Mengonfigurasi firewall dan jaringan virtual Azure Storage

Penyimpanan Azure menyediakan model keamanan berlapis. Model ini memungkinkan Anda untuk mengamankan dan mengontrol tingkat akses ke akun penyimpanan yang diminta oleh aplikasi dan lingkungan perusahaan Anda, berdasarkan jenis dan subset jaringan atau sumber daya yang digunakan. Saat aturan jaringan dikonfigurasi, hanya aplikasi yang meminta data melalui set jaringan yang ditentukan atau melalui set sumber daya Azure yang ditentukan yang dapat mengakses akun penyimpanan. Anda dapat membatasi akses ke akun penyimpanan Anda untuk permintaan yang berasal dari alamat IP yang ditentukan, rentang IP, subnet di Azure Virtual Network (VNet), atau instans sumber daya dari beberapa layanan Azure.

Akun penyimpanan memiliki titik akhir publik yang dapat diakses melalui internet. Anda juga dapat membuat Titik Akhir Privat untuk akun penyimpanan yang menetapkan alamat IP privat dari VNet Anda ke akun penyimpanan dan mengamankan semua lalu lintas antara VNet Anda dan akun penyimpanan melalui tautan privat. Firewall penyimpanan Azure memberikan kontrol akses untuk titik akhir publik akun penyimpanan Anda. Anda juga dapat menggunakan firewall untuk memblokir semua akses melalui titik akhir publik saat menggunakan titik akhir privat. Konfigurasi firewall penyimpanan Anda juga memungkinkan layanan platform Azure tepercaya tertentu untuk mengakses akun penyimpanan dengan aman.

Aplikasi yang mengakses akun penyimpanan saat aturan jaringan diberlakukan masih memerlukan otorisasi yang tepat untuk permintaan tersebut. Otorisasi didukung dengan informasi masuk Azure Active Directory (Microsoft Azure AD) untuk blob dan antrean dengan kunci akses akun yang valid atau dengan token SAS. Ketika kontainer blob dikonfigurasikan untuk akses publik anonim, permintaan untuk membaca data dalam kontainer tersebut tidak perlu diizinkan, tetapi aturan firewall tetap berlaku dan akan memblokir lalu lintas anonim.

Penting

Mengaktifkan aturan firewall untuk akun penyimpanan Anda memblokir permintaan masuk untuk data secara default, kecuali permintaan berasal dari layanan yang beroperasi di dalam Azure Virtual Network (VNet) atau dari alamat IP publik yang diizinkan. Permintaan yang diblokir termasuk yang berasal dari layanan Azure lainnya, dari portal Microsoft Azure, dari layanan pengelogan dan metrik, dan sebagainya.

Anda dapat memberikan akses ke layanan Azure yang beroperasi dari dalam VNet dengan mengizinkan lalu lintas dari subnet yang menghosting instans layanan. Anda juga dapat mengaktifkan sejumlah skenario melalui mekanisme pengecualian yang dijelaskan di bawah ini. Untuk mengakses data dari akun penyimpanan melalui portal Microsoft Azure, Anda harus berada di mesin dalam batas tepercaya (baik IP atau VNet) yang Anda siapkan.

Catatan

Artikel ini menggunakan modul Azure Az PowerShell, yang merupakan modul PowerShell yang direkomendasikan untuk berinteraksi dengan Azure. Untuk mulai menggunakan modul Az PowerShell, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Skenario

Untuk mengamankan akun penyimpanan, Anda harus terlebih dahulu mengonfigurasi aturan untuk menolak akses ke lalu lintas dari semua jaringan (termasuk lalu lintas internet) di titik akhir publik, secara default. Kemudian, Anda harus mengonfigurasi aturan yang memberikan akses ke lalu lintas dari VNet tertentu. Anda juga dapat mengonfigurasi aturan untuk memberikan akses ke lalu lintas dari rentang alamat IP internet publik yang dipilih, memungkinkan koneksi dari internet tertentu atau klien lokal. Konfigurasi ini memungkinkan Anda untuk membangun batas jaringan yang aman untuk aplikasi Anda.

Anda dapat menggabungkan aturan firewall yang mengizinkan akses dari jaringan virtual tertentu dan dari rentang alamat IP publik pada akun penyimpanan yang sama. Aturan firewall penyimpanan dapat diterapkan ke akun penyimpanan yang ada atau saat membuat akun penyimpanan baru.

Aturan firewall penyimpanan berlaku untuk titik akhir publik akun penyimpanan. Anda tidak memerlukan aturan akses firewall apa pun untuk mengizinkan lalu lintas untuk titik akhir privat akun penyimpanan. Proses menyetujui pembuatan titik akhir privat memberikan akses implisit ke lalu lintas dari subnet yang menghosting titik akhir privat.

Aturan jaringan diberlakukan di semua protokol jaringan untuk penyimpanan Azure, termasuk REST dan SMB. Aturan jaringan eksplisit harus dikonfigurasi untuk mengakses data menggunakan alat seperti portal Microsoft Azure, Storage Explorer, dan AzCopy.

