Konfigurieren von Azure Storage-Firewalls und virtuellen NetzwerkenConfigure Azure Storage firewalls and virtual networks

Azure Storage bietet ein mehrschichtiges Sicherheitsmodell.Azure Storage provides a layered security model. Dank dieses Modells können Sie Ihre Speicherkonten für eine bestimmte Gruppe unterstützter Netzwerke schützen.This model enables you to secure your storage accounts to a specific set of supported networks. Wenn Netzwerkregeln konfiguriert wurden, können nur Anwendungen, die Daten aus der angegebenen Gruppe von Netzwerken anfordern, auf ein Speicherkonto zugreifen.When network rules are configured, only applications requesting data from over the specified set of networks can access a storage account.

Eine Anwendung, die bei aktivierten Netzwerkregeln auf ein Speicherkonto zugreift, benötigt eine ordnungsgemäße Autorisierung für die Anforderung.An application that accesses a storage account when network rules are in effect requires proper authorization on the request. Für die Autorisierung können Azure Active Directory (Azure AD)-Anmeldeinformationen für Blobs und Warteschlangen mit einem gültigen Kontozugriffsschlüssel oder mit einem SAS-Token verwendet werden.Authorization is supported with Azure Active Directory (Azure AD) credentials for blobs and queues, with a valid account access key, or with an SAS token.

Wichtig

Wenn Sie Firewallregeln für Ihr Speicherkonto aktivieren, werden eingehende Datenanforderungen standardmäßig blockiert – es sei denn, die Anforderungen stammen von einem Dienst, der innerhalb eines virtuellen Azure-Netzwerks (VNET) agiert.Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests come from a service that is operating within an Azure Virtual Network (VNet). Unter anderem werden Anforderungen von anderen Azure-Diensten, aus dem Azure-Portal und von Protokollierungs-/Metrikdiensten blockiert.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on.

Sie können Azure-Diensten, die innerhalb eines VNETs agieren, Zugriff gewähren, indem Sie das Subnetz der Dienstinstanz zulassen.You can grant access to Azure services that operate from within a VNet by allowing the subnet of the service instance. Der im nächsten Abschnitt beschriebene Ausnahmenmechanismus ermöglicht eine begrenzte Anzahl von Szenarien.Enable a limited number of scenarios through the Exceptions mechanism described in the following section. Der Zugriff auf das Azure-Portal muss über einen Computer erfolgen, der sich innerhalb der von Ihnen eingerichteten vertrauenswürdigen Grenze (IP-Adresse oder VNET) befindet.To access the Azure portal, you would need to be on a machine within the trusted boundary (either IP or VNet) that you set up.

Hinweis

Dieser Artikel wurde aktualisiert und beinhaltet jetzt das neue Az-Modul von Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Sie können das AzureRM-Modul weiterhin verwenden, das bis mindestens Dezember 2020 weiterhin Fehlerbehebungen erhält.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Weitere Informationen zum neuen Az-Modul und zur Kompatibilität mit AzureRM finden Sie unter Introducing the new Azure PowerShell Az module (Einführung in das neue Az-Modul von Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Anweisungen zur Installation des Az-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).For Az module installation instructions, see Install Azure PowerShell.

SzenarienScenarios

Konfigurieren Sie Speicherkonten, um standardmäßig den Zugriff auf Datenverkehr aus allen Netzwerken (einschließlich Internetdatenverkehr) zu verweigern.Configure storage accounts to deny access to traffic from all networks (including internet traffic) by default. Gewähren Sie anschließend Zugriff auf Datenverkehr aus bestimmten VNETs.Then grant access to traffic from specific VNets. Mit dieser Konfiguration können Sie eine sichere Netzwerkgrenze für Ihre Anwendungen erstellen.This configuration enables you to build a secure network boundary for your applications. Darüber hinaus können Sie Zugriff auf öffentliche Internet-IP-Adressbereiche gewähren, um Verbindungen von bestimmten Internetclients oder lokalen Clients zu ermöglichen.You can also grant access to public internet IP address ranges, enabling connections from specific internet or on-premises clients.

Netzwerkregeln werden für alle Netzwerkprotokolle in Azure Storage, einschließlich REST und SMB, erzwungen.Network rules are enforced on all network protocols to Azure storage, including REST and SMB. Für den Datenzugriff über Tools wie Azure-Portal, Storage-Explorer und AZCopy sind explizite Netzwerkregeln erforderlich.To access the data with tools like Azure portal, Storage Explorer, and AZCopy, explicit network rules are required.

