Azure Storage-firewalls en virtuele netwerken configurerenConfigure Azure Storage firewalls and virtual networks

Azure Storage biedt een gelaagd beveiligingsmodel.Azure Storage provides a layered security model. Dit model kunt u voor het beveiligen van uw storage-accounts naar een specifieke set ondersteunde netwerken.This model enables you to secure your storage accounts to a specific set of supported networks. Als het netwerkregels zijn geconfigureerd, toegang alleen toepassingen waarbij gegevens uit meer dan de opgegeven set netwerken worden gevraagd een opslagaccount.When network rules are configured, only applications requesting data from over the specified set of networks can access a storage account.

Een toepassing die toegang heeft tot een storage-account wanneer het netwerkregels zijn van kracht is juiste verificatie bij de aanvraag vereist.An application that accesses a storage account when network rules are in effect requires proper authorization on the request. Autorisatie wordt ondersteund met Azure Active Directory-referenties (Azure AD) voor blobs en wacht rijen, met een geldige account toegangs sleutel of met een SAS-token.Authorization is supported with Azure Active Directory (Azure AD) credentials for blobs and queues, with a valid account access key, or with an SAS token.

Belangrijk

Firewall-regels voor uw storage-account inschakelen binnenkomende aanvragen voor gegevens standaard geblokkeerd, tenzij de aanvragen afkomstig zijn van een service die wordt uitgevoerd binnen een Azure Virtual Network (VNet).Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests come from a service that is operating within an Azure Virtual Network (VNet). Aanvragen die zijn geblokkeerd omvatten die van andere Azure-services vanuit de Azure-portal van logboekregistratie en metrische gegevens over services, enzovoort.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on.

U kunt toegang verlenen tot Azure-services die worden uitgevoerd van binnen een VNet doordat het subnet van het service-exemplaar.You can grant access to Azure services that operate from within a VNet by allowing the subnet of the service instance. Inschakelen van een beperkt aantal scenario's via de uitzonderingen mechanisme dat wordt beschreven in de volgende sectie.Enable a limited number of scenarios through the Exceptions mechanism described in the following section. Voor toegang tot de Azure-portal, moet u zich op een computer in de vertrouwde grens (IP- of VNet) die u hebt ingesteld.To access the Azure portal, you would need to be on a machine within the trusted boundary (either IP or VNet) that you set up.

Notitie

Dit artikel is bijgewerkt voor het gebruik van de nieuwe Azure PowerShell Az-module.This article has been updated to use the new Azure PowerShell Az module. U kunt nog steeds de AzureRM-module gebruiken. deze patches blijven worden ontvangen tot ten minste december 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Zie voor meer informatie over de nieuwe Az-module en compatibiliteit met AzureRM Introductie van de nieuwe Az-module van Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Zie Install Azure PowerShellvoor de installatie-instructies voor AZ-modules.For Az module installation instructions, see Install Azure PowerShell.

Scenario'sScenarios

Opslagaccounts voor het weigeren van toegang tot verkeer via alle netwerken (met inbegrip van internetverkeer) standaard configureren.Configure storage accounts to deny access to traffic from all networks (including internet traffic) by default. Vervolgens toegang verlenen aan verkeer van specifieke VNets.Then grant access to traffic from specific VNets. Deze configuratie kunt u een beveiligde netwerkgrens voor uw toepassingen te bouwen.This configuration enables you to build a secure network boundary for your applications. U kunt ook toegang verlenen tot openbare internet IP-adresbereiken, het inschakelen van verbindingen met specifieke on-premises of internet-clients.You can also grant access to public internet IP address ranges, enabling connections from specific internet or on-premises clients.

Netwerkregels worden toegepast op alle netwerkprotocollen naar Azure-opslag, met inbegrip van REST en SMB.Network rules are enforced on all network protocols to Azure storage, including REST and SMB. Voor toegang tot de gegevens met hulpprogramma's als Azure portal, Storage Explorer en AZCopy, zijn de expliciete netwerkregels vereist.To access the data with tools like Azure portal, Storage Explorer, and AZCopy, explicit network rules are required.