Setelah aturan jaringan diterapkan, aturan tersebut diberlakukan untuk semua permintaan. Token SAS yang memberikan akses ke alamat IP tertentu berfungsi untuk membatasi akses pemegang token, tetapi tidak memberikan akses baru di luar aturan jaringan yang dikonfigurasi.

Lalu lintas diska mesin virtual (termasuk operasi pemasangan dan pelepasan, dan IO diska) tidak terpengaruh oleh aturan jaringan. Akses REST ke blob halaman dilindungi oleh aturan jaringan.

Akun penyimpanan klasik tidak mendukung firewall dan jaringan virtual.

Anda dapat menggunakan diska yang tidak dikelola di akun penyimpanan dengan aturan jaringan yang diterapkan untuk mencadangkan dan memulihkan VM dengan membuat pengecualian. Proses ini didokumentasikan di bagian Mengelola Pengecualian di artikel ini. Pengecualian firewall tidak berlaku dengan diska yang dikelola karena sudah dikelola oleh Azure.

Mengubah aturan akses jaringan default

Secara default, akun penyimpanan menerima koneksi dari klien di jaringan mana pun. Anda dapat membatasi akses ke jaringan yang dipilih atau mencegah lalu lintas dari semua jaringan dan mengizinkan akses hanya melalui titik akhir privat.

Peringatan

Mengubah pengaturan ini dapat memengaruhi kemampuan aplikasi Anda untuk tersambung ke Azure Storage. Pastikan untuk memberikan akses ke jaringan mana pun yang diizinkan atau menyiapkan akses melalui titik akhir privat sebelum Anda mengubah pengaturan ini.

Portal

1. Buka akun penyimpanan yang ingin Anda amankan.

2. Temukan pengaturan Jaringan di bawah Keamanan + jaringan.

3. Pilih jenis akses jaringan publik yang ingin Anda izinkan.

   • Untuk mengizinkan lalu lintas dari semua jaringan, pilih Diaktifkan dari semua jaringan.

   • Untuk mengizinkan lalu lintas hanya dari jaringan virtual tertentu, pilih Diaktifkan dari jaringan virtual dan alamat IP yang dipilih.

   • Untuk memblokir lalu lintas dari semua jaringan, pilih Dinonaktifkan.

4. Pilih Simpan untuk menerapkan perubahan Anda.

PowerShell

1. Instal Azure PowerShell dan masuk.

2. Pilih jenis akses jaringan publik yang ingin Anda izinkan.

   • Untuk mengizinkan lalu lintas dari semua jaringan, gunakan perintah Update-AzStorageAccountNetworkRuleSet, dan atur parameter -DefaultAction ke Allow.

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
     

   • Untuk mengizinkan lalu lintas hanya dari jaringan virtual tertentu, gunakan perintah Update-AzStorageAccountNetworkRuleSet dan atur parameter -DefaultAction ke Deny.

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
     

   • Untuk memblokir lalu lintas dari semua jaringan, gunakan perintah Set-AzStorageAccount dan atur parameter -PublicNetworkAccess ke Disabled. Lalu lintas hanya akan diizinkan melalui titik akhir privat. Anda harus membuat titik akhir privat tersebut.

     Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
     

Azure CLI

1. Instal Azure CLI dan masuk.

2. Pilih jenis akses jaringan publik yang ingin Anda izinkan.

   • Untuk mengizinkan lalu lintas dari semua jaringan, gunakan perintah az storage account update, dan atur parameter --default-action ke Allow.

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
     

   • Untuk mengizinkan lalu lintas hanya dari jaringan virtual tertentu, gunakan perintah az storage account update dan atur parameter --default-action ke Deny.

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
     

   • Untuk memblokir lalu lintas dari semua jaringan, gunakan perintah az storage account update dan atur parameter --public-network-access ke Disabled. Lalu lintas hanya akan diizinkan melalui titik akhir privat. Anda harus membuat titik akhir privat tersebut.

     az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
     

Memberikan akses dari jaringan virtual

Anda dapat mengonfigurasi akun penyimpanan untuk mengizinkan akses hanya dari subnet tertentu. Subnet yang diizinkan mungkin milik VNet dalam langganan yang sama atau yang berada dalam langganan berbeda, termasuk langganan milik penyewa Azure Active Directory yang berbeda.

Anda dapat mengaktifkan Titik akhir layanan untuk Azure Storage dalam VNet. Titik akhir layanan merutekan lalu lintas dari VNet melalui jalur optimal ke layanan Azure Storage. Identitas subnet dan jaringan virtual juga ditransmisikan dengan setiap permintaan. Admin kemudian dapat mengonfigurasi aturan jaringan untuk akun penyimpanan yang mengizinkan permintaan diterima dari subnet tertentu di VNet. Klien yang diberikan akses melalui aturan jaringan ini harus terus memenuhi persyaratan otorisasi akun penyimpanan untuk mengakses data.

Setiap akun penyimpanan mendukung hingga 200 aturan jaringan virtual yang dapat digabungkan dengan aturan jaringan IP.

Penting

Jika Anda menghapus subnet yang telah dicakupkan dalam aturan jaringan, subnet akan dihapus dari aturan jaringan untuk akun penyimpanan. Jika Anda membuat subnet baru dengan nama yang sama, subnet ini tidak akan memiliki akses ke akun penyimpanan. Untuk mengizinkan akses, Anda harus secara eksplisit mengotorisasi subnet baru ini di aturan jaringan untuk akun penyimpanan.

