Configuración de redes virtuales y firewalls de Azure Storage

Azure Storage proporciona un modelo de seguridad por capas. Este modelo le permite proteger y controlar el nivel de acceso a las cuentas de almacenamiento que exigen sus aplicaciones y entornos empresariales, en función del tipo y el subconjunto de redes o recursos usados. Cuando se configuran las reglas de red, solo las aplicaciones que solicitan datos en el conjunto especificado de redes o a través del conjunto especificado de recursos de Azure pueden acceder a una cuenta de almacenamiento. Puede limitar el acceso a su cuenta de almacenamiento a las solicitudes procedentes de direcciones IP especificadas, intervalos IP, subredes de Azure Virtual Network (VNet) o instancias de recursos de algunos servicios de Azure.

Las cuentas de almacenamiento tienen un punto de conexión público accesible a través de Internet. También puede crear puntos de conexión privados para la cuenta de almacenamiento, lo que asigna una dirección IP privada de la red virtual a la cuenta de almacenamiento, y protege todo el tráfico entre la red virtual y la cuenta de almacenamiento a través de un vínculo privado. El firewall de almacenamiento de Azure proporciona control de acceso para el punto de conexión público de la cuenta de almacenamiento. También puede usar el firewall para bloquear todo el acceso a través del punto de conexión público al usar puntos de conexión privados. La configuración del firewall de almacenamiento también permite seleccionar servicios de la plataforma de Azure de confianza para acceder a la cuenta de almacenamiento de forma segura.

Una aplicación que accede a una cuenta de almacenamiento cuando las reglas de red están en vigor aún requiere la autorización adecuada para la solicitud. La autorización es compatible con las credenciales de Azure Active Directory (Azure AD) (para blobs y colas), con una clave de acceso de cuenta válida o un token de SAS. Cuando se configura un contenedor de blobs para el acceso público anónimo, las solicitudes para leer datos de ese contenedor no tienen que estar autorizadas, pero las reglas de firewall permanecen en vigor y bloquean el tráfico anónimo.

Importante

La activación de las reglas de firewall para la cuenta de almacenamiento bloquea las solicitudes entrantes para los datos de forma predeterminada, a menos que las solicitudes procedan de un servicio que funcione en una instancia de Azure Virtual Network (VNet) o desde direcciones IP públicas permitidas. Las solicitudes que bloquean incluyen aquellas de otros servicios de Azure, desde Azure Portal, desde los servicios de registro y de métricas, etc.

Puede conceder acceso a los servicios de Azure que funcionan desde una VNet al permitir el tráfico de la subred que hospeda la instancia de servicio. Puede habilitar también un número limitado de escenarios mediante el mecanismo de excepciones que se describe más adelante. Para acceder a los datos de la cuenta de almacenamiento mediante Azure Portal, deberá estar en una máquina situada dentro del límite de confianza (IP o red virtual) que haya configurado.

Nota:

En este artículo se usa el módulo Az de PowerShell, que es el módulo de PowerShell que se recomienda para interactuar con Azure. Para empezar a trabajar con el módulo Az de PowerShell, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Escenarios

Para proteger la cuenta de almacenamiento, primero debe configurar una regla para denegar el acceso al tráfico desde todas las redes (incluido el tráfico de Internet) en el punto de conexión público de forma predeterminada. A continuación, debe configurar las reglas que conceden acceso al tráfico desde redes virtuales específicas. También puede configurar reglas para conceder acceso al tráfico desde intervalos de direcciones IP de Internet públicos seleccionados, lo que permite habilitar conexiones desde clientes locales o específicos de Internet. Esta configuración le permite crear un límite de red seguro para las aplicaciones.

Puede combinar reglas de firewall que permitan el acceso desde redes virtuales específicas y desde intervalos de direcciones IP públicas en la misma cuenta de almacenamiento. Las reglas de firewall de almacenamiento se pueden aplicar a cuentas de almacenamiento existentes o al crear nuevas cuentas de almacenamiento.

