Azure Storage-firewalls en virtuele netwerken configureren
Azure Storage biedt een gelaagd beveiligingsmodel. Met dit model kunt u het toegangsniveau voor uw opslagaccounts beveiligen en beheren dat uw toepassingen en bedrijfsomgevingen nodig hebben, op basis van het type en de subset van de gebruikte netwerken of resources. Wanneer netwerkregels zijn geconfigureerd, hebben alleen toepassingen die gegevens aanvragen via de opgegeven set netwerken of via de opgegeven set Azure-resources toegang tot een opslagaccount. U kunt de toegang tot uw opslagaccount beperken tot aanvragen die afkomstig zijn van opgegeven IP-adressen, IP-bereiken, subnetten in een Azure Virtual Network (VNet) of resource-exemplaren van sommige Azure-services.
Storage accounts hebben een openbaar eindpunt dat toegankelijk is via internet. U kunt ook privé-eindpunten maken voor uw opslagaccount,waarmee een privé-IP-adres van uw VNet aan het opslagaccount wordt toegewezen en al het verkeer tussen uw VNet en het opslagaccount via een privékoppeling wordt beveiligd. De Firewall voor Azure Storage biedt toegangsbeheer voor het openbare eindpunt van uw opslagaccount. U kunt de firewall ook gebruiken om alle toegang via het openbare eindpunt te blokkeren wanneer u privé-eindpunten gebruikt. Met uw firewallconfiguratie voor opslag kunt u ook vertrouwde Azure-platformservices selecteren om veilig toegang te krijgen tot het opslagaccount.
Een toepassing die toegang heeft tot een opslagaccount wanneer netwerkregels van kracht zijn, vereist nog steeds de juiste autorisatie voor de aanvraag. Autorisatie wordt ondersteund Azure Active Directory referenties (Azure AD) voor blobs en wachtrijen, met een geldige accounttoegangssleutel of met een SAS-token.
Belangrijk
Door firewallregels in te stellen voor uw opslagaccount worden binnenkomende aanvragen voor gegevens standaard geblokkeerd, tenzij de aanvragen afkomstig zijn van een service die binnen een Azure Virtual Network (VNet) of van toegestane openbare IP-adressen werkt. Aanvragen die worden geblokkeerd, zijn onder andere aanvragen van andere Azure-services, Azure Portal, logboekregistratie- en metrische gegevensservices, en meer.
U kunt toegang verlenen tot Azure-services die vanuit een VNet worden uitgevoerd door verkeer toe te staan van het subnet dat als host voor het service-exemplaar wordt gebruikt. U kunt ook een beperkt aantal scenario's inschakelen via het uitzonderingenmechanisme dat hieronder wordt beschreven. Als u toegang wilt krijgen tot gegevens van het opslagaccount via de Azure Portal, moet u zich op een computer binnen de vertrouwde grens (IP of VNet) die u hebt ingesteld.
Notitie
In dit artikel wordt de Azure Az PowerShell-module gebruikt. Dit is de aanbevolen PowerShell-module voor interactie met Azure. Raadpleeg Azure PowerShell installeren om aan de slag te gaan met de Az PowerShell-module. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Scenario's
Als u uw opslagaccount wilt beveiligen, moet u eerst een regel configureren om de toegang tot verkeer van alle netwerken (inclusief internetverkeer) op het openbare eindpunt standaard te weigeren. Vervolgens moet u regels configureren die toegang verlenen tot verkeer van specifieke VNets. U kunt ook regels configureren om toegang te verlenen tot verkeer van geselecteerde IP-adresbereiken voor openbaar internet, waardoor verbindingen van specifieke internet- of on-premises clients worden ingeschakeld. Met deze configuratie kunt u een beveiligde netwerkgrens voor uw toepassingen bouwen.
U kunt firewallregels combineren die toegang toestaan vanuit specifieke virtuele netwerken en vanuit openbare IP-adresbereiken in hetzelfde opslagaccount. Storage kunnen worden toegepast op bestaande opslagaccounts of bij het maken van nieuwe opslagaccounts.
