Ausnahmenmechanismus ermöglichen. Der Zugriff auf Daten aus dem Speicherkonto über das Azure-Portal muss über einen Computer erfolgen, der sich innerhalb der von Ihnen eingerichteten vertrauenswürdigen Grenze (IP-Adresse oder VNET) befindet.

Hinweis

Dieser Artikel wurde mit der Verwendung des Azure Az PowerShell-Moduls aktualisiert. Das Azure Az PowerShell-Modul wird für die Interaktion mit Azure empfohlen. Informationen zu den ersten Schritten mit dem Az PowerShell-Modul finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Szenarien

Zum Sichern Ihres Speicherkontos sollten Sie zuerst eine Regel so konfigurieren, dass der Zugriff auf Datenverkehr aus allen Netzwerken (einschließlich Internetdatenverkehr) auf dem öffentlichen Endpunkt standardmäßig verweigert wird. Anschließend sollten Sie Regeln konfigurieren, die den Zugriff auf Datenverkehr aus bestimmten VNETs gewähren. Sie können auch Regeln konfigurieren, um den Zugriff auf Datenverkehr aus ausgewählten öffentlichen Internet-IP-Adressbereichen zu gewähren und so Verbindungen von bestimmten Internetclients oder lokalen Clients zu ermöglichen. Mit dieser Konfiguration können Sie eine sichere Netzwerkgrenze für Ihre Anwendungen erstellen.

Sie können Firewallregeln kombinieren, die den Zugriff aus bestimmten virtuellen Netzwerken und aus öffentlichen IP-Adressbereichen in demselben Speicherkonto zulassen. Storage-Firewallregeln können auf vorhandene Speicherkonten oder bei der Erstellung neuer Speicherkonten angewendet werden.

Storage-Firewallregeln gelten für den öffentlichen Endpunkt eines Speicherkontos. Sie benötigen keine Firewallzugriffsregeln, um Datenverkehr für private Endpunkte eines Speicherkontos zuzulassen. Der Vorgang zur Genehmigung der Erstellung eines privaten Endpunkts gewährt impliziten Zugriff auf Datenverkehr aus dem Subnetz, das den privaten Endpunkt hostet.

Netzwerkregeln werden für alle Netzwerkprotokolle für Azure Storage, einschließlich REST und SMB, erzwungen. Für den Zugriff auf Daten mithilfe von Tools wie Azure-Portal, Storage-Explorer und AzCopy müssen explizite Netzwerkregeln konfiguriert werden.

Angewendete Netzwerkregeln werden für alle Anforderungen erzwungen. SAS-Token, die Zugriff auf eine bestimmte IP-Adresse gewähren, beschränken den Zugriff des Tokeninhabers, gewähren jedoch keinen neuen Zugriff außerhalb der konfigurierten Netzwerkregeln.

Datenverkehr für VM-Datenträger (einschließlich Vorgängen zur Einbindung/Aufhebung der Einbindung sowie E/A-Vorgänge des Datenträgers) ist von Netzwerkregeln nicht betroffen. Der REST-Zugriff auf Seitenblobs wird durch Netzwerkregeln geschützt.

Firewalls und virtuelle Netzwerke werden von klassischen Speicherkonten nicht unterstützt.

Sie können nicht verwaltete Datenträger in Speicherkonten mit angewendeten Netzwerkregeln verwenden, um virtuelle Computer durch Erstellung einer Ausnahme zu sichern und wiederherzustellen. Dieser Prozess ist im Abschnitt Verwalten von Ausnahmen dieses Artikels dokumentiert. Firewallausnahmen gelten nicht für verwaltete Datenträger, da sie bereits von Azure verwaltet werden.

Ändern der Standard-Netzwerkzugriffsregel

Standardmäßig akzeptieren Speicherkonten Verbindungen von Clients in jedem Netzwerk. Um den Zugriff auf ausgewählte Netzwerke zu beschränken, müssen Sie zunächst die Standardaktion ändern.

Warnung

Änderungen an Netzwerkregeln können die Fähigkeit von Anwendungen, eine Verbindung mit Azure Storage herzustellen, beeinträchtigen. Durch Festlegen der Standardnetzwerkregel auf Verweigern wird sämtlicher Zugriff auf die Daten blockiert – es sei denn, es werden auch bestimmte Netzwerkregeln angewendet, die Zugriff gewähren. Gewähren Sie mithilfe von Netzwerkregeln Zugriff auf alle zulässigen Netzwerke, bevor Sie die Standardregel ändern, um Zugriff zu verweigern.