Las reglas de firewall de almacenamiento se aplican al punto de conexión público de una cuenta de almacenamiento. No se necesitan reglas de acceso de firewall para permitir el tráfico de los puntos de conexión privados de una cuenta de almacenamiento. El proceso de aprobación de la creación de un punto de conexión privado concede acceso implícito al tráfico desde la subred que hospeda el punto de conexión privado.

Se aplican reglas de red en todos los protocolos de red para Azure Storage, incluidos REST y SMB. Para tener acceso a los datos mediante herramientas como Azure Portal, el Explorador de Storage y AzCopy, deben configurarse reglas de red explícitas.

Una vez que se apliquen las reglas de red, se aplicarán a todas las solicitudes. Los tokens de SAS que conceden acceso a una dirección IP específica sirven para limitar el acceso del titular del token, pero no conceden un acceso nuevo más allá de las reglas de red configuradas.

El tráfico de disco de máquina virtual (incluidas las operaciones de montaje y desmontaje y las operaciones de E/S de disco) no se ve afectado por las reglas de red. El acceso de REST a los blobs en páginas está protegido por las reglas de red.

Las cuentas de almacenamiento clásicas no admiten firewalls y redes virtuales.

Puede usar discos no administrados en cuentas de almacenamiento con reglas de red aplicadas para crear copias de seguridad y restaurar máquinas virtuales mediante la creación de una excepción. Este proceso se documenta en la sección Administración de excepciones de este artículo. Las excepciones del firewall no se aplican a los discos administrados, puesto que ya son administrados por Azure.

Modificación de la regla de acceso de red predeterminada

De forma predeterminada, las cuentas de almacenamiento aceptan conexiones de clientes en cualquier red. Puede limitar el acceso a las redes seleccionadas o impedir el tráfico de todas las redes y permitir el acceso solo a través de un punto de conexión privado.

Advertencia

Cambiar esta configuración puede afectar a la capacidad de la aplicación de conectarse a Azure Storage. Asegúrese de conceder acceso a las redes permitidas o configurar el acceso a través de un punto de conexión privado antes de cambiar esta configuración.

  1. Vaya a la cuenta de almacenamiento que quiere proteger.

  2. Busque la configuración Redes en Seguridad y redes.

  3. Elija el tipo de acceso a la red pública que quiera permitir.

    • Para permitir el tráfico de todas las redes, seleccione Habilitado desde todas las redes.

    • Para permitir el tráfico solo de redes virtuales específicas, seleccione Habilitado desde redes virtuales y direcciones IP seleccionadas.

    • Para bloquear el tráfico de todas las redes, seleccione Deshabilitado.

  4. Seleccione Guardar para aplicar los cambios.

Concesión de acceso desde una red virtual

Puede configurar las cuentas de almacenamiento para permitir el acceso solo desde subredes específicas. Las subredes permitidas pueden pertenecer a una red virtual de la misma suscripción o a las de una suscripción diferente, incluidas las suscripciones que pertenecen a un inquilino de Azure Active Directory diferente.

Puede habilitar un punto de conexión de servicio para Azure Storage dentro de la red virtual. El punto de conexión de servicio enruta el tráfico desde la red virtual a través de una ruta de acceso óptima al servicio Azure Storage. Las identidades de la red virtual y la subred también se transmiten con cada solicitud. Luego, los administradores pueden configurar reglas de red para la cuenta de almacenamiento que permitan que se reciban solicitudes desde subredes específicas en una red virtual. Los clientes a los que se concedió acceso a través de estas reglas de red deben seguir cumpliendo los requisitos de autorización de la cuenta de almacenamiento para acceder a los datos.

Cada cuenta de almacenamiento admite un máximo de 200 reglas de red virtual, que se pueden combinar con reglas de red IP.

Importante

Si elimina una subred que se ha incluido en una regla de red, se quitará de las reglas de red de la cuenta de almacenamiento. Si crea una subred con el mismo nombre, no tendrá acceso a la cuenta de almacenamiento. Para permitir el acceso, deberá autorizar la nueva subred explícitamente en las reglas de red de la cuenta de almacenamiento.

Permisos necesarios

Para aplicar una regla de red virtual a una cuenta de almacenamiento, el usuario debe tener permisos apropiados para las subredes que se van a agregar. Un colaborador de la cuenta de almacenamiento o un usuario al que se le haya concedido permiso para la Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionoperación del proveedor de recursos de Azure a través de un rol personalizado de Azure puede aplicar una regla.