Storage firewallregels zijn van toepassing op het openbare eindpunt van een opslagaccount. U hebt geen firewalltoegangsregels nodig om verkeer toe te staan voor privé-eindpunten van een opslagaccount. Het proces van het goedkeuren van het maken van een privé-eindpunt verleent impliciete toegang tot verkeer van het subnet dat als host voor het privé-eindpunt wordt gebruikt.
Netwerkregels worden afgedwongen op alle netwerkprotocollen voor Azure-opslag, inclusief REST en SMB. Voor toegang tot gegevens met behulp van hulpprogramma's zoals Azure Portal, Storage Explorer en AzCopy moeten expliciete netwerkregels worden geconfigureerd.
Zodra netwerkregels zijn toegepast, worden ze afgedwongen voor alle aanvragen. SAS-tokens die toegang verlenen tot een specifiek IP-adres, beperken de toegang van de tokenhouder, maar verlenen geen nieuwe toegang buiten de geconfigureerde netwerkregels.
Schijfverkeer van virtuele machines (inclusief bewerkingen voor het loskoppelen en ontkoppelen van schijven) wordt niet beïnvloed door netwerkregels. REST-toegang tot pagina-blobs wordt beveiligd door netwerkregels.
Klassieke opslagaccounts bieden geen ondersteuning voor firewalls en virtuele netwerken.
U kunt niet-beheren schijven in opslagaccounts gebruiken met netwerkregels die worden toegepast om back-up te maken van VM's en deze te herstellen door een uitzondering te maken. Dit proces wordt beschreven in de sectie Uitzonderingen beheren van dit artikel. Firewall-uitzonderingen zijn niet van toepassing op beheerde schijven, omdat ze al worden beheerd door Azure.
Standaardregel voor netwerktoegang wijzigen
Standaard accepteren opslagaccounts verbindingen van clients in elk netwerk. Als u de toegang wilt beperken tot bepaalde netwerken, moet u eerst de standaardactie wijzigen.
Waarschuwing
Als u wijzigingen aanbrengt in de netwerkregels, kan dit van invloed zijn op de mogelijkheid van uw toepassingen om verbinding te maken met Azure Storage. Als u de standaardnetwerkregel instelt op Weigeren, blokkeert u alle toegang tot de gegevens, tenzij er ook specifieke netwerkregels worden toegepast die toegang verlenen. Zorg ervoor dat u alleen toegang verleent tot netwerken die gebruikmaken van netwerkregels voordat u de standaardregel wijzigt om de toegang te weigeren.
Standaardregels voor netwerktoegang beheren
U kunt standaardregels voor netwerktoegang voor opslagaccounts beheren via Azure Portal, PowerShell of CLIv2.
Ga naar het opslagaccount dat u wilt beveiligen.
Selecteer in het instellingenmenu Netwerken.
Als u toegang standaard wilt weigeren, kiest u ervoor om toegang vanuit geselecteerde netwerken toe te staan. Als u verkeer van alle netwerken wilt toestaan, verleent u toegang vanaf Alle netwerken.
Klik op Opslaan om uw wijzigingen toe te passen.
Toegang verlenen vanuit een virtueel netwerk
U kunt opslagaccounts zo configureren dat alleen toegang vanuit specifieke subnetten wordt toegestaan. De toegestane subnetten kunnen deel uitmaken van een VNet in hetzelfde abonnement of van een ander abonnement, waaronder abonnementen die behoren tot een andere Azure Active Directory tenant.
Schakel een service-eindpunt in voor Azure Storage binnen het VNet. Het service-eindpunt routeer verkeer van het VNet via een optimaal pad naar Azure Storage service. De identiteiten van het subnet en het virtuele netwerk worden ook bij elke aanvraag verzonden. Beheerders kunnen vervolgens netwerkregels configureren voor het opslagaccount waarmee aanvragen kunnen worden ontvangen van specifieke subnetten in een VNet. Clients die toegang krijgen via deze netwerkregels, moeten blijven voldoen aan de autorisatievereisten van het opslagaccount voor toegang tot de gegevens.
Elk opslagaccount ondersteunt maximaal 200 regels voor virtuele netwerken, die kunnen worden gecombineerd met IP-netwerkregels.