Verwalten standardmäßiger Netzwerkzugriffsregeln

Standardmäßige Netzwerkzugriffsregeln für Speicherkonten können über das Azure-Portal, über PowerShell oder per CLI v2 verwaltet werden.

  1. Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.

  2. Wählen Sie das Einstellungsmenü Netzwerk aus.

  3. Wenn der Zugriff standardmäßig verweigert werden soll, wählen Sie aus, dass Zugriff über Ausgewählte Netzwerke gewährt werden soll. Wenn Sie Datenverkehr aus allen Netzwerken zulassen möchten, wählen Sie aus, dass der Zugriff über Alle Netzwerke gewährt werden soll.

  4. Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Gewähren des Zugriffs aus einem virtuellen Netzwerk

Sie können Speicherkonten so konfigurieren, dass nur über bestimmte Subnetze zugegriffen werden kann. Die zulässigen Subnetze gehören möglicherweise zu einem VNET in demselben Abonnement oder in einem anderen Abonnement – einschließlich Abonnements, die zu einem anderen Azure Active Directory-Mandanten gehören.

Aktivieren Sie einen Dienstendpunkt für Azure Storage innerhalb des VNETs. Der Dienstendpunkt leitet Datenverkehr aus dem VNET über einen optimalen Pfad an den Azure Storage-Dienst weiter. Mit jeder Anforderung werden außerdem die Identitäten des Subnetzes und des virtuellen Netzwerks übertragen. Administratoren können anschließend Netzwerkregeln für das Speicherkonto konfigurieren, die den Empfang von Anforderungen aus bestimmten Subnetzen in einem VNET zulassen. Clients, denen über diese Netzwerkregeln Zugriff gewährt wird, müssen weiterhin die Autorisierungsanforderungen des Speicherkontos erfüllen, um auf die Daten zugreifen zu können.

Jedes Speicherkonto unterstützt bis zu 200 VNET-Regeln, die mit IP-Netzwerkregeln kombiniert werden können.

Wichtig

Wenn Sie ein Subnetz löschen, das in einer Netzwerkregel enthalten ist, wird es aus den Netzwerkregeln für das Speicherkonto entfernt. Wenn Sie ein neues Subnetz mit dem gleichen Namen erstellen, hat es keinen Zugriff auf das Speicherkonto. Um den Zugriff zuzulassen, müssen Sie das neue Subnetz explizit in den Netzwerkregeln für das Speicherkonto autorisieren.

Verfügbare Regionen für virtuelle Netzwerke

Dienstendpunkte können in der Regel zwischen virtuellen Netzwerken und Dienstinstanzen in der gleichen Azure-Region verwendet werden. Wenn Dienstendpunkte mit Azure Storage verwendet werden, schließt dieser Bereich auch Regionspaare mit ein. Dienstendpunkte ermöglichen Kontinuität während eines regionalen Failovers sowie unterbrechungsfreien Zugriff auf Instanzen von georedundantem Speicher mit Lesezugriff (Read-Access Geo-Redundant Storage, RA-GRS). Netzwerkregeln, die Zugriff aus einem virtuellen Netzwerk auf ein Speicherkonto gewähren, gewähren auch Zugriff auf jede RA-GRS-Instanz.

Wenn Sie die Notfallwiederherstellung für einen regionalen Ausfall planen, sollten Sie die VNETs im Voraus im Regionspaar bereitstellen. Aktivieren Sie Dienstendpunkte für Azure Storage mit Netzwerkregeln, die den Zugriff über diese alternativen virtuellen Netzwerke gewähren. Wenden Sie diese Regeln dann auf Ihre georedundanten Speicherkonten an.

Hinweis

Dienstendpunkte gelten nicht für Datenverkehr außerhalb der Region des virtuellen Netzwerks und des angegebenen Regionspaars. Netzwerkregeln, die Zugriff aus virtuellen Netzwerken auf Speicherkonten gewähren, können nur in der primären Region eines Speicherkontos oder im angegebenen Regionspaar angewendet werden.