La cuenta de almacenamiento y las redes virtuales a las que se concedió acceso pueden estar en distintas suscripciones, incluidas suscripciones que formen parte del un inquilino de Azure AD diferente.

Nota

La configuración de reglas que conceden acceso a subredes en redes virtuales que forman parte de un inquilino de Azure Active Directory diferente solo se admiten actualmente a través de PowerShell, la CLI y las API REST. Estas reglas no se pueden configurar mediante Azure Portal, aunque se puedan ver en el portal.

Regiones de red virtual disponibles

De forma predeterminada, los puntos de conexión de servicio funcionan entre redes virtuales e instancias de servicio de la misma región de Azure. Al usar puntos de conexión de servicio con Azure Storage, también funcionan entre redes virtuales e instancias de servicio de una región emparejada. Si quiere usar un punto de conexión de servicio para conceder acceso a redes virtuales de otras regiones, debe registrar la característica AllowGlobalTagsForStorage en la suscripción de la red virtual. Esta funcionalidad se encuentra actualmente en versión preliminar.

Los puntos de conexión de servicio permiten la continuidad durante una conmutación por error regional, así como un acceso a las instancias de almacenamiento con redundancia geográfica de solo lectura (RA-GRS). Las reglas de red que conceden acceso de una red virtual a una cuenta de almacenamiento también conceden acceso a cualquier instancia de RA-GRS.

Al planear la recuperación ante desastres durante una interrupción regional, debe crear las redes virtuales en la región emparejada por adelantado. Habilite puntos de conexión de servicio para Azure Storage, con reglas de red que concedan acceso desde estas redes virtuales alternativas. A continuación, aplique estas reglas a las cuentas de almacenamiento con redundancia geográfica.

Habilitación del acceso a redes virtuales en otras regiones (versión preliminar)

Para habilitar el acceso desde una red virtual que se encuentra en otra región, registre la característica AllowGlobalTagsForStorage en la suscripción de la red virtual. Todas las subredes de la suscripción que tengan habilitada la característica AllowedGlobalTagsForStorage dejarán de usar una dirección IP pública para comunicarse con cuentas de almacenamiento. En su lugar, todo el tráfico de estas subredes a las cuentas de almacenamiento usará una dirección IP privada como dirección IP de origen. Como consecuencia, las cuentas de almacenamiento que usen reglas de red IP para permitir el tráfico de esas subredes dejarán de tener efecto.

Importante

Esta funcionalidad actualmente se encuentra en VERSIÓN PRELIMINAR.

Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Durante la versión preliminar, debe usar PowerShell o la CLI de Azure para habilitar esta característica.

Administración de reglas de red virtual

Puede administrar las reglas de red virtual para las cuentas de almacenamiento a través de Azure Portal, PowerShell o CLIv2.

Nota:

Si registró la característica AllowGlobalTagsForStorage y quiere habilitar el acceso a su cuenta de almacenamiento desde una red o subred virtual en otro inquilino de Azure AD, o en una región distinta de la región de la cuenta de almacenamiento o su región emparejada, debe usar PowerShell o la CLI de Azure. Azure Portal no muestra subredes en otros inquilinos de Azure AD ni en regiones distintas de la región de la cuenta de almacenamiento o su región emparejada, por lo que no se puede usar para configurar reglas de acceso para redes virtuales de otras regiones.

  1. Vaya a la cuenta de almacenamiento que quiere proteger.

  2. Realice la selección en el menú de configuración denominado Redes.

  3. Compruebe haber elegido permitir el acceso desde Redes seleccionadas.

  4. Para conceder acceso a una red virtual con una nueva regla de red, en Redes virtuales, seleccione Agregar red virtual existente, seleccione las opciones Redes virtuales y Subredes y, luego, seleccione Agregar. Para crear una nueva red virtual y concederle acceso, seleccione Agregar nueva red virtual. Proporcione la información necesaria para crear la nueva red virtual y, luego, seleccione Crear.