Izin yang diperlukan

Untuk menerapkan aturan jaringan virtual ke akun penyimpanan, pengguna harus memiliki izin yang sesuai untuk subnet yang ditambahkan. Menerapkan aturan dapat dilakukan oleh Kontributor Akun Penyimpanan atau pengguna yang telah diberi izin ke operasi penyedia sumber daya AzureMicrosoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action melalui peran Azure kustom.

Akun penyimpanan dan jaringan virtual yang diberikan akses mungkin berada di langganan yang berbeda, termasuk langganan yang merupakan bagian dari penyewa Microsoft Azure AD yang berbeda.

Catatan

Konfigurasi aturan yang memberikan akses ke subnet di jaringan virtual yang merupakan bagian dari penyewa Azure Active Directory yang berbeda saat ini hanya didukung melalui PowerShell, CLI, dan REST API. Aturan tersebut tidak dapat dikonfigurasi melalui portal Azure, meskipun dapat ditampilkan di portal.

Wilayah jaringan virtual yang tersedia

Secara default, titik akhir layanan berfungsi antara jaringan virtual dan instans layanan di wilayah Azure yang sama. Ketika menggunakan titik akhir layanan dengan Azure Storage, titik akhir layanan juga berfungsi antara jaringan virtual dan instans layanan di wilayah yang dipasangkan. Jika ingin menggunakan titik akhir layanan untuk memberikan akses ke jaringan virtual di wilayah lain, Anda harus mendaftarkan fitur AllowGlobalTagsForStorage tersebut di langganan jaringan virtual. Kemampuan ini saat ini berada dalam pratinjau umum.

Titik akhir layanan mengizinkan kontinuitas selama kegagalan regional dan akses ke instans penyimpanan geo-redundan baca-saja (RA-GRS). Aturan jaringan yang memberikan akses dari jaringan virtual ke akun penyimpanan juga memberikan akses ke instans RA-GRS mana pun.

Saat merencanakan pemulihan bencana selama pemadaman regional, Anda harus membuat VNet di wilayah yang dipasangkan terlebih dahulu. Aktifkan titik akhir layanan untuk Azure Storage dengan aturan jaringan yang memberikan akses dari jaringan virtual alternatif ini. Kemudian, terapkan aturan ini ke akun penyimpanan geo-redundan Anda.

Mengaktifkan akses ke jaringan virtual di wilayah lain (pratinjau)

Untuk mengaktifkan akses dari jaringan virtual yang berada di wilayah lain, daftarkan fitur AllowGlobalTagsForStorage tersebut di langganan jaringan virtual. Semua subnet dalam langganan yang mengaktifkan fitur AllowedGlobalTagsForStorage tidak akan lagi menggunakan alamat IP publik untuk berkomunikasi dengan akun penyimpanan mana pun. Sebagai gantinya, semua lalu lintas dari subnet ini ke akun penyimpanan akan menggunakan alamat IP privat sebagai IP sumber. Akibatnya, akun penyimpanan mana pun yang menggunakan aturan jaringan IP untuk mengizinkan lalu lintas dari subnet tersebut tidak akan berpengaruh lagi.

Penting

Kemampuan ini saat ini berada dalam PRATINJAU.

Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.

Portal

Selama pratinjau, Anda harus menggunakan PowerShell atau Azure CLI untuk mengaktifkan fitur ini.

PowerShell

1. Buka jendela perintah Windows PowerShell.

2. Masuk ke langganan Azure Anda dengan perintah Connect-AzAccount dan ikuti petunjuk pada layar.

   Connect-AzAccount
   

3. Jika identitas Anda dikaitkan dengan lebih dari satu langganan, atur langganan aktif Anda ke langganan jaringan virtual.

   $context = Get-AzSubscription -SubscriptionId <subscription-id>
   Set-AzContext $context
   

   Ganti nilai placeholder <subscription-id> dengan ID langganan Anda.

4. Daftarkan fitur AllowGlobalTagsForStorage dengan menggunakan perintah Register-AzProviderFeature.

   Register-AzProviderFeature -ProviderNamespace Microsoft.Network -FeatureName AllowGlobalTagsForStorage
   

   Catatan

   Proses pendaftaran mungkin tidak langsung selesai. Pastikan untuk memverifikasi bahwa fitur tersebut terdaftar sebelum menggunakannya.

5. Untuk memastikan bahwa pendaftaran selesai, gunakan perintah Get-AzProviderFeature.

   Get-AzProviderFeature -ProviderNamespace Microsoft.Network -FeatureName AllowGlobalTagsForStorage
   

Azure CLI

1. Buka Azure Cloud Shell, atau jika Anda telah menginstal Azure CLI secara lokal, buka aplikasi konsol perintah seperti Windows PowerShell.

2. Jika identitas Anda dikaitkan dengan lebih dari satu langganan, atur langganan aktif Anda ke langganan jaringan virtual.

   az account set --subscription <subscription-id>
   

   Ganti nilai placeholder <subscription-id> dengan ID langganan Anda.

