Azure Storage-firewalls en virtuele netwerken configureren

Azure Storage biedt een gelaagd beveiligingsmodel. Met dit model kunt u het toegangsniveau van uw opslagaccounts beveiligen en beheren die uw toepassingen en bedrijfsomgevingen eisen, op basis van het type en de subset van netwerken of resources die worden gebruikt. Wanneer netwerkregels zijn geconfigureerd, hebben alleen toepassingen die gegevens aanvragen via de opgegeven set netwerken of via de opgegeven set Azure-resources toegang tot een opslagaccount. U kunt de toegang tot uw opslagaccount beperken tot aanvragen die afkomstig zijn van opgegeven IP-adressen, IP-bereiken, subnetten in een Azure-Virtual Network (VNet) of resource-exemplaren van sommige Azure-services.

Storage accounts hebben een openbaar eindpunt dat toegankelijk is via internet. U kunt ook privé-eindpunten maken voor uw opslagaccount, dat een privé-IP-adres van uw VNet toewijst aan het opslagaccount en al het verkeer tussen uw VNet en het opslagaccount beveiligt via een privékoppeling. De Azure Storage-firewall biedt toegangsbeheer voor het openbare eindpunt van uw opslagaccount. U kunt de firewall ook gebruiken om alle toegang via het openbare eindpunt te blokkeren wanneer u privé-eindpunten gebruikt. Met de configuratie van uw opslagfirewall kunt u ook vertrouwde Azure-platformservices selecteren om veilig toegang te krijgen tot het opslagaccount.

Een toepassing die toegang heeft tot een opslagaccount wanneer netwerkregels van kracht zijn, vereist nog steeds de juiste autorisatie voor de aanvraag. Autorisatie wordt ondersteund met Azure Active Directory -referenties (Azure AD) voor blobs en wachtrijen, met een geldige accounttoegangssleutel of met een SAS-token. Wanneer een blobcontainer is geconfigureerd voor anonieme openbare toegang, hoeven aanvragen voor het lezen van gegevens in die container niet te worden geautoriseerd, maar blijven de firewallregels van kracht en worden anoniem verkeer geblokkeerd.

Belangrijk

Als u firewallregels voor uw opslagaccount inschakelt, blokkeert u standaard binnenkomende aanvragen voor gegevens, tenzij de aanvragen afkomstig zijn van een service die werkt in een Azure Virtual Network (VNet) of vanaf toegestane openbare IP-adressen. Aanvragen die worden geblokkeerd, zijn onder andere die van andere Azure-services, van de Azure Portal, van logboekregistratie- en metrische services, enzovoort.

U kunt toegang verlenen tot Azure-services die vanuit een VNet werken door verkeer van het subnet dat als host fungeert voor het service-exemplaar toe te staan. U kunt ook een beperkt aantal scenario's inschakelen via het hieronder beschreven uitzonderingenmechanisme. Als u toegang wilt krijgen tot gegevens uit het opslagaccount via de Azure Portal, moet u zich op een computer bevinden binnen de vertrouwde grens (IP of VNet) die u hebt ingesteld.

Notitie

In dit artikel wordt de Azure Az PowerShell-module gebruikt. Dit is de aanbevolen PowerShell-module voor interactie met Azure. Raadpleeg Azure PowerShell installeren om aan de slag te gaan met de Az PowerShell-module. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Scenario's

Als u uw opslagaccount wilt beveiligen, moet u eerst een regel configureren om de toegang tot verkeer van alle netwerken (inclusief internetverkeer) op het openbare eindpunt standaard te weigeren. Vervolgens moet u regels configureren die toegang verlenen tot verkeer van specifieke VNets. U kunt ook regels configureren om toegang te verlenen tot verkeer van geselecteerde ip-adresbereiken voor openbaar internet, waardoor verbindingen van specifieke internet- of on-premises clients mogelijk zijn. Met deze configuratie kunt u een veilige netwerkgrens bouwen voor uw toepassingen.

