Configuración de redes virtuales y firewalls de Azure StorageConfigure Azure Storage firewalls and virtual networks

Azure Storage proporciona un modelo de seguridad por capas.Azure Storage provides a layered security model. Este modelo le permite proteger y controlar el nivel de acceso a las cuentas de almacenamiento que exigen sus aplicaciones y entornos empresariales, en función del tipo y el subconjunto de redes usadas.This model enables you to secure and control the level of access to your storage accounts that your applications and enterprise environments demand, based on the type and subset of networks used. Cuando se configuran las reglas de red, solo las aplicaciones que solicitan datos del conjunto especificado de redes pueden acceder a una cuenta de almacenamiento.When network rules are configured, only applications requesting data over the specified set of networks can access a storage account. Puede limitar el acceso a su cuenta de almacenamiento a las solicitudes procedentes de direcciones IP especificadas, intervalos IP o una lista de subredes de instancias de Azure Virtual Network (VNet).You can limit access to your storage account to requests originating from specified IP addresses, IP ranges or from a list of subnets in an Azure Virtual Network (VNet).

Las cuentas de almacenamiento tienen un punto de conexión público accesible a través de Internet.Storage accounts have a public endpoint that is accessible through the internet. También puede crear puntos de conexión privados para la cuenta de almacenamiento, lo que asigna una dirección IP privada de la red virtual a la cuenta de almacenamiento, y protege todo el tráfico entre la red virtual y la cuenta de almacenamiento a través de un vínculo privado.You can also create Private Endpoints for your storage account, which assigns a private IP address from your VNet to the storage account, and secures all traffic between your VNet and the storage account over a private link. El firewall de almacenamiento de Azure proporciona control de acceso para el punto de conexión público de la cuenta de almacenamiento.The Azure storage firewall provides access control for the public endpoint of your storage account. También puede usar el firewall para bloquear todo el acceso a través del punto de conexión público al usar puntos de conexión privados.You can also use the firewall to block all access through the public endpoint when using private endpoints. La configuración del firewall de almacenamiento también permite seleccionar servicios de la plataforma de Azure de confianza para acceder a la cuenta de almacenamiento de forma segura.Your storage firewall configuration also enables select trusted Azure platform services to access the storage account securely.

Una aplicación que accede a una cuenta de almacenamiento cuando las reglas de red están en vigor aún requiere la autorización adecuada para la solicitud.An application that accesses a storage account when network rules are in effect still requires proper authorization for the request. La autorización es compatible con las credenciales de Azure Active Directory (Azure AD) (para blobs y colas), con una clave de acceso de cuenta válida o un token de SAS.Authorization is supported with Azure Active Directory (Azure AD) credentials for blobs and queues, with a valid account access key, or with an SAS token.

Importante

La activación de las reglas de firewall para la cuenta de almacenamiento bloquea las solicitudes entrantes para los datos de forma predeterminada, a menos que las solicitudes procedan de un servicio que funcione en una instancia de Azure Virtual Network (VNet) o desde direcciones IP públicas permitidas.Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests originate from a service operating within an Azure Virtual Network (VNet) or from allowed public IP addresses. Las solicitudes que bloquean incluyen aquellas de otros servicios de Azure, desde Azure Portal, desde los servicios de registro y de métricas, etc.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on.

Puede conceder acceso a los servicios de Azure que funcionan desde una VNet al permitir el tráfico de la subred que hospeda la instancia de servicio.You can grant access to Azure services that operate from within a VNet by allowing traffic from the subnet hosting the service instance. Puede habilitar también un número limitado de escenarios mediante el mecanismo Excepciones que se describe más adelante.You can also enable a limited number of scenarios through the Exceptions mechanism described below. Para acceder a los datos de la cuenta de almacenamiento mediante Azure Portal, deberá estar en una máquina situada dentro del límite de confianza (IP o red virtual) que haya configurado.To access data from the storage account through the Azure portal, you would need to be on a machine within the trusted boundary (either IP or VNet) that you set up.

Nota

Este artículo se ha actualizado para usar el módulo Az de Azure PowerShell.This article has been updated to use the Azure Az PowerShell module. El módulo Az de PowerShell es el módulo de PowerShell que se recomienda para interactuar con Azure.The Az PowerShell module is the recommended PowerShell module for interacting with Azure. Para empezar a trabajar con el módulo Az de PowerShell, consulte Instalación de Azure PowerShell.To get started with the Az PowerShell module, see Install Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

EscenariosScenarios

Para proteger la cuenta de almacenamiento, primero debe configurar una regla para denegar el acceso al tráfico desde todas las redes (incluido el tráfico de Internet) en el punto de conexión público de forma predeterminada.To secure your storage account, you should first configure a rule to deny access to traffic from all networks (including internet traffic) on the public endpoint, by default. A continuación, debe configurar las reglas que conceden acceso al tráfico desde redes virtuales específicas.Then, you should configure rules that grant access to traffic from specific VNets. También puede configurar reglas para conceder acceso al tráfico desde intervalos de direcciones IP de Internet públicos seleccionados, lo que permite habilitar conexiones desde clientes locales o específicos de Internet.You can also configure rules to grant access to traffic from selected public internet IP address ranges, enabling connections from specific internet or on-premises clients. Esta configuración le permite crear un límite de red seguro para las aplicaciones.This configuration enables you to build a secure network boundary for your applications.