U kunt netwerkregels toepassen op bestaande opslagaccounts of bij het maken van nieuwe storage-accounts.You can apply network rules to existing storage accounts, or when you create new storage accounts.

Zodra het netwerkregels worden toegepast, zijn ze afgedwongen voor alle aanvragen.Once network rules are applied, they're enforced for all requests. SAS-tokens die toegang tot een specifiek IP-adres verlenen dienen om de toegang van de token houder te beperken, maar niet verlenen aan nieuwe toegang buiten de geconfigureerde regels.SAS tokens that grant access to a specific IP address serve to limit the access of the token holder, but don't grant new access beyond configured network rules.

VM-schijfverkeer (inclusief koppelen en ontkoppelen van bewerkingen en schijf-i/o-) wordt niet beïnvloed door netwerkregels.Virtual machine disk traffic (including mount and unmount operations, and disk IO) is not affected by network rules. REST-toegang tot pagina-blobs is beveiligd door netwerkregels.REST access to page blobs is protected by network rules.

Klassieke opslagaccounts bieden geen ondersteuning voor firewalls en virtuele netwerken.Classic storage accounts do not support firewalls and virtual networks.

U kunt niet-beheerde schijven in opslagaccounts met netwerkregels toegepast op back-up en herstel-VM's met het maken van een uitzondering.You can use unmanaged disks in storage accounts with network rules applied to backup and restore VMs by creating an exception. Dit proces wordt beschreven in de uitzonderingen sectie van dit artikel.This process is documented in the Exceptions section of this article. Firewall-uitzonderingen zijn niet van toepassing met beheerde schijven als ze al worden beheerd door Azure.Firewall exceptions aren't applicable with managed disks as they're already managed by Azure.

Wijzigen van de standaardtoegangsregel voor netwerkChange the default network access rule

Standaard accepteren opslagaccounts verbindingen van clients op een netwerk.By default, storage accounts accept connections from clients on any network. Als u wilt beperken de toegang tot geselecteerde netwerken, moet u eerst de standaardactie wijzigen.To limit access to selected networks, you must first change the default action.

Waarschuwing

Wijzigingen aanbrengen in netwerkregels kan invloed hebben op uw toepassingen kunnen verbinding maken met Azure Storage.Making changes to network rules can impact your applications' ability to connect to Azure Storage. Als u de standaardregel voor het netwerk op weigeren blokkeert de toegang tot de gegevens, tenzij specifieke regels worden verlenen toegang worden ook toegepast.Setting the default network rule to deny blocks all access to the data unless specific network rules to grant access are also applied. Zorg ervoor dat toegang verlenen tot een toegestane netwerken met behulp van netwerkregels voordat u de standaardregel voor het weigeren van toegang wijzigen.Be sure to grant access to any allowed networks using network rules before you change the default rule to deny access.

Standaardregels voor netwerktoegang beherenManaging default network access rules

U kunt de standaardregels voor netwerktoegang voor storage-accounts via Azure portal, PowerShell of CLIv2 beheren.You can manage default network access rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure PortalAzure portal

  1. Ga naar het opslagaccount dat u wilt beveiligen.Go to the storage account you want to secure.

  2. Klik op het instellingenmenu met de naam Firewalls en virtuele netwerken.Click on the settings menu called Firewalls and virtual networks.

  3. Kies voor het weigeren van toegang standaard, zodat toegang vanaf geselecteerde netwerken.To deny access by default, choose to allow access from Selected networks. Kies als u wilt dat verkeer via alle netwerken, zodat toegang vanaf alle netwerken.To allow traffic from all networks, choose to allow access from All networks.

