Azure Storage-tűzfalak és virtuális hálózatok konfigurálása

Az Azure Storage rétegzett biztonsági modellel rendelkezik. Ez a modell lehetővé teszi az alkalmazások és a vállalati környezetek által igényelt tárfiókok hozzáférési szintjének védelmét és szabályozását a használt hálózatok vagy erőforrások típusa és részhalmaza alapján. Hálózati szabályok konfigurálásakor csak a megadott hálózatokon vagy a megadott Azure-erőforrásokon keresztül adatokat kérő alkalmazások férhetnek hozzá a tárfiókhoz. A tárfiókhoz való hozzáférést korlátozhatja a megadott IP-címekről, IP-címtartományokból, Azure-Virtual Network (VNet) alhálózataiból vagy egyes Azure-szolgáltatások erőforráspéldányaiból származó kérelmekre.

Storage fiókok nyilvános végpontja elérhető az interneten keresztül. Privát végpontokat is létrehozhat a tárfiókhoz, amelyek privát IP-címet rendelnek a virtuális hálózatról a tárfiókhoz, és privát kapcsolaton keresztül biztosítják a virtuális hálózat és a tárfiók közötti összes forgalmat. Az Azure Storage tűzfal hozzáférés-vezérlést biztosít a tárfiók nyilvános végpontjához. Privát végpontok használata esetén a tűzfallal is letilthatja a nyilvános végponton keresztüli összes hozzáférést. A tárolási tűzfal konfigurációja lehetővé teszi a megbízható Azure-platformszolgáltatások kiválasztását is a tárfiók biztonságos eléréséhez.

A tárfiókhoz a hálózati szabályok életbe lépésekor hozzáférő alkalmazásokhoz továbbra is megfelelő engedélyezés szükséges a kéréshez. Az engedélyezés a blobok és üzenetsorok Azure Active Directory (Azure AD) hitelesítő adataival, érvényes fiókhozzáférési kulccsal vagy SAS-jogkivonattal támogatott. Ha egy blobtároló névtelen nyilvános hozzáférésre van konfigurálva, a tárolóban lévő adatok olvasására irányuló kéréseket nem kell engedélyezni, de a tűzfalszabályok érvényben maradnak, és blokkolják a névtelen forgalmat.

Fontos

A tárfiók tűzfalszabályainak bekapcsolása alapértelmezés szerint blokkolja az adatok bejövő kéréseit, kivéve, ha a kérések egy Azure-Virtual Network (VNet) vagy engedélyezett nyilvános IP-címekről származnak. A letiltott kérések közé tartoznak a más Azure-szolgáltatásokból, a Azure Portal, a naplózási és metrikaszolgáltatásokból stb. származó kérések.

A virtuális hálózaton belül működő Azure-szolgáltatásokhoz úgy adhat hozzáférést, hogy engedélyezi a szolgáltatáspéldányt üzemeltető alhálózat forgalmát. Az alábbi kivételek mechanizmusával korlátozott számú forgatókönyvet is engedélyezhet. A tárfiók adatainak a Azure Portal keresztüli eléréséhez egy olyan gépen kell lennie, amely a beállított megbízható határvonalon belül található (ip-cím vagy virtuális hálózat).

Megjegyzés

Ez a cikk az Azure Az PowerShell-modult használja, amely az Azure-ral való interakcióhoz ajánlott PowerShell-modul. Az Az PowerShell-modul használatának megkezdéséhez lásd az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Forgatókönyvek

A tárfiók védelme érdekében először konfigurálnia kell egy szabályt, amely alapértelmezés szerint megtagadja a nyilvános végponton lévő összes hálózat forgalmához való hozzáférést (beleértve az internetes forgalmat is). Ezután olyan szabályokat kell konfigurálnia, amelyek hozzáférést biztosítanak az adott virtuális hálózatokról érkező forgalomhoz. A szabályokat úgy is konfigurálhatja, hogy hozzáférést biztosítson a kiválasztott nyilvános internetes IP-címtartományokból érkező forgalomhoz, lehetővé téve bizonyos internetes vagy helyszíni ügyfelek kapcsolatait. Ezzel a konfigurációval biztonságos hálózati határt hozhat létre az alkalmazások számára.