    Nota:

    Si un punto de conexión de servicio para Azure Storage no se ha configurado previamente para la red virtual y las subredes seleccionadas, se puede configurar como parte de esta operación.

    Actualmente, solo se muestran las redes virtuales que pertenecen al mismo inquilino de Azure Active Directory para su selección durante la creación de la regla. Para conceder acceso a una subred de una red virtual que pertenece a otro inquilino, use PowerShell, la CLI o API REST.

    Aunque haya registrado la característica AllowGlobalTagsForStorageOnly, las subredes de regiones distintas de la región de la cuenta de almacenamiento o su región emparejada no se muestran para la selección. Si quiere habilitar el acceso a su cuenta de almacenamiento desde una red o subred virtual de otra región, use las instrucciones de las pestañas de PowerShell o la CLI de Azure.

  5. Para quitar una regla de red virtual o subred, seleccione ... para abrir el menú contextual de la red virtual o la subred y seleccione Quitar.

  6. Seleccione Guardar para aplicar los cambios.

Concesión de acceso desde un intervalo IP de Internet

Puede usar las reglas de red IP para permitir el acceso desde intervalos específicos de direcciones IP de la red pública de Internet mediante la creación de reglas de red IP. Cada cuenta de almacenamiento admite hasta 200 reglas. Estas reglas conceden acceso a servicios específicos basados en Internet y redes locales, y bloquean el tráfico de Internet general.

Las restricciones siguientes se aplican a los intervalos de direcciones IP.

  • Las reglas de red IP solo se permiten para direcciones IP de la red pública de Internet.

    No se permiten intervalos de direcciones IP reservados para redes privadas (tal y como se define en RFC 1918) en las reglas de IP. Las redes privadas incluyen direcciones que comienzan por 10.**, 172.16. - *172.31. y *192.168..

  • Debe proporcionar los intervalos de dirección de Internet permitidos mediante la notación CIDR en formato 16.17.18.0/24 o como direcciones IP individuales en formato 16.17.18.19.

  • Los intervalos de dirección pequeños con tamaños de prefijos "/31" o "/32" no son compatibles. Estos intervalos se deberían configurar utilizando reglas de direcciones IP individuales.

  • Solo se admiten direcciones IPV4 para la configuración de reglas de firewall de almacenamiento.

Las reglas de red IP no se pueden usar en los siguientes casos:

  • Para restringir el acceso a los clientes de la misma región de Azure que la cuenta de almacenamiento.

    Las reglas de red IP no tienen ningún efecto en las solicitudes que proceden de la misma región de Azure que la cuenta de almacenamiento. Use reglas de red virtual para permitir solicitudes de la misma región.

  • Para restringir el acceso a los clientes de una región emparejada que se encuentran en una red virtual que tiene un punto de conexión de servicio.

  • Para restringir el acceso a los servicios de Azure implementados en la misma región que la cuenta de almacenamiento.

    Los servicios implementados en la misma región que la cuenta de almacenamiento usan direcciones IP privadas de Azure para la comunicación. Por lo tanto, no puede restringir el acceso a servicios específicos de Azure en función de su intervalo de direcciones IP salientes públicas.

Configuración del acceso desde redes locales

Para conceder acceso desde las redes locales a la cuenta de almacenamiento con una regla de red IP, debe identificar las direcciones IP orientadas a Internet que usa su red. Para obtener ayuda, póngase en contacto con el administrador de red.

Si usa ExpressRoute desde las instalaciones para pares públicos o el emparejamiento de Microsoft, tiene que identificar las direcciones IP de NAT que se usan. Para el emparejamiento público, cada circuito ExpressRoute usa de forma predeterminada dos direcciones IP de NAT que se aplican al tráfico del servicio de Azure cuando el tráfico entra en la red troncal de Microsoft Azure. Para el emparejamiento de Microsoft, el cliente o el proveedor de servicios proporciona las direcciones IP de NAT que se utilizan. Para permitir el acceso a los recursos de servicio, tiene que permitir estas direcciones IP públicas en la configuración del firewall de IP de recursos. Para encontrar las direcciones de IP de circuito de ExpressRoute de los pares públicos, abra una incidencia de soporte técnico con ExpressRoute a través de Azure Portal. Obtenga más información sobre NAT para ExpressRoute para emparejamiento público y de Microsoft.