U kunt firewallregels combineren die toegang toestaan vanuit specifieke virtuele netwerken en van openbare IP-adresbereiken in hetzelfde opslagaccount. Storage firewallregels kunnen worden toegepast op bestaande opslagaccounts of bij het maken van nieuwe opslagaccounts.

Storage firewallregels zijn van toepassing op het openbare eindpunt van een opslagaccount. U hebt geen firewalltoegangsregels nodig om verkeer toe te staan voor privé-eindpunten van een opslagaccount. Het proces voor het goedkeuren van het maken van een privé-eindpunt verleent impliciete toegang tot verkeer van het subnet dat als host fungeert voor het privé-eindpunt.

Netwerkregels worden afgedwongen op alle netwerkprotocollen voor Azure Storage, inclusief REST en SMB. Voor toegang tot gegevens met behulp van hulpprogramma's zoals de Azure Portal, Storage Explorer en AzCopy moeten expliciete netwerkregels worden geconfigureerd.

Zodra netwerkregels zijn toegepast, worden ze afgedwongen voor alle aanvragen. SAS-tokens die toegang verlenen tot een specifiek IP-adres, dienen om de toegang van de tokenhouder te beperken, maar geen nieuwe toegang te verlenen buiten geconfigureerde netwerkregels.

Schijfverkeer van virtuele machines (inclusief koppelings- en ontkoppelingsbewerkingen en schijf-IO) wordt niet beïnvloed door netwerkregels. REST-toegang tot pagina-blobs wordt beveiligd door netwerkregels.

Klassieke opslagaccounts bieden geen ondersteuning voor firewalls en virtuele netwerken.

U kunt niet-beheerde schijven in opslagaccounts gebruiken met netwerkregels die zijn toegepast om een back-up te maken van vm's en deze te herstellen door een uitzondering te maken. Dit proces wordt beschreven in de sectie Uitzonderingen beheren van dit artikel. Firewalluitzonderingen zijn niet van toepassing op beheerde schijven, omdat ze al worden beheerd door Azure.

Standaardregel voor netwerktoegang wijzigen

Standaard accepteren opslagaccounts verbindingen van clients in elk netwerk. U kunt de toegang tot geselecteerde netwerken beperken of verkeer van alle netwerken voorkomen en alleen toegang toestaan via een privé-eindpunt.

Waarschuwing

Als u deze instelling wijzigt, kan dit van invloed zijn op de mogelijkheid van uw toepassing om verbinding te maken met Azure Storage. Zorg ervoor dat u toegang verleent tot alle toegestane netwerken of toegang instelt via een privé-eindpunt voordat u deze instelling wijzigt.

  1. Ga naar het opslagaccount dat u wilt beveiligen.

  2. Zoek de netwerkinstellingen onder Beveiliging en netwerken.

  3. Kies welk type openbare netwerktoegang u wilt toestaan.

    • Als u verkeer van alle netwerken wilt toestaan, selecteert u Ingeschakeld in alle netwerken.

    • Als u alleen verkeer van specifieke virtuele netwerken wilt toestaan, selecteert u Ingeschakeld in geselecteerde virtuele netwerken en IP-adressen.

    • Als u verkeer van alle netwerken wilt blokkeren, selecteert u Uitgeschakeld.

  4. Klik op Opslaan om uw wijzigingen toe te passen.

Toegang verlenen vanuit een virtueel netwerk

U kunt opslagaccounts configureren om alleen toegang toe te staan vanuit specifieke subnetten. De toegestane subnetten kunnen deel uitmaken van een VNet in hetzelfde abonnement, of van subnetten in een ander abonnement, inclusief abonnementen die behoren tot een andere Azure Active Directory tenant.