  4. Klik op opslaan de wijzigingen worden toegepast.Click Save to apply your changes.

PowerShellPowerShell

  1. Installeer de Azure PowerShell en aanmelden.Install the Azure PowerShell and sign in.

  2. De status van de standaardregel voor de storage-account weergeven.Display the status of the default rule for the storage account.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").DefaultAction
    
  3. De standaardregel voor het weigeren van toegang tot het netwerk standaard instellen.Set the default rule to deny network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
    
  4. De standaardregel waarmee toegang tot het netwerk standaard instellen.Set the default rule to allow network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
    

CLIv2CLIv2

  1. Installeer de Azure CLI en aanmelden.Install the Azure CLI and sign in.

  2. De status van de standaardregel voor de storage-account weergeven.Display the status of the default rule for the storage account.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.defaultAction
    
  3. De standaardregel voor het weigeren van toegang tot het netwerk standaard instellen.Set the default rule to deny network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
    
  4. De standaardregel waarmee toegang tot het netwerk standaard instellen.Set the default rule to allow network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
    

Toegang verlenen vanuit een virtueel netwerkGrant access from a virtual network

U kunt storage-accounts voor toegang alleen vanaf specifieke vnet's configureren.You can configure storage accounts to allow access only from specific VNets.

Schakel een Service-eindpunt voor Azure Storage binnen het VNet.Enable a Service endpoint for Azure Storage within the VNet. Dit eindpunt biedt verkeer een optimale route naar de Azure Storage-service.This endpoint gives traffic an optimal route to the Azure Storage service. De identiteit van het virtuele netwerk en het subnet worden ook verzonden bij elke aanvraag.The identities of the virtual network and the subnet are also transmitted with each request. Beheerders kunnen vervolgens configureren voor netwerkregels voor het opslagaccount waarmee aanvragen worden ontvangen van specifieke subnetten in het VNet.Administrators can then configure network rules for the storage account that allow requests to be received from specific subnets in the VNet. Clients krijgen toegang via deze netwerkregels moet blijven om te voldoen aan de autorisatievereisten van het storage-account voor toegang tot de gegevens.Clients granted access via these network rules must continue to meet the authorization requirements of the storage account to access the data.

Elk opslagaccount biedt ondersteuning voor maximaal 100 regels voor virtueel netwerk, die kunnen worden gecombineerd met IP-netwerkregels.Each storage account supports up to 100 virtual network rules, which may be combined with IP network rules.

Beschikbaar virtueel netwerk regio 'sAvailable virtual network regions

Service-eindpunten werken in het algemeen tussen virtuele netwerken en service-exemplaren in dezelfde Azure-regio.In general, service endpoints work between virtual networks and service instances in the same Azure region. Wanneer u service-eindpunten met Azure Storage, dit bereik vergroot om op te nemen de gekoppelde regio.When using service endpoints with Azure Storage, this scope grows to include the paired region. Service-eindpunten kunt bedrijfscontinuïteit tijdens een regionale failover en toegang tot exemplaren van de alleen-lezen geografisch redundante opslag (RA-GRS).Service endpoints allow continuity during a regional failover and access to read-only geo-redundant storage (RA-GRS) instances. Netwerkregels die toegang vanuit een virtueel netwerk naar een opslagaccount verlenen ook verlenen toegang tot een RA-GRS-exemplaar.Network rules that grant access from a virtual network to a storage account also grant access to any RA-GRS instance.

Bij het plannen voor herstel na noodgevallen tijdens een regionale storing, moet u van tevoren de vnet's maken in de gekoppelde regio.When planning for disaster recovery during a regional outage, you should create the VNets in the paired region in advance. Service-eindpunten inschakelen voor Azure Storage, aan de netwerkregels van het toegang verlenen vanuit deze alternatieve virtuele netwerken.Enable service endpoints for Azure Storage, with network rules granting access from these alternative virtual networks. Deze regels toepassen op uw geografisch redundante opslag-accounts.Then apply these rules to your geo-redundant storage accounts.

Notitie

Service-eindpunten zijn niet van toepassing op het verkeer buiten de regio van het virtuele netwerk en het paar aangewezen regio.Service endpoints don't apply to traffic outside the region of the virtual network and the designated region pair. U kunt alleen regels voor het verlenen van toegang van virtuele netwerken voor storage-accounts in de primaire regio van een opslagaccount of in de aangewezen gekoppelde regio toepassen.You can only apply network rules granting access from virtual networks to storage accounts in the primary region of a storage account or in the designated paired region.