Administración de reglas de red IP

Puede administrar las reglas de red IP para las cuentas de almacenamiento a través de Azure Portal, PowerShell o CLIv2.

  1. Vaya a la cuenta de almacenamiento que quiere proteger.

  2. Realice la selección en el menú de configuración denominado Redes.

  3. Compruebe haber elegido permitir el acceso desde Redes seleccionadas.

  4. Para conceder acceso al intervalo IP de Internet, escriba la dirección IP o el intervalo de direcciones (en formato CIDR) en Firewall>Intervalo de direcciones.

  5. Para quitar una regla de red IP, seleccione el icono de la papelera junto al intervalo de direcciones.

  6. Seleccione Guardar para aplicar los cambios.

Concesión de acceso a instancias de recursos de Azure

En algunos casos, una aplicación puede depender de recursos de Azure que no se pueden aislar a través de una regla de red virtual o de dirección IP. Sin embargo, todavía le gustaría proteger y restringir el acceso de la cuenta de almacenamiento solo a los recursos de Azure de la aplicación. Puede configurar cuentas de almacenamiento para permitir el acceso a instancias de recursos específicas de algunos servicios de Azure mediante la creación de una regla de instancia de recurso.

Los tipos de operaciones que puede realizar una instancia de recursos en los datos de la cuenta de almacenamiento se determinan mediante las asignaciones de roles de Azure de la instancia de recurso. Las instancias de recursos deben estar en el mismo inquilino que la cuenta de almacenamiento, pero pueden pertenecer a cualquier suscripción del inquilino.

Puede agregar o quitar reglas de red de recursos en Azure Portal.

  1. Inicie sesión en Azure Portal para empezar a trabajar.

  2. Busque la cuenta de almacenamiento y muestre la información general de la cuenta.

  3. Seleccione Redes para mostrar la página de configuración de redes.

  4. En Firewalls y redes virtuales, en Redes seleccionadas, seleccione permitir el acceso.

  5. Desplácese para encontrar Resource instances (Instancias de recursos) y, en la lista desplegable Tipo de recurso, elija el tipo de recurso de su instancia de recurso.

  6. En la lista desplegable Nombre de instancia, elija la instancia de recurso. También puede elegir incluir todas las instancias de recursos en el inquilino, la suscripción o el grupo de recursos activos.

  7. Seleccione Guardar para aplicar los cambios. La instancia de recurso aparece en la sección Instancias de recursos de la página de configuración de red.

Para quitar la instancia de recurso, seleccione el icono de eliminación () junto a la instancia de recurso.

Concesión de acceso a servicios de Azure de confianza

Algunos servicios de Azure funcionan desde redes que no se pueden incluir en las reglas de red. Puede conceder a un subconjunto de estos servicios de Azure de confianza el acceso a la cuenta de almacenamiento, a la vez que mantiene las reglas de red para otras aplicaciones. Estos servicios de confianza usarán una autenticación sólida para conectarse a su cuenta de almacenamiento de forma segura.

Puede conceder acceso a servicios de Azure de confianza mediante la creación de una excepción de regla de red. Para obtener instrucciones paso a paso, consulte la sección Administración de excepciones de este artículo.

Cuando se concede acceso a los servicios de Azure de confianza, se conceden los siguientes tipos de acceso:

  • Acceso de confianza para las operaciones seleccionadas en los recursos registrados en la suscripción.
  • Acceso de confianza a los recursos basándose en la identidad administrada asignada por el sistema.

Acceso de confianza para los recursos registrados en su suscripción

Los recursos de algunos servicios, cuando están registrados en su suscripción, pueden acceder a su cuenta de almacenamiento de la misma suscripción para ciertas operaciones, como la escritura de registros o la realización de copias de seguridad. En la tabla siguiente se describe cada servicio y las operaciones permitidas.