Erforderliche Berechtigungen

Wenn Sie eine VNET-Regel auf ein Speicherkonto anwenden möchten, muss der Benutzer über geeignete Berechtigungen für die hinzuzufügenden Subnetze verfügen. Das Anwenden einer Regel kann von einem Speicherkontomitwirkenden oder einem Benutzer ausgeführt werden, dem über eine benutzerdefinierte Azure-Rolle die Berechtigung für den Azure-Ressourcenanbietervorgang Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action erteilt wurde.

Das Speicherkonto und die virtuellen Netzwerke, denen Zugriff gewährt wurde, können sich in verschiedenen Abonnements befinden – einschließlich Abonnements, die zu einem anderen Azure AD-Mandanten gehören.

Hinweis

Die Konfiguration von Regeln, die Zugriff auf Subnetze in virtuellen Netzwerken gewähren, die Teil eines anderen Azure Active Directory-Mandanten sind, wird zurzeit nur über PowerShell, CLI und Rest-APIs unterstützt. Diese Regeln können nicht über das Azure-Portal konfiguriert werden, obwohl sie möglicherweise im Portal angezeigt werden.

Verwalten von VNET-Regeln

VNET-Regeln für Speicherkonten können über das Azure-Portal, über PowerShell oder per CLI v2 verwaltet werden.

  1. Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.

  2. Wählen Sie das Einstellungsmenü Netzwerk aus.

  3. Vergewissern Sie sich, dass Sie den Zugriff über Ausgewählte Netzwerke ausgewählt haben.

  4. Wenn Sie mit einer neuen Netzwerkregel den Zugriff auf ein virtuelles Netzwerk zulassen möchten, wählen Sie unter Virtuelle Netzwerke die Option Vorhandenes virtuelles Netzwerk hinzufügen, die Optionen Virtuelle Netzwerke und Subnetze und anschließend Hinzufügen aus. Wenn Sie ein neues virtuelles Netzwerk erstellen und ihm Zugriff gewähren möchten, wählen Sie Neues virtuelles Netzwerk hinzufügen aus. Geben Sie die erforderlichen Informationen zum Erstellen des neuen virtuellen Netzwerks an, und wählen Sie anschließend Erstellen aus.

    Hinweis

    Wenn für das ausgewählte virtuelle Netzwerk und die Subnetze noch kein Dienstendpunkt für Azure Storage konfiguriert wurde, können Sie dies im Rahmen dieses Vorgangs nachholen.

    Zurzeit werden nur virtuelle Netzwerke, die zu demselben Azure Active Directory-Mandanten gehören, während der Regelerstellung zur Auswahl angezeigt. Verwenden Sie PowerShell, die CLI oder REST-APIs, um den Zugriff auf ein Subnetz in einem virtuellen Netzwerk zu gewähren, das zu einem anderen Mandanten gehört.

  5. Wenn Sie eine Regel für virtuelle Netzwerke oder Subnetze entfernen möchten, wählen Sie ... aus, um das Kontextmenü für das virtuelle Netzwerk oder Subnetz zu öffnen, und wählen Sie anschließend Entfernen aus.

  6. Wählen Sie Speichern aus, um Ihre Änderungen anzuwenden.

Gewähren von Zugriff aus einem Internet-IP-Adressbereich

Sie können IP-Netzwerkregeln verwenden, um den Zugriff aus spezifischen öffentlichen IP-Adressbereichen über das Internet zuzulassen, indem Sie IP-Netzwerkregeln erstellen. Jedes Speicherkonto unterstützt bis zu 200 Regeln. Diese Regeln gewähren bestimmten internetbasierten Diensten und lokalen Netzwerken Zugriff und blockieren den allgemeinen Internetdatenverkehr.

Die folgenden Einschränkungen gelten für IP-Adressbereiche.

  • IP-Netzwerkregeln sind nur für IP-Adressen des öffentlichen Internet zulässig.

    Für private Netzwerke reservierte IP-Adressbereiche (wie in RFC 1918 definiert) sind in IP-Adressregeln nicht zulässig. Private Netzwerke enthalten Adressen, die mit 10.* , 172.16.* - 172.31.* und 192.168.* beginnen.

  • Sie müssen zulässige Internetadressbereiche in der CIDR-Notation im Format 16.17.18.0/24 oder als einzelne IP-Adressen (beispielsweise 16.17.18.19) angeben.

  • Kleine Adressbereiche mit der Präfixgröße „/ 31“ oder „/ 32“ werden nicht unterstützt. Diese Bereiche müssen mit einzelnen IP-Adressregeln konfiguriert werden.