Belangrijk
Als u een subnet verwijdert dat is opgenomen in een netwerkregel, wordt dit verwijderd uit de netwerkregels voor het opslagaccount. Als u een nieuw subnet met dezelfde naam maakt, heeft het geen toegang tot het opslagaccount. Als u toegang wilt toestaan, moet u het nieuwe subnet expliciet machtigen in de netwerkregels voor het opslagaccount.
Beschikbare virtuele-netwerkregio's
Over het algemeen werken service-eindpunten tussen virtuele netwerken en service-exemplaren in dezelfde Azure-regio. Wanneer u service-eindpunten gebruikt met Azure Storage, neemt dit bereik toe met de gekoppelde regio. Service-eindpunten bieden continuïteit tijdens een regionale failover en toegang tot ra-GRS-exemplaren (geografisch redundante opslag) met alleen-lezentoegang. Netwerkregels die vanuit een virtueel netwerk toegang verlenen tot een opslagaccount, verlenen ook toegang tot elk RA-GRS-exemplaar.
Bij het plannen van herstel na noodherstel tijdens een regionale storing moet u de VNets vooraf in de gekoppelde regio maken. Schakel service-eindpunten in voor Azure Storage, met netwerkregels die toegang verlenen vanuit deze alternatieve virtuele netwerken. Pas deze regels vervolgens toe op uw geografisch redundante opslagaccounts.
Notitie
Service-eindpunten zijn niet van toepassing op verkeer buiten de regio van het virtuele netwerk en het toegewezen regiopaar. U kunt alleen netwerkregels toepassen die vanuit virtuele netwerken toegang verlenen tot opslagaccounts in de primaire regio van een opslagaccount of in de aangewezen gekoppelde regio.
Vereiste machtigingen
Als u een regel voor een virtueel netwerk wilt toepassen op een opslagaccount, moet de gebruiker over de juiste machtigingen beschikken voor de subnetten die worden toegevoegd. Het toepassen van een regel kan worden uitgevoerd door een Storage-accountbijdrager of een gebruiker die via een aangepaste Azure-rol toestemming heeft gekregen voor de Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action azure-resourceproviderbewerking.
Storage-account en de virtuele netwerken die toegang krijgen, kunnen zich in verschillende abonnementen, waaronder abonnementen die deel uitmaken van een andere Azure AD-tenant.
Notitie
Configuratie van regels die toegang verlenen tot subnetten in virtuele netwerken die deel uitmaken van een andere Azure Active Directory-tenant, worden momenteel alleen ondersteund via Powershell-, CLI- en REST-API's. Dergelijke regels kunnen niet worden geconfigureerd via de Azure Portal, maar ze kunnen wel worden bekeken in de portal.
Regels voor virtuele netwerken beheren
U kunt regels voor virtuele netwerken voor opslagaccounts beheren via Azure Portal, PowerShell of CLIv2.
Ga naar het opslagaccount dat u wilt beveiligen.
Selecteer in het instellingenmenu Netwerken.
Controleer of u hebt geselecteerd om toegang vanuit Geselecteerde netwerken toe te staan.
Als u toegang wilt verlenen tot een virtueel netwerk met een nieuwe netwerkregel, selecteert u onder Virtuele netwerken de optie Bestaand virtueel netwerk toevoegen, selecteert u Opties voor virtuele netwerken en Subnetten en selecteert u vervolgens Toevoegen. Als u een nieuw virtueel netwerk wilt maken en toegang wilt verlenen, selecteert u Nieuw virtueel netwerk toevoegen. Geef de informatie op die nodig is om het nieuwe virtuele netwerk te maken en selecteer vervolgens Maken.
Notitie
Als een service-eindpunt voor Azure Storage niet eerder is geconfigureerd voor het geselecteerde virtuele netwerk en de geselecteerde subnetten, kunt u dit configureren als onderdeel van deze bewerking.
Momenteel worden alleen virtuele netwerken die tot dezelfde tenant Azure Active Directory weergegeven voor selectie tijdens het maken van regels. Als u toegang wilt verlenen tot een subnet in een virtueel netwerk dat behoort tot een andere tenant, gebruikt u Powershell, CLI of REST API's.