U kunt een service-eindpunt inschakelen voor Azure Storage in het VNet. Het service-eindpunt routeert verkeer van het VNet via een optimaal pad naar de Azure Storage-service. De identiteiten van het subnet en het virtuele netwerk worden ook bij elke aanvraag verzonden. Beheerders kunnen vervolgens netwerkregels configureren voor het opslagaccount waarmee aanvragen kunnen worden ontvangen van specifieke subnetten in een VNet. Clients die toegang hebben verleend via deze netwerkregels, moeten blijven voldoen aan de autorisatievereisten van het opslagaccount om toegang te krijgen tot de gegevens.

Elk opslagaccount ondersteunt maximaal 200 regels voor virtuele netwerken, die kunnen worden gecombineerd met IP-netwerkregels.

Belangrijk

Als u een subnet verwijdert dat is opgenomen in een netwerkregel, wordt dit verwijderd uit de netwerkregels voor het opslagaccount. Als u een nieuw subnet met dezelfde naam maakt, heeft het geen toegang tot het opslagaccount. Als u toegang wilt toestaan, moet u het nieuwe subnet expliciet autoriseren in de netwerkregels voor het opslagaccount.

Vereiste machtigingen

Als u een regel voor een virtueel netwerk wilt toepassen op een opslagaccount, moet de gebruiker over de juiste machtigingen beschikken voor de subnetten die worden toegevoegd. Het toepassen van een regel kan worden uitgevoerd door een Storage Accountbijdrager of een gebruiker die is gemachtigd voor de bewerking van de Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure-resourceprovider via een aangepaste Azure-rol.

Storage-account en de virtuele netwerken die toegang hebben, kunnen zich in verschillende abonnementen bevinden, waaronder abonnementen die deel uitmaken van een andere Azure AD tenant.

Notitie

Configuratie van regels die toegang verlenen tot subnetten in virtuele netwerken die deel uitmaken van een andere Azure Active Directory-tenant, worden momenteel alleen ondersteund via PowerShell, CLI en REST API's. Dergelijke regels kunnen niet worden geconfigureerd via de Azure Portal, maar ze kunnen worden weergegeven in de portal.

Beschikbare regio's voor virtuele netwerken

Service-eindpunten werken standaard tussen virtuele netwerken en service-exemplaren in dezelfde Azure-regio. Wanneer u service-eindpunten gebruikt met Azure Storage, werken service-eindpunten ook tussen virtuele netwerken en service-exemplaren in een gekoppelde regio. Als u een service-eindpunt wilt gebruiken om toegang te verlenen tot virtuele netwerken in andere regio's, moet u de AllowGlobalTagsForStorage functie registreren in het abonnement van het virtuele netwerk. Deze mogelijkheid is momenteel beschikbaar als openbare preview-versie.

Service-eindpunten bieden continuïteit tijdens een regionale failover en toegang tot alleen-lezen geografisch redundante opslagexemplaren (RA-GRS). Netwerkregels die toegang verlenen vanuit een virtueel netwerk aan een opslagaccount, verlenen ook toegang tot een RA-GRS-exemplaar.

Bij het plannen van herstel na noodgevallen tijdens een regionale storing moet u vooraf de VNets in de gekoppelde regio maken. Schakel service-eindpunten in voor Azure Storage, waarbij netwerkregels toegang verlenen vanuit deze alternatieve virtuele netwerken. Pas deze regels vervolgens toe op uw geografisch redundante opslagaccounts.

Toegang tot virtuele netwerken in andere regio's inschakelen (preview)

Als u toegang wilt inschakelen vanuit een virtueel netwerk dat zich in een andere regio bevindt, registreert u de AllowGlobalTagsForStorage functie in het abonnement van het virtuele netwerk. Subnetten in andere regio's met opslagservice-eindpunten gebruiken geen openbaar IP-adres meer om te communiceren met het opslagaccount. Al het verkeer is afkomstig van een privé-IP-adres en alle IP-netwerkregels die verkeer van die subnetten toestaan, hebben geen effect meer.

Belangrijk

Deze mogelijkheid is momenteel beschikbaar in PREVIEW.

Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Tijdens de preview moet u PowerShell of de Azure CLI gebruiken om deze functie in te schakelen.