Netzwerkregeln können auf bereits vorhandene Speicherkonten oder beim Erstellen neuer Speicherkonten angewendet werden.You can apply network rules to existing storage accounts, or when you create new storage accounts.

Angewendete Netzwerkregeln werden für alle Anforderungen erzwungen.Once network rules are applied, they're enforced for all requests. SAS-Token, die Zugriff auf eine bestimmte IP-Adresse gewähren, beschränken den Zugriff des Tokeninhabers, gewähren jedoch keinen neuen Zugriff außerhalb der konfigurierten Netzwerkregeln.SAS tokens that grant access to a specific IP address serve to limit the access of the token holder, but don't grant new access beyond configured network rules.

Datenverkehr für VM-Datenträger (einschließlich Vorgängen zur Einbindung/Aufhebung der Einbindung sowie E/A-Vorgänge des Datenträgers) ist von Netzwerkregeln nicht betroffen.Virtual machine disk traffic (including mount and unmount operations, and disk IO) is not affected by network rules. Der REST-Zugriff auf Seitenblobs wird durch Netzwerkregeln geschützt.REST access to page blobs is protected by network rules.

Firewalls und virtuelle Netzwerke werden von klassischen Speicherkonten nicht unterstützt.Classic storage accounts do not support firewalls and virtual networks.

Sie können nicht verwaltete Datenträger in Speicherkonten mit angewendeten Netzwerkregeln verwenden, um virtuelle Computer durch Erstellung einer Ausnahme zu sichern und wiederherzustellen.You can use unmanaged disks in storage accounts with network rules applied to backup and restore VMs by creating an exception. Dieser Prozess ist in diesem Artikel im Abschnitt Ausnahmen dokumentiert.This process is documented in the Exceptions section of this article. Firewallausnahmen gelten nicht für verwaltete Datenträger, da sie bereits von Azure verwaltet werden.Firewall exceptions aren't applicable with managed disks as they're already managed by Azure.

Ändern der Standard-NetzwerkzugriffsregelChange the default network access rule

Standardmäßig akzeptieren Speicherkonten Verbindungen von Clients in jedem Netzwerk.By default, storage accounts accept connections from clients on any network. Um den Zugriff auf ausgewählte Netzwerke zu beschränken, müssen Sie zunächst die Standardaktion ändern.To limit access to selected networks, you must first change the default action.

Warnung

Änderungen an Netzwerkregeln können die Fähigkeit von Anwendungen, eine Verbindung mit Azure Storage herzustellen, beeinträchtigen.Making changes to network rules can impact your applications' ability to connect to Azure Storage. Durch Festlegen der Standardnetzwerkregel auf Verweigern wird sämtlicher Zugriff auf die Daten blockiert – es sei denn, es werden auch bestimmte Netzwerkregeln angewendet, zum Zugriff zu gewähren.Setting the default network rule to deny blocks all access to the data unless specific network rules to grant access are also applied. Gewähren Sie mithilfe von Netzwerkregeln Zugriff auf alle zulässigen Netzwerke, bevor Sie die Standardregel ändern, um Zugriff zu verweigern.Be sure to grant access to any allowed networks using network rules before you change the default rule to deny access.

Verwalten standardmäßiger NetzwerkzugriffsregelnManaging default network access rules

Standardmäßige Netzwerkzugriffsregeln für Speicherkonten können über das Azure-Portal, über PowerShell oder per CLI v2 verwaltet werden.You can manage default network access rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure-PortalAzure portal

  1. Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.Go to the storage account you want to secure.

  2. Klicken Sie auf das Einstellungsmenü mit dem Namen Firewalls und virtuelle Netzwerke.Click on the settings menu called Firewalls and virtual networks.

  3. Wenn der Zugriff standardmäßig verweigert werden soll, wählen Sie aus, dass Zugriff über Ausgewählte Netzwerke gewährt werden soll.To deny access by default, choose to allow access from Selected networks. Wenn Sie Datenverkehr aus allen Netzwerken zulassen möchten, wählen Sie aus, dass der Zugriff über Alle Netzwerke gewährt werden soll.To allow traffic from all networks, choose to allow access from All networks.