Als u een regel voor een virtueel netwerk of subnet wilt verwijderen, selecteert u ... om het contextmenu voor het virtuele netwerk of subnet te openen en selecteert u Verwijderen.
Selecteer Opslaan om uw wijzigingen toe te passen.
Toegang verlenen vanuit een ip-adresbereik op internet
U kunt IP-netwerkregels gebruiken om toegang vanuit specifieke IP-adresbereiken voor openbaar internet toe te staan door IP-netwerkregels te maken. Elk opslagaccount ondersteunt maximaal 200 regels. Deze regels verlenen toegang tot specifieke internetservices en on-premises netwerken en blokkeert algemeen internetverkeer.
De volgende beperkingen zijn van toepassing op IP-adresbereiken.
IP-netwerkregels zijn alleen toegestaan voor OPENBARE IP-adressen op internet.
IP-adresbereiken die zijn gereserveerd voor particuliere netwerken (zoals gedefinieerd in RFC 1918),zijn niet toegestaan in IP-regels. Privénetwerken bevatten adressen die beginnen met 10.**, 172.16. - 172.31.* en *192.168.**.
U moet toegestane internetadresbereiken met CIDR-notatie in de notatie 16.17.18.0/24 of als afzonderlijke IP-adressen zoals 16.17.18.19 verstrekken.
Kleine adresbereiken met de voorvoegselgrootten /31 of /32 worden niet ondersteund. Deze adresbereiken moeten worden geconfigureerd met behulp van afzonderlijke IP-adresregels.
Alleen IPV4-adressen worden ondersteund voor de configuratie van firewallregels voor opslag.
IP-netwerkregels kunnen niet worden gebruikt in de volgende gevallen:
Om de toegang tot clients in dezelfde Azure-regio als het opslagaccount te beperken.
IP-netwerkregels hebben geen invloed op aanvragen die afkomstig zijn uit dezelfde Azure-regio als het opslagaccount. Gebruik regels voor virtuele netwerken om aanvragen in dezelfde regio toe te staan.
De toegang beperken tot clients in een gekoppelde regio die zich in een VNet met een service-eindpunt.
De toegang beperken tot Azure-services die zijn geïmplementeerd in dezelfde regio als het opslagaccount.
Services die zijn geïmplementeerd in dezelfde regio als het opslagaccount, gebruiken privé-Azure IP-adressen voor communicatie. U kunt de toegang tot specifieke Azure-services dus niet beperken op basis van hun openbare uitgaande IP-adresbereik.
Toegang vanuit on-premises netwerken configureren
Als u via een IP-netwerkregel vanuit uw on-premises netwerken toegang wilt verlenen tot uw opslagaccount, moet u de internet gerichte IP-adressen identificeren die door uw netwerk worden gebruikt. Neem contact op met uw netwerkbeheerder voor hulp.
Als u ExpressRoute gebruikt vanuit uw on-premises netwerk voor openbare peering of Microsoft-peering, moet u de NAT IP-adressen opgeven die worden gebruikt. Voor openbare peering gebruikt elk ExpressRoute-circuit standaard twee NAT IP-adressen. Deze worden toegepast op Azure-serviceverkeer wanneer het verkeer het Microsoft Azure-backbone-netwerk binnenkomt. Voor Microsoft-peering worden de GEBRUIKTE NAT IP-adressen geleverd door de klant of door de serviceprovider. Voor toegang tot uw serviceresources moet u deze openbare IP-adressen toestaan in de instelling voor IP-firewall voor de resource. Wanneer u op zoek bent naar de IP-adressen van uw ExpressRoute-circuit voor openbare peering, opent u een ondersteuningsticket met ExpressRoute via de Azure-portal. Meer informatie over NAT voor openbare peering en Microsoft-peering met ExpressRoute.
IP-netwerkregels beheren
U kunt IP-netwerkregels voor opslagaccounts beheren via Azure Portal, PowerShell of CLIv2.
Ga naar het opslagaccount dat u wilt beveiligen.
Selecteer in het instellingenmenu Netwerken.
Controleer of u hebt geselecteerd om toegang vanuit Geselecteerde netwerken toe te staan.