Puede combinar reglas de firewall que permitan el acceso desde redes virtuales específicas y desde intervalos de direcciones IP públicas en la misma cuenta de almacenamiento.You can combine firewall rules that allow access from specific virtual networks and from public IP address ranges on the same storage account. Las reglas de firewall de almacenamiento se pueden aplicar a cuentas de almacenamiento existentes o al crear nuevas cuentas de almacenamiento.Storage firewall rules can be applied to existing storage accounts, or when creating new storage accounts.

Las reglas de firewall de almacenamiento se aplican al punto de conexión público de una cuenta de almacenamiento.Storage firewall rules apply to the public endpoint of a storage account. No se necesitan reglas de acceso de firewall para permitir el tráfico de los puntos de conexión privados de una cuenta de almacenamiento.You don't need any firewall access rules to allow traffic for private endpoints of a storage account. El proceso de aprobación de la creación de un punto de conexión privado concede acceso implícito al tráfico desde la subred que hospeda el punto de conexión privado.The process of approving the creation of a private endpoint grants implicit access to traffic from the subnet that hosts the private endpoint.

Se aplican reglas de red en todos los protocolos de red para Azure Storage, incluidos REST y SMB.Network rules are enforced on all network protocols for Azure storage, including REST and SMB. Para tener acceso a los datos mediante herramientas como Azure Portal, el Explorador de Storage y AZCopy, deben configurarse reglas de red explícitas.To access data using tools such as the Azure portal, Storage Explorer, and AZCopy, explicit network rules must be configured.

Una vez que se apliquen las reglas de red, se aplicarán a todas las solicitudes.Once network rules are applied, they're enforced for all requests. Los tokens de SAS que conceden acceso a una dirección IP específica sirven para limitar el acceso del titular del token, pero no conceden un acceso nuevo más allá de las reglas de red configuradas.SAS tokens that grant access to a specific IP address serve to limit the access of the token holder, but don't grant new access beyond configured network rules.

El tráfico de disco de máquina virtual (incluidas las operaciones de montaje y desmontaje y las operaciones de E/S de disco) no se ve afectado por las reglas de red.Virtual machine disk traffic (including mount and unmount operations, and disk IO) is not affected by network rules. El acceso de REST a los blobs en páginas está protegido por las reglas de red.REST access to page blobs is protected by network rules.

Las cuentas de almacenamiento clásicas no admiten firewalls y redes virtuales.Classic storage accounts do not support firewalls and virtual networks.

Puede usar discos no administrados en cuentas de almacenamiento con reglas de red aplicadas para crear copias de seguridad y restaurar máquinas virtuales mediante la creación de una excepción.You can use unmanaged disks in storage accounts with network rules applied to backup and restore VMs by creating an exception. Este proceso se documenta en la sección Excepciones de este artículo.This process is documented in the Exceptions section of this article. Las excepciones del firewall no se aplican a los discos administrados, puesto que ya son administrados por Azure.Firewall exceptions aren't applicable with managed disks as they're already managed by Azure.

Modificación de la regla de acceso de red predeterminadaChange the default network access rule

De forma predeterminada, las cuentas de almacenamiento aceptan conexiones de clientes en cualquier red.By default, storage accounts accept connections from clients on any network. Para limitar el acceso a redes seleccionadas, primero debe cambiar la acción predeterminada.To limit access to selected networks, you must first change the default action.

Advertencia

La realización de cambios en reglas de red puede afectar a la capacidad de las aplicaciones de conexión a Azure Storage.Making changes to network rules can impact your applications' ability to connect to Azure Storage. Si se establece la regla de red predeterminada en denegar, se bloquea el acceso a los datos, a no ser que se apliquen también las reglas de red específicas para conceder acceso.Setting the default network rule to deny blocks all access to the data unless specific network rules that grant access are also applied. Asegúrese de conceder acceso a las redes permitidas con reglas de red antes de cambiar la regla predeterminada para denegar el acceso.Be sure to grant access to any allowed networks using network rules before you change the default rule to deny access.

Administración de las reglas de acceso de red predeterminadasManaging default network access rules

Puede administrar las reglas predeterminadas de acceso a redes para las cuentas de almacenamiento a través de Azure Portal, PowerShell o CLIv2.You can manage default network access rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure portalAzure portal

  1. Vaya a la cuenta de almacenamiento que quiere proteger.Go to the storage account you want to secure.

  2. Haga clic en el menú de configuración denominado Redes.Click on the settings menu called Networking.

  3. Para denegar el acceso de forma predeterminada, elija permitir el acceso desde Redes seleccionadas.To deny access by default, choose to allow access from Selected networks. Para permitir el tráfico desde todas las redes, elija permitir el acceso desde Todas las redes.To allow traffic from all networks, choose to allow access from All networks.