  • Für die Konfiguration von Storage-Firewallregeln werden nur IPv4-Adressen unterstützt.

IP-Netzwerkregeln können in den folgenden Fällen nicht verwendet werden:

  • Zum Einschränken des Zugriffs auf Clients in derselben Azure-Region wie das Speicherkonto

    IP-Netzwerkregeln haben keine Auswirkungen auf Anforderungen, die aus der Azure-Region stammen, in der sich auch das Speicherkonto befindet. Verwenden Sie VNET-Regeln, um Anforderungen aus der gleichen Region zuzulassen.

  • Zum Einschränken des Zugriffs auf Clients in einer gekoppelten Region, die sich in einem VNet mit einem Dienstendpunkt befinden

  • Zum Einschränken des Zugriffs auf Azure-Dienste, die in derselben Region wie das Speicherkonto bereitgestellt wurden

    Dienste, die in derselben Region wie das Speicherkonto bereitgestellt werden, verwenden für die Kommunikation private Azure-IP-Adressen. Daher können Sie den Zugriff auf bestimmte Azure-Dienste nicht anhand ihres IP-Adressbereichs für öffentlichen ausgehenden Datenverkehr einschränken.

Konfigurieren des Zugriffs aus lokalen Netzwerken

Wenn Sie mit einer IP-Netzwerkregel den Zugriff über Ihre lokalen Netzwerke auf das Speicherkonto gewähren möchten, müssen Sie die von Ihrem Netzwerk verwendeten Internet-IP-Adressen ermitteln. Hilfe erhalten Sie von Ihrem Netzwerkadministrator.

Wenn Sie ExpressRoute lokal für öffentliches Peering oder für Microsoft-Peering verwenden, müssen Sie die verwendeten NAT-IP-Adressen identifizieren. Beim öffentlichen Peering werden für jede ExpressRoute-Verbindung standardmäßig zwei NAT-IP-Adressen verwendet. Diese werden auf den Datenverkehr der Azure-Dienste angewendet, wenn der Datenverkehr im Microsoft Azure-Netzwerk-Backbone eintrifft. Beim Microsoft-Peering werden die verwendeten NAT-IP-Adressen entweder vom Kunden oder vom Dienstanbieter bereitgestellt. Um den Zugriff auf Ihre Dienstressourcen zuzulassen, müssen Sie diese öffentlichen IP-Adressen in der Ressourceneinstellung der IP-Firewall zulassen. Öffnen Sie über das Azure-Portal ein Supportticket für ExpressRoute, um die IP-Adressen Ihrer ExpressRoute-Verbindung für öffentliches Peering zu ermitteln. Erfahren Sie mehr über NAT für öffentliches ExpressRoute-Peering und Microsoft-Peering.

Verwalten von IP-Netzwerkregeln

IP-Netzwerkregeln für Speicherkonten können über das Azure-Portal, über PowerShell oder per CLI v2 verwaltet werden.

  1. Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.

  2. Wählen Sie das Einstellungsmenü Netzwerk aus.

  3. Vergewissern Sie sich, dass Sie den Zugriff über Ausgewählte Netzwerke ausgewählt haben.

  4. Geben Sie unter Firewall > Adressbereich die IP-Adresse oder den IP-Adressbereich (im CIDR-Format) ein, um Zugriff auf einen Internet-IP-Adressbereich zu gewähren.

  5. Wenn Sie eine IP-Netzwerkregel entfernen möchten, wählen Sie das Papierkorbsymbol neben dem Adressbereich aus.

  6. Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Gewähren von Zugriff über Azure-Ressourceninstanzen (Vorschau)

Manchmal ist eine Anwendung unter Umständen auf Azure-Ressourcen angewiesen, die nicht über ein virtuelles Netzwerk oder über eine IP-Adressregel isoliert werden können. Trotzdem soll der Zugriff auf das Speicherkonto geschützt und auf die Azure-Ressourcen Ihrer Anwendung beschränkt werden. In diesem Fall können Sie eine Ressourceninstanzregel erstellen, um Speicherkonten so zu konfigurieren, dass der Zugriff auf bestimmte Ressourceninstanzen einiger Azure-Dienste zugelassen wird.

Die Arten von Vorgängen, die von einer Ressourceninstanz für Speicherkontodaten ausgeführt werden können, werden durch die Azure-Rollenzuweisungen der Ressourceninstanz bestimmt. Ressourceninstanzen müssen aus dem gleichen Mandanten stammen wie Ihr Speicherkonto, können aber zu einem beliebigen Abonnement im Mandanten gehören.