Als u toegang wilt verlenen tot een IP-adresbereik op internet, voert u het IP-adres of adresbereik in (in CIDR-indeling) onder Adresbereik van firewall. >
Als u een IP-netwerkregel wilt verwijderen, selecteert u het prullenbakpictogram naast het adresbereik.
Klik op Opslaan om uw wijzigingen toe te passen.
Toegang verlenen vanuit Azure-resource-exemplaren (preview)
In sommige gevallen kan een toepassing afhankelijk zijn van Azure-resources die niet kunnen worden geïsoleerd via een virtueel netwerk of een IP-adresregel. U wilt echter nog steeds de toegang tot opslagaccounts beveiligen en beperken tot alleen de Azure-resources van uw toepassing. U kunt opslagaccounts configureren om toegang te verlenen tot specifieke resource-exemplaren van sommige Azure-services door een regel voor een resource-exemplaar te maken.
De typen bewerkingen die een resource-exemplaar kan uitvoeren op opslagaccountgegevens, worden bepaald door de Azure-roltoewijzingen van het resource-exemplaar. Resource-exemplaren moeten afkomstig zijn van dezelfde tenant als uw opslagaccount, maar ze kunnen deel uitmaken van elk abonnement in de tenant.
Notitie
Deze functie is in openbare preview en is beschikbaar in alle regio's van de openbare cloud.
U kunt resourcenetwerkregels toevoegen of verwijderen in de Azure Portal.
Meld u aan bij de Azure-portal om aan de slag te gaan.
Zoek uw opslagaccount en geef het accountoverzicht weer.
Selecteer Netwerken om de configuratiepagina voor netwerken weer te geven.
Kies in de vervolgkeuzelijst Resourcetype het resourcetype van uw resource-exemplaar.
Kies in de vervolgkeuzelijst Exemplaarnaam de resource-instantie. U kunt er ook voor kiezen om alle resource-exemplaren op te nemen in de actieve tenant, het abonnement of de resourcegroep.
Klik op Opslaan om uw wijzigingen toe te passen. Het resource-exemplaar wordt weergegeven in de sectie Resource-exemplaren van de pagina Netwerkinstellingen.
Als u het resource-exemplaar wilt verwijderen, selecteert u het verwijderpictogram ( 
) naast het resource-exemplaar.
Toegang verlenen aan vertrouwde Azure-services
Sommige Azure-services werken vanuit netwerken die niet kunnen worden opgenomen in uw netwerkregels. U kunt een subset van dergelijke vertrouwde Azure-services toegang verlenen tot het opslagaccount, terwijl u netwerkregels voor andere apps onderhoudt. Deze vertrouwde services gebruiken vervolgens sterke verificatie om veilig verbinding te maken met uw opslagaccount.
U kunt toegang verlenen tot vertrouwde Azure-services door een netwerkregel-uitzondering te maken. Zie de sectie Uitzonderingen beheren van dit artikel voor stapsgewijs advies.
Wanneer u toegang verleent tot vertrouwde Azure-services, verleent u de volgende soorten toegang:
- Vertrouwde toegang voor geselecteerde bewerkingen voor resources die zijn geregistreerd in uw abonnement.
- Vertrouwde toegang tot resources op basis van door het systeem toegewezen beheerde identiteit.
Vertrouwde toegang voor resources die zijn geregistreerd in uw abonnement
Resources van sommige services, wanneer ze zijn geregistreerd in uw abonnement, hebben toegang tot uw opslagaccount in hetzelfde abonnement voor bepaalde bewerkingen, zoals het schrijven van logboeken of het maken van back-ups. De volgende tabel beschrijft elke service en de toegestane bewerkingen.