Vereiste machtigingenRequired permissions

Als u wilt een virtueel netwerk-regel van toepassing op een storage-account, moet de gebruiker de juiste machtigingen voor de subnetten die worden toegevoegd.To apply a virtual network rule to a storage account, the user must have the appropriate permissions for the subnets being added. De machtiging die nodig is Service koppelen aan een Subnet en is opgenomen in de Inzender voor Opslagaccounts ingebouwde rol.The permission needed is Join Service to a Subnet and is included in the Storage Account Contributor built-in role. Het kan ook worden toegevoegd aan de aangepaste roldefinities.It can also be added to custom role definitions.

Storage-account en de virtuele netwerken krijgen toegang mogelijk tot verschillende abonnementen behoren, maar deze abonnementen moeten deel uitmaken van dezelfde Azure AD-tenant.Storage account and the virtual networks granted access may be in different subscriptions, but those subscriptions must be part of the same Azure AD tenant.

Virtual network-regels beherenManaging virtual network rules

U kunt virtuele-netwerkregels voor storage-accounts via Azure portal, PowerShell of CLIv2 beheren.You can manage virtual network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure PortalAzure portal

  1. Ga naar het opslagaccount dat u wilt beveiligen.Go to the storage account you want to secure.

  2. Klik op het instellingenmenu met de naam Firewalls en virtuele netwerken.Click on the settings menu called Firewalls and virtual networks.

  3. Controleer of u hebt geselecteerd zodat toegang vanaf geselecteerde netwerken.Check that you've selected to allow access from Selected networks.

  4. Toegang verlenen tot een virtueel netwerk met een nieuwe regel voor het netwerk, onder virtuele netwerken, klikt u op bestaand virtueel netwerk toevoegen, selecteer virtuele netwerken en Subnetten opties en klik vervolgens op toevoegen.To grant access to a virtual network with a new network rule, under Virtual networks, click Add existing virtual network, select Virtual networks and Subnets options, and then click Add. Voor het maken van een nieuw virtueel netwerk en het toegang geven, klikt u op nieuw virtueel netwerk toevoegen.To create a new virtual network and grant it access, click Add new virtual network. Geef de informatie die nodig zijn voor de nieuw virtueel netwerk maken en klik vervolgens op maken.Provide the information necessary to create the new virtual network, and then click Create.

    Notitie

    Als een service-eindpunt voor Azure Storage is niet eerder hebt geconfigureerd voor de geselecteerde virtuele netwerk en subnetten, kunt u deze configureren als onderdeel van deze bewerking.If a service endpoint for Azure Storage wasn't previously configured for the selected virtual network and subnets, you can configure it as part of this operation.

  5. Als u wilt een virtueel netwerk of subnet regel verwijderen, klikt u op ... opent u het snelmenu voor het virtuele netwerk of subnet en klik op verwijderen.To remove a virtual network or subnet rule, click ... to open the context menu for the virtual network or subnet, and click Remove.

  6. Klik op opslaan de wijzigingen worden toegepast.Click Save to apply your changes.

PowerShellPowerShell

  1. Installeer de Azure PowerShell en aanmelden.Install the Azure PowerShell and sign in.

  2. Lijst met regels voor virtueel netwerk.List virtual network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
    
  3. Service-eindpunt voor Azure Storage inschakelen op een bestaand virtueel netwerk en subnet.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzVirtualNetwork
    
  4. Voeg een regel voor een virtueel netwerk en subnet toe.Add a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    
  5. Verwijderen van een regel voor een virtueel netwerk en subnet.Remove a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    

Belangrijk

Zorg ervoor dat u de standaardregel instellen naar weigeren, of netwerkregels hebben geen effect.Be sure to set the default rule to deny, or network rules have no effect.

CLIv2CLIv2

  1. Installeer de Azure CLI en aanmelden.Install the Azure CLI and sign in.

  2. Lijst met regels voor virtueel netwerk.List virtual network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
    
  3. Service-eindpunt voor Azure Storage inschakelen op een bestaand virtueel netwerk en subnet.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
    
  4. Voeg een regel voor een virtueel netwerk en subnet toe.Add a network rule for a virtual network and subnet.

    $subnetid=(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    
  5. Verwijderen van een regel voor een virtueel netwerk en subnet.Remove a network rule for a virtual network and subnet.

