Configuración de redes virtuales y firewalls de Azure Storage
Azure Storage proporciona un modelo de seguridad por capas. Este modelo le permite proteger y controlar el nivel de acceso a las cuentas de almacenamiento que exigen sus aplicaciones y entornos empresariales, en función del tipo y el subconjunto de redes o recursos usados. Cuando se configuran las reglas de red, solo las aplicaciones que solicitan datos en el conjunto especificado de redes o a través del conjunto especificado de recursos de Azure pueden acceder a una cuenta de almacenamiento. Puede limitar el acceso a su cuenta de almacenamiento a las solicitudes procedentes de direcciones IP especificadas, intervalos IP, subredes de Azure Virtual Network (VNet) o instancias de recursos de algunos servicios de Azure.
Las cuentas de almacenamiento tienen un punto de conexión público accesible a través de Internet. También puede crear puntos de conexión privados para la cuenta de almacenamiento, lo que asigna una dirección IP privada de la red virtual a la cuenta de almacenamiento, y protege todo el tráfico entre la red virtual y la cuenta de almacenamiento a través de un vínculo privado. El firewall de almacenamiento de Azure proporciona control de acceso para el punto de conexión público de la cuenta de almacenamiento. También puede usar el firewall para bloquear todo el acceso a través del punto de conexión público al usar puntos de conexión privados. La configuración del firewall de almacenamiento también permite seleccionar servicios de la plataforma de Azure de confianza para acceder a la cuenta de almacenamiento de forma segura.
Una aplicación que accede a una cuenta de almacenamiento cuando las reglas de red están en vigor aún requiere la autorización adecuada para la solicitud. La autorización es compatible con las credenciales de Azure Active Directory (Azure AD) (para blobs y colas), con una clave de acceso de cuenta válida o un token de SAS.
Importante
La activación de las reglas de firewall para la cuenta de almacenamiento bloquea las solicitudes entrantes para los datos de forma predeterminada, a menos que las solicitudes procedan de un servicio que funcione en una instancia de Azure Virtual Network (VNet) o desde direcciones IP públicas permitidas. Las solicitudes que bloquean incluyen aquellas de otros servicios de Azure, desde Azure Portal, desde los servicios de registro y de métricas, etc.
Puede conceder acceso a los servicios de Azure que funcionan desde una VNet al permitir el tráfico de la subred que hospeda la instancia de servicio. Puede habilitar también un número limitado de escenarios mediante el mecanismo de excepciones que se describe más adelante. Para acceder a los datos de la cuenta de almacenamiento mediante Azure Portal, deberá estar en una máquina situada dentro del límite de confianza (IP o red virtual) que haya configurado.
Nota
En este artículo se usa el módulo Az de PowerShell, que es el módulo de PowerShell que se recomienda para interactuar con Azure. Para empezar a trabajar con el módulo Az de PowerShell, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
Escenarios
Para proteger la cuenta de almacenamiento, primero debe configurar una regla para denegar el acceso al tráfico desde todas las redes (incluido el tráfico de Internet) en el punto de conexión público de forma predeterminada. A continuación, debe configurar las reglas que conceden acceso al tráfico desde redes virtuales específicas. También puede configurar reglas para conceder acceso al tráfico desde intervalos de direcciones IP de Internet públicos seleccionados, lo que permite habilitar conexiones desde clientes locales o específicos de Internet. Esta configuración le permite crear un límite de red seguro para las aplicaciones.
Puede combinar reglas de firewall que permitan el acceso desde redes virtuales específicas y desde intervalos de direcciones IP públicas en la misma cuenta de almacenamiento. Las reglas de firewall de almacenamiento se pueden aplicar a cuentas de almacenamiento existentes o al crear nuevas cuentas de almacenamiento.
Las reglas de firewall de almacenamiento se aplican al punto de conexión público de una cuenta de almacenamiento. No se necesitan reglas de acceso de firewall para permitir el tráfico de los puntos de conexión privados de una cuenta de almacenamiento. El proceso de aprobación de la creación de un punto de conexión privado concede acceso implícito al tráfico desde la subred que hospeda el punto de conexión privado.
Se aplican reglas de red en todos los protocolos de red para Azure Storage, incluidos REST y SMB. Para tener acceso a los datos mediante herramientas como Azure Portal, el Explorador de Storage y AzCopy, deben configurarse reglas de red explícitas.
Una vez que se apliquen las reglas de red, se aplicarán a todas las solicitudes. Los tokens de SAS que conceden acceso a una dirección IP específica sirven para limitar el acceso del titular del token, pero no conceden un acceso nuevo más allá de las reglas de red configuradas.