Regels voor virtuele netwerken beheren

U kunt regels voor virtuele netwerken voor opslagaccounts beheren via de Azure Portal, PowerShell of CLIv2.

Notitie

Als u de AllowGlobalTagsForStorage functie hebt geregistreerd en u toegang tot uw opslagaccount wilt inschakelen vanuit een virtueel netwerk/subnet in een andere Azure AD tenant, of in een andere regio dan de regio van het opslagaccount of de gekoppelde regio, moet u PowerShell of de Azure CLI gebruiken. De Azure Portal toont geen subnetten in andere Azure AD tenants of in andere regio's dan de regio van het opslagaccount of de gekoppelde regio, en kan daarom niet worden gebruikt voor het configureren van toegangsregels voor virtuele netwerken in andere regio's.

  1. Ga naar het opslagaccount dat u wilt beveiligen.

  2. Selecteer het menu Instellingen met de naam Netwerken.

  3. Controleer of u hebt geselecteerd om toegang vanuit geselecteerde netwerken toe te staan.

  4. Als u toegang wilt verlenen tot een virtueel netwerk met een nieuwe netwerkregel, selecteert u onder Virtuele netwerken bestaande virtuele netwerken toevoegen, selecteert u opties voor virtuele netwerken en subnetten en selecteert u Vervolgens Toevoegen. Als u een nieuw virtueel netwerk wilt maken en toegang wilt verlenen, selecteert u Nieuw virtueel netwerk toevoegen. Geef de informatie op die nodig is om het nieuwe virtuele netwerk te maken en selecteer Vervolgens Maken.

    Notitie

    Als een service-eindpunt voor Azure Storage niet eerder is geconfigureerd voor het geselecteerde virtuele netwerk en subnetten, kunt u dit configureren als onderdeel van deze bewerking.

    Momenteel worden alleen virtuele netwerken die behoren tot dezelfde Azure Active Directory tenant weergegeven voor selectie tijdens het maken van regels. Als u toegang wilt verlenen tot een subnet in een virtueel netwerk dat deel uitmaakt van een andere tenant, gebruikt u PowerShell, CLI of REST API's.

    Zelfs als u de AllowGlobalTagsForStorageOnly functie hebt geregistreerd, worden subnetten in andere regio's dan de regio van het opslagaccount of de gekoppelde regio niet weergegeven voor selectie. Als u toegang tot uw opslagaccount wilt inschakelen vanuit een virtueel netwerk/subnet in een andere regio, gebruikt u de instructies op de tabbladen PowerShell of Azure CLI.

  5. Als u een regel voor een virtueel netwerk of subnet wilt verwijderen, selecteert u ... om het contextmenu voor het virtuele netwerk of subnet te openen en selecteert u Verwijderen.

  6. selecteer Opslaan om uw wijzigingen toe te passen.

Toegang verlenen vanuit een IP-bereik

U kunt IP-netwerkregels gebruiken om toegang vanaf specifieke IP-adresbereiken voor openbaar internet toe te staan door IP-netwerkregels te maken. Elk opslagaccount ondersteunt maximaal 200 regels. Deze regels verlenen toegang tot specifieke internetservices en on-premises netwerken en blokkeert algemeen internetverkeer.

De volgende beperkingen gelden voor IP-adresbereiken.

  • IP-netwerkregels zijn alleen toegestaan voor openbare internet-IP-adressen.

    IP-adresbereiken die zijn gereserveerd voor privénetwerken (zoals gedefinieerd in RFC 1918) zijn niet toegestaan in IP-regels. Privénetwerken bevatten adressen die beginnen met 10.**, 172.16. - *172.31. en *192.168..

  • U moet toegestane internetadresbereiken opgeven met CIDR-notatie in de vorm 16.17.18.0/24 of als afzonderlijke IP-adressen, zoals 16.17.18.19.