Servicio Nombre del proveedor de recursos Operaciones permitidas
Azure Backup Microsoft.RecoveryServices Ejecute copias de seguridad y restauraciones de discos no administrados en máquinas virtuales de IAAS. (no se necesita para discos administrados). Más información.
Azure Data Box Microsoft.DataBox Permite la importación de datos en Azure mediante Data Box. Más información.
Azure DevTest Labs Microsoft.DevTestLab Creación de imagen personalizada e instalación de artefactos. Más información.
Azure Event Grid Microsoft.EventGrid Habilite la publicación de eventos de Blob Storage y permita que Event Grid publique en las colas de almacenamiento. Obtenga información sobre los eventos de Blob Storage y la publicación en las colas.
Azure Event Hubs Microsoft.EventHub Archivo de datos con Event Hubs Capture. Más información.
Azure File Sync Microsoft.StorageSync Permite transformar el servidor de archivos local en una memoria caché para recursos compartidos de archivos de Azure. Permite la sincronización de varios sitios, la recuperación rápida ante desastres y la copia de seguridad en la nube. Más información
HDInsight de Azure Microsoft.HDInsight Aprovisione el contenido inicial del sistema de archivos predeterminado para un nuevo clúster de HDInsight. Más información.
Azure Import/Export Microsoft.ImportExport Habilita la importación de datos a Azure Storage o la exportación de datos desde Azure Storage mediante el servicio de importación y exportación de Azure Storage. Más información.
Azure Monitor Microsoft.Insights Permite escribir datos de supervisión en una cuenta de almacenamiento protegida, incluidos los registros de recursos, los registros de inicio de sesión y de auditoría de Azure Active Directory y los registros de Microsoft Intune. Más información.
Conexión a Azure Microsoft.Network Almacene y analice los registros de tráfico de red, incluidos los servicios de Network Watcher y Análisis de tráfico. Más información.
Azure Site Recovery Microsoft.SiteRecovery Habilite la replicación para la recuperación ante desastres de máquinas virtuales de IaaS de Azure al usar la caché habilitada para firewall, el origen o las cuentas de almacenamiento de destino. Más información.

Acceso de confianza basado en la identidad administrada asignada por el sistema

En la tabla siguiente se enumeran los servicios que pueden tener acceso a los datos de la cuenta de almacenamiento si las instancias de recursos de esos servicios reciben el permiso adecuado.

Si la cuenta no tiene habilitada la característica de espacio de nombres jerárquico, puede conceder permiso mediante la asignación explícita de un rol de Azure a la identidad administrada para cada instancia de recurso. En ese caso, el ámbito de acceso de la instancia corresponde al rol de Azure que se asigna a la identidad administrada.

Puede usar la misma técnica para una cuenta que tenga la característica de espacio de nombres jerárquico habilitado en ella. Sin embargo, no tiene que asignar un rol de Azure si agrega la identidad administrada asignada por el sistema a la lista de control de acceso (ACL) de cualquier directorio o blob incluido en la cuenta de almacenamiento. En ese caso, el ámbito de acceso de la instancia corresponde al directorio o archivo al que se ha concedido acceso a la identidad administrada asignada por el sistema. También puede combinar roles y listas de control de acceso de Azure. Para más información sobre cómo combinarlos para conceder acceso, consulte Modelo de control de acceso de Azure Data Lake Storage Gen2.

Sugerencia

La manera recomendada de conceder acceso a recursos específicos es usar reglas de instancia de recurso. Para conceder acceso a instancias de recursos específicas, consulte la sección Concesión de acceso a instancias de recursos de Azure de este artículo.