Hinweis

Dieses Feature befindet sich in der Public Preview-Phase und ist in allen öffentlichen Cloudregionen verfügbar.

Hinweis

Ressourceninstanzregeln werden zurzeit nur für Azure Synapse unterstützt. Die Unterstützung für andere Azure-Dienste, die im Abschnitt Vertrauenswürdiger Zugriff auf der Grundlage einer systemseitig zugewiesenen verwalteten Identität dieses Artikels aufgeführt sind, wird in den nächsten Wochen verfügbar sein.

Ressourcennetzwerkregeln können über das Azure-Portal hinzugefügt und entfernt werden.

  1. Melden Sie sich zunächst beim Azure-Portal an.

  2. Suchen Sie nach Ihrem Speicherkonto, und zeigen Sie die Kontoübersicht an.

  3. Wählen Sie Netzwerk aus, um die Konfigurationsseite für das Netzwerk anzuzeigen.

  4. Wählen Sie in der Dropdownliste Ressourcentyp den Ressourcentyp Ihrer Ressourceninstanz aus.

  5. Wählen Sie in der Dropdownliste Instanzname die Ressourceninstanz aus. Sie können auch alle Ressourceninstanzen im aktiven Mandanten, im aktiven Abonnement oder in der aktiven Ressourcengruppe einschließen.

  6. Klicken Sie zum Übernehmen der Änderungen auf Speichern. Die Ressourceninstanz wird auf der Seite mit den Netzwerkeinstellungen im Abschnitt Resource instances (Ressourceninstanzen) angezeigt.

Wenn Sie die Ressourceninstanz entfernen möchten, wählen Sie das Löschsymbol ( ) neben der Ressourceninstanz aus.

Gewähren von Zugriff für vertrauenswürdige Azure-Dienste

Einige Azure-Dienste werden in Netzwerken betrieben, die nicht in Ihre Netzwerkregeln eingeschlossen werden können. Sie können einer Teilmenge solcher vertrauenswürdiger Azure-Dienste Zugriff auf das Speicherkonto gewähren und gleichzeitig Netzwerkregeln für andere Apps beibehalten. Diese vertrauenswürdigen Dienste stellen dann unter Verwendung einer strengen Authentifizierung eine sichere Verbindung mit Ihrem Speicherkonto her.

Sie können vertrauenswürdigen Azure-Diensten Zugriff gewähren, indem Sie eine Netzwerkregelausnahme erstellen. Eine ausführliche Anleitung finden Sie im Abschnitt Verwalten von Ausnahmen dieses Artikels.

Wenn Sie vertrauenswürdigen Azure-Diensten Zugriff gewähren, erteilen Sie folgende Arten von Zugriff:

  • Vertrauenswürdiger Zugriff auf in Ihrem Abonnement registrierte Ressourcen für ausgewählte Vorgänge
  • Vertrauenswürdiger Zugriff auf Ressourcen auf der Grundlage einer systemseitig zugewiesenen verwalteten Identität

Vertrauenswürdiger Zugriff für Ressourcen, die in Ihrem Abonnement registriert sind

Ressourcen einiger Dienste können, sofern sie in Ihrem Abonnement registriert sind, für bestimmte Vorgänge auf Ihr Speicherkonto im gleichen Abonnement zugreifen. Hierzu zählen beispielsweise Sicherungsvorgänge und das Schreiben von Protokollen. In der folgenden Tabelle werden die einzelnen Dienste und die zulässigen Vorgänge beschrieben:

Dienst Name des Ressourcenanbieters Zulässige Vorgänge
Azure Backup Microsoft.RecoveryServices Ausführen von Sicherungen und Wiederherstellungen von nicht verwalteten Datenträgern in virtuellen IAAS-Computern (nicht für verwaltete Datenträger erforderlich). Weitere Informationen
Azure Data Box Microsoft.DataBox Ermöglicht den Import von Daten in Azure über die Data Box. Weitere Informationen
Azure DevTest Labs Microsoft.DevTestLab Erstellung benutzerdefinierter Images und Installation von Artefakten. Weitere Informationen
Azure Event Grid Microsoft.EventGrid Aktivieren Sie Blob Storage-Ereignisveröffentlichung, und erlauben Sie Event Grid die Veröffentlichung in Speicherwarteschlangen. Erfahren Sie mehr über Blob Storage-Ereignisse und das Veröffentlichen in Warteschlangen.
Azure Event Hubs Microsoft.EventHub Archivieren von Daten mit Event Hubs Capture. Weitere Informationen.
Azure-Dateisynchronisierung Microsoft.StorageSync Ermöglicht das Transformieren eines lokalen Dateiservers in einen Cache für Azure-Dateifreigaben. Ermöglicht die Synchronisierung mit mehreren Standorten, eine schnelle Notfallwiederherstellung und die cloudbasierte Sicherung. Weitere Informationen
Azure HDInsight Microsoft.HDInsight Stellen Sie die anfänglichen Inhalte des Standarddateisystems für einen neuen HDInsight-Cluster bereit. Weitere Informationen
Azure Import/Export Microsoft.ImportExport Ermöglicht das Importieren von Daten in Azure Storage oder das Exportieren von Daten aus Azure Storage mit dem Dienst „Azure Storage Import/Export“. Weitere Informationen
Azure Monitor Microsoft.Insights Dieser Dienst ermöglicht das Schreiben von Überwachungsdaten in ein sicheres Speicherkonto, einschließlich Ressourcenprotokollen, Azure Active Directory-Anmelde- und -Überwachungsprotokollen sowie Microsoft Intune-Protokollen. Weitere Informationen
Azure-Netzwerke Microsoft.Network Speichern und analysieren Sie Netzwerk-Datenverkehrsprotokolle, beispielsweise mit Network Watcher und Traffic Analytics-Diensten. Weitere Informationen
Azure Site Recovery Microsoft.SiteRecovery Aktivieren Sie die Replikation für die Notfallwiederherstellung von virtuellen Azure-IaaS-Computern bei Verwendung von firewallfähigen Cache-, Quell- oder Zielspeicherkonten. Weitere Informationen

Vertrauenswürdiger Zugriff auf der Grundlage einer systemseitig zugewiesenen verwalteten Identität

Die folgende Tabelle enthält eine Liste mit Diensten, die Zugriff auf Ihre Speicherkontodaten haben, wenn den Ressourceninstanzen dieser Dienste die entsprechende Berechtigung erteilt wird.

Wenn für Ihr Konto das Feature für hierarchische Namespaces nicht aktiviert ist, können Sie keine Berechtigung erteilen, indem Sie explizit der systemseitig zugewiesenen verwalteten Identität pro Ressourceninstanz eine Azure-Rolle zuweisen. In diesem Fall entspricht der Zugriffsbereich für die Instanz der Azure-Rolle, die der verwalteten Identität zugewiesen ist.

Sie können dieselbe Methode für ein Konto verwenden, für das das Feature für hierarchische Namespaces aktiviert wurde. Sie müssen jedoch keine Azure-Rolle zuweisen, wenn Sie die systemseitig zugewiesene verwaltete Identität der Zugriffssteuerungsliste (ACL) eines Verzeichnisses oder Blobs zuweisen, das bzw. der sich im Speicherkonto befindet. In diesem Fall entspricht der Zugriffsbereich der Instanz dem Verzeichnis oder der Datei, auf das bzw. die der systemseitig zugewiesenen verwalteten Identität Zugriff gewährt wurde. Sie können Azure-Rollen und ACLs auch miteinander kombinieren. Wenn Sie mehr dazu erfahren möchten, wie Sie sie miteinander kombinieren, um Zugriff zu gewähren, können Sie den Artikel Zugriffssteuerungsmodell in Azure Data Lake Storage Gen2 lesen.

Tipp

Soll Zugriff auf bestimmte Ressourcen gewährt werden, empfiehlt sich die Verwendung von Ressourceninstanzregeln. Informationen zum Gewähren von Zugriff auf bestimmte Ressourceninstanzen finden Sie im Abschnitt Gewähren von Zugriff über Azure-Ressourceninstanzen (Vorschau) dieses Artikels.