    $subnetid=(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    

Belangrijk

Zorg ervoor dat u de standaardregel instellen naar weigeren, of netwerkregels hebben geen effect.Be sure to set the default rule to deny, or network rules have no effect.

Toegang verlenen vanuit een IP-bereikGrant access from an internet IP range

U kunt storage-accounts voor toegang via internet voor specifieke openbare IP-adresbereiken.You can configure storage accounts to allow access from specific public internet IP address ranges. Deze configuratie verleent toegang tot specifieke internet gebaseerde services en on-premises netwerken en algemene internetverkeer wordt geblokkeerd.This configuration grants access to specific internet-based services and on-premises networks and blocks general internet traffic.

Geef toegestane internet-adresbereiken met behulp van CIDR-notatie in het formulier 16.17.18.0/24 of afzonderlijke IP-adressen, zoals 16.17.18.19.Provide allowed internet address ranges using CIDR notation in the form 16.17.18.0/24 or as individual IP addresses like 16.17.18.19.

Notitie

Kleine adresbereiken met behulp van '/ 31' of '/ 32' voorvoegsel grootten worden niet ondersteund.Small address ranges using "/31" or "/32" prefix sizes are not supported. Deze bereiken moeten worden geconfigureerd met behulp van afzonderlijke regels voor IP-adres.These ranges should be configured using individual IP address rules.

IP-netwerkregels zijn alleen toegestaan voor openbare internet IP-adressen.IP network rules are only allowed for public internet IP addresses. IP-adresbereiken die zijn gereserveerd voor particuliere netwerken (zoals gedefinieerd in RFC 1918) zijn niet toegestaan in de IP-regels.IP address ranges reserved for private networks (as defined in RFC 1918) aren't allowed in IP rules. Particuliere netwerken bevatten adressen die met beginnen 10.* , 172.16. * - 172.31. * , en 192.168. * .Private networks include addresses that start with 10.*, 172.16.* - 172.31.*, and 192.168.*.

Notitie

IP-netwerkregels hebben geen invloed op aanvragen die afkomstig zijn van dezelfde Azure-regio als het opslagaccount.IP network rules have no effect on requests originating from the same Azure region as the storage account. Gebruik virtuele-netwerkregels waarmee aanvragen voor dezelfde regio.Use Virtual network rules to allow same-region requests.

Alleen IPV4-adressen worden ondersteund op dit moment.Only IPV4 addresses are supported at this time.

Elk opslagaccount biedt ondersteuning voor maximaal 100 IP-netwerkregels, die kunnen worden gecombineerd met virtuele-netwerkregels.Each storage account supports up to 100 IP network rules, which may be combined with Virtual network rules.

Toegang vanaf on-premises netwerken configurerenConfiguring access from on-premises networks

Om toegang te verlenen vanaf uw on-premises netwerken met uw opslagaccount met een regel voor IP-netwerk, moet u het internetgerichte IP-adressen die worden gebruikt door uw netwerk te identificeren.To grant access from your on-premises networks to your storage account with an IP network rule, you must identify the internet facing IP addresses used by your network. Neem contact op met de netwerkbeheerder voor hulp.Contact your network administrator for help.

Als u ExpressRoute gebruikt vanuit uw on-premises netwerk voor openbare peering of Microsoft-peering, moet u de NAT IP-adressen opgeven die worden gebruikt.If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Voor openbare peering gebruikt elk ExpressRoute-circuit standaard twee NAT IP-adressen. Deze worden toegepast op Azure-serviceverkeer wanneer het verkeer het Microsoft Azure-backbone-netwerk binnenkomt.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Voor Microsoft-peering worden de NAT IP-adressen die worden gebruikt opgegeven door de klant of de serviceprovider.For Microsoft peering, the NAT IP address(es) that are used are either customer provided or are provided by the service provider. Voor toegang tot uw serviceresources moet u deze openbare IP-adressen toestaan in de instelling voor IP-firewall voor de resource.To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Wanneer u op zoek bent naar de IP-adressen van uw ExpressRoute-circuit, opent u een ondersteuningsticket met ExpressRoute via de Azure Portal.To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Meer informatie over NAT voor openbare peering en Microsoft-peering met ExpressRoute.Learn more about NAT for ExpressRoute public and Microsoft peering.