Olyan tűzfalszabályokat kombinálhat, amelyek adott virtuális hálózatokról és ugyanazon tárfiók nyilvános IP-címtartományaiból engedélyezik a hozzáférést. Storage tűzfalszabályok alkalmazhatók meglévő tárfiókokra, vagy új tárfiókok létrehozásakor.

Storage tűzfalszabályok a tárfiók nyilvános végpontjára vonatkoznak. A tárfiók privát végpontjai felé irányuló forgalom engedélyezéséhez nincs szükség tűzfal-hozzáférési szabályokra. A privát végpont létrehozásának jóváhagyásának folyamata implicit hozzáférést biztosít a privát végpontot üzemeltető alhálózatról érkező forgalomhoz.

A hálózati szabályok az Azure Storage összes hálózati protokollján érvényesítve vannak, beleértve a REST-et és az SMB-t is. Az adatok olyan eszközökkel való eléréséhez, mint a Azure Portal, a Storage Explorer és az AzCopy, explicit hálózati szabályokat kell konfigurálni.

A hálózati szabályok alkalmazása után az összes kérelemhez érvényesítve lesznek. Az adott IP-címhez hozzáférést biztosító SAS-jogkivonatok a jogkivonat-tulajdonos hozzáférésének korlátozására szolgálnak, de a konfigurált hálózati szabályokon túl nem biztosítanak új hozzáférést.

A hálózati szabályok nem befolyásolják a virtuális gépek lemezforgalmát (beleértve a csatlakoztatási és leválasztási műveleteket, valamint a lemez I/O-ját). A lapblobokhoz való REST-hozzáférést hálózati szabályok védik.

A klasszikus tárfiókok nem támogatják a tűzfalakat és a virtuális hálózatokat.

A tárfiókokban nem felügyelt lemezeket használhat a virtuális gépek biztonsági mentésére és visszaállítására alkalmazott hálózati szabályokkal, kivétel létrehozásával. Ezt a folyamatot a cikk Kivételek kezelése szakasza dokumentálja. A tűzfalkivételeket nem lehet alkalmazni a felügyelt lemezekre, mivel azokat az Azure már kezeli.

Az alapértelmezett hálózati hozzáférési szabály módosítása

Alapértelmezés szerint a tárfiókok bármely hálózatban lévő ügyféltől érkező kapcsolatokat elfogadnak. Korlátozhatja a kijelölt hálózatokhoz való hozzáférést , vagy megakadályozhatja az összes hálózat forgalmát, és csak privát végponton keresztül engedélyezheti a hozzáférést.

Figyelmeztetés

A beállítás módosítása hatással lehet arra, hogy az alkalmazás képes-e csatlakozni az Azure Storage. A beállítás módosítása előtt mindenképpen adjon hozzáférést az engedélyezett hálózatokhoz, vagy állítson be egy privát végponton keresztüli hozzáférést.

  1. Lépjen a megvédeni kívánt tárfiókra.

  2. Keresse meg a Hálózatkezelési beállításokat a Biztonság + hálózatkezelés területen.

  3. Válassza ki, hogy milyen típusú nyilvános hálózati hozzáférést szeretne engedélyezni.

    • Az összes hálózat forgalmának engedélyezéséhez válassza az Összes hálózat engedélyezett elemét.

    • Ha csak bizonyos virtuális hálózatokról szeretné engedélyezni a forgalmat, válassza a kijelölt virtuális hálózatok és IP-címek engedélyezett elemét.

    • Az összes hálózat forgalmának letiltásához válassza a Letiltva lehetőséget.

  4. A módosítások alkalmazásához kattintson a Mentés gombra.

Hozzáférés biztosítása virtuális hálózatról

A tárfiókokat úgy konfigurálhatja, hogy csak bizonyos alhálózatokról engedélyezze a hozzáférést. Az engedélyezett alhálózatok tartozhatnak ugyanannak az előfizetésnek egy virtuális hálózatához, vagy egy másik előfizetéshez tartozókhoz, beleértve egy másik Azure Active Directory bérlőhöz tartozó előfizetéseket is.

A virtuális hálózaton belül engedélyezheti a szolgáltatásvégpontot az Azure Storage számára. A szolgáltatásvégpont a virtuális hálózatról az Azure Storage szolgáltatáshoz vezető optimális útvonalon irányítja át a forgalmat. Az egyes kérésekkel az alhálózat és a virtuális hálózat identitását is továbbítja a rendszer. A rendszergazdák ezután konfigurálhatják a tárfiókra vonatkozó hálózati szabályokat, amelyek lehetővé teszik a kérések fogadását a virtuális hálózat adott alhálózataitól. Az ezen hálózati szabályokon keresztül hozzáférést kapó ügyfeleknek továbbra is meg kell felelniük a tárfiók engedélyezési követelményeinek az adatok eléréséhez.