Dienst Name des Ressourcenanbieters Zweck
Azure API Management Microsoft.ApiManagement/service Ermöglicht dem API Management-Dienst Zugriff auf Speicherkonten hinter der Firewall mithilfe von Richtlinien. Weitere Informationen
Azure Cognitive Search Microsoft.Search/searchServices Ermöglicht Cognitive Search-Diensten den Zugriff auf Speicherkonten zur Indizierung, Verarbeitung und Abfrage.
Azure Cognitive Services Microsoft.CognitiveService/accounts Ermöglicht Cognitive Services den Zugriff auf Speicherkonten. Weitere Informationen
Azure Container Registry Tasks Microsoft.ContainerRegistry/registries ACR Tasks können beim Erstellen von Containerimages auf Speicherkonten zugreifen.
Azure Data Factory Microsoft.DataFactory/factories Ermöglicht den Zugriff auf Speicherkonten über die ADF Runtime.
Azure Data Share Microsoft.DataShare/accounts Ermöglicht den Zugriff auf Speicherkonten über Data Share.
Azure DevTest Labs Microsoft.DevTestLab/labs Ermöglicht den Zugriff auf Speicherkonten über DevTest Labs.
Azure IoT Hub Microsoft.Devices/IotHubs Ermöglicht das Schreiben von Daten aus einem IoT-Hub in den Blobspeicher. Weitere Informationen
Azure Logic Apps Microsoft.Logic/workflows Ermöglicht Logik-Apps den Zugriff auf Speicherkonten. Weitere Informationen
Azure Machine Learning-Dienst Microsoft.MachineLearningServices Autorisierte Azure Machine Learning-Arbeitsbereiche schreiben Experimentausgaben, Modelle und Protokolle in Blob Storage und lesen die Daten. Weitere Informationen
Azure Media Services Microsoft.Media/mediaservices Ermöglicht den Zugriff auf Speicherkonten über Media Services.
Azure Migrate Microsoft.Migrate/migrateprojects Ermöglicht den Zugriff auf Speicherkonten über Azure Migrate.
Azure Purview Microsoft.Purview/accounts Ermöglicht den Zugriff auf Speicherkonten durch Purview.
Azure Remote Rendering Microsoft.MixedReality/remoteRenderingAccounts Ermöglicht den Zugriff auf Speicherkonten über Remote Rendering.
Azure Site Recovery Microsoft.RecoveryServices/vaults Ermöglicht den Zugriff auf Speicherkonten über Site Recovery.
Azure SQL-Datenbank Microsoft.Sql Ermöglicht das Schreiben von Überwachungsdaten in Speicherkonten hinter einer Firewall.
Azure Synapse Analytics Microsoft.Sql Ermöglicht das Importieren und Exportieren von Daten aus bestimmten SQL-Datenbanken mithilfe der COPY-Anweisung, per PolyBase (in dediziertem Pool) oder mithilfe der Funktion openrowset und externer Tabellen in einem serverlosen Pool. Weitere Informationen
Azure Stream Analytics Microsoft.StreamAnalytics Ermöglicht das Schreiben von Daten aus einem Streamingauftrag in den BLOB-Speicher. Weitere Informationen
Azure Synapse Analytics Microsoft.Synapse/workspaces Dies ermöglicht in Azure Storage den Zugriff auf Daten von Azure Synapse Analytics.

Gewähren von Zugriffs für die Speicheranalyse

In manchen Fällen ist der Lesezugriff auf Ressourcenprotokolle und -metriken von außerhalb des Netzwerks erforderlich. Wenn Sie für vertrauenswürdige Dienste den Zugriff auf das Speicherkonto konfigurieren, können Sie Lesezugriff für die Protokolldateien, für die Metriktabellen oder für beides erlauben, indem Sie eine Netzwerkregelausnahme erstellen. Eine ausführliche Anleitung finden Sie im Anschluss im Abschnitt Verwalten von Ausnahmen. Weitere Informationen zur Verwendung der Speicheranalyse finden Sie unter Speicheranalyse.

Verwalten von Ausnahmen

Netzwerkregelausnahmen können über das Azure-Portal, über PowerShell oder per Azure CLI v2 verwaltet werden.

  1. Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.

  2. Wählen Sie das Einstellungsmenü Netzwerk aus.

  3. Vergewissern Sie sich, dass Sie den Zugriff über Ausgewählte Netzwerke ausgewählt haben.

  4. Wählen Sie unter Ausnahmen die Ausnahmen aus, die Sie gewähren möchten.

  5. Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Nächste Schritte

Unter Dienstendpunkte erhalten Sie weitere Informationen zu Dienstendpunkten in Azure-Netzwerken.

Im Azure Storage-Sicherheitsleitfaden erhalten Sie weitere Informationen zur Sicherheit von Azure Storage.