  • Kleine adresbereiken met voorvoegselgrootten '/31' of '/32' worden niet ondersteund. Deze bereiken moeten worden geconfigureerd met behulp van afzonderlijke IP-adresregels.

  • Alleen IPV4-adressen worden ondersteund voor de configuratie van firewallregels voor opslag.

IP-netwerkregels kunnen in de volgende gevallen niet worden gebruikt:

  • De toegang tot clients in dezelfde Azure-regio beperken als het opslagaccount.

    IP-netwerkregels hebben geen invloed op aanvragen die afkomstig zijn van dezelfde Azure-regio als het opslagaccount. Gebruik regels voor virtuele netwerken om aanvragen voor dezelfde regio toe te staan.

  • Om de toegang tot clients in een gekoppelde regio te beperken die zich in een VNet bevinden dat een service-eindpunt heeft.

  • De toegang tot Azure-services beperken die zijn geïmplementeerd in dezelfde regio als het opslagaccount.

    Services die zijn geïmplementeerd in dezelfde regio als het opslagaccount, maken gebruik van privé-IP-adressen van Azure voor communicatie. U kunt de toegang tot specifieke Azure-services dus niet beperken op basis van hun openbare uitgaande IP-adresbereik.

Toegang configureren vanuit on-premises netwerken

Als u toegang wilt verlenen vanuit uw on-premises netwerken aan uw opslagaccount met een IP-netwerkregel, moet u de internetgerichte IP-adressen identificeren die door uw netwerk worden gebruikt. Neem contact op met de netwerkbeheerder voor hulp.

Als u ExpressRoute gebruikt vanuit uw on-premises netwerk voor openbare peering of Microsoft-peering, moet u de NAT IP-adressen opgeven die worden gebruikt. Voor openbare peering gebruikt elk ExpressRoute-circuit standaard twee NAT IP-adressen. Deze worden toegepast op Azure-serviceverkeer wanneer het verkeer het Microsoft Azure-backbone-netwerk binnenkomt. Voor Microsoft-peering worden de GEBRUIKTE NAT-IP-adressen geleverd door de klant of worden ze geleverd door de serviceprovider. Voor toegang tot uw serviceresources moet u deze openbare IP-adressen toestaan in de instelling voor IP-firewall voor de resource. Wanneer u op zoek bent naar de IP-adressen van uw ExpressRoute-circuit voor openbare peering, opent u een ondersteuningsticket met ExpressRoute via de Azure-portal. Meer informatie over NAT voor openbare peering en Microsoft-peering met ExpressRoute.

IP-netwerkregels beheren

U kunt IP-netwerkregels voor opslagaccounts beheren via de Azure Portal, PowerShell of CLIv2.

  1. Ga naar het opslagaccount dat u wilt beveiligen.

  2. Selecteer het menu Instellingen met de naam Netwerken.

  3. Controleer of u hebt geselecteerd om toegang vanuit geselecteerde netwerken toe te staan.

  4. Als u toegang wilt verlenen tot een IP-bereik via internet, voert u het IP-adres of adresbereik (in CIDR-indeling) in onder FirewallAddress> Range.

  5. Als u een IP-netwerkregel wilt verwijderen, selecteert u het prullenbakpictogram naast het adresbereik.

  6. Klik op Opslaan om uw wijzigingen toe te passen.

Toegang verlenen vanuit Azure-resource-exemplaren (preview)

In sommige gevallen kan een toepassing afhankelijk zijn van Azure-resources die niet kunnen worden geïsoleerd via een virtueel netwerk of een IP-adresregel. U wilt echter nog steeds de toegang tot opslagaccounts beveiligen en beperken tot alleen de Azure-resources van uw toepassing. U kunt opslagaccounts configureren om toegang te verlenen tot specifieke resource-exemplaren van sommige Azure-services door een regel voor een resource-exemplaar te maken.