  4. Klicken Sie zum Übernehmen der Änderungen auf Speichern.Click Save to apply your changes.

PowerShellPowerShell

  1. Installieren Sie Azure PowerShell, und melden Sie sich an.Install the Azure PowerShell and sign in.

  2. Zeigen Sie den Status der Standardregel für das Speicherkonto an.Display the status of the default rule for the storage account.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").DefaultAction
    
  3. Legen Sie die Standardregel auf das standardmäßige Verweigern jeglichen Netzwerkzugriffs fest.Set the default rule to deny network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
    
  4. Legen Sie die Standardregel auf das standardmäßige Zulassen von Netzwerkzugriff fest.Set the default rule to allow network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
    

CLI v2CLIv2

  1. Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.Install the Azure CLI and sign in.

  2. Zeigen Sie den Status der Standardregel für das Speicherkonto an.Display the status of the default rule for the storage account.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.defaultAction
    
  3. Legen Sie die Standardregel auf das standardmäßige Verweigern jeglichen Netzwerkzugriffs fest.Set the default rule to deny network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
    
  4. Legen Sie die Standardregel auf das standardmäßige Zulassen von Netzwerkzugriff fest.Set the default rule to allow network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
    

Gewähren des Zugriffs aus einem virtuellen NetzwerkGrant access from a virtual network

Sie können Speicherkonten so konfigurieren, dass nur über bestimmte VNETs zugegriffen werden kann.You can configure storage accounts to allow access only from specific VNets.

Aktivieren Sie einen Dienstendpunkt für Azure Storage innerhalb des VNETs.Enable a Service endpoint for Azure Storage within the VNet. Dieser Endpunkt sorgt für eine optimale Datenverkehrsroute zum Azure Storage-Dienst.This endpoint gives traffic an optimal route to the Azure Storage service. Mit jeder Anforderung wird zudem die Identität des virtuellen Netzwerks und des Subnetzes übertragen.The identities of the virtual network and the subnet are also transmitted with each request. Administratoren können anschließend Netzwerkregeln für das Speicherkonto konfigurieren, die den Empfang von Anforderungen aus bestimmten Subnetzen im VNET zulassen.Administrators can then configure network rules for the storage account that allow requests to be received from specific subnets in the VNet. Clients, denen über diese Netzwerkregeln Zugriff gewährt wird, müssen weiterhin die Autorisierungsanforderungen des Speicherkontos erfüllen, um auf die Daten zugreifen zu können.Clients granted access via these network rules must continue to meet the authorization requirements of the storage account to access the data.

Jedes Speicherkonto unterstützt bis zu 100 VNET-Regeln, die mit IP-Netzwerkregeln kombiniert werden können.Each storage account supports up to 100 virtual network rules, which may be combined with IP network rules.

Verfügbare Regionen für virtuelle NetzwerkeAvailable virtual network regions

Dienstendpunkte können in der Regel zwischen virtuellen Netzwerken und Dienstinstanzen in der gleichen Azure-Region verwendet werden.In general, service endpoints work between virtual networks and service instances in the same Azure region. Wenn Dienstendpunkte mit Azure Storage verwendet werden, schließt dieser Bereich auch Regionspaare mit ein.When using service endpoints with Azure Storage, this scope grows to include the paired region. Dienstendpunkte ermöglichen Kontinuität während eines regionalen Failovers sowie unterbrechungsfreien Zugriff auf Instanzen von georedundantem Speicher mit Lesezugriff (Read-Access Geo-Redundant Storage, RA-GRS).Service endpoints allow continuity during a regional failover and access to read-only geo-redundant storage (RA-GRS) instances. Netzwerkregeln, die Zugriff aus einem virtuellen Netzwerk auf ein Speicherkonto gewähren, gewähren auch Zugriff auf jede RA-GRS-Instanz.Network rules that grant access from a virtual network to a storage account also grant access to any RA-GRS instance.

Wenn Sie die Notfallwiederherstellung für einen regionalen Ausfall planen, sollten Sie die VNETs im Voraus im Regionspaar bereitstellen.When planning for disaster recovery during a regional outage, you should create the VNets in the paired region in advance. Aktivieren Sie Dienstendpunkte für Azure Storage mit Netzwerkregeln, die den Zugriff über diese alternativen virtuellen Netzwerke gewähren.Enable service endpoints for Azure Storage, with network rules granting access from these alternative virtual networks. Wenden Sie diese Regeln dann auf Ihre georedundanten Speicherkonten an.Then apply these rules to your geo-redundant storage accounts.