IP-netwerkregels beherenManaging IP network rules

U kunt IP-netwerkregels voor storage-accounts via Azure portal, PowerShell of CLIv2 beheren.You can manage IP network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure PortalAzure portal

  1. Ga naar het opslagaccount dat u wilt beveiligen.Go to the storage account you want to secure.

  2. Klik op het instellingenmenu met de naam Firewalls en virtuele netwerken.Click on the settings menu called Firewalls and virtual networks.

  3. Controleer of u hebt geselecteerd zodat toegang vanaf geselecteerde netwerken.Check that you've selected to allow access from Selected networks.

  4. Om te verlenen toegang tot een internet-IP-bereik, voer het IP-adres of adresbereik (in CIDR-indeling) onder Firewall > adresbereik.To grant access to an internet IP range, enter the IP address or address range (in CIDR format) under Firewall > Address Range.

  5. Als u wilt verwijderen van een regel voor IP-netwerk, klikt u op het prullenbakpictogram naast het adresbereik.To remove an IP network rule, click the trash can icon next to the address range.

  6. Klik op opslaan de wijzigingen worden toegepast.Click Save to apply your changes.

PowerShellPowerShell

  1. Installeer de Azure PowerShell en aanmelden.Install the Azure PowerShell and sign in.

  2. Lijst met regels voor IP-netwerk.List IP network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
    
  3. Voeg een regel voor een afzonderlijk IP-adres toe.Add a network rule for an individual IP address.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  4. Voeg een regel voor een IP-adresbereik toe.Add a network rule for an IP address range.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    
  5. Verwijderen van een regel voor een afzonderlijk IP-adres.Remove a network rule for an individual IP address.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  6. Een regel voor een IP-adresbereik verwijderen.Remove a network rule for an IP address range.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    

Belangrijk

Zorg ervoor dat u de standaardregel instellen naar weigeren, of netwerkregels hebben geen effect.Be sure to set the default rule to deny, or network rules have no effect.

CLIv2CLIv2

  1. Installeer de Azure CLI en aanmelden.Install the Azure CLI and sign in.

  2. Lijst met regels voor IP-netwerk.List IP network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
    
  3. Voeg een regel voor een afzonderlijk IP-adres toe.Add a network rule for an individual IP address.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  4. Voeg een regel voor een IP-adresbereik toe.Add a network rule for an IP address range.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    
  5. Verwijderen van een regel voor een afzonderlijk IP-adres.Remove a network rule for an individual IP address.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  6. Een regel voor een IP-adresbereik verwijderen.Remove a network rule for an IP address range.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    

Belangrijk

Zorg ervoor dat u de standaardregel instellen naar weigeren, of netwerkregels hebben geen effect.Be sure to set the default rule to deny, or network rules have no effect.

UitzonderingenExceptions

Netwerkregels kunnen zorgen ervoor dat de configuratie van een beveiligd netwerk voor de meeste scenario's.Network rules can enable a secure network configuration for most scenarios. Er zijn echter enkele gevallen waarbij uitzonderingen moeten worden toegekend om in te schakelen van de volledige functionaliteit.However, there are some cases where exceptions must be granted to enable full functionality. U kunt storage-accounts configureren met uitzonderingen voor vertrouwde Microsoft-services, en voor toegang tot gegevens van storage analytics.You can configure storage accounts with exceptions for trusted Microsoft services, and for access to storage analytics data.

Vertrouwde Microsoft-servicesTrusted Microsoft services

Sommige Microsoft-services die interactie met de storage-accounts hebben werken van netwerken die toegang via netwerkregels kunnen niet worden toegekend.Some Microsoft services that interact with storage accounts operate from networks that can't be granted access through network rules.