Minden tárfiók legfeljebb 200 virtuális hálózati szabályt támogat, amelyek IP-hálózati szabályokkal kombinálhatók.

Fontos

Ha töröl egy hálózati szabályban szereplő alhálózatot, az törlődik a tárfiók hálózati szabályaiból. Ha ugyanazzal a névvel hoz létre új alhálózatot, az nem fog tudni hozzáférni a tárfiókhoz. A hozzáférés engedélyezéséhez explicit módon engedélyeznie kell az új alhálózatot a tárfiók hálózati szabályaiban.

Szükséges engedélyek

Ahhoz, hogy egy felhasználó virtuális hálózati szabályt alkalmazhasson egy tárfiókra, rendelkeznie kell a hozzáadni kívánt alhálózatokra vonatkozó megfelelő engedélyekkel. A szabályok alkalmazását egy Storage-fiók közreműködője vagy egy olyan felhasználó végezheti el, aki egyéni Azure-szerepkörrel engedélyt kapott az Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure-erőforrás-szolgáltatói műveletre.

Storage fiók és a hozzáférést kapott virtuális hálózatok különböző előfizetésekben lehetnek, beleértve azokat az előfizetéseket is, amelyek egy másik Azure AD bérlő részét képezik.

Megjegyzés

A más Azure Active Directory bérlőhöz tartozó virtuális hálózatok alhálózataihoz hozzáférést biztosító szabályok konfigurálása jelenleg csak a PowerShell, a parancssori felület és a REST API-k használatával támogatott. Ezek a szabályok nem konfigurálhatók a Azure Portal keresztül, bár a portálon megtekinthetők.

Elérhető virtuális hálózati régiók

Alapértelmezés szerint a szolgáltatásvégpontok ugyanabban az Azure-régióban működő virtuális hálózatok és szolgáltatáspéldányok között működnek. Ha szolgáltatásvégpontokat használ az Azure Storage, a szolgáltatásvégpontok a párosított régióban lévő virtuális hálózatok és szolgáltatáspéldányok között is működnek. Ha szolgáltatásvégponttal szeretne hozzáférést biztosítani más régiókban lévő virtuális hálózatokhoz, regisztrálnia kell a AllowGlobalTagsForStorage szolgáltatást a virtuális hálózat előfizetésében. Ez a képesség jelenleg nyilvános előzetes verzióban érhető el.

A szolgáltatásvégpontok lehetővé teszik a folytonosságot a regionális feladatátvétel során, és hozzáférést biztosítanak az írásvédett georedundáns tárolási (RA-GRS) példányokhoz. Azok a hálózati szabályok, amelyek hozzáférést biztosítanak egy virtuális hálózatról egy tárfiókhoz, szintén hozzáférést biztosítanak bármely RA-GRS-példányhoz.

Ha regionális kimaradás esetén vészhelyreállítást tervez, előzetesen létre kell hoznia a virtuális hálózatokat a párosított régióban. Engedélyezze a szolgáltatásvégpontokat az Azure Storage számára, és a hálózati szabályok hozzáférést biztosítanak ezekből az alternatív virtuális hálózatokból. Ezután alkalmazza ezeket a szabályokat a georedundáns tárfiókokra.

Hozzáférés engedélyezése más régiókban lévő virtuális hálózatokhoz (előzetes verzió)

Ha egy másik régióban található virtuális hálózatról szeretné engedélyezni a hozzáférést, regisztrálja a AllowGlobalTagsForStorage funkciót a virtuális hálózat előfizetésében. A tárolási szolgáltatásvégpontokkal rendelkező más régiókban lévő alhálózatok a továbbiakban nem használnak nyilvános IP-címet a tárfiókkal való kommunikációhoz. Minden forgalom magánhálózati IP-címről fog származni, és az ilyen alhálózatokról érkező forgalmat engedélyező IP-hálózati szabályok már nem lesznek hatással.

Fontos

Ez a képesség jelenleg előzetes verzióban érhető el.