El tráfico de disco de máquina virtual (incluidas las operaciones de montaje y desmontaje y las operaciones de E/S de disco) no se ve afectado por las reglas de red. El acceso de REST a los blobs en páginas está protegido por las reglas de red.
Las cuentas de almacenamiento clásicas no admiten firewalls y redes virtuales.
Puede usar discos no administrados en cuentas de almacenamiento con reglas de red aplicadas para crear copias de seguridad y restaurar máquinas virtuales mediante la creación de una excepción. Este proceso se documenta en la sección Administración de excepciones de este artículo. Las excepciones del firewall no se aplican a los discos administrados, puesto que ya son administrados por Azure.
Modificación de la regla de acceso de red predeterminada
De forma predeterminada, las cuentas de almacenamiento aceptan conexiones de clientes en cualquier red. Para limitar el acceso a redes seleccionadas, primero debe cambiar la acción predeterminada.
Advertencia
La realización de cambios en reglas de red puede afectar a la capacidad de las aplicaciones de conexión a Azure Storage. Si se establece la regla de red predeterminada en denegar, se bloquea el acceso a los datos, a no ser que se apliquen también las reglas de red específicas para conceder acceso. Asegúrese de conceder acceso a las redes permitidas con reglas de red antes de cambiar la regla predeterminada para denegar el acceso.
Administración de las reglas de acceso de red predeterminadas
Puede administrar las reglas predeterminadas de acceso a redes para las cuentas de almacenamiento a través de Azure Portal, PowerShell o CLIv2.
Vaya a la cuenta de almacenamiento que quiere proteger.
Realice la selección en el menú de configuración denominado Redes.
Para denegar el acceso de forma predeterminada, elija permitir el acceso desde Redes seleccionadas. Para permitir el tráfico desde todas las redes, elija permitir el acceso desde Todas las redes.
Seleccione Guardar para aplicar los cambios.
Concesión de acceso desde una red virtual
Puede configurar las cuentas de almacenamiento para permitir el acceso solo desde subredes específicas. Las subredes permitidas pueden pertenecer a una red virtual de la misma suscripción o a las de una suscripción diferente, incluidas las suscripciones que pertenecen a un inquilino de Azure Active Directory diferente.
Habilite un punto de conexión de servicio para Azure Storage dentro de la red virtual. El punto de conexión de servicio enruta el tráfico desde la red virtual a través de una ruta de acceso óptima al servicio Azure Storage. Las identidades de la red virtual y la subred también se transmiten con cada solicitud. Luego, los administradores pueden configurar reglas de red para la cuenta de almacenamiento que permitan que se reciban solicitudes desde subredes específicas en una red virtual. Los clientes a los que se concedió acceso a través de estas reglas de red deben seguir cumpliendo los requisitos de autorización de la cuenta de almacenamiento para acceder a los datos.
Cada cuenta de almacenamiento admite un máximo de 200 reglas de red virtual, que se pueden combinar con reglas de red IP.
Importante
Si elimina una subred que se ha incluido en una regla de red, se quitará de las reglas de red de la cuenta de almacenamiento. Si crea una subred con el mismo nombre, no tendrá acceso a la cuenta de almacenamiento. Para permitir el acceso, deberá autorizar la nueva subred explícitamente en las reglas de red de la cuenta de almacenamiento.
Regiones de red virtual disponibles
En general, los puntos de conexión de servicio funcionan entre redes virtuales e instancias de servicio en la misma región de Azure. Cuando se usan los puntos de conexión de servicio con Azure Storage, este ámbito crece para incluir la región emparejada. Los puntos de conexión de servicio permiten la continuidad durante una conmutación por error regional, así como un acceso a las instancias de almacenamiento con redundancia geográfica de solo lectura (RA-GRS). Las reglas de red que conceden acceso de una red virtual a una cuenta de almacenamiento también conceden acceso a cualquier instancia de RA-GRS.
Al planear la recuperación ante desastres durante una interrupción regional, debe crear las redes virtuales en la región emparejada por adelantado. Habilite puntos de conexión de servicio para Azure Storage, con reglas de red que concedan acceso desde estas redes virtuales alternativas. A continuación, aplique estas reglas a las cuentas de almacenamiento con redundancia geográfica.