Hinweis

Dienstendpunkte gelten nicht für Datenverkehr außerhalb der Region des virtuellen Netzwerks und des angegebenen Regionspaars.Service endpoints don't apply to traffic outside the region of the virtual network and the designated region pair. Netzwerkregeln, die Zugriff aus virtuellen Netzwerken auf Speicherkonten gewähren, können nur in der primären Region eines Speicherkontos oder im angegebenen Regionspaar angewendet werden.You can only apply network rules granting access from virtual networks to storage accounts in the primary region of a storage account or in the designated paired region.

Erforderliche BerechtigungenRequired permissions

Wenn Sie eine VNET-Regel auf ein Speicherkonto anwenden möchten, muss der Benutzer über geeignete Berechtigungen für die hinzuzufügenden Subnetze verfügen.To apply a virtual network rule to a storage account, the user must have the appropriate permissions for the subnets being added. Die dazu erforderliche Berechtigung Dienst mit einem Subnetz verknüpfen ist Teil der integrierten Rolle Speicherkontomitwirkender.The permission needed is Join Service to a Subnet and is included in the Storage Account Contributor built-in role. Sie kann aber auch benutzerdefinierten Rollendefinitionen hinzugefügt werden.It can also be added to custom role definitions.

Das Speicherkonto und die virtuellen Netzwerke, denen Zugriff gewährt wurde, können sich in unterschiedlichen Abonnements befinden, diese müssen jedoch zum gleichen Azure AD-Mandanten gehören.Storage account and the virtual networks granted access may be in different subscriptions, but those subscriptions must be part of the same Azure AD tenant.

Verwalten von VNET-RegelnManaging virtual network rules

VNET-Regeln für Speicherkonten können über das Azure-Portal, über PowerShell oder per CLI v2 verwaltet werden.You can manage virtual network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure-PortalAzure portal

  1. Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.Go to the storage account you want to secure.

  2. Klicken Sie auf das Einstellungsmenü mit dem Namen Firewalls und virtuelle Netzwerke.Click on the settings menu called Firewalls and virtual networks.

  3. Vergewissern Sie sich, dass Sie den Zugriff über Ausgewählte Netzwerke ausgewählt haben.Check that you've selected to allow access from Selected networks.

  4. Wenn Sie mit einer neuen Netzwerkregel den Zugriff auf ein virtuelles Netzwerk zulassen möchten, klicken Sie unter Virtuelle Netzwerke auf Vorhandenes virtuelles Netzwerk hinzufügen, wählen Sie die Optionen Virtuelle Netzwerke und Subnetze aus, und klicken Sie anschließend auf Hinzufügen.To grant access to a virtual network with a new network rule, under Virtual networks, click Add existing virtual network, select Virtual networks and Subnets options, and then click Add. Wenn Sie ein neues virtuelles Netzwerk erstellen und ihm Zugriff gewähren möchten, klicken Sie auf Neues virtuelles Netzwerk hinzufügen.To create a new virtual network and grant it access, click Add new virtual network. Geben Sie die erforderlichen Informationen zum Erstellen des neuen virtuellen Netzwerks an, und klicken Sie anschließend auf Erstellen.Provide the information necessary to create the new virtual network, and then click Create.

    Hinweis

    Wenn für das ausgewählte virtuelle Netzwerk und die Subnetze noch kein Dienstendpunkt für Azure Storage konfiguriert wurde, können Sie dies im Rahmen dieses Vorgangs nachholen.If a service endpoint for Azure Storage wasn't previously configured for the selected virtual network and subnets, you can configure it as part of this operation.

  5. Wenn Sie eine Regel für virtuelle Netzwerke oder Subnetze entfernen möchten, klicken Sie auf ... , um das Kontextmenü für das virtuelle Netzwerk oder Subnetz zu öffnen, und klicken Sie anschließend auf Entfernen.To remove a virtual network or subnet rule, click ... to open the context menu for the virtual network or subnet, and click Remove.

  6. Klicken Sie zum Übernehmen der Änderungen auf Speichern.Click Save to apply your changes.

PowerShellPowerShell

  1. Installieren Sie Azure PowerShell, und melden Sie sich an.Install the Azure PowerShell and sign in.

  2. Listen Sie die VNET-Regeln auf.List virtual network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
    
  3. Aktivieren Sie den Dienstendpunkt für Azure Storage in einem vorhandenen virtuellen Netzwerk und Subnetz.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzVirtualNetwork
    
  4. Fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu.Add a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    
  5. Entfernen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz.Remove a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls haben die Netzwerkregeln keine Wirkung.Be sure to set the default rule to deny, or network rules have no effect.