  4. Haga clic en Guardar para aplicar los cambios.Click Save to apply your changes.

PowerShellPowerShell

  1. Instale Azure PowerShell e inicie sesión.Install the Azure PowerShell and sign in.

  2. Visualice el estado de la regla predeterminada para la cuenta de almacenamiento.Display the status of the default rule for the storage account.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").DefaultAction
    
  3. Establezca la regla predeterminada para denegar el acceso de red de forma predeterminada.Set the default rule to deny network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
    
  4. Establezca la regla predeterminada para permitir el acceso de red de forma predeterminada.Set the default rule to allow network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
    

CLIv2CLIv2

  1. Instale la CLI de Azure e inicie sesión.Install the Azure CLI and sign in.

  2. Visualice el estado de la regla predeterminada para la cuenta de almacenamiento.Display the status of the default rule for the storage account.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.defaultAction
    
  3. Establezca la regla predeterminada para denegar el acceso de red de forma predeterminada.Set the default rule to deny network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
    
  4. Establezca la regla predeterminada para permitir el acceso de red de forma predeterminada.Set the default rule to allow network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
    

Concesión de acceso desde una red virtualGrant access from a virtual network

Puede configurar las cuentas de almacenamiento para permitir el acceso solo desde subredes específicas.You can configure storage accounts to allow access only from specific subnets. Las subredes permitidas pueden pertenecer a una red virtual de la misma suscripción o a las de una suscripción diferente, incluidas las suscripciones que pertenecen a un inquilino de Azure Active Directory diferente.The allowed subnets may belong to a VNet in the same subscription, or those in a different subscription, including subscriptions belonging to a different Azure Active Directory tenant.

Habilite un punto de conexión de servicio para Azure Storage dentro de la red virtual.Enable a Service endpoint for Azure Storage within the VNet. El punto de conexión de servicio enruta el tráfico desde la red virtual a través de una ruta de acceso óptima al servicio Azure Storage.The service endpoint routes traffic from the VNet through an optimal path to the Azure Storage service. Las identidades de la red virtual y la subred también se transmiten con cada solicitud.The identities of the subnet and the virtual network are also transmitted with each request. Luego, los administradores pueden configurar reglas de red para la cuenta de almacenamiento que permitan que se reciban solicitudes desde subredes específicas en una red virtual.Administrators can then configure network rules for the storage account that allow requests to be received from specific subnets in a VNet. Los clientes a los que se concedió acceso a través de estas reglas de red deben seguir cumpliendo los requisitos de autorización de la cuenta de almacenamiento para acceder a los datos.Clients granted access via these network rules must continue to meet the authorization requirements of the storage account to access the data.

Cada cuenta de almacenamiento admite un máximo de 200 reglas de red virtual, que se pueden combinar con reglas de red IP.Each storage account supports up to 200 virtual network rules, which may be combined with IP network rules.

Regiones de red virtual disponiblesAvailable virtual network regions

En general, los puntos de conexión de servicio funcionan entre redes virtuales e instancias de servicio en la misma región de Azure.In general, service endpoints work between virtual networks and service instances in the same Azure region. Cuando se usan los puntos de conexión de servicio con Azure Storage, este ámbito crece para incluir la región emparejada.When using service endpoints with Azure Storage, this scope grows to include the paired region. Los puntos de conexión de servicio permiten la continuidad durante una conmutación por error regional, así como un acceso a las instancias de almacenamiento con redundancia geográfica de solo lectura (RA-GRS).Service endpoints allow continuity during a regional failover and access to read-only geo-redundant storage (RA-GRS) instances. Las reglas de red que conceden acceso de una red virtual a una cuenta de almacenamiento también conceden acceso a cualquier instancia de RA-GRS.Network rules that grant access from a virtual network to a storage account also grant access to any RA-GRS instance.

Al planear la recuperación ante desastres durante una interrupción regional, debe crear las redes virtuales en la región emparejada por adelantado.When planning for disaster recovery during a regional outage, you should create the VNets in the paired region in advance. Habilite puntos de conexión de servicio para Azure Storage, con reglas de red que concedan acceso desde estas redes virtuales alternativas.Enable service endpoints for Azure Storage, with network rules granting access from these alternative virtual networks. A continuación, aplique estas reglas a las cuentas de almacenamiento con redundancia geográfica.Then apply these rules to your geo-redundant storage accounts.

Nota

Los puntos de conexión de servicio no se aplican al tráfico fuera de la región de la red virtual y el par de región designado.Service endpoints don't apply to traffic outside the region of the virtual network and the designated region pair. Solo puede aplicar reglas de red que concedan acceso desde redes virtuales a las cuentas de almacenamiento en la región principal de una cuenta de almacenamiento o en la región emparejada designada.You can only apply network rules granting access from virtual networks to storage accounts in the primary region of a storage account or in the designated paired region.

Permisos necesariosRequired permissions

Para aplicar una regla de red virtual a una cuenta de almacenamiento, el usuario debe tener permisos apropiados para las subredes que se van a agregar.To apply a virtual network rule to a storage account, the user must have the appropriate permissions for the subnets being added. El permiso necesario es Join Service to a Subnet (Unir el servicio a una subred) y se incluye en el rol integrado Colaborador de la cuenta de almacenamiento.The permission needed is Join Service to a Subnet and is included in the Storage Account Contributor built-in role. También se puede agregar a definiciones de roles personalizados.It can also be added to custom role definitions.