Nota
Los puntos de conexión de servicio no se aplican al tráfico fuera de la región de la red virtual y el par de región designado. Solo puede aplicar reglas de red que concedan acceso desde redes virtuales a las cuentas de almacenamiento en la región principal de una cuenta de almacenamiento o en la región emparejada designada.
Permisos necesarios
Para aplicar una regla de red virtual a una cuenta de almacenamiento, el usuario debe tener permisos apropiados para las subredes que se van a agregar. Un colaborador de la cuenta de almacenamiento o un usuario al que se haya concedido permiso para la operación del proveedor de recursos de Azure Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action a través de un rol personalizado de Azure puede aplicar una regla.
La cuenta de almacenamiento y las redes virtuales a las que se concedió acceso pueden estar en distintas suscripciones, incluidas suscripciones que formen parte del un inquilino de Azure AD diferente.
Nota
La configuración de reglas que conceden acceso a subredes en redes virtuales que forman parte de un inquilino de Azure Active Directory diferente solo se admiten actualmente a través de PowerShell, la CLI y las API REST. Estas reglas no se pueden configurar mediante Azure Portal, aunque se puedan ver en el portal.
Administración de reglas de red virtual
Puede administrar las reglas de red virtual para las cuentas de almacenamiento a través de Azure Portal, PowerShell o CLIv2.
Vaya a la cuenta de almacenamiento que quiere proteger.
Realice la selección en el menú de configuración denominado Redes.
Compruebe haber elegido permitir el acceso desde Redes seleccionadas.
Para conceder acceso a una red virtual con una nueva regla de red, en Redes virtuales, seleccione Agregar red virtual existente, seleccione las opciones Redes virtuales y Subredes y, luego, seleccione Agregar. Para crear una nueva red virtual y concederle acceso, seleccione Agregar nueva red virtual. Proporcione la información necesaria para crear la nueva red virtual y, luego, seleccione Crear.
Nota
Si un punto de conexión de servicio para Azure Storage no se ha configurado previamente para la red virtual y las subredes seleccionadas, se puede configurar como parte de esta operación.
Actualmente, solo se muestran las redes virtuales que pertenecen al mismo inquilino de Azure Active Directory para su selección durante la creación de la regla. Para conceder acceso a una subred de una red virtual que pertenece a otro inquilino, use PowerShell, la CLI o la API REST.
Para quitar una regla de red virtual o subred, seleccione ... para abrir el menú contextual de la red virtual o la subred y seleccione Quitar.
Seleccione Guardar para aplicar los cambios.
Concesión de acceso desde un intervalo IP de Internet
Puede usar las reglas de red IP para permitir el acceso desde intervalos específicos de direcciones IP de la red pública de Internet mediante la creación de reglas de red IP. Cada cuenta de almacenamiento admite hasta 200 reglas. Estas reglas conceden acceso a servicios específicos basados en Internet y redes locales, y bloquean el tráfico de Internet general.
Las restricciones siguientes se aplican a los intervalos de direcciones IP.
Las reglas de red IP solo se permiten para direcciones IP de la red pública de Internet.
No se permiten intervalos de direcciones IP reservados para redes privadas (tal y como se define en RFC 1918) en las reglas de IP. Las redes privadas incluyen direcciones que comienzan por 10.**, 172.16. - 172.31.* y *192.168.**.
Debe proporcionar los intervalos de dirección de Internet permitidos mediante la notación CIDR en formato 16.17.18.0/24 o como direcciones IP individuales en formato 16.17.18.19.
Los intervalos de dirección pequeños con tamaños de prefijos "/31" o "/32" no son compatibles. Estos intervalos se deberían configurar utilizando reglas de direcciones IP individuales.
Solo se admiten direcciones IPV4 para la configuración de reglas de firewall de almacenamiento.
Las reglas de red IP no se pueden usar en los siguientes casos:
Para restringir el acceso a los clientes de la misma región de Azure que la cuenta de almacenamiento.
Las reglas de red IP no tienen ningún efecto en las solicitudes que proceden de la misma región de Azure que la cuenta de almacenamiento. Use reglas de red virtual para permitir solicitudes de la misma región.
Para restringir el acceso a los clientes de una región emparejada que se encuentran en una red virtual que tiene un punto de conexión de servicio.
Para restringir el acceso a los servicios de Azure implementados en la misma región que la cuenta de almacenamiento.
Los servicios implementados en la misma región que la cuenta de almacenamiento usan direcciones IP privadas de Azure para la comunicación. Por lo tanto, no puede restringir el acceso a servicios específicos de Azure en función de su intervalo de direcciones IP salientes públicas.