De typen bewerkingen die een resource-exemplaar kan uitvoeren op opslagaccountgegevens, worden bepaald door de Azure-roltoewijzingen van het resource-exemplaar. Resource-exemplaren moeten afkomstig zijn van dezelfde tenant als uw opslagaccount, maar ze kunnen deel uitmaken van elk abonnement in de tenant.

Notitie

Deze functie is beschikbaar in openbare preview en is beschikbaar in alle openbare cloudregio's.

U kunt resourcenetwerkregels toevoegen of verwijderen in de Azure Portal.

  1. Meld u aan bij de Azure-portal om aan de slag te gaan.

  2. Zoek uw opslagaccount en geef het accountoverzicht weer.

  3. Selecteer Netwerken om de configuratiepagina voor netwerken weer te geven.

  4. Selecteer onder Firewalls en virtuele netwerken voor geselecteerde netwerken de optie om toegang toe te staan.

  5. Schuif omlaag om resource-exemplaren te vinden en kies in de vervolgkeuzelijst Resourcetype het resourcetype van uw resource-exemplaar.

  6. Kies in de vervolgkeuzelijst Instantienaam het resource-exemplaar. U kunt er ook voor kiezen om alle resource-exemplaren op te nemen in de actieve tenant, het abonnement of de resourcegroep.

  7. Klik op Opslaan om uw wijzigingen toe te passen. Het resource-exemplaar wordt weergegeven in de sectie Resource-exemplaren van de pagina netwerkinstellingen.

Als u het resource-exemplaar wilt verwijderen, selecteert u het pictogram Verwijderen ( ) naast het resource-exemplaar.

Toegang verlenen tot vertrouwde Azure-services

Sommige Azure-services werken vanuit netwerken die niet kunnen worden opgenomen in uw netwerkregels. U kunt een subset van dergelijke vertrouwde Azure-services toegang verlenen tot het opslagaccount, terwijl u netwerkregels voor andere apps behoudt. Deze vertrouwde services gebruiken vervolgens sterke verificatie om veilig verbinding te maken met uw opslagaccount.

U kunt toegang verlenen tot vertrouwde Azure-services door een uitzondering voor netwerkregels te maken. Zie de sectie Uitzonderingen beheren in dit artikel voor stapsgewijze instructies.

Wanneer u toegang verleent tot vertrouwde Azure-services, verleent u de volgende typen toegang:

  • Vertrouwde toegang voor geselecteerde bewerkingen voor resources die zijn geregistreerd in uw abonnement.
  • Vertrouwde toegang tot resources op basis van een beheerde identiteit.

Vertrouwde toegang voor resources die zijn geregistreerd in uw abonnement

Resources van sommige services, wanneer ze zijn geregistreerd in uw abonnement, hebben toegang tot uw opslagaccount in hetzelfde abonnement voor selectiebewerkingen, zoals het schrijven van logboeken of back-ups. In de volgende tabel worden elke service en de toegestane bewerkingen beschreven.