Om te helpen bij dit type service werken zoals bedoeld, kunt u de set vertrouwde Microsoft-services om de netwerkregels over te slaan.To help this type of service work as intended, allow the set of trusted Microsoft services to bypass the network rules. Deze services wordt sterke verificatie gebruikt voor toegang tot het opslagaccount.These services will then use strong authentication to access the storage account.

Als u inschakelt de vertrouwde Microsoft-services toestaan... uitzondering, de volgende services (indien geregistreerd in uw abonnement), krijgen toegang tot het opslagaccount:If you enable the Allow trusted Microsoft services... exception, the following services (when registered in your subscription), are granted access to the storage account:

ServiceService Resource-providernaamResource Provider Name DoelPurpose
Azure BackupAzure Backup Microsoft.RecoveryServicesMicrosoft.RecoveryServices Back-ups en herstelbewerkingen van niet-beheerde schijven in virtuele machines van IAAS uitvoeren.Run backups and restores of unmanaged disks in IAAS virtual machines. (niet vereist voor beheerde schijven).(not required for managed disks). Meer informatie.Learn more.
Azure Data BoxAzure Data Box Microsoft.DataBoxMicrosoft.DataBox Hiermee kunt u gegevens importeren naar Azure met behulp van Data Box.Enables import of data to Azure using Data Box. Meer informatie.Learn more.
Azure DevTest LabsAzure DevTest Labs Microsoft.DevTestLabMicrosoft.DevTestLab Aangepaste installatiekopie maken en artefact installatie.Custom image creation and artifact installation. Meer informatie.Learn more.
Azure Event GridAzure Event Grid Microsoft.EventGridMicrosoft.EventGrid Gebeurtenispublicatie Blob-opslag inschakelen en toestaan van Event Grid om te publiceren naar storage-wachtrijen.Enable Blob Storage event publishing and allow Event Grid to publish to storage queues. Meer informatie over blob-opslaggebeurtenissen en publiceren naar wachtrijen.Learn about blob storage events and publishing to queues.
Azure Event HubsAzure Event Hubs Microsoft.EventHubMicrosoft.EventHub Gegevens met Event Hubs Capture archiveren.Archive data with Event Hubs Capture. Meer informatie.Learn More.
Azure File SyncAzure File Sync Microsoft.StorageSyncMicrosoft.StorageSync Hiermee kunt u uw on-premises Bestands server transformeren naar een cache voor Azure-bestands shares.Enables you to transform your on-prem file server to a cache for Azure File shares. Het toestaan van synchronisatie op meerdere locaties, snelle herstel na nood gevallen en back-ups aan de Cloud zijde.Allowing for multi-site sync, fast disaster-recovery, and cloud-side backup. Meer informatieLearn more
Azure HDInsightAzure HDInsight Microsoft.HDInsightMicrosoft.HDInsight Richt de oorspronkelijke inhoud in van het standaard bestandssysteem voor een nieuw HDInsight-cluster.Provision the initial contents of the default file system for a new HDInsight cluster. Meer informatie.Learn more.
Azure Machine Learning-serviceAzure Machine Learning Service Microsoft.MachineLearningServicesMicrosoft.MachineLearningServices Geautoriseerde Azure Machine Learning-werk ruimten schrijven experiment-uitvoer, modellen en logboeken naar Blob Storage.Authorized Azure Machine Learning workspaces write experiment output, models, and logs to Blob storage. Meer informatie.Learn more.
Azure MonitorAzure Monitor Microsoft.InsightsMicrosoft.Insights Kan het schrijven van gegevens naar een beveiligde storage-account te controleren meer.Allows writing of monitoring data to a secured storage account Learn more.
Azure-netwerkenAzure Networking Microsoft.NetworkMicrosoft.Network Store en netwerk-verkeerslogboeken te analyseren.Store and analyze network traffic logs. Meer informatie.Learn more.
Azure Site RecoveryAzure Site Recovery Microsoft.SiteRecoveryMicrosoft.SiteRecovery Herstel na noodgevallen configureren door het inschakelen van replicatie voor virtuele machines van Azure IaaS.Configure disaster recovery by enabling replication for Azure IaaS virtual machines. Dit is vereist als u de cache-opslagaccount firewall is ingeschakeld of bron storage-account of doelopslagaccount.This is required if you are using firewall enabled cache storage account or source storage account or target storage account. Meer informatie.Learn more.
Azure SQL Data WarehouseAzure SQL Data Warehouse Microsoft.SqlMicrosoft.Sql Hiermee kunt u scenario's voor het importeren en exporteren van specifieke SQL-data base-instanties met poly base.Allows import and export scenarios from specific SQL Databases instances using PolyBase. Meer informatie.Learn more.
Azure Stream AnalyticsAzure Stream Analytics Microsoft.StreamAnalyticsMicrosoft.StreamAnalytics Hiermee staat u toe dat gegevens van een streaming-taak naar de Blob-opslag worden geschreven.Allows data from a streaming job to be written to Blob storage. Deze functie is momenteel beschikbaar als preview-versie.Note that this feature is currently in preview. Meer informatie.Learn more.