La cuenta de almacenamiento y las redes virtuales a las que se concedió acceso pueden estar en distintas suscripciones, incluidas suscripciones que formen parte del un inquilino de Azure AD diferente.Storage account and the virtual networks granted access may be in different subscriptions, including subscriptions that are a part of a different Azure AD tenant.

Nota

La configuración de reglas que conceden acceso a subredes en redes virtuales que forman parte de un inquilino de Azure Active Directory diferente solo se admiten actualmente a través de PowerShell, la CLI y las API REST.Configuration of rules that grant access to subnets in virtual networks that are a part of a different Azure Active Directory tenant are currently only supported through Powershell, CLI and REST APIs. Estas reglas no se pueden configurar mediante Azure Portal, aunque se puedan ver en el portal.Such rules cannot be configured through the Azure portal, though they may be viewed in the portal.

Administración de reglas de red virtualManaging virtual network rules

Puede administrar las reglas de red virtual para las cuentas de almacenamiento a través de Azure Portal, PowerShell o CLIv2.You can manage virtual network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure portalAzure portal

  1. Vaya a la cuenta de almacenamiento que quiere proteger.Go to the storage account you want to secure.

  2. Haga clic en el menú de configuración denominado Redes.Click on the settings menu called Networking.

  3. Compruebe haber elegido permitir el acceso desde Redes seleccionadas.Check that you've selected to allow access from Selected networks.

  4. Para conceder acceso a una red virtual con una nueva regla de red, en Redes virtuales, haga clic en Agregar red virtual existente, seleccione las opciones Redes virtuales y Subredes y, luego, haga clic en Agregar.To grant access to a virtual network with a new network rule, under Virtual networks, click Add existing virtual network, select Virtual networks and Subnets options, and then click Add. Para crear una nueva red virtual y concederle acceso, haga clic en Agregar nueva red virtual.To create a new virtual network and grant it access, click Add new virtual network. Proporcione la información necesaria para crear la nueva red virtual y, luego, haga clic en Crear.Provide the information necessary to create the new virtual network, and then click Create.

    Nota

    Si un punto de conexión de servicio para Azure Storage no se ha configurado previamente para la red virtual y las subredes seleccionadas, se puede configurar como parte de esta operación.If a service endpoint for Azure Storage wasn't previously configured for the selected virtual network and subnets, you can configure it as part of this operation.

    Actualmente, solo se muestran las redes virtuales que pertenecen al mismo inquilino de Azure Active Directory para su selección durante la creación de la regla.Presently, only virtual networks belonging to the same Azure Active Directory tenant are shown for selection during rule creation. Para conceder acceso a una subred de una red virtual que pertenece a otro inquilino, use PowerShell, la CLI o la API REST.To grant access to a subnet in a virtual network belonging to another tenant, please use Powershell, CLI or REST APIs.

  5. Para quitar una regla de red virtual o subred, haga clic en ... para abrir el menú contextual de la red virtual o la subred y haga clic en Quitar.To remove a virtual network or subnet rule, click ... to open the context menu for the virtual network or subnet, and click Remove.

  6. Haga clic en Guardar para aplicar los cambios.Click Save to apply your changes.

PowerShellPowerShell

  1. Instale Azure PowerShell e inicie sesión.Install the Azure PowerShell and sign in.

  2. Enumere las reglas de red virtual.List virtual network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
    
  3. Habilite el punto de conexión de servicio para Azure Storage en una red virtual y subred existentes.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzVirtualNetwork
    
  4. Agregue una regla de red para una red virtual y subred.Add a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    

    Sugerencia

    Para agregar una regla de red para una subred de una red virtual que pertenezca a otro inquilino de Azure AD, use un parámetro completo VirtualNetworkResourceId con el formato "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".To add a network rule for a subnet in a VNet belonging to another Azure AD tenant, use a fully-qualified VirtualNetworkResourceId parameter in the form "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

  5. Quite una regla de red para una red virtual y subred.Remove a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    

Importante

Asegúrese de establecer la regla predeterminada en denegar o, de lo contrario, las reglas de red no tendrán ningún efecto.Be sure to set the default rule to deny, or network rules have no effect.

CLIv2CLIv2

  1. Instale la CLI de Azure e inicie sesión.Install the Azure CLI and sign in.

  2. Enumere las reglas de red virtual.List virtual network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
    
  3. Habilite el punto de conexión de servicio para Azure Storage en una red virtual y subred existentes.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
    
  4. Agregue una regla de red para una red virtual y subred.Add a network rule for a virtual network and subnet.

    subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    

    Sugerencia

    Para agregar una regla para una subred de una red virtual que pertenezca a otro inquilino de Azure AD, use un identificador de subred completo con el formato "/subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>".To add a rule for a subnet in a VNet belonging to another Azure AD tenant, use a fully-qualified subnet ID in the form "/subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>".

    Puede usar el parámetro subscription para recuperar el identificador de subred de una red virtual que pertenezca a otro inquilino de Azure AD.You can use the subscription parameter to retrieve the subnet ID for a VNet belonging to another Azure AD tenant.

  5. Quite una regla de red para una red virtual y subred.Remove a network rule for a virtual network and subnet.

    subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    

Importante

Asegúrese de establecer la regla predeterminada en denegar o, de lo contrario, las reglas de red no tendrán ningún efecto.Be sure to set the default rule to deny, or network rules have no effect.