Servicio Nombre del proveedor de recursos Propósito
Azure API Management Microsoft.ApiManagement/service Habilita el acceso del servicio API Management a las cuentas de almacenamiento detrás del firewall mediante directivas. Más información.
Azure Cache for Redis Microsoft.Cache/Redis Permite el acceso a las cuentas de almacenamiento a través de Azure Cache for Redis. Más información
Azure Cognitive Search Microsoft.Search/searchServices Habilita los servicios de Cognitive Search para acceder a las cuentas de almacenamiento con fines de indexación, proceso y consulta.
Azure Cognitive Services Microsoft.CognitiveService/accounts Habilita Cognitive Services para acceder a las cuentas de almacenamiento. Más información.
Tareas de Azure Container Registry Microsoft.ContainerRegistry/registries ACR Tasks puede acceder a las cuentas de almacenamiento al compilar imágenes de contenedor.
Azure Data Factory Microsoft.DataFactory/factories Permite el acceso a las cuentas de almacenamiento a través del tiempo de ejecución de ADF.
Azure Data Share Microsoft.DataShare/accounts Permite el acceso a las cuentas de almacenamiento a través de Data Share.
Azure DevTest Labs Microsoft.DevTestLab/labs Permite el acceso a las cuentas de almacenamiento a través de DevTest Labs.
Azure Event Grid Microsoft.EventGrid/topics Permite el acceso a las cuentas de almacenamiento a través de Azure Event Grid.
Azure Healthcare API Microsoft.HealthcareApis/services Permite el acceso a las cuentas de almacenamiento a través de Azure Healthcare APIs.
Aplicaciones de Azure IoT Central Microsoft.IoTCentral/IoTApps Permite el acceso a las cuentas de almacenamiento a través de las aplicaciones de Azure IoT Central.
Azure IoT Hub Microsoft.Devices/IotHubs Permite que los datos de un centro de IoT se escriban en almacenamiento de blobs. Más información
Azure Logic Apps Microsoft.Logic/workflows Permite a las aplicaciones lógicas acceder a las cuentas de almacenamiento. Más información.
Servicio Azure Machine Learning Microsoft.MachineLearningServices Las áreas de trabajo autorizadas de Azure Machine Learning escriben los resultados del experimento, los modelos y los registros en Blob Storage y leen los datos. Más información.
Azure Media Services Microsoft.Media/mediaservices Permite el acceso a las cuentas de almacenamiento a través de Media Services.
Azure Migrate Microsoft.Migrate/migrateprojects Permite el acceso a las cuentas de almacenamiento a través de Azure Migrate.
Microsoft Purview Microsoft.Purview/accounts Permita que Microsoft Purview acceda a las cuentas de almacenamiento.
Azure Remote Rendering Microsoft.MixedReality/remoteRenderingAccounts Permite el acceso a las cuentas de almacenamiento a través de Remote Rendering.
Azure Site Recovery Microsoft.RecoveryServices/vaults Permite el acceso a las cuentas de almacenamiento a través de Site Recovery.
Azure SQL Database Microsoft.Sql Permite escribir datos de auditoría en cuentas de almacenamiento detrás del firewall.
Azure Synapse Analytics Microsoft.Sql Permite importar y exportar datos de bases de datos SQL específicas mediante la instrucción COPY o PolyBase (en un grupo dedicado) o la función openrowset y las tablas externas del grupo sin servidor. Más información.
Azure Stream Analytics Microsoft.StreamAnalytics Permite que los datos de un trabajo de streaming se escriban en Blob Storage. Más información.
Azure Synapse Analytics Microsoft.Synapse/workspaces Permite el acceso a los datos de Azure Storage desde Azure Synapse Analytics.

Concesión de acceso a Storage Analytics

En algunos casos, se requiere acceso para leer registros recursos y métricas desde fuera del límite de red. Al configurar el acceso de los servicios de confianza a la cuenta de almacenamiento, puede permitir el acceso de lectura a los archivos de registro, las tablas de métricas o ambos mediante la creación de una excepción de regla de red. Para obtener instrucciones paso a paso, consulte la sección Administración de excepciones más adelante. Para más información sobre cómo trabajar con Storage Analytics, consulte Uso de Azure Storage Analytics para recopilar datos de métricas y registros.

Administración de excepciones

Puede administrar las excepciones de reglas de red a través de Azure Portal, PowerShell o la CLI de Azure v2.

  1. Vaya a la cuenta de almacenamiento que quiere proteger.

  2. Realice la selección en el menú de configuración denominado Redes.

  3. Compruebe haber elegido permitir el acceso desde Redes seleccionadas.

  4. En Excepciones, seleccione las excepciones que quiere conceder.

  5. Seleccione Guardar para aplicar los cambios.

Pasos siguientes

Obtenga más información acerca de los puntos de conexión de servicio de red de Azure en Puntos de conexión de servicio.

Profundice en la seguridad de Azure Storage en la Guía de seguridad de Azure Storage.