Service Naam van resourceprovider Toegestane bewerkingen
Azure Backup Microsoft.RecoveryServices Voer back-ups en herstelbewerkingen uit van niet-beheerde schijven in virtuele IAAS-machines. (niet vereist voor beheerde schijven). Meer informatie.
Azure Data Box Microsoft.DataBox Hiermee kunt u gegevens importeren in Azure met behulp van Data Box. Meer informatie.
Azure DevTest Labs Microsoft.DevTestLab Aangepaste installatie van installatiekopieën en installatie van artefacten. Meer informatie.
Azure Event Grid Microsoft.EventGrid Schakel Blob Storage gebeurtenispublicatie in en sta Event Grid toe om te publiceren naar opslagwachtrijen. Meer informatie over blobopslag-gebeurtenissen en publiceren naar wachtrijen.
Azure Event Hubs Microsoft.EventHub Gegevens archiveren met Event Hubs Capture. Meer informatie.
Azure File Sync Microsoft.StorageSync Hiermee kunt u uw on-premises bestandsserver transformeren naar een cache voor Azure-bestandsshares. Het toestaan van synchronisatie met meerdere sites, snel herstel na noodgevallen en back-up aan de cloudzijde. Meer informatie
Azure HDInsight Microsoft.HDInsight Richt de initiële inhoud van het standaardbestandssysteem in voor een nieuw HDInsight-cluster. Meer informatie.
Azure Import Export Microsoft.ImportExport Hiermee kunt u gegevens importeren om gegevens te Azure Storage of te exporteren uit Azure Storage met behulp van de Azure Storage Import/Export-service. Meer informatie.
Azure Monitor Microsoft.Insights Hiermee kunt u bewakingsgegevens schrijven naar een beveiligd opslagaccount, inclusief resourcelogboeken, Azure Active Directory aanmeldings- en auditlogboeken en Microsoft Intune logboeken. Meer informatie.
Azure-netwerken Microsoft.Network Sla netwerkverkeerslogboeken op en analyseer deze, waaronder via de services Network Watcher en Traffic Analytics. Meer informatie.
Azure Site Recovery Microsoft.SiteRecovery Schakel replicatie in voor herstel na noodgevallen van virtuele Azure IaaS-machines wanneer u cache-, bron- of doelopslagaccounts met firewalls gebruikt. Meer informatie.

Vertrouwde toegang op basis van een beheerde identiteit

De volgende tabel bevat services die toegang hebben tot uw opslagaccountgegevens als de resource-exemplaren van deze services de juiste machtiging krijgen.

Als voor uw account de hiërarchische naamruimtefunctie niet is ingeschakeld, kunt u toestemming verlenen door expliciet een Azure-rol toe te wijzen aan de beheerde identiteit voor elk resource-exemplaar. In dit geval komt het toegangsbereik voor het exemplaar overeen met de Azure-rol die aan de beheerde identiteit is toegewezen.

U kunt dezelfde techniek gebruiken voor een account waarvoor de hiërarchische naamruimtefunctie is ingeschakeld. U hoeft echter geen Azure-rol toe te wijzen als u de beheerde identiteit toevoegt aan de toegangsbeheerlijst (ACL) van een map of blob in het opslagaccount. In dat geval komt het toegangsbereik voor het exemplaar overeen met de map of het bestand waartoe de beheerde identiteit toegang heeft gekregen. U kunt ook Azure-rollen en ACL's combineren. Zie het Access Control-model in Azure Data Lake Storage Gen2 voor meer informatie over het combineren ervan om toegang te verlenen.

Tip

De aanbevolen manier om toegang te verlenen tot specifieke resources is het gebruik van regels voor resource-exemplaren. Als u toegang wilt verlenen tot specifieke resource-exemplaren, raadpleegt u de sectie Toegang verlenen vanuit Azure-resource-exemplaren (preview) van dit artikel.