Configuración del acceso desde redes locales
Para conceder acceso desde las redes locales a la cuenta de almacenamiento con una regla de red IP, debe identificar las direcciones IP orientadas a Internet que usa su red. Para obtener ayuda, póngase en contacto con el administrador de red.
Si usa ExpressRoute desde las instalaciones para pares públicos o el emparejamiento de Microsoft, tiene que identificar las direcciones IP de NAT que se usan. Para el emparejamiento público, cada circuito ExpressRoute usa de forma predeterminada dos direcciones IP de NAT que se aplican al tráfico del servicio de Azure cuando el tráfico entra en la red troncal de Microsoft Azure. Para el emparejamiento de Microsoft, el cliente o el proveedor de servicios proporciona las direcciones IP de NAT que se utilizan. Para permitir el acceso a los recursos de servicio, tiene que permitir estas direcciones IP públicas en la configuración del firewall de IP de recursos. Para encontrar las direcciones de IP de circuito de ExpressRoute de los pares públicos, abra una incidencia de soporte técnico con ExpressRoute a través de Azure Portal. Obtenga más información sobre NAT para ExpressRoute para emparejamiento público y de Microsoft.
Administración de reglas de red IP
Puede administrar las reglas de red IP para las cuentas de almacenamiento a través de Azure Portal, PowerShell o CLIv2.
Vaya a la cuenta de almacenamiento que quiere proteger.
Realice la selección en el menú de configuración denominado Redes.
Compruebe haber elegido permitir el acceso desde Redes seleccionadas.
Para conceder acceso al intervalo IP de Internet, escriba la dirección IP o el intervalo de direcciones (en formato CIDR) en Firewall > Intervalo de direcciones.
Para quitar una regla de red IP, seleccione el icono de la papelera junto al intervalo de direcciones.
Seleccione Guardar para aplicar los cambios.
Concesión de acceso a instancias de recursos de Azure (versión preliminar)
En algunos casos, una aplicación puede depender de recursos de Azure que no se pueden aislar a través de una regla de red virtual o de dirección IP. Sin embargo, todavía le gustaría proteger y restringir el acceso de la cuenta de almacenamiento solo a los recursos de Azure de la aplicación. Puede configurar cuentas de almacenamiento para permitir el acceso a instancias de recursos específicas de algunos servicios de Azure mediante la creación de una regla de instancia de recurso.
Los tipos de operaciones que puede realizar una instancia de recursos en los datos de la cuenta de almacenamiento se determinan mediante las asignaciones de roles de Azure de la instancia de recurso. Las instancias de recursos deben estar en el mismo inquilino que la cuenta de almacenamiento, pero pueden pertenecer a cualquier suscripción del inquilino.
Nota
Esta característica está en versión preliminar pública y está disponible en todas las regiones de la nube pública.
Puede agregar o quitar reglas de red de recursos en Azure Portal.
Inicie sesión en Azure Portal para empezar a trabajar.
Busque la cuenta de almacenamiento y muestre la información general de la cuenta.
Seleccione Redes para mostrar la página de configuración de redes.
En la lista desplegable Tipo de recurso, elija el tipo de recurso de la instancia de recurso.
En la lista desplegable Nombre de instancia, elija la instancia de recurso. También puede elegir incluir todas las instancias de recursos en el inquilino, la suscripción o el grupo de recursos activos.
Seleccione Guardar para aplicar los cambios. La instancia de recurso aparece en la sección Instancias de recursos de la página de configuración de red.
Para quitar la instancia de recurso, seleccione el icono de eliminación (
) junto a la instancia de recurso.
Concesión de acceso a servicios de Azure de confianza
Algunos servicios de Azure funcionan desde redes que no se pueden incluir en las reglas de red. Puede conceder a un subconjunto de estos servicios de Azure de confianza el acceso a la cuenta de almacenamiento, a la vez que mantiene las reglas de red para otras aplicaciones. Estos servicios de confianza usarán una autenticación sólida para conectarse a su cuenta de almacenamiento de forma segura.
Puede conceder acceso a servicios de Azure de confianza mediante la creación de una excepción de regla de red. Para obtener instrucciones paso a paso, consulte la sección Administración de excepciones de este artículo.
Cuando se concede acceso a los servicios de Azure de confianza, se conceden los siguientes tipos de acceso:
- Acceso de confianza para las operaciones seleccionadas en los recursos registrados en la suscripción.
- Acceso de confianza a los recursos basándose en la identidad administrada asignada por el sistema.