A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Az előzetes verzióban a PowerShellt vagy az Azure CLI-t kell használnia a funkció engedélyezéséhez.

Virtuális hálózati szabályok kezelése

A tárfiókok virtuális hálózati szabályait a Azure Portal, a PowerShell vagy a CLIv2 használatával kezelheti.

Megjegyzés

Ha regisztrálta a AllowGlobalTagsForStorage szolgáltatást, és engedélyezni szeretné a tárfiókhoz való hozzáférést egy másik Azure AD bérlőben lévő virtuális hálózatról/alhálózatról, vagy a tárfiók vagy a párosított régió régiójától eltérő régióban, akkor a PowerShellt vagy az Azure CLI-t kell használnia. A Azure Portal nem jelenít meg alhálózatokat más Azure AD bérlőkben, illetve a tárfiók régióján vagy a párosított régión kívüli régiókban, ezért nem használható más régiókban lévő virtuális hálózatok hozzáférési szabályainak konfigurálására.

  1. Lépjen a megvédeni kívánt tárfiókra.

  2. Válassza a Beállítások menü hálózatkezelés nevű elemét.

  3. Ellenőrizze, hogy a kijelölt hálózatokról való hozzáférés engedélyezéséhez van-e bejelölve.

  4. Ha új hálózati szabmánnyal szeretne hozzáférést biztosítani egy virtuális hálózathoz, a Virtuális hálózatok területen válassza a Meglévő virtuális hálózat hozzáadása lehetőséget, válassza a Virtuális hálózatok és alhálózatok lehetőséget, majd válassza a Hozzáadás lehetőséget. Új virtuális hálózat létrehozásához és hozzáférésének biztosításához válassza az Új virtuális hálózat hozzáadása lehetőséget. Adja meg az új virtuális hálózat létrehozásához szükséges információkat, majd válassza a Létrehozás lehetőséget.

    Megjegyzés

    Ha az Azure Storage szolgáltatásvégpontja korábban nem lett konfigurálva a kiválasztott virtuális hálózathoz és alhálózatokhoz, a művelet részeként konfigurálhatja.

    Jelenleg csak az ugyanahhoz a Azure Active Directory bérlőhöz tartozó virtuális hálózatok jelennek meg kijelölésre a szabály létrehozásakor. Ha egy másik bérlőhöz tartozó virtuális hálózat alhálózatához szeretne hozzáférést biztosítani, használja a PowerShellt, a parancssori felületet vagy a REST API-kat.

    Még ha regisztrálta is a AllowGlobalTagsForStorageOnly funkciót, a tárfiók régiójától vagy a párosított régiótól eltérő régiókban lévő alhálózatok nem jelennek meg a kijelöléshez. Ha egy másik régióban lévő virtuális hálózatról/alhálózatról szeretné engedélyezni a tárfiókhoz való hozzáférést, használja a PowerShell vagy az Azure CLI lap utasításait.

  5. Virtuális hálózat vagy alhálózati szabály eltávolításához válassza a ... lehetőséget a virtuális hálózat vagy alhálózat helyi menüjének megnyitásához, majd válassza az Eltávolítás lehetőséget.

  6. kattintson a Mentés gombra a módosítások alkalmazásához.

Hozzáférés biztosítása internetes IP-címtartományról

IP-hálózati szabályok használatával ip-hálózati szabályok létrehozásával engedélyezheti a hozzáférést adott nyilvános internetes IP-címtartományokból. Minden tárfiók legfeljebb 200 szabályt támogat. Ezek a szabályok bizonyos internetes szolgáltatásokhoz és helyszíni hálózatokhoz biztosítanak hozzáférést, és blokkolják az általános internetes forgalmat.

Az IP-címtartományokra az alábbi korlátozások vonatkoznak.

  • Az IP-hálózati szabályok csak nyilvános internetes IP-címekre engedélyezettek.

    A privát hálózatok számára fenntartott IP-címtartományok (az RFC 1918-ban meghatározottak szerint) nem engedélyezettek az IP-szabályokban. A magánhálózatok a 10.**, 172.16. – *172.31 címmel kezdődő címeket tartalmazzák. , és *192.168..

  • A 16.17.18.0/24 formátumú CIDR-jelölést használó engedélyezett internetes címtartományokat vagy egyéni IP-címeket kell megadnia, például a 16.17.18.19-et.