3. Daftarkan fitur AllowGlobalTagsForStorage dengan menggunakan perintah az feature register.

   az feature register --namespace Microsoft.Network --name AllowGlobalTagsForStorage
   

   Catatan

   Proses pendaftaran mungkin tidak langsung selesai. Pastikan untuk memverifikasi bahwa fitur tersebut terdaftar sebelum menggunakannya.

4. Untuk memastikan bahwa pendaftaran selesai, gunakan perintah az feature.

   az feature show --namespace Microsoft.Network --name AllowGlobalTagsForStorage
   

Mengelola aturan jaringan virtual

Anda dapat mengelola aturan jaringan virtual untuk akun penyimpanan melalui portal Microsoft Azure, PowerShell, atau CLIv2.

Catatan

Jika Anda telah mendaftarkan fitur AllowGlobalTagsForStorage, dan ingin mengaktifkan akses ke akun penyimpanan dari jaringan/subnet virtual di penyewa Azure AD lain, atau di wilayah selain wilayah akun penyimpanan atau wilayah yang dipasangkan, Anda harus menggunakan PowerShell atau Azure CLI. Portal Azure tidak memperlihatkan subnet di penyewa Azure AD lain atau di kawasan selain wilayah akun penyimpanan atau kawasan yang dipasangkan, sehingga tidak bisa digunakan untuk mengonfigurasi aturan akses untuk jaringan virtual di kawasan lain.

Portal

1. Buka akun penyimpanan yang ingin Anda amankan.

2. Pilih pada menu pengaturan yang disebut Jaringan.

3. Periksa apakah Anda telah memilih untuk mengizinkan akses dari Jaringan yang dipilih.

4. Untuk memberikan akses ke jaringan virtual dengan aturan jaringan baru, di bawah Jaringan virtual, pilih Tambahkan jaringan virtual yang ada, pilih opsi Jaringan virtual dan Subnet, lalu pilih Tambahkan. Untuk membuat jaringan virtual baru dan memberinya akses, pilih Tambahkan jaringan virtual baru. Berikan informasi yang diperlukan untuk membuat jaringan virtual baru, lalu pilih Buat.

   Catatan

   Jika titik akhir layanan untuk Azure Storage sebelumnya tidak dikonfigurasi untuk jaringan virtual dan subnet yang dipilih, Anda dapat mengonfigurasinya sebagai bagian dari operasi ini.

   Saat ini, hanya jaringan virtual milik penyewa Azure Active Directory yang sama yang ditampilkan untuk pilihan selama pembuatan aturan. Untuk memberikan akses ke subnet di jaringan virtual milik penyewa lain, harap gunakan PowerShell, CLI, atau REST API.

   Meskipun Anda mendaftarkan fitur AllowGlobalTagsForStorageOnly, subnet di wilayah selain wilayah akun penyimpanan atau wilayah yang dipasangkan tidak ditampilkan untuk dipilih. Jika Anda ingin mengaktifkan akses ke akun penyimpanan dari jaringan/subnet virtual di wilayah lain, gunakan instruksi di tab PowerShell atau Azure CLI.

5. Untuk menghapus jaringan virtual atau aturan subnet, pilih ... untuk membuka menu konteks untuk jaringan virtual atau subnet, dan pilih Hapus.

6. pilih Simpan untuk menerapkan perubahan Anda.

PowerShell

1. Instal Azure PowerShell dan masuk.

2. Cantumkan aturan jaringan virtual.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
   

3. Aktifkan titik akhir layanan untuk Azure Storage pada jaringan virtual dan subnet yang ada.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzVirtualNetwork
   

4. Tambahkan aturan jaringan untuk jaringan virtual dan subnet.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

   Tip

   Untuk menambahkan aturan jaringan untuk subnet di VNet milik penyewa Azure AD lain, gunakan parameter VirtualNetworkResourceId yang sepenuhnya memenuhi syarat dalam bentuk "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

5. Hapus aturan jaringan untuk jaringan virtual dan subnet.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

Penting

Pastikan untuk mengatur aturan default untuk menolak, atau aturan jaringan tidak akan berpengaruh.

Azure CLI

1. Instal Azure CLI dan masuk.

2. Cantumkan aturan jaringan virtual.

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
   

3. Aktifkan titik akhir layanan untuk Azure Storage pada jaringan virtual dan subnet yang ada.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
   

4. Tambahkan aturan jaringan untuk jaringan virtual dan subnet.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

   Tip

   Untuk menambahkan aturan untuk subnet di VNet milik penyewa Azure AD lain, gunakan ID subnet yang sepenuhnya memenuhi syarat dalam bentuk "/subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>".

   Anda dapat menggunakan parameter langganan untuk mengambil ID subnet untuk VNet milik penyewa Microsoft Azure AD lain.

5. Hapus aturan jaringan untuk jaringan virtual dan subnet.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

Penting

Pastikan untuk mengatur aturan default untuk menolak, atau aturan jaringan tidak akan berpengaruh.

Memberikan akses dari rentang IP Internet

Anda dapat menggunakan aturan jaringan IP untuk mengizinkan akses dari rentang alamat IP internet publik tertentu dengan membuat aturan jaringan IP. Setiap akun penyimpanan mendukung hingga 200 aturan. Aturan ini memberikan akses ke layanan berbasis internet tertentu dan jaringan lokal serta memblokir lalu lintas internet umum.