CLI v2CLIv2

  1. Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.Install the Azure CLI and sign in.

  2. Listen Sie die VNET-Regeln auf.List virtual network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
    
  3. Aktivieren Sie den Dienstendpunkt für Azure Storage in einem vorhandenen virtuellen Netzwerk und Subnetz.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
    
  4. Fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu.Add a network rule for a virtual network and subnet.

    $subnetid=(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    
  5. Entfernen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz.Remove a network rule for a virtual network and subnet.

    $subnetid=(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls haben die Netzwerkregeln keine Wirkung.Be sure to set the default rule to deny, or network rules have no effect.

Gewähren von Zugriff aus einem Internet-IP-AdressbereichGrant access from an internet IP range

Sie können Speicherkonten so konfigurieren, dass der Zugriff über bestimmte öffentliche Internet-IP-Adressbereichen zugelassen wird.You can configure storage accounts to allow access from specific public internet IP address ranges. Diese Konfiguration gewährt bestimmten internetbasierten Diensten und lokalen Netzwerken Zugriff und blockiert gleichzeitig den allgemeinen Internetdatenverkehr.This configuration grants access to specific internet-based services and on-premises networks and blocks general internet traffic.

Geben Sie zulässige Internetadressbereiche in CIDR-Notation im Format 16.17.18.0/24 oder als einzelne IP-Adressen (beispielsweise 16.17.18.19) an.Provide allowed internet address ranges using CIDR notation in the form 16.17.18.0/24 or as individual IP addresses like 16.17.18.19.

Hinweis

Kleine Adressbereiche mit der Präfixgröße „/ 31“ oder „/ 32“ werden nicht unterstützt.Small address ranges using "/31" or "/32" prefix sizes are not supported. Diese Bereiche müssen mit einzelnen IP-Adressregeln konfiguriert werden.These ranges should be configured using individual IP address rules.

IP-Netzwerkregeln sind nur für öffentliche Internet-IP-Adressen zulässig.IP network rules are only allowed for public internet IP addresses. Für private Netzwerke reservierte IP-Adressbereiche (wie in RFC 1918 definiert) sind in IP-Adressregeln nicht zulässig.IP address ranges reserved for private networks (as defined in RFC 1918) aren't allowed in IP rules. Private Netzwerke enthalten Adressen, die mit 10.* , 172.16.* - 172.31.* und 192.168.* beginnen.Private networks include addresses that start with 10.*, 172.16.* - 172.31.*, and 192.168.*.

Hinweis

IP-Netzwerkregeln haben keine Auswirkungen auf Anforderungen, die aus der Azure-Region stammen, in der sich auch das Speicherkonto befindet.IP network rules have no effect on requests originating from the same Azure region as the storage account. Verwenden Sie VNET-Regeln, um Anforderungen aus der gleichen Region zuzulassen.Use Virtual network rules to allow same-region requests.

Derzeit werden nur IPv4-Adressen unterstützt.Only IPV4 addresses are supported at this time.

Jedes Speicherkonto unterstützt bis zu 100 IP-Netzwerkregeln, die mit VNET-Regeln kombiniert werden können.Each storage account supports up to 100 IP network rules, which may be combined with Virtual network rules.

Konfigurieren des Zugriffs aus lokalen NetzwerkenConfiguring access from on-premises networks

Wenn Sie mit einer IP-Netzwerkregel den Zugriff über Ihre lokalen Netzwerke auf das Speicherkonto gewähren möchten, müssen Sie die von Ihrem Netzwerk verwendeten Internet-IP-Adressen ermitteln.To grant access from your on-premises networks to your storage account with an IP network rule, you must identify the internet facing IP addresses used by your network. Hilfe erhalten Sie von Ihrem Netzwerkadministrator.Contact your network administrator for help.