  • A "/31" vagy "/32" előtagméretet használó kis címtartományok nem támogatottak. Ezeket a tartományokat egyéni IP-címszabályok használatával kell konfigurálni.

  • A tárolási tűzfalszabályok konfigurálása csak az IPV4-címeket támogatja.

Az IP-hálózati szabályok nem használhatók a következő esetekben:

  • A tárfiókhoz tartozó Azure-régióban lévő ügyfelek hozzáférésének korlátozása.

    Az IP-hálózati szabályok nincsenek hatással a tárfiókkal azonos Azure-régióból érkező kérelmekre. Virtuális hálózati szabályokkal engedélyezheti az azonos régióra vonatkozó kéréseket.

  • A szolgáltatásvégponttal rendelkező virtuális hálózaton található párosított régióban lévő ügyfelek hozzáférésének korlátozása.

  • A tárfiókhoz tartozó régióban üzembe helyezett Azure-szolgáltatásokhoz való hozzáférés korlátozása.

    A tárfiókhoz tartozó régióban üzembe helyezett szolgáltatások privát Azure IP-címeket használnak a kommunikációhoz. Így nem korlátozhatja az adott Azure-szolgáltatásokhoz való hozzáférést a nyilvános kimenő IP-címtartományuk alapján.

Hozzáférés konfigurálása helyszíni hálózatokról

Ha ip-hálózati szabvánnyal szeretne hozzáférést biztosítani a helyszíni hálózatokról a tárfiókhoz, azonosítania kell a hálózat által használt internetkapcsolattal rendelkező IP-címeket. Segítségért forduljon a hálózati rendszergazdához.

Ha a helyszíni ExpressRoute-ot használja nyilvános társviszony-létesítéshez vagy Microsoft-társviszony-létesítéshez, azonosítania kell a használt NAT IP-címeket. Nyilvános társviszony-létesítés esetén alapértelmezés szerint minden ExpressRoute-kapcsolatcsoport két NAT IP-címet használ, amelyeket akkor alkalmaz az Azure-szolgáltatások forgalmára, amikor a forgalom belép a Microsoft Azure gerinchálózatába. Microsoft-társviszony-létesítés esetén a használt NAT IP-címeket az ügyfél adja meg, vagy a szolgáltató adja meg. A szolgáltatási erőforrások hozzáférésének engedélyezéséhez engedélyeznie kell ezeket a nyilvános IP-címeket az erőforrás IP-tűzfalának beállításai között. A nyilvános társviszony-létesítési ExpressRoute-kapcsolatcsoport IP-címeinek megkereséséhez hozzon létre egy támogatási jegyet az ExpressRoute-tal az Azure Portalon. További információk az ExpressRoute NAT nyilvános és Microsoft-társviszony-létesítéséről.

IP-hálózati szabályok kezelése

A tárfiókok IP-hálózati szabályait a Azure Portal, a PowerShell vagy a CLIv2 használatával kezelheti.

  1. Lépjen a megvédeni kívánt tárfiókra.

  2. Válassza ki a Beállítások menü hálózatkezelés nevű elemét.

  3. Ellenőrizze, hogy a kijelölt hálózatokról való hozzáférés engedélyezéséhez be van-e jelölve.

  4. Internetes IP-címtartományhoz való hozzáférés biztosításához adja meg az IP-címet vagy a címtartományt (CIDR formátumban) a FirewallAddress Range (Tűzfalcímtartomány>) területen.

  5. IP-hálózati szabály eltávolításához válassza a címtartomány melletti kuka ikont.

  6. A módosítások alkalmazásához kattintson a Mentés gombra.

Hozzáférés biztosítása Azure-erőforráspéldányokból (előzetes verzió)

Bizonyos esetekben az alkalmazások olyan Azure-erőforrásoktól függhetnek, amelyek nem különíthetők el virtuális hálózaton vagy IP-címszabályon keresztül. Azonban továbbra is szeretné biztonságossá tenni és korlátozni a tárfiókhoz való hozzáférést csak az alkalmazás Azure-erőforrásaira. A tárfiókokat úgy konfigurálhatja, hogy bizonyos Azure-szolgáltatások adott erőforráspéldányaihoz engedélyezze a hozzáférést egy erőforráspéldány-szabály létrehozásával.