Pembatasan berikut berlaku untuk rentang alamat IP.

• Aturan jaringan IP hanya diizinkan untuk alamat IP internet publik.

  Rentang alamat IP yang dicadangkan untuk jaringan privat (sebagaimana ditentukan dalam RFC 1918) tidak diizinkan dalam aturan IP. Jaringan privat menyertakan alamat yang dimulai dengan 10.**, 172.16. - *172.31., dan *192.168..

• Anda harus memberikan rentang alamat internet yang diizinkan menggunakan notasi CIDR dalam formulir 16.17.18.0/24 atau sebagai alamat IP individu seperti 16.17.18.19.

• Rentang alamat kecil yang menggunakan ukuran awalan "/31" atau "/32" tidak didukung. Rentang ini harus dikonfigurasi menggunakan aturan alamat IP individu.

• Hanya alamat IPV4 yang didukung untuk konfigurasi aturan firewall penyimpanan.

Aturan jaringan IP tidak dapat digunakan dalam kasus berikut:

• Untuk membatasi akses ke klien di wilayah Azure yang sama dengan akun penyimpanan.

  Aturan jaringan IP tidak berpengaruh pada permintaan yang berasal dari wilayah Azure yang sama dengan akun penyimpanan. Gunakan Aturan jaringan virtual untuk mengizinkan permintaan wilayah yang sama.

• Untuk membatasi akses ke klien di wilayah berpasangan yang berada di VNet yang memiliki titik akhir layanan.

• Untuk membatasi akses ke layanan Azure yang diterapkan di wilayah yang sama dengan akun penyimpanan.

  Layanan yang diterapkan di wilayah yang sama dengan akun penyimpanan menggunakan alamat IP Azure privat untuk komunikasi. Dengan demikian, Anda tidak dapat membatasi akses ke layanan Azure tertentu berdasarkan rentang alamat IP keluar publik mereka.

Mengonfigurasi akses dari jaringan lokal

Untuk memberikan akses dari jaringan lokal ke akun penyimpanan Anda dengan aturan jaringan IP, Anda harus mengidentifikasi alamat IP yang menghadap internet yang digunakan oleh jaringan Anda. Hubungi admin jaringan Anda untuk mendapatkan bantuan.

Jika menggunakan ExpressRoute dari tempat Anda untuk peering publik atau peering Microsoft, Anda perlu mengidentifikasi alamat IP NAT yang digunakan. Untuk peering publik, setiap sirkuit ExpressRoute secara default menggunakan dua alamat IP NAT yang diterapkan ke lalu lintas layanan Azure saat lalu lintas memasuki backbone jaringan Microsoft Azure. Untuk peering Microsoft, alamat IP NAT yang digunakan diberikan oleh pelanggan atau diberikan oleh penyedia layanan. Untuk mengizinkan akses ke sumber daya layanan, Anda harus mengizinkan alamat IP publik ini di pengaturan firewall IP sumber daya. Untuk menemukan alamat IP sirkuit ExpressRoute peering publik Anda, buka tiket dukungan dengan ExpressRoute melalui portal Azure. Pelajari selengkapnya tentang NAT untuk publik ExpressRoute dan peering Microsoft.

Mengelola aturan jaringan IP

Anda dapat mengelola aturan jaringan IP untuk akun penyimpanan melalui portal Microsoft Azure, PowerShell, atau CLIv2.

Portal

1. Buka akun penyimpanan yang ingin Anda amankan.

2. Pilih pada menu pengaturan yang disebut Jaringan.

3. Periksa apakah Anda telah memilih untuk mengizinkan akses dari Jaringan yang dipilih.

4. Untuk memberikan akses ke rentang IP internet, masukkan alamat IP atau rentang alamat (dalam format CIDR) di bawah Rentang>Alamat Firewall.

5. Untuk menghapus aturan jaringan IP, pilih ikon tempat sampah di sebelah rentang alamat.

6. Pilih Simpan untuk menerapkan perubahan Anda.

PowerShell

1. Instal Azure PowerShell dan masuk.

2. Cantumkan aturan jaringan IP.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
   

3. Tambahkan aturan jaringan untuk alamat IP individu.

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

4. Tambahkan aturan jaringan untuk rentang alamat IP.

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

5. Hapus aturan jaringan untuk alamat IP individu.

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

6. Hapus aturan jaringan untuk rentang alamat IP.

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

Penting

Pastikan untuk mengatur aturan default untuk menolak, atau aturan jaringan tidak akan berpengaruh.

Azure CLI

1. Instal Azure CLI dan masuk.

2. Cantumkan aturan jaringan IP.

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
   

3. Tambahkan aturan jaringan untuk alamat IP individu.

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

4. Tambahkan aturan jaringan untuk rentang alamat IP.

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

5. Hapus aturan jaringan untuk alamat IP individu.

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

6. Hapus aturan jaringan untuk rentang alamat IP.

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

Penting

Pastikan untuk mengatur aturan default untuk menolak, atau aturan jaringan tidak berpengaruh.