Service Naam van resourceprovider Doel
Azure API Management Microsoft.ApiManagement/service Hiermee schakelt u api management-servicetoegang tot opslagaccounts achter de firewall in met behulp van beleid. Meer informatie.
Azure Cache voor Redis Microsoft.Cache/Redis Hiermee hebt u toegang tot opslagaccounts via Azure Cache voor Redis. Meer informatie
Azure Cognitive Search Microsoft.Search/searchServices Hiermee kunnen Cognitive Search-services toegang krijgen tot opslagaccounts voor indexering, verwerking en query's.
Azure Cognitive Services Microsoft.CognitiveService/accounts Hiermee heeft Cognitive Services toegang tot opslagaccounts. Meer informatie.
Azure Container Registry Tasks Microsoft.ContainerRegistry/registers ACR Tasks heeft toegang tot opslagaccounts bij het bouwen van containerinstallatiekopieën.
Azure Data Factory Microsoft.DataFactory/factory's Hiermee hebt u toegang tot opslagaccounts via de ADF-runtime.
Azure Data Share Microsoft.DataShare/accounts Hiermee hebt u toegang tot opslagaccounts via Data Share.
Azure DevTest Labs Microsoft.DevTestLab/labs Hiermee hebt u toegang tot opslagaccounts via DevTest Labs.
Azure Event Grid Microsoft.EventGrid/topics Hiermee hebt u toegang tot opslagaccounts via de Azure Event Grid.
Azure Healthcare APIs Microsoft.HealthcareApis/services Hiermee hebt u toegang tot opslagaccounts via Azure Healthcare-API's.
Azure IoT Central-toepassingen Microsoft.IoTCentral/IoTApps Hiermee hebt u toegang tot opslagaccounts via Azure IoT Central-toepassingen.
Azure IoT Hub Microsoft.Devices/IotHubs Hiermee staat u toe dat gegevens van een IoT-hub naar Blob Storage worden geschreven. Meer informatie
Azure Logic Apps Microsoft.Logic/workflows Hiermee kunnen logische apps toegang krijgen tot opslagaccounts. Meer informatie.
Azure Machine Learning-service Microsoft.MachineLearningServices Geautoriseerde Azure Machine Learning werkruimten schrijven experimentuitvoer, modellen en logboeken naar Blob Storage en lezen de gegevens. Meer informatie.
Azure Media Services Microsoft.Media/mediaservices Hiermee hebt u toegang tot opslagaccounts via Media Services.
Azure Migrate Microsoft.Migrate/migrateprojects Hiermee hebt u toegang tot opslagaccounts via Azure Migrate.
Microsoft Purview Microsoft.Purview/accounts Hiermee heeft Microsoft Purview toegang tot opslagaccounts.
Azure Remote Rendering Microsoft.MixedReality/remoteRenderingAccounts Hiermee hebt u toegang tot opslagaccounts via Remote Rendering.
Azure Site Recovery Microsoft.RecoveryServices/vaults Hiermee hebt u toegang tot opslagaccounts via Site Recovery.
Azure SQL Database Microsoft.Sql Hiermee kunt u auditgegevens schrijven naar opslagaccounts achter de firewall.
Azure Synapse Analytics Microsoft.Sql Hiermee kunt u gegevens importeren en exporteren uit specifieke SQL databases met behulp van de COPY-instructie of PolyBase (in toegewezen pool), of de openrowset functie en externe tabellen in een serverloze pool. Meer informatie.
Azure Stream Analytics Microsoft.StreamAnalytics Hiermee kunnen gegevens van een streamingtaak naar Blob Storage worden geschreven. Meer informatie.
Azure Synapse Analytics Microsoft.Synapse/workspaces Hiermee kunt u vanuit Azure Synapse Analytics toegang krijgen tot gegevens in Azure Storage.

Toegang verlenen tot opslaganalyses

In sommige gevallen is toegang tot resourcelogboeken en metrische gegevens vereist van buiten de netwerkgrens. Wanneer u vertrouwde services toegang tot het opslagaccount configureert, kunt u leestoegang toestaan voor de logboekbestanden, metrische tabellen of beide door een uitzondering voor netwerkregels te maken. Zie de sectie Uitzonderingen beheren hieronder voor stapsgewijze instructies. Zie Azure Storage Analytics gebruiken om logboeken en metrische gegevens te verzamelen voor meer informatie over het werken met opslaganalyses.

Uitzonderingen beheren

U kunt uitzonderingen voor netwerkregels beheren via de Azure Portal, PowerShell of Azure CLI v2.

  1. Ga naar het opslagaccount dat u wilt beveiligen.

  2. Selecteer het menu Instellingen met de naam Netwerken.

  3. Controleer of u hebt geselecteerd om toegang vanuit geselecteerde netwerken toe te staan.

  4. Selecteer onder Uitzonderingen de uitzonderingen die u wilt verlenen.

  5. Klik op Opslaan om uw wijzigingen toe te passen.

Volgende stappen

Meer informatie over Azure Network-service-eindpunten in service-eindpunten.

Dieper ingaan op Azure Storage beveiliging in Azure Storage beveiligingshandleiding.