Az erőforráspéldány által a tárfiók adatain végrehajtható műveletek típusait az erőforráspéldány Azure-beli szerepkör-hozzárendelései határozzák meg. Az erőforráspéldányoknak ugyanabból a bérlőből kell származniuk, mint a tárfiókjuknak, de a bérlő bármely előfizetéséhez tartozhatnak.

Megjegyzés

Ez a funkció nyilvános előzetes verzióban érhető el, és minden nyilvános felhőrégióban elérhető.

A Azure Portal erőforrás-hálózati szabályokat adhat hozzá vagy távolíthat el.

  1. Első lépésekhez jelentkezzen be a Azure Portal.

  2. Keresse meg a tárfiókot, és jelenítse meg a fiók áttekintését.

  3. Válassza a Hálózat lehetőséget a hálózatkezelés konfigurációs lapjának megjelenítéséhez.

  4. A Tűzfalak és virtuális hálózatok területen a kijelölt hálózatoknál válassza a hozzáférés engedélyezését.

  5. Görgessen le az erőforráspéldányok megkereséséhez, és az Erőforrástípus legördülő listában válassza ki az erőforráspéldány erőforrástípusát.

  6. A Példánynév legördülő listában válassza ki az erőforráspéldányt. Dönthet úgy is, hogy az összes erőforráspéldányt belefoglalja az aktív bérlőbe, előfizetésbe vagy erőforráscsoportba.

  7. A módosítások alkalmazásához kattintson a Mentés gombra. Az erőforráspéldány megjelenik a hálózati beállítások lap Erőforráspéldányok szakaszában.

Az erőforráspéldány eltávolításához válassza a törlés ikont ( ) az erőforráspéldány mellett.

Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz

Egyes Azure-szolgáltatások olyan hálózatokból működnek, amelyek nem vehetők fel a hálózati szabályokba. Az ilyen megbízható Azure-szolgáltatások egy részhalmazának hozzáférést adhat a tárfiókhoz, miközben más alkalmazásokra vonatkozó hálózati szabályokat is fenntarthat. Ezek a megbízható szolgáltatások ezután erős hitelesítést használnak a tárfiókhoz való biztonságos csatlakozáshoz.

A megbízható Azure-szolgáltatásokhoz hálózatiszabály-kivétel létrehozásával adhat hozzáférést. Részletes útmutatást a jelen cikk Kivételek kezelése című szakaszában talál.

Amikor hozzáférést ad a megbízható Azure-szolgáltatásokhoz, a következő típusú hozzáférést adja meg:

  • Megbízható hozzáférés bizonyos műveletekhez az előfizetésben regisztrált erőforrásokhoz.
  • Felügyelt identitáson alapuló megbízható hozzáférés az erőforrásokhoz.

Megbízható hozzáférés az előfizetésben regisztrált erőforrásokhoz

Bizonyos szolgáltatások erőforrásai, ha regisztrálva vannak az előfizetésben, hozzáférhetnek az ugyanabban az előfizetésben lévő tárfiókhoz bizonyos műveletekhez, például naplók írásához vagy biztonsági mentéshez. Az alábbi táblázat ismerteti az egyes szolgáltatásokat és az engedélyezett műveleteket.

Szolgáltatás Erőforrás-szolgáltató neve Engedélyezett műveletek
Azure Backup Microsoft.RecoveryServices Nem felügyelt lemezek biztonsági mentésének és visszaállításának futtatása IAAS virtuális gépeken. (felügyelt lemezekhez nem szükséges). További információ.
Azure Data Box Microsoft.DataBox Adatimportálás engedélyezése az Azure-ba a Data Box használatával. További információ.
Azure DevTest Labs Microsoft.DevTestLab Egyéni rendszerképek létrehozása és összetevők telepítése. További információ.
Azure Event Grid Microsoft.EventGrid Engedélyezze a Blob Storage események közzétételét, és engedélyezze az Event Grid számára a közzétételt a tárolási várólistákon. Megismerheti a Blob Storage-eseményeket és az üzenetsorokban való közzétételt.
Azure Event Hubs Microsoft.EventHub Adatok archiválása az Event Hubs Capture használatával. További információk.
Azure File Sync Microsoft.StorageSync Lehetővé teszi, hogy a helyszíni fájlkiszolgálót azure-fájlmegosztások gyorsítótárává alakítsa. Lehetővé teszi a többhelyes szinkronizálást, a gyors vészhelyreállítást és a felhőalapú biztonsági mentést. További információ
Azure HDInsight Microsoft.HDInsight Az alapértelmezett fájlrendszer kezdeti tartalmának kiépítése egy új HDInsight-fürthöz. További információ.
Azure Import Export Microsoft.ImportExport Lehetővé teszi az adatok Importálását az Azure-ba Storage vagy adatexportálást az Azure Storage-ból az Azure Storage Import/Export szolgáltatással. További információ.
Azure Monitor Microsoft.Insights Lehetővé teszi a figyelési adatok biztonságos tárfiókba való írását, beleértve az erőforrásnaplókat, Azure Active Directory bejelentkezési és auditnaplókat, valamint Microsoft Intune naplókat. További információ.
Azure-hálózatkezelés Microsoft.Network Tárolja és elemezze a hálózati forgalmi naplókat, többek között a Network Watcher és a Traffic Analytics-szolgáltatásokon keresztül. További információ.
Azure Site Recovery Microsoft.SiteRecovery Engedélyezze a replikációt az Azure IaaS virtuális gépek vészhelyreállításához tűzfal-kompatibilis gyorsítótár, forrás vagy cél tárfiókok használatakor. További információ.