Memberikan akses dari instans sumber daya Azure

Dalam beberapa kasus, aplikasi mungkin bergantung pada sumber daya Azure yang tidak dapat diisolasi melalui jaringan virtual atau aturan alamat IP. Namun, Anda masih ingin mengamankan dan membatasi akses akun penyimpanan hanya ke sumber daya Azure aplikasi Anda. Anda dapat mengonfigurasi akun penyimpanan untuk mengizinkan akses ke instans sumber daya tertentu dari beberapa layanan Azure dengan membuat aturan instans sumber daya.

Jenis operasi yang dapat dilakukan instans sumber daya pada data akun penyimpanan ditentukan oleh penetapan peran Azure dari instans sumber daya. Instans sumber daya harus dari penyewa yang sama dengan akun penyimpanan Anda, tetapi mereka dapat menjadi milik langganan apa pun di penyewa.

Portal

Anda dapat menambahkan atau menghapus aturan jaringan sumber daya di portal Microsoft Azure.

1. Masuk ke portal Microsoft Azure untuk memulai.

2. Temukan akun penyimpanan Anda dan tampilkan gambaran umum akun.

3. Pilih Jaringan untuk menampilkan halaman konfigurasi untuk jaringan.

4. Di bagian Firewall dan jaringan virtual, untuk Jaringan terpilih, pilih izinkan akses.

5. Gulir ke bawah untuk menemukan Instans sumber daya, dan pada daftar drop-down Jenis sumber daya, pilih jenis sumber daya instans sumber daya Anda.

6. Di daftar drop-down Nama instans, pilih instans sumber daya. Anda juga dapat memilih untuk menyertakan semua instans sumber daya dalam penyewa aktif, langganan, atau grup sumber daya.

7. Pilih Simpan untuk menerapkan perubahan Anda. Instans sumber daya muncul di bagian Instans sumber daya di halaman pengaturan jaringan.

Untuk menghapus instans sumber daya, pilih ikon hapus ( ) di sebelah instans sumber daya.

PowerShell

Anda dapat menggunakan perintah PowerShell untuk menambahkan atau menghapus aturan jaringan sumber daya.

Penting

Pastikan untuk mengatur aturan default untuk menolak, atau aturan jaringan tidak akan berpengaruh.

Memberikan akses

Tambahkan aturan jaringan yang memberikan akses dari instans sumber daya.

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Tentukan beberapa instans sumber daya sekaligus dengan memodifikasi seperangkat aturan jaringan.

$resourceId1 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$resourceId2 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/mySQLServer"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule (@{ResourceId=$resourceId1;TenantId=$tenantId},@{ResourceId=$resourceId2;TenantId=$tenantId}) 

Menghapus akses

Hapus aturan jaringan yang memberikan akses dari instans sumber daya.

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Remove-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId  

Hapus semua aturan jaringan yang memberikan akses dari instans sumber daya.

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule @()  

Melihat daftar instans sumber daya yang diizinkan

Lihat daftar lengkap instans sumber daya yang telah diberikan akses ke akun penyimpanan.

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

$rule = Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName
$rule.ResourceAccessRules 

Azure CLI

Anda dapat menggunakan perintah Azure CLI untuk menambahkan atau menghapus aturan jaringan sumber daya.

Memberikan akses

Tambahkan aturan jaringan yang memberikan akses dari instans sumber daya.

az storage account network-rule add \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Menghapus akses

Hapus aturan jaringan yang memberikan akses dari instans sumber daya.

az storage account network-rule remove \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Melihat daftar instans sumber daya yang diizinkan

Lihat daftar lengkap instans sumber daya yang telah diberikan akses ke akun penyimpanan.

az storage account network-rule list \
    -g myResourceGroup \
    --account-name mystorageaccount

Memberikan akses ke layanan Azure tepercaya

Beberapa layanan Azure beroperasi dari jaringan yang tidak dapat disertakan dalam aturan jaringan Anda. Anda dapat memberikan subset dari akses layanan Azure tepercaya tersebut ke akun penyimpanan sambil mempertahankan aturan jaringan untuk aplikasi lain. Layanan tepercaya ini kemudian akan menggunakan autentikasi yang kuat untuk tersambung dengan aman ke akun penyimpanan Anda.

Anda dapat memberikan akses ke layanan Azure tepercaya dengan membuat pengecualian aturan jaringan. Untuk panduan langkah demi langkah, lihat bagian Mengelola pengecualian di artikel ini.

Saat memberikan akses ke layanan Azure tepercaya, Anda memberikan jenis akses berikut:

• Akses tepercaya untuk operasi-operasi tertentu ke sumber daya yang terdaftar di langganan Anda.
• Akses tepercaya ke sumber daya berdasarkan identitas terkelola.

Akses tepercaya untuk sumber daya yang terdaftar di langganan Anda

Sumber daya beberapa layanan, saat terdaftar di langganan Anda, dapat mengakses akun penyimpanan Anda di langganan yang sama untuk operasi tertentu, seperti menulis log atau cadangan. Tabel berikut menjelaskan setiap layanan dan operasi yang diizinkan.