Concesión de acceso desde un intervalo IP de InternetGrant access from an internet IP range

Puede configurar las cuentas de almacenamiento para permitir el acceso desde intervalos específicos de direcciones IP de Internet público.You can configure storage accounts to allow access from specific public internet IP address ranges. Esta configuración concede acceso a los servicios específicos basados en Internet y redes locales, y bloquea el tráfico de Internet general.This configuration grants access to specific internet-based services and on-premises networks and blocks general internet traffic.

Proporcione los intervalos de dirección de Internet mediante la notación CIDR en el formulario 16.17.18.0/24 o como direcciones IP individuales como 16.17.18.19.Provide allowed internet address ranges using CIDR notation in the form 16.17.18.0/24 or as individual IP addresses like 16.17.18.19.

Nota

Los intervalos de dirección pequeños con tamaños de prefijos "/31" o "/32" no son compatibles.Small address ranges using "/31" or "/32" prefix sizes are not supported. Estos intervalos se deberían configurar utilizando reglas de direcciones IP individuales.These ranges should be configured using individual IP address rules.

Las reglas de red IP solo se permiten para direcciones IP de Internet público.IP network rules are only allowed for public internet IP addresses. No se permiten intervalos de direcciones IP reservados para redes privadas (tal y como se define en RFC 1918) en las reglas de IP.IP address ranges reserved for private networks (as defined in RFC 1918) aren't allowed in IP rules. Las redes privadas incluyen direcciones que comienzan por 10.* , 172.16.* - 172.31.* y 192.168.* .Private networks include addresses that start with 10.*, 172.16.* - 172.31.*, and 192.168.*.

Nota

Las reglas de red IP no tienen ningún efecto en las solicitudes que proceden de la misma región de Azure que la cuenta de almacenamiento.IP network rules have no effect on requests originating from the same Azure region as the storage account. Use reglas de red virtual para permitir solicitudes de la misma región.Use Virtual network rules to allow same-region requests.

Nota

Los servicios implementados en la misma región que la cuenta de almacenamiento usan direcciones IP privadas de Azure para la comunicación.Services deployed in the same region as the storage account use private Azure IP addresses for communication. Por lo tanto, no puede restringir el acceso a servicios específicos de Azure en función de su intervalo de direcciones IP salientes públicas.Thus, you cannot restrict access to specific Azure services based on their public outbound IP address range.

Solo se admiten direcciones IPV4 para la configuración de reglas de firewall de almacenamiento.Only IPV4 addresses are supported for configuration of storage firewall rules.

Cada cuenta de almacenamiento admite hasta 200 reglas de red IP.Each storage account supports up to 200 IP network rules.

Configuración del acceso desde redes localesConfiguring access from on-premises networks

Para conceder acceso desde las redes locales a la cuenta de almacenamiento con una regla de red IP, debe identificar las direcciones IP orientadas a Internet que usa su red.To grant access from your on-premises networks to your storage account with an IP network rule, you must identify the internet facing IP addresses used by your network. Para obtener ayuda, póngase en contacto con el administrador de red.Contact your network administrator for help.

Si usa ExpressRoute desde las instalaciones para pares públicos o el emparejamiento de Microsoft, tiene que identificar las direcciones IP de NAT que se usan.If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Para el emparejamiento público, cada circuito ExpressRoute usa de forma predeterminada dos direcciones IP de NAT que se aplican al tráfico del servicio de Azure cuando el tráfico entra en la red troncal de Microsoft Azure.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Para el emparejamiento de Microsoft, el cliente o el proveedor de servicios proporciona las direcciones IP de NAT que se utilizan.For Microsoft peering, the NAT IP addresses used are either customer provided or are provided by the service provider. Para permitir el acceso a los recursos de servicio, tiene que permitir estas direcciones IP públicas en la configuración del firewall de IP de recursos.To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Para encontrar las direcciones de IP de circuito de ExpressRoute de los pares públicos, abra una incidencia de soporte técnico con ExpressRoute a través de Azure Portal.To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Obtenga más información sobre NAT para ExpressRoute para emparejamiento público y de Microsoft.Learn more about NAT for ExpressRoute public and Microsoft peering.

Administración de reglas de red IPManaging IP network rules

Puede administrar las reglas de red IP para las cuentas de almacenamiento a través de Azure Portal, PowerShell o CLIv2.You can manage IP network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure portalAzure portal

  1. Vaya a la cuenta de almacenamiento que quiere proteger.Go to the storage account you want to secure.

  2. Haga clic en el menú de configuración denominado Redes.Click on the settings menu called Networking.

  3. Compruebe haber elegido permitir el acceso desde Redes seleccionadas.Check that you've selected to allow access from Selected networks.

  4. Para conceder acceso al intervalo IP de Internet, escriba la dirección IP o el intervalo de direcciones (en formato CIDR) en Firewall > Intervalo de direcciones.To grant access to an internet IP range, enter the IP address or address range (in CIDR format) under Firewall > Address Range.

  5. Para quitar una regla de red IP, haga clic en el icono de la Papelera junto al intervalo de direcciones.To remove an IP network rule, click the trash can icon next to the address range.