Wenn Sie ExpressRoute lokal für öffentliches Peering oder für Microsoft-Peering verwenden, müssen Sie die verwendeten NAT-IP-Adressen identifizieren.If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Beim öffentlichen Peering werden für jede ExpressRoute-Verbindung standardmäßig zwei NAT-IP-Adressen verwendet. Diese werden auf den Datenverkehr der Azure-Dienste angewendet, wenn der Datenverkehr im Microsoft Azure-Netzwerk-Backbone eintrifft.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Beim Microsoft-Peering werden die verwendeten NAT-IP-Adressen entweder vom Kunden oder vom Dienstanbieter bereitgestellt.For Microsoft peering, the NAT IP address(es) that are used are either customer provided or are provided by the service provider. Um den Zugriff auf Ihre Dienstressourcen zuzulassen, müssen Sie diese öffentlichen IP-Adressen in der Ressourceneinstellung der IP-Firewall zulassen.To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Öffnen Sie über das Azure-Portal ein Supportticket für ExpressRoute, um die IP-Adressen Ihrer ExpressRoute-Verbindung für öffentliches Peering zu ermitteln.To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Erfahren Sie mehr über NAT für öffentliches ExpressRoute-Peering und Microsoft-Peering.Learn more about NAT for ExpressRoute public and Microsoft peering.

Verwalten von IP-NetzwerkregelnManaging IP network rules

IP-Netzwerkregeln für Speicherkonten können über das Azure-Portal, über PowerShell oder per CLI v2 verwaltet werden.You can manage IP network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure-PortalAzure portal

  1. Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.Go to the storage account you want to secure.

  2. Klicken Sie auf das Einstellungsmenü mit dem Namen Firewalls und virtuelle Netzwerke.Click on the settings menu called Firewalls and virtual networks.

  3. Vergewissern Sie sich, dass Sie den Zugriff über Ausgewählte Netzwerke ausgewählt haben.Check that you've selected to allow access from Selected networks.

  4. Geben Sie unter Firewall > Adressbereich die IP-Adresse oder den IP-Adressbereich (im CIDR-Format) ein, um Zugriff auf einen Internet-IP-Adressbereich zu gewähren.To grant access to an internet IP range, enter the IP address or address range (in CIDR format) under Firewall > Address Range.

  5. Wenn Sie eine IP-Netzwerkregel entfernen möchten, klicken Sie auf das Papierkorbsymbol neben dem Adressbereich.To remove an IP network rule, click the trash can icon next to the address range.

  6. Klicken Sie zum Übernehmen der Änderungen auf Speichern.Click Save to apply your changes.

PowerShellPowerShell

  1. Installieren Sie Azure PowerShell, und melden Sie sich an.Install the Azure PowerShell and sign in.

  2. Listen Sie IP-Netzwerkregeln auf.List IP network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
    
  3. Fügen Sie eine Netzwerkregel für eine einzelne IP-Adresse hinzu.Add a network rule for an individual IP address.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  4. Fügen Sie eine Netzwerkregel für einen IP-Adressbereich hinzu.Add a network rule for an IP address range.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    
  5. Entfernen Sie eine Netzwerkregel für eine einzelne IP-Adresse.Remove a network rule for an individual IP address.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  6. Entfernen Sie eine Netzwerkregel für einen IP-Adressbereich.Remove a network rule for an IP address range.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls haben die Netzwerkregeln keine Wirkung.Be sure to set the default rule to deny, or network rules have no effect.

CLI v2CLIv2

  1. Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.Install the Azure CLI and sign in.

  2. Listen Sie IP-Netzwerkregeln auf.List IP network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
    
  3. Fügen Sie eine Netzwerkregel für eine einzelne IP-Adresse hinzu.Add a network rule for an individual IP address.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  4. Fügen Sie eine Netzwerkregel für einen IP-Adressbereich hinzu.Add a network rule for an IP address range.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    
  5. Entfernen Sie eine Netzwerkregel für eine einzelne IP-Adresse.Remove a network rule for an individual IP address.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  6. Entfernen Sie eine Netzwerkregel für einen IP-Adressbereich.Remove a network rule for an IP address range.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls haben die Netzwerkregeln keine Wirkung.Be sure to set the default rule to deny, or network rules have no effect.

AusnahmenExceptions

Netzwerkregeln ermöglichen in den meisten Szenarien eine sichere Netzwerkkonfiguration.Network rules can enable a secure network configuration for most scenarios. Manchmal sind jedoch Ausnahmen erforderlich, damit sämtliche Funktionen genutzt werden können.However, there are some cases where exceptions must be granted to enable full functionality. Speicherkonten können mit Ausnahmen für vertrauenswürdige Microsoft-Dienste und für den Zugriff auf Speicheranalysedaten konfiguriert werden.You can configure storage accounts with exceptions for trusted Microsoft services, and for access to storage analytics data.