Layanan	Nama Penyedia Sumber Daya	Operasi diizinkan
Pencadangan Azure	Microsoft.RecoveryServices	Jalankan cadangan dan pemulihan cakram tak terkelola di komputer virtual IAAS. (tidak diperlukan untuk cakram terkelola). Pelajari selengkapnya.
Azure Data Box	Microsoft.DataBox	Memungkinkan impor data ke Azure menggunakan Data Box. Pelajari selengkapnya.
Azure DevTest Labs	Microsoft.DevTestLab	Pembuatan gambar kustom dan penginstalan artefak. Pelajari selengkapnya.
Azure Event Grid	Microsoft.EventGrid	Aktifkan penerbitan event Blob Storage dan izinkan Event Grid untuk menerbitkan ke antrean penyimpanan. Pelajari tentang event penyimpanan blob dan penerbitan ke antrean.
Azure Event Hubs	Microsoft.EventHub	Arsipkan data dengan Azure Event Hubs Capture. Pelajari Lebih Lanjut.
Azure File Sync	Microsoft.StorageSync	Memungkinkan Anda mengubah server file lokal menjadi cache untuk berbagi File Azure. Mengizinkan sinkronisasi multi-situs, pemulihan bencana yang cepat, dan pencadangan sisi cloud. Pelajari lebih lanjut
Azure HDInsight	Microsoft.HDInsight	Provisikan konten awal sistem file default untuk kluster HDInsight baru. Pelajari selengkapnya.
Ekspor Impor Azure	Microsoft.ImportExport	Memungkinkan impor data ke Azure Storage atau ekspor data dari Azure Storage menggunakan layanan Azure Storage Import/Export. Pelajari selengkapnya.
Azure Monitor	Microsoft.Insights	Mengizinkan penulisan data pemantauan ke akun penyimpanan aman, termasuk log sumber daya, log masuk dan log audit Azure Active Directory, serta log Microsoft Intune. Pelajari selengkapnya.
Jaringan Azure	Microsoft.Network	Simpan dan analisis log lalu lintas jaringan, termasuk melalui layanan Network Watcher dan Traffic Analytics. Pelajari selengkapnya.
Azure Site Recovery	Microsoft.SiteRecovery	Aktifkan replikasi untuk pemulihan bencana komputer virtual infrastruktur sebagai layanan (laaS) Azure saat menggunakan cache yang diaktifkan firewall, sumber, atau akun penyimpanan target. Pelajari selengkapnya.

Akses tepercaya berdasarkan identitas terkelola

Tabel berikut mencantumkan layanan yang dapat memiliki akses ke data akun penyimpanan Anda jika instans sumber daya layanan tersebut diberi izin yang sesuai.

Jika akun Anda tidak mengaktifkan fitur namespace layanan hierarkis di dalamnya, Anda dapat memberikan izin, dengan secara eksplisit menetapkan peran Azure ke identitas terkelola untuk setiap instans sumber daya. Dalam hal ini, cakupan akses untuk instans sesuai dengan peran Azure yang ditetapkan ke identitas terkelola.

Anda dapat menggunakan teknik yang sama untuk akun yang memiliki fitur namespace hierarkis yang aktif. Namun, Anda tidak perlu menetapkan peran Azure jika Anda menambahkan identitas terkelola ke daftar kontrol akses (ACL) dari direktori atau blob apa pun yang terkandung dalam akun penyimpanan. Dalam hal ini, cakupan akses untuk instans sesuai dengan direktori atau file tempat identitas terkelola telah diberikan akses. Anda juga dapat menggabungkan peran Azure dan ACL bersama-sama. Untuk mempelajari selengkapnya tentang cara menggabungkannya untuk memberikan akses, lihat Model kontrol akses di Azure Data Lake Storage Gen2.

Tip

Cara yang disarankan untuk memberikan akses ke sumber daya tertentu adalah dengan menggunakan aturan instans sumber daya. Untuk memberikan akses ke instans sumber daya tertentu, lihat bagian Memberikan akses dari instans sumber daya Azure dari artikel ini.