  6. Haga clic en Guardar para aplicar los cambios.Click Save to apply your changes.

PowerShellPowerShell

  1. Instale Azure PowerShell e inicie sesión.Install the Azure PowerShell and sign in.

  2. Enumere las reglas de red IP.List IP network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
    
  3. Agregue una regla de red para una dirección IP individual.Add a network rule for an individual IP address.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  4. Agregue una regla de red para un intervalo de direcciones IP.Add a network rule for an IP address range.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    
  5. Quite una regla de red para una dirección IP individual.Remove a network rule for an individual IP address.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  6. Quite una regla de red para un intervalo de direcciones IP.Remove a network rule for an IP address range.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    

Importante

Asegúrese de establecer la regla predeterminada en denegar o, de lo contrario, las reglas de red no tendrán ningún efecto.Be sure to set the default rule to deny, or network rules have no effect.

CLIv2CLIv2

  1. Instale la CLI de Azure e inicie sesión.Install the Azure CLI and sign in.

  2. Enumere las reglas de red IP.List IP network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
    
  3. Agregue una regla de red para una dirección IP individual.Add a network rule for an individual IP address.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  4. Agregue una regla de red para un intervalo de direcciones IP.Add a network rule for an IP address range.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    
  5. Quite una regla de red para una dirección IP individual.Remove a network rule for an individual IP address.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  6. Quite una regla de red para un intervalo de direcciones IP.Remove a network rule for an IP address range.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    

Importante

Asegúrese de establecer la regla predeterminada en denegar o, de lo contrario, las reglas de red no tendrán ningún efecto.Be sure to set the default rule to deny, or network rules have no effect.

ExcepcionesExceptions

Las reglas de red ayudan a crear un entorno seguro para las conexiones entre las aplicaciones y los datos para la mayoría de los escenarios.Network rules help to create a secure environment for connections between your applications and your data for most scenarios. Sin embargo, algunas aplicaciones dependen de servicios de Azure que no se pueden aislar de forma exclusiva a través de las reglas de red virtual o de dirección IP.However, some applications depend on Azure services that cannot be uniquely isolated through virtual network or IP address rules. Pero estos servicios se deben conceder al almacenamiento para habilitar toda la funcionalidad de la aplicación.But such services must be granted to storage to enable full application functionality. En tales situaciones, puede usar la opción *Permitir servicios de Microsoft de confianza… para habilitar el acceso de dichos servicios a los datos, registros o análisis.In such situations, you can use the *Allow trusted Microsoft services... _ setting to enable such services to access your data, logs, or analytics.

Servicios de Microsoft de confianzaTrusted Microsoft services

Algunos servicios de Microsoft funcionan desde redes que no se pueden incluir en las reglas de red.Some Microsoft services operate from networks that can't be included in your network rules. Puede conceder a un subconjunto de estos servicios de Microsoft de confianza el acceso a la cuenta de almacenamiento, a la vez que mantiene las reglas de red para otras aplicaciones.You can grant a subset of such trusted Microsoft services access to the storage account, while maintaining network rules for other apps. Estos servicios de confianza usarán una autenticación sólida para conectarse a su cuenta de almacenamiento de forma segura.These trusted services will then use strong authentication to connect to your storage account securely. Hemos habilitado dos modos de acceso de confianza para los servicios de Microsoft.We've enabled two modes of trusted access for Microsoft services.

  • Los recursos de algunos servicios, _*cuando están registrados en su suscripción**, pueden acceder a su cuenta de almacenamiento de la misma suscripción para ciertas operaciones, como la escritura de registros o la realización de copias de seguridad.Resources of some services, _*when registered in your subscription**, can access your storage account in the same subscription for select operations, such as writing logs or backup.
  • Los recursos de algunos servicios pueden conceder acceso explícito a su cuenta de almacenamiento. Para ello, asignan un rol de Azure a su identidad administrada asignada por el sistema.Resources of some services can be granted explicit access to your storage account by assigning an Azure role to its system-assigned managed identity.

Al habilitar la opción Allow trusted Microsoft services... (Permitir servicios de Microsoft de confianza), se concede acceso a los recursos de los siguientes servicios registrados en la misma suscripción que la cuenta de almacenamiento para un conjunto limitado de operaciones, tal como se describe:When you enable the Allow trusted Microsoft services... setting, resources of the following services that are registered in the same subscription as your storage account are granted access for a limited set of operations as described:

ServicioService Nombre del proveedor de recursosResource Provider Name Operaciones permitidasOperations allowed
Azure BackupAzure Backup Microsoft.RecoveryServicesMicrosoft.RecoveryServices Ejecute copias de seguridad y restauraciones de discos no administrados en máquinas virtuales de IAAS.Run backups and restores of unmanaged disks in IAAS virtual machines. (no se necesita para discos administrados).(not required for managed disks). Más información.Learn more.
Azure Data BoxAzure Data Box Microsoft.DataBoxMicrosoft.DataBox Permite la importación de datos en Azure mediante Data Box.Enables import of data to Azure using Data Box. Más información.Learn more.
Azure DevTest LabsAzure DevTest Labs Microsoft.DevTestLabMicrosoft.DevTestLab Creación de imagen personalizada e instalación de artefactos.Custom image creation and artifact installation. Más información.Learn more.
Azure Event GridAzure Event Grid Microsoft.EventGridMicrosoft.EventGrid Habilite la publicación de eventos de Blob Storage y permita que Event Grid publique en las colas de almacenamiento.Enable Blob Storage event publishing and allow Event Grid to publish to storage queues. Obtenga información sobre los eventos de Blob Storage y la publicación en las colas.Learn about blob storage events and publishing to queues.
Azure Event HubsAzure Event Hubs Microsoft.EventHubMicrosoft.EventHub Archivo de datos con Event Hubs Capture.Archive data with Event Hubs Capture. Más información.Learn More.
Azure File SyncAzure File Sync Microsoft.StorageSyncMicrosoft.StorageSync Permite transformar el servidor de archivos local en una memoria caché para recursos compartidos de archivos de Azure.Enables you to transform your on-prem file server to a cache for Azure File shares. Permite la sincronización de varios sitios, la recuperación rápida ante desastres y la copia de seguridad en la nube.Allowing for multi-site sync, fast disaster-recovery, and cloud-side backup. Más informaciónLearn more
HDInsight de AzureAzure HDInsight Microsoft.HDInsightMicrosoft.HDInsight Aprovisione el contenido inicial del sistema de archivos predeterminado para un nuevo clúster de HDInsight.Provision the initial contents of the default file system for a new HDInsight cluster. Más información.Learn more.
Azure Import/ExportAzure Import Export Microsoft.ImportExportMicrosoft.ImportExport Habilita la importación de datos a Azure Storage o la exportación de datos desde Azure Storage mediante el servicio de importación y exportación de Azure Storage.Enables import of data to Azure Storage or export of data from Azure Storage using the Azure Storage Import/Export service. Más información.Learn more.
Azure MonitorAzure Monitor Microsoft.InsightsMicrosoft.Insights Permite escribir datos de supervisión en una cuenta de almacenamiento protegida, incluidos los registros de recursos, los registros de inicio de sesión y de auditoría de Azure Active Directory y los registros de Microsoft Intune.Allows writing of monitoring data to a secured storage account, including resource logs, Azure Active Directory sign-in and audit logs, and Microsoft Intune logs. Más información.Learn more.
Conexión a AzureAzure Networking Microsoft.NetworkMicrosoft.Network Almacene y analice los registros de tráfico de red, incluidos los servicios de Network Watcher y Análisis de tráfico.Store and analyze network traffic logs, including through the Network Watcher and Traffic Analytics services. Más información.Learn more.
Azure Site RecoveryAzure Site Recovery Microsoft.SiteRecoveryMicrosoft.SiteRecovery Habilite la replicación para la recuperación ante desastres de máquinas virtuales de IaaS de Azure al usar la caché habilitada para firewall, el origen o las cuentas de almacenamiento de destino.Enable replication for disaster-recovery of Azure IaaS virtual machines when using firewall-enabled cache, source, or target storage accounts. Más información.Learn more.

El valor Permitir servicios de Microsoft de confianza... también permite que una instancia concreta de los servicios siguientes acceda a la cuenta de almacenamiento si asigna un rol de Azure explícitamente a la identidad administrada asignada por el sistema de esa instancia de recurso.The Allow trusted Microsoft services... setting also allows a particular instance of the below services to access the storage account, if you explicitly assign an Azure role to the system-assigned managed identity for that resource instance. En ese caso, el ámbito de acceso de la instancia corresponde al rol de Azure que se asigna a la identidad administrada.In this case, the scope of access for the instance corresponds to the Azure role assigned to the managed identity.