Acceso de confianza para los recursos registrados en su suscripción
Los recursos de algunos servicios, cuando están registrados en su suscripción, pueden acceder a su cuenta de almacenamiento de la misma suscripción para ciertas operaciones, como la escritura de registros o la realización de copias de seguridad. En la tabla siguiente se describe cada servicio y las operaciones permitidas.
| Servicio | Nombre del proveedor de recursos | Operaciones permitidas |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices | Ejecute copias de seguridad y restauraciones de discos no administrados en máquinas virtuales de IAAS. (no se necesita para discos administrados). Más información. |
| Azure Data Box | Microsoft.DataBox | Permite la importación de datos en Azure mediante Data Box. Más información. |
| Azure DevTest Labs | Microsoft.DevTestLab | Creación de imagen personalizada e instalación de artefactos. Más información. |
| Azure Event Grid | Microsoft.EventGrid | Habilite la publicación de eventos de Blob Storage y permita que Event Grid publique en las colas de almacenamiento. Obtenga información sobre los eventos de Blob Storage y la publicación en las colas. |
| Azure Event Hubs | Microsoft.EventHub | Archivo de datos con Event Hubs Capture. Más información. |
| Azure File Sync | Microsoft.StorageSync | Permite transformar el servidor de archivos local en una memoria caché para recursos compartidos de archivos de Azure. Permite la sincronización de varios sitios, la recuperación rápida ante desastres y la copia de seguridad en la nube. Más información |
| HDInsight de Azure | Microsoft.HDInsight | Aprovisione el contenido inicial del sistema de archivos predeterminado para un nuevo clúster de HDInsight. Más información. |
| Azure Import/Export | Microsoft.ImportExport | Habilita la importación de datos a Azure Storage o la exportación de datos desde Azure Storage mediante el servicio de importación y exportación de Azure Storage. Más información. |
| Azure Monitor | Microsoft.Insights | Permite escribir datos de supervisión en una cuenta de almacenamiento protegida, incluidos los registros de recursos, los registros de inicio de sesión y de auditoría de Azure Active Directory y los registros de Microsoft Intune. Más información. |
| Conexión a Azure | Microsoft.Network | Almacene y analice los registros de tráfico de red, incluidos los servicios de Network Watcher y Análisis de tráfico. Más información. |
| Azure Site Recovery | Microsoft.SiteRecovery | Habilite la replicación para la recuperación ante desastres de máquinas virtuales de IaaS de Azure al usar la caché habilitada para firewall, el origen o las cuentas de almacenamiento de destino. Más información. |
Acceso de confianza basado en la identidad administrada asignada por el sistema
En la tabla siguiente se enumeran los servicios que pueden tener acceso a los datos de la cuenta de almacenamiento si las instancias de recursos de esos servicios reciben el permiso adecuado.
Si la cuenta no tiene habilitada la característica de espacio de nombres jerárquico, puede conceder permiso mediante la asignación explícita de un rol de Azure a la identidad administrada asignada por el sistema para cada instancia de recurso. En ese caso, el ámbito de acceso de la instancia corresponde al rol de Azure que se asigna a la identidad administrada.
Puede usar la misma técnica para una cuenta que tenga la característica de espacio de nombres jerárquico habilitado en ella. Sin embargo, no tiene que asignar un rol de Azure si agrega la identidad administrada asignada por el sistema a la lista de control de acceso (ACL) de cualquier directorio o blob incluido en la cuenta de almacenamiento. En ese caso, el ámbito de acceso de la instancia corresponde al directorio o archivo al que se ha concedido acceso a la identidad administrada asignada por el sistema. También puede combinar roles y listas de control de acceso de Azure. Para más información sobre cómo combinarlos para conceder acceso, consulte Modelo de control de acceso de Azure Data Lake Storage Gen2.
Sugerencia
La manera recomendada de conceder acceso a recursos específicos es usar reglas de instancia de recurso. Para conceder acceso a instancias de recursos específicas, consulte la sección Concesión de acceso a instancias de recursos de Azure (versión preliminar) de este artículo.