Layanan	Nama Penyedia Sumber Daya	Tujuan
Azure API Management	Microsoft.ApiManagement/service	Memungkinkan akses layanan Api Management ke akun penyimpanan di belakang firewall menggunakan kebijakan. Pelajari selengkapnya.
Azure Cache untuk Redis	Microsoft.Cache/Redis	Mengizinkan akses ke akun penyimpanan melalui Azure Cache for Redis. Pelajari lebih lanjut
Azure Cognitive Search	Microsoft.Search/searchServices	Memungkinkan layanan Cognitive Search untuk mengakses akun penyimpanan untuk pengindeksan, pemrosesan, dan pembuatan kueri.
Azure Cognitive Services	Microsoft.CognitiveServices/accounts	Memungkinkan Cognitive Services untuk mengakses akun penyimpanan. Pelajari selengkapnya.
Azure Container Registry Tasks	Microsoft.ContainerRegistry/registries	ACR Tasks dapat mengakses akun penyimpanan saat membuat gambar kontainer.
Azure Data Factory	Microsoft.DataFactory/factories	Mengizinkan akses ke akun penyimpanan melalui runtime ADF.
Azure Data Share	Microsoft.DataShare/accounts/shares	Mengizinkan akses ke akun penyimpanan melalui Data Share.
Azure DevTest Labs	Microsoft.DevTestLab/labs	Mengizinkan akses ke akun penyimpanan melalui DevTest Labs.
Azure Event Grid	Microsoft.EventGrid/topics	Mengizinkan akses ke akun penyimpanan melalui Azure Event Grid.
API Azure Healthcare	Microsoft.HealthcareApis/services	Mengizinkan akses ke akun penyimpanan melalui Azure Healthcare APIs.
Aplikasi Azure IoT Central	Microsoft.IoTCentral/IoTApps	Mengizinkan akses ke akun penyimpanan melalui Aplikasi Azure IoT Central.
Azure IoT Hub	Microsoft.Devices/iotHubs	Memungkinkan data dari hub IoT ditulis ke penyimpanan Blob. Pelajari lebih lanjut
Azure Logic Apps	Microsoft.Logic/workflows	Memungkinkan aplikasi logika untuk mengakses akun penyimpanan. Pelajari selengkapnya.
Layanan Azure Machine Learning	Microsoft.MachineLearningServices	Ruang kerja Azure Machine Learning yang berwenang menulis output eksperimen, model, dan log ke penyimpanan Blob dan membaca datanya. Pelajari selengkapnya.
Azure Media Services	Microsoft.Media/mediaservices	Mengizinkan akses ke akun penyimpanan melalui Media Services.
Azure Migrate	Microsoft.Migrate/migrateprojects	Mengizinkan akses ke akun penyimpanan melalui Azure Migrate.
Microsoft Purview	Microsoft.Purview/akun	Mengizinkan Microsoft Purview mengakses akun penyimpanan.
Azure Remote Rendering	Microsoft.MixedReality/remoteRenderingAccounts	Mengizinkan akses ke akun penyimpanan melalui Remote Rendering.
Azure Site Recovery	Microsoft.RecoveryServices/vaults	Mengizinkan akses ke akun penyimpanan melalui Site Recovery.
Azure SQL Database	Microsoft.Sql	Mengizinkan penulisan data audit ke akun penyimpanan di belakang firewall.
Azure Synapse Analytics	Microsoft.Sql	Mengizinkan impor dan ekspor data dari database SQL tertentu menggunakan pernyataan COPY atau PolyBase (dalam kumpulan khusus), atau fungsi openrowset dan tabel eksternal dalam kumpulan tanpa server. Pelajari selengkapnya.
Azure Stream Analytics	Microsoft.StreamAnalytics	Mengizinkan data dari pekerjaan streaming untuk ditulis ke penyimpanan Blob. Pelajari selengkapnya.
Azure Synapse Analytics	Microsoft.Synapse/workspaces	Memungkinkan akses ke data di Azure Storage dari Azure Synapse Analytics.

Memberikan akses ke analitik penyimpanan

Dalam beberapa kasus, akses untuk membaca metrik dan log sumber daya diperlukan dari luar batas jaringan. Saat mengonfigurasi akses layanan tepercaya ke akun penyimpanan, Anda dapat mengizinkan akses baca untuk file log, tabel metrik, atau keduanya dengan membuat pengecualian aturan jaringan. Untuk panduan langkah demi langkah, lihat bagian Mengelola pengecualian di bawah. Untuk mempelajari selengkapnya tentang bekerja dengan analitik penyimpanan, lihat Menggunakan analitik Azure Storage untuk mengumpulkan data log dan metrik.

Kelola pengecualian

Anda dapat mengelola pengecualian aturan jaringan melalui portal Microsoft Azure, PowerShell, atau Azure CLI v2.

Portal

1. Buka akun penyimpanan yang ingin Anda amankan.

2. Pilih pada menu pengaturan yang disebut Jaringan.

3. Periksa apakah Anda telah memilih untuk mengizinkan akses dari Jaringan yang dipilih.

4. Di bawah Pengecualian, pilih pengecualian yang ingin Anda berikan.

5. Pilih Simpan untuk menerapkan perubahan Anda.

PowerShell

1. Instal Azure PowerShell dan masuk.

2. Tampilkan pengecualian untuk aturan jaringan akun penyimpanan.

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
   

3. Konfigurasikan pengecualian untuk aturan jaringan akun penyimpanan.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
   

4. Hapus pengecualian untuk aturan jaringan akun penyimpanan.

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
   

Penting

Pastikan untuk mengatur aturan default untuk menolak, atau menghapus pengecualian tidak berpengaruh.

Azure CLI

1. Instal Azure CLI dan masuk.

2. Tampilkan pengecualian untuk aturan jaringan akun penyimpanan.

   az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
   

3. Konfigurasikan pengecualian untuk aturan jaringan akun penyimpanan.

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
   

4. Hapus pengecualian untuk aturan jaringan akun penyimpanan.

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
   

Penting

Pastikan untuk mengatur aturan default untuk menolak, atau menghapus pengecualian tidak berpengaruh.

Langkah berikutnya

Pelajari selengkapnya tentang titik akhir layanan Jaringan Azure di titik akhir Layanan.

Gali lebih dalam keamanan Penyimpanan Azure di panduan keamanan Azure Storage.