Vertrauenswürdige Microsoft-DiensteTrusted Microsoft services

Einige Microsoft-Dienste, die mit Speicherkonten interagieren, agieren von Netzwerken aus, denen nicht mithilfe von Netzwerkregeln Zugriff gewährt werden kann.Some Microsoft services that interact with storage accounts operate from networks that can't be granted access through network rules.

Lassen Sie für vertrauenswürdige Microsoft-Dienste die Umgehung der Netzwerkregeln zu, damit solche Dienste ordnungsgemäß funktionieren.To help this type of service work as intended, allow the set of trusted Microsoft services to bypass the network rules. Diese Dienste verwenden dann eine strenge Authentifizierung, um auf das Speicherkonto zuzugreifen.These services will then use strong authentication to access the storage account.

Wenn Sie die Ausnahme Vertrauenswürdigen Microsoft-Diensten die Umgehung dieser Firewall erlauben? aktivieren, wird den folgenden Diensten Zugriff auf das Speicherkonto gewährt (sofern sie in Ihrem Abonnement registriert sind):If you enable the Allow trusted Microsoft services... exception, the following services (when registered in your subscription), are granted access to the storage account:

DienstService Name des RessourcenanbietersResource Provider Name ZweckPurpose
Azure BackupAzure Backup Microsoft.RecoveryServicesMicrosoft.RecoveryServices Ausführen von Sicherungen und Wiederherstellungen von nicht verwalteten Datenträgern in virtuellen IAAS-ComputernRun backups and restores of unmanaged disks in IAAS virtual machines. (nicht für verwaltete Datenträger erforderlich).(not required for managed disks). Weitere InformationenLearn more.
Azure Data BoxAzure Data Box Microsoft.DataBoxMicrosoft.DataBox Ermöglicht den Import von Daten in Azure über die Data Box.Enables import of data to Azure using Data Box. Weitere InformationenLearn more.
Azure DevTest LabsAzure DevTest Labs Microsoft.DevTestLabMicrosoft.DevTestLab Erstellung benutzerdefinierter Images und Installation von Artefakten.Custom image creation and artifact installation. Weitere InformationenLearn more.
Azure Event GridAzure Event Grid Microsoft.EventGridMicrosoft.EventGrid Aktivieren Sie Blob Storage-Ereignisveröffentlichung, und erlauben Sie Event Grid die Veröffentlichung in Speicherwarteschlangen.Enable Blob Storage event publishing and allow Event Grid to publish to storage queues. Erfahren Sie mehr über Blob Storage-Ereignisse und das Veröffentlichen in Warteschlangen.Learn about blob storage events and publishing to queues.
Azure Event HubsAzure Event Hubs Microsoft.EventHubMicrosoft.EventHub Archivieren von Daten mit Event Hubs Capture.Archive data with Event Hubs Capture. Weitere Informationen.Learn More.
Azure-DateisynchronisierungAzure File Sync Microsoft.StorageSyncMicrosoft.StorageSync Ermöglicht das Transformieren eines lokalen Dateiservers in einen Cache für Azure-Dateifreigaben.Enables you to transform your on-prem file server to a cache for Azure File shares. Ermöglicht die Synchronisierung mit mehreren Standorten, eine schnelle Notfallwiederherstellung und die cloudbasierte Sicherung.Allowing for multi-site sync, fast disaster-recovery, and cloud-side backup. Weitere InformationenLearn more
Azure HDInsightAzure HDInsight Microsoft.HDInsightMicrosoft.HDInsight Stellen Sie die anfänglichen Inhalte des Standarddateisystems für einen neuen HDInsight-Cluster bereit.Provision the initial contents of the default file system for a new HDInsight cluster. Weitere InformationenLearn more.
Azure MonitorAzure Monitor Microsoft.InsightsMicrosoft.Insights Ermöglicht das Schreiben von Überwachungsdaten in ein gesichertes Speicherkonto. Weitere InformationenAllows writing of monitoring data to a secured storage account Learn more.
Azure-NetzwerkeAzure Networking Microsoft.NetworkMicrosoft.Network Speichern und Analysieren von Protokollen des Netzwerkdatenverkehrs.Store and analyze network traffic logs. Weitere InformationenLearn more.
Azure Site RecoveryAzure Site Recovery Microsoft.SiteRecoveryMicrosoft.SiteRecovery Konfigurieren der Notfallwiederherstellung durch Aktivieren der Replikation für virtuelle Azure IaaS-Computer.Configure disaster recovery by enabling replication for Azure IaaS virtual machines. Erforderlich, wenn Sie ein Cachespeicherkonto oder ein Quell- oder Zielspeicherkonto mit aktivierter Firewall verwenden.This is required if you are using firewall enabled cache storage account or source storage account or target storage account. Weitere InformationenLearn more.
Azure SQL Data WarehouseAzure SQL Data Warehouse Microsoft.SqlMicrosoft.Sql Ermöglicht das Importieren und Exportieren von Szenarien aus bestimmten SQL-Datenbankinstanzen mithilfe von PolyBase.Allows import and export scenarios from specific SQL Databases instances using PolyBase. Weitere InformationenLearn more.
Azure Stream AnalyticsAzure Stream Analytics Microsoft.StreamAnalyticsMicrosoft.StreamAnalytics Ermöglicht das Schreiben von Daten aus einem Streamingauftrag in den BLOB-Speicher.Allows data from a streaming job to be written to Blob storage. Beachten Sie, dass diese Funktion derzeit als Vorschau zur Verfügung steht.Note that this feature is currently in preview. Weitere InformationenLearn more.