| Servicio | Nombre del proveedor de recursos | Propósito |
|---|---|---|
| Azure API Management | Microsoft.ApiManagement/service | Habilita el acceso del servicio API Management a las cuentas de almacenamiento detrás del firewall mediante directivas. Más información. |
| Azure Cache for Redis | Microsoft.Cache/Redis | Permite el acceso a las cuentas de almacenamiento a través de Azure Cache for Redis. |
| Azure Cognitive Search | Microsoft.Search/searchServices | Habilita los servicios de Cognitive Search para acceder a las cuentas de almacenamiento con fines de indexación, proceso y consulta. |
| Azure Cognitive Services | Microsoft.CognitiveService/accounts | Habilita Cognitive Services para acceder a las cuentas de almacenamiento. Más información. |
| Tareas de Azure Container Registry | Microsoft.ContainerRegistry/registries | ACR Tasks puede acceder a las cuentas de almacenamiento al compilar imágenes de contenedor. |
| Azure Data Factory | Microsoft.DataFactory/factories | Permite el acceso a las cuentas de almacenamiento a través del tiempo de ejecución de ADF. |
| Azure Data Share | Microsoft.DataShare/accounts | Permite el acceso a las cuentas de almacenamiento a través de Data Share. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs | Permite el acceso a las cuentas de almacenamiento a través de DevTest Labs. |
| Azure Event Grid | Microsoft.EventGrid/topics | Permite el acceso a las cuentas de almacenamiento a través de Azure Event Grid. |
| Azure Healthcare API | Microsoft.HealthcareApis/services | Permite el acceso a las cuentas de almacenamiento a través de Azure Healthcare APIs. |
| Aplicaciones de Azure IoT Central | Microsoft.IoTCentral/IoTApps | Permite el acceso a las cuentas de almacenamiento a través de las aplicaciones de Azure IoT Central. |
| Azure IoT Hub | Microsoft.Devices/IotHubs | Permite que los datos de un centro de IoT se escriban en almacenamiento de blobs. Más información |
| Azure Logic Apps | Microsoft.Logic/workflows | Permite a las aplicaciones lógicas acceder a las cuentas de almacenamiento. Más información. |
| Servicio Azure Machine Learning | Microsoft.MachineLearningServices | Las áreas de trabajo autorizadas de Azure Machine Learning escriben los resultados del experimento, los modelos y los registros en Blob Storage y leen los datos. Más información. |
| Azure Media Services | Microsoft.Media/mediaservices | Permite el acceso a las cuentas de almacenamiento a través de Media Services. |
| Azure Migrate | Microsoft.Migrate/migrateprojects | Permite el acceso a las cuentas de almacenamiento a través de Azure Migrate. |
| Azure Purview | Microsoft.Purview/accounts | Permite que Purview acceda a las cuentas de almacenamiento. |
| Azure Remote Rendering | Microsoft.MixedReality/remoteRenderingAccounts | Permite el acceso a las cuentas de almacenamiento a través de Remote Rendering. |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults | Permite el acceso a las cuentas de almacenamiento a través de Site Recovery. |
| Azure SQL Database | Microsoft.Sql | Permite escribir datos de auditoría en cuentas de almacenamiento detrás del firewall. |
| Azure Synapse Analytics | Microsoft.Sql | Permite importar y exportar datos de bases de datos SQL específicas mediante la instrucción COPY o PolyBase (en un grupo dedicado) o la función openrowset y las tablas externas del grupo sin servidor. Más información. |
| Azure Stream Analytics | Microsoft.StreamAnalytics | Permite que los datos de un trabajo de streaming se escriban en Blob Storage. Más información. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | Permite el acceso a los datos de Azure Storage desde Azure Synapse Analytics. |
Concesión de acceso a Storage Analytics
En algunos casos, se requiere acceso para leer registros recursos y métricas desde fuera del límite de red. Al configurar el acceso de los servicios de confianza a la cuenta de almacenamiento, puede permitir el acceso de lectura a los archivos de registro, las tablas de métricas o ambos mediante la creación de una excepción de regla de red. Para obtener instrucciones paso a paso, consulte la sección Administración de excepciones más adelante. Para más información sobre cómo trabajar con Storage Analytics, consulte Uso de Azure Storage Analytics para recopilar datos de métricas y registros.
Administración de excepciones
Puede administrar las excepciones de reglas de red a través de Azure Portal, PowerShell o la CLI de Azure v2.
Vaya a la cuenta de almacenamiento que quiere proteger.
Realice la selección en el menú de configuración denominado Redes.
Compruebe haber elegido permitir el acceso desde Redes seleccionadas.
En Excepciones, seleccione las excepciones que quiere conceder.
Seleccione Guardar para aplicar los cambios.
Pasos siguientes
Obtenga más información acerca de los puntos de conexión de servicio de red de Azure en Puntos de conexión de servicio.
Profundice en la seguridad de Azure Storage en la Guía de seguridad de Azure Storage.