Felügyelt identitáson alapuló megbízható hozzáférés

Az alábbi táblázat felsorolja azokat a szolgáltatásokat, amelyek hozzáféréssel rendelkeznek a tárfiók adataihoz, ha az adott szolgáltatások erőforráspéldányai rendelkeznek a megfelelő engedéllyel.

Ha a fiókjában nincs engedélyezve a hierarchikus névtér funkció, engedélyt adhat, ha explicit módon hozzárendel egy Azure-szerepkört a felügyelt identitáshoz az egyes erőforráspéldányokhoz. Ebben az esetben a példány hozzáférési hatóköre a felügyelt identitáshoz rendelt Azure-szerepkörnek felel meg.

Ugyanezt a technikát használhatja olyan fiókokhoz is, amelyeken engedélyezve van a hierarchikus névtér funkció. Azonban nem kell Azure-szerepkört hozzárendelnie, ha hozzáadja a felügyelt identitást a tárfiókban található címtárak vagy blobok hozzáférés-vezérlési listájához . Ebben az esetben a példány hozzáférési hatóköre annak a könyvtárnak vagy fájlnak felel meg, amelyhez a felügyelt identitás hozzáférést kapott. Az Azure-szerepköröket és az ACL-eket kombinálhatja is. Ha többet szeretne megtudni arról, hogyan kombinálhatja őket a hozzáférés biztosításához, olvassa el a hozzáférés-vezérlési modellt Azure Data Lake Storage Gen2.

Tipp

Adott erőforrásokhoz való hozzáférés biztosításának ajánlott módja az erőforráspéldány-szabályok használata. Ha adott erőforráspéldányokhoz szeretne hozzáférést adni, tekintse meg a cikk Azure-erőforráspéldányokból (előzetes verzió) történő hozzáférésének biztosítását ismertető szakaszt.