ServicioService Nombre del proveedor de recursosResource Provider Name PropósitoPurpose
Azure API ManagementAzure API Management Microsoft.ApiManagement/serviceMicrosoft.ApiManagement/service Habilita el acceso del servicio API Management a las cuentas de almacenamiento detrás del firewall mediante directivas.Enables Api Management service access to storage accounts behind firewall using policies. Más información.Learn more.
Azure Cognitive SearchAzure Cognitive Search Microsoft.Search/searchServicesMicrosoft.Search/searchServices Habilita los servicios de Cognitive Search para acceder a las cuentas de almacenamiento con fines de indexación, proceso y consulta.Enables Cognitive Search services to access storage accounts for indexing, processing and querying.
Azure Cognitive ServicesAzure Cognitive Services Microsoft.CognitiveServiceMicrosoft.CognitiveService Habilita Cognitive Services para acceder a las cuentas de almacenamiento.Enables Cognitive Services to access storage accounts.
Tareas de Azure Container RegistryAzure Container Registry Tasks Microsoft.ContainerRegistry/registriesMicrosoft.ContainerRegistry/registries ACR Tasks puede acceder a las cuentas de almacenamiento al compilar imágenes de contenedor.ACR Tasks can access storage accounts when building container images.
Azure Data FactoryAzure Data Factory Microsoft.DataFactory/factoriesMicrosoft.DataFactory/factories Permite el acceso a las cuentas de almacenamiento a través del tiempo de ejecución de ADF.Allows access to storage accounts through the ADF runtime.
Azure Data ShareAzure Data Share Microsoft.DataShare/accountsMicrosoft.DataShare/accounts Permite el acceso a las cuentas de almacenamiento a través de Data Share.Allows access to storage accounts through Data Share.
Azure IoT HubAzure IoT Hub Microsoft.Devices/IotHubsMicrosoft.Devices/IotHubs Permite que los datos de un centro de IoT se escriban en almacenamiento de blobs.Allows data from an IoT hub to be written to Blob storage. Más informaciónLearn more
Azure Logic AppsAzure Logic Apps Microsoft.Logic/workflowsMicrosoft.Logic/workflows Permite a las aplicaciones lógicas acceder a las cuentas de almacenamiento.Enables logic apps to access storage accounts. Más información.Learn more.
Servicio Azure Machine LearningAzure Machine Learning Service Microsoft.MachineLearningServicesMicrosoft.MachineLearningServices Las áreas de trabajo autorizadas de Azure Machine Learning escriben los resultados del experimento, los modelos y los registros en Blob Storage y leen los datos.Authorized Azure Machine Learning workspaces write experiment output, models, and logs to Blob storage and read the data. Más información.Learn more.
Azure Synapse AnalyticsAzure Synapse Analytics Microsoft.SqlMicrosoft.Sql Permite importar y exportar los datos de instancias de SQL Database específicas mediante la instrucción COPY o con PolyBase.Allows import and export of data from specific SQL databases using the COPY statement or PolyBase. Más información.Learn more.
Azure SQL DatabaseAzure SQL Database Microsoft.SqlMicrosoft.Sql Permite importar de datos de cuentas de almacenamiento y escribir datos de auditoría de en cuentas de almacenamiento detrás del firewall.Allows import of data from storage accounts and writing audit data to storage accounts behind firewall.
Azure Stream AnalyticsAzure Stream Analytics Microsoft.StreamAnalyticsMicrosoft.StreamAnalytics Permite que los datos de un trabajo de streaming se escriban en Blob Storage.Allows data from a streaming job to be written to Blob storage. Más información.Learn more.
Azure Synapse AnalyticsAzure Synapse Analytics Microsoft.Synapse/workspacesMicrosoft.Synapse/workspaces Permite el acceso a los datos de Azure Storage desde Azure Synapse Analytics.Enables access to data in Azure Storage from Azure Synapse Analytics.

Acceso a datos de análisis de almacenamientoStorage analytics data access

En algunos casos, se requiere acceso para leer registros recursos y métricas desde fuera del límite de red.In some cases, access to read resource logs and metrics is required from outside the network boundary. Al configurar el acceso de los servicios de confianza a la cuenta de almacenamiento, puede permitir el acceso de lectura a los archivos de registro, las tablas de métricas o ambos.When configuring trusted services access to the storage account, you can allow read-access for the log files, metrics tables, or both. Obtenga más información sobre cómo trabajar con analíticas de almacenamiento.Learn more about working with storage analytics.

Administración de excepcionesManaging exceptions

Puede administrar las excepciones de reglas de red a través de Azure Portal, PowerShell o la CLI de Azure v2.You can manage network rule exceptions through the Azure portal, PowerShell, or Azure CLI v2.

Azure portalAzure portal

  1. Vaya a la cuenta de almacenamiento que quiere proteger.Go to the storage account you want to secure.

  2. Haga clic en el menú de configuración denominado Redes.Click on the settings menu called Networking.

  3. Compruebe haber elegido permitir el acceso desde Redes seleccionadas.Check that you've selected to allow access from Selected networks.

  4. En Excepciones, seleccione las excepciones que quiere conceder.Under Exceptions, select the exceptions you wish to grant.

  5. Haga clic en Guardar para aplicar los cambios.Click Save to apply your changes.

PowerShellPowerShell

  1. Instale Azure PowerShell e inicie sesión.Install the Azure PowerShell and sign in.

  2. Vea las excepciones para las reglas de red de la cuenta de almacenamiento.Display the exceptions for the storage account network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
    
  3. Configure las excepciones a las reglas de red de la cuenta de almacenamiento.Configure the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
    
  4. Quite las excepciones a las reglas de red de la cuenta de almacenamiento.Remove the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
    

Importante

Asegúrese de establecer la regla predeterminada en denegar o, de lo contrario, la eliminación de las excepciones no tendrá ningún efecto.Be sure to set the default rule to deny, or removing exceptions have no effect.

CLIv2CLIv2

  1. Instale la CLI de Azure e inicie sesión.Install the Azure CLI and sign in.

  2. Vea las excepciones para las reglas de red de la cuenta de almacenamiento.Display the exceptions for the storage account network rules.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
    
  3. Configure las excepciones a las reglas de red de la cuenta de almacenamiento.Configure the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
    
  4. Quite las excepciones a las reglas de red de la cuenta de almacenamiento.Remove the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
    

Importante

Asegúrese de establecer la regla predeterminada en denegar o, de lo contrario, la eliminación de las excepciones no tendrá ningún efecto.Be sure to set the default rule to deny, or removing exceptions have no effect.

Pasos siguientesNext steps

Obtenga más información acerca de los puntos de conexión de servicio de red de Azure en Puntos de conexión de servicio.Learn more about Azure Network service endpoints in Service endpoints.

Profundice en la seguridad de Azure Storage en la Guía de seguridad de Azure Storage.Dig deeper into Azure Storage security in Azure Storage security guide.