Zugriff auf Storage Analytics-DatenStorage analytics data access

In manchen Fällen ist der Lesezugriff auf Diagnoseprotokolle und -metriken von außerhalb des Netzwerks erforderlich.In some cases, access to read diagnostic logs and metrics is required from outside the network boundary. Sie können Netzwerkregelausnahmen gewähren, um den Lesezugriff auf Protokolldateien und/oder Metriktabellen des Speicherkontos zuzulassen.You can grant exceptions to the network rules to allow read-access to storage account log files, metrics tables, or both. Weitere Informationen zum Arbeiten mit Storage AnalyticsLearn more about working with storage analytics.

Verwalten von AusnahmenManaging exceptions

Netzwerkregelausnahmen können über das Azure-Portal, über PowerShell oder per Azure CLI v2 verwaltet werden.You can manage network rule exceptions through the Azure portal, PowerShell, or Azure CLI v2.

Azure-PortalAzure portal

  1. Navigieren Sie zu dem Speicherkonto, das Sie schützen möchten.Go to the storage account you want to secure.

  2. Klicken Sie auf das Einstellungsmenü mit dem Namen Firewalls und virtuelle Netzwerke.Click on the settings menu called Firewalls and virtual networks.

  3. Vergewissern Sie sich, dass Sie den Zugriff über Ausgewählte Netzwerke ausgewählt haben.Check that you've selected to allow access from Selected networks.

  4. Wählen Sie unter Ausnahmen die Ausnahmen aus, die Sie gewähren möchten.Under Exceptions, select the exceptions you wish to grant.

  5. Klicken Sie zum Übernehmen der Änderungen auf Speichern.Click Save to apply your changes.

PowerShellPowerShell

  1. Installieren Sie Azure PowerShell, und melden Sie sich an.Install the Azure PowerShell and sign in.

  2. Zeigen Sie die Ausnahmen für die Speicherkonto-Netzwerkregeln an.Display the exceptions for the storage account network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
    
  3. Konfigurieren Sie die Ausnahmen von den Speicherkonto-Netzwerkregeln.Configure the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
    
  4. Entfernen Sie die Ausnahmen von den Speicherkonto-Netzwerkregeln.Remove the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
    

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls hat das Entfernen von Ausnahmen keine Wirkung.Be sure to set the default rule to deny, or removing exceptions have no effect.

CLI v2CLIv2

  1. Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.Install the Azure CLI and sign in.

  2. Zeigen Sie die Ausnahmen für die Speicherkonto-Netzwerkregeln an.Display the exceptions for the storage account network rules.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
    
  3. Konfigurieren Sie die Ausnahmen von den Speicherkonto-Netzwerkregeln.Configure the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
    
  4. Entfernen Sie die Ausnahmen von den Speicherkonto-Netzwerkregeln.Remove the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
    

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls hat das Entfernen von Ausnahmen keine Wirkung.Be sure to set the default rule to deny, or removing exceptions have no effect.

Nächste SchritteNext steps

Unter Dienstendpunkte erhalten Sie weitere Informationen zu Dienstendpunkten in Azure-Netzwerken.Learn more about Azure Network service endpoints in Service endpoints.

Im Azure Storage-Sicherheitsleitfaden erhalten Sie weitere Informationen zur Sicherheit von Azure Storage.Dig deeper into Azure Storage security in Azure Storage security guide.