Toegang tot gegevens van Storage analyticsStorage analytics data access

In sommige gevallen is de toegang tot diagnostische logboeken en metrische gegevens lezen vereist van buiten de grens van het netwerk.In some cases, access to read diagnostic logs and metrics is required from outside the network boundary. U kunt uitzonderingen voor de netwerkregels waarmee leestoegang tot de logboekbestanden voor storage-account en/of de metrische gegevens over tabellen verlenen.You can grant exceptions to the network rules to allow read-access to storage account log files, metrics tables, or both. Meer informatie over het werken met opslaganalyse.Learn more about working with storage analytics.

Uitzonderingen beherenManaging exceptions

U kunt uitzonderingen op netwerk via Azure portal, PowerShell of Azure CLI beheren v2.You can manage network rule exceptions through the Azure portal, PowerShell, or Azure CLI v2.

Azure PortalAzure portal

  1. Ga naar het opslagaccount dat u wilt beveiligen.Go to the storage account you want to secure.

  2. Klik op het instellingenmenu met de naam Firewalls en virtuele netwerken.Click on the settings menu called Firewalls and virtual networks.

  3. Controleer of u hebt geselecteerd zodat toegang vanaf geselecteerde netwerken.Check that you've selected to allow access from Selected networks.

  4. Onder uitzonderingen, selecteert u de uitzonderingen die u wilt verlenen.Under Exceptions, select the exceptions you wish to grant.

  5. Klik op opslaan de wijzigingen worden toegepast.Click Save to apply your changes.

PowerShellPowerShell

  1. Installeer de Azure PowerShell en aanmelden.Install the Azure PowerShell and sign in.

  2. De uitzonderingen voor de storage-account-netwerkregels worden weergegeven.Display the exceptions for the storage account network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
    
  3. De uitzonderingen aan de storage-account network-regels configureren.Configure the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
    
  4. Verwijder de uitzonderingen voor de netwerkregels voor storage-account.Remove the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
    

Belangrijk

Zorg ervoor dat u de standaardregel instellen naar weigeren, of verwijder uitzonderingen hebben geen effect.Be sure to set the default rule to deny, or removing exceptions have no effect.

CLIv2CLIv2

  1. Installeer de Azure CLI en aanmelden.Install the Azure CLI and sign in.

  2. De uitzonderingen voor de storage-account-netwerkregels worden weergegeven.Display the exceptions for the storage account network rules.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
    
  3. De uitzonderingen aan de storage-account network-regels configureren.Configure the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
    
  4. Verwijder de uitzonderingen voor de netwerkregels voor storage-account.Remove the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
    

Belangrijk

Zorg ervoor dat u de standaardregel instellen naar weigeren, of verwijder uitzonderingen hebben geen effect.Be sure to set the default rule to deny, or removing exceptions have no effect.

Volgende stappenNext steps

Meer informatie over Azure Network service-eindpunten in Service-eindpunten.Learn more about Azure Network service endpoints in Service endpoints.

Duik dieper in Azure Storage-beveiliging in Azure Storage-beveiligingshandleiding.Dig deeper into Azure Storage security in Azure Storage security guide.