Szolgáltatás Erőforrás-szolgáltató neve Cél
Azure API Management Microsoft.ApiManagement/service Engedélyezi az Api Management szolgáltatás hozzáférését a tűzfal mögötti tárfiókokhoz szabályzatok használatával. További információ.
Azure Cache for Redis Microsoft.Cache/Redis Lehetővé teszi a tárfiókokhoz való hozzáférést Azure Cache for Redis keresztül. További információ
Azure Cognitive Search Microsoft.Search/searchServices Lehetővé teszi, hogy a Cognitive Search-szolgáltatások hozzáférjenek a tárfiókokhoz indexelés, feldolgozás és lekérdezés céljából.
Azure Cognitive Services Microsoft.CognitiveService/accounts Engedélyezi a Cognitive Services számára a tárfiókok elérését. További információ.
Azure Container Registry Tasks Microsoft.ContainerRegistry/beállításjegyzékek Az ACR Tasks tárolólemezképek létrehozásakor hozzáférhet a tárfiókokhoz.
Azure Data Factory Microsoft.DataFactory/factorys Engedélyezi a tárfiókokhoz való hozzáférést az ADF-futtatókörnyezeten keresztül.
Azure Data Share Microsoft.DataShare/accounts Lehetővé teszi a tárfiókokhoz való hozzáférést Data Share keresztül.
Azure DevTest Labs Microsoft.DevTestLab/labs Engedélyezi a tárfiókokhoz való hozzáférést a DevTest Labs használatával.
Azure Event Grid Microsoft.EventGrid/topics Lehetővé teszi a tárfiókokhoz való hozzáférést a Azure Event Grid keresztül.
Azure Egészségügyi célú API-k Microsoft.HealthcareApis/services Lehetővé teszi a tárfiókokhoz való hozzáférést az Azure Healthcare API-kon keresztül.
Azure IoT Central-alkalmazások Microsoft.IoTCentral/IoTApps Lehetővé teszi a tárfiókokhoz való hozzáférést az Azure IoT Central-alkalmazásokon keresztül.
Azure IoT Hub Microsoft.Devices/IotHubs Lehetővé teszi az IoT Hubról származó adatok Blob Storage-ba való írását. További információ
Azure Logic Apps Microsoft.Logic/workflows Lehetővé teszi, hogy a logikai alkalmazások hozzáférjenek a tárfiókokhoz. További információ.
Azure Machine Learning szolgáltatás Microsoft.MachineLearningServices Az engedélyezett Azure Machine Learning-munkaterületek kísérleti kimeneteket, modelleket és naplókat írnak a Blob Storage-ba, és beolvasják az adatokat. További információ.
Azure Media Services Microsoft.Media/mediaservices Lehetővé teszi a tárfiókokhoz való hozzáférést Media Services keresztül.
Azure Migrate Microsoft.Migrate/migrateprojects Engedélyezi a tárfiókokhoz való hozzáférést az Azure Migrate-ben.
Microsoft Purview Microsoft.Purview/accounts Engedélyezi a Microsoft Purview számára a tárfiókok elérését.
Azure Remote Rendering Microsoft.MixedReality/remoteRenderingAccounts Lehetővé teszi a tárfiókokhoz való hozzáférést Remote Rendering keresztül.
Azure Site Recovery Microsoft.RecoveryServices/vaults Lehetővé teszi a tárfiókokhoz való hozzáférést Site Recovery keresztül.
Azure SQL Database Microsoft.Sql Lehetővé teszi a naplózási adatok tűzfal mögötti tárfiókokba való írását .
Azure Synapse Analytics Microsoft.Sql Lehetővé teszi az adatok importálását és exportálását adott SQL adatbázisokból a COPY utasítás vagy a PolyBase (dedikált készletben) vagy a openrowset kiszolgáló nélküli készletben lévő függvény és külső táblák használatával. További információ.
Azure Stream Analytics Microsoft.StreamAnalytics Lehetővé teszi a streamelési feladatokból származó adatok Blob Storage-ba való írását. További információ.
Azure Synapse Analytics Microsoft.Synapse/workspaces Lehetővé teszi az Adatokhoz való hozzáférést az Azure Storage Azure Synapse Analyticsből.

Hozzáférés biztosítása a storage analyticshez

Bizonyos esetekben az erőforrásnaplók és a metrikák olvasásához a hálózat határain kívülről kell hozzáférni. A megbízható szolgáltatások tárfiókhoz való hozzáférésének konfigurálásakor engedélyezheti az olvasási hozzáférést a naplófájlokhoz, a metrikák tábláihoz vagy mindkettőhöz egy hálózatiszabály-kivétel létrehozásával. Részletes útmutatásért tekintse meg az alábbi Kivételek kezelése című szakaszt. A storage-elemzésekkel kapcsolatos további információkért lásd: Naplók és metrikák adatainak gyűjtése az Azure Storage Analytics használatával.

Kivételek kezelése

A hálózati szabálykivételeket a Azure Portal, a PowerShell vagy az Azure CLI v2 használatával kezelheti.

  1. Lépjen a megvédeni kívánt tárfiókra.

  2. Válassza ki a Beállítások menü hálózatkezelés nevű elemét.

  3. Ellenőrizze, hogy a kijelölt hálózatokról való hozzáférés engedélyezéséhez be van-e jelölve.

  4. A Kivételek területen válassza ki azokat a kivételeket, amelyeket meg szeretne adni.

  5. A módosítások alkalmazásához kattintson a Mentés gombra.

Következő lépések

További információ az Azure hálózati szolgáltatásvégpontokról a szolgáltatásvégpontokban.

Ismerkedés az Azure Storage azure-beli biztonsági Storage biztonsági útmutatóval.