| Service | Naam van resourceprovider | Bewerkingen toegestaan |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices | Back-ups en herstel van niet-mande schijven uitvoeren op virtuele IAAS-machines. (niet vereist voor beheerde schijven). Meer informatie. |
| Azure Data Box | Microsoft.DataBox | Hiermee kunt u gegevens importeren in Azure met behulp van Data Box. Meer informatie. |
| Azure DevTest Labs | Microsoft.DevTestLab | Aangepaste installatie van installatie van installatie van afbeeldingen en artefacten. Meer informatie. |
| Azure Event Grid | Microsoft.EventGrid | Schakel Blob Storage gebeurtenispublicatie in en Event Grid publiceren naar opslagwachtrijen. Meer informatie over blob-opslaggebeurtenissen en het publiceren naar wachtrijen. |
| Azure Event Hubs | Microsoft.EventHub | Gegevens archiveren met Event Hubs Capture. Meer informatie. |
| Azure File Sync | Microsoft.StorageSync | Hiermee kunt u uw on-prem bestandsserver transformeren naar een cache voor Azure-bestands shares. Synchronisatie van meerdere plaatsen, snel herstel na noodherstel en back-ups in de cloud toestaan. Meer informatie |
| Azure HDInsight | Microsoft.HDInsight | De initiële inhoud van het standaardbestandssysteem inrichten voor een nieuw HDInsight-cluster. Meer informatie. |
| Azure Import Export | Microsoft.ImportExport | Hiermee kunt u het importeren van gegevens Azure Storage of exporteren van gegevens Azure Storage de Azure Storage Import/Export service. Meer informatie. |
| Azure Monitor | Microsoft.Insights | Hiermee kunt u bewakingsgegevens schrijven naar een beveiligd opslagaccount, met inbegrip van resourcelogboeken, Azure Active Directory aanmeldings- en auditlogboeken en Microsoft Intune logboeken. Meer informatie. |
| Azure-netwerken | Microsoft.Network | Sla netwerkverkeerslogboeken op en analyseer deze, inclusief via Network Watcher en Traffic Analytics services. Meer informatie. |
| Azure Site Recovery | Microsoft.SiteRecovery | Schakel replicatie in voor herstel na noodherstel van virtuele Azure IaaS-machines wanneer u cache-, bron- of doelopslagaccounts met firewall-ondersteuning gebruikt. Meer informatie. |
Vertrouwde toegang op basis van door het systeem toegewezen beheerde identiteit
De volgende tabel bevat services die toegang kunnen hebben tot uw opslagaccountgegevens als de resource-exemplaren van deze services de juiste machtiging krijgen.
Als de hiërarchische naamruimtefunctie niet is ingeschakeld voor uw account, kunt u machtigingen verlenen door expliciet een Azure-rol toe te wijzen aan de door het systeem toegewezen beheerde identiteit voor elk resource-exemplaar. In dit geval komt het toegangsbereik voor het exemplaar overeen met de Azure-rol die aan de beheerde identiteit is toegewezen.
U kunt dezelfde techniek gebruiken voor een account met de functie hiërarchische naamruimte. U hoeft echter geen Azure-rol toe te wijzen als u de door het systeem toegewezen beheerde identiteit toevoegt aan de toegangsbeheerlijst (ACL) van een map of blob in het opslagaccount. In dat geval komt het toegangsbereik voor het exemplaar overeen met de map of het bestand waaraan de door het systeem toegewezen beheerde identiteit toegang heeft gekregen. U kunt ook Azure-rollen en ACL's combineren. Zie Access control model in Azure Data Lake Storage Gen2 (Model voor toegangsbeheer in Azure Data Lake Storage Gen2) voor meerinformatie over het combineren ervan om toegang te verlenen.
Tip
De aanbevolen manier om toegang te verlenen tot specifieke resources is door regels voor resource-exemplaren te gebruiken. Zie de sectie Toegang verlenen vanuit Azure-resource-exemplaren (preview) van dit artikel om toegang te verlenen tot specifieke resource-exemplaren.
| Service | Naam van resourceprovider | Doel |
|---|---|---|
| Azure API Management | Microsoft.ApiManagement/service | Api Management-servicetoegang tot opslagaccounts achter de firewall met behulp van beleid. Meer informatie. |
| Azure Cache voor Redis | Microsoft.Cache/Redis | Hiermee wordt toegang tot opslagaccounts via Azure Cache voor Redis. |
| Azure Cognitive Search | Microsoft.Search/searchServices | Biedt Cognitive Search toegang tot opslagaccounts voor indexering, verwerking en query's. |
| Azure Cognitive Services | Microsoft.CognitiveService/accounts | Hiermee Cognitive Services toegang tot opslagaccounts. Meer informatie. |
| Azure Container Registry Tasks | Microsoft.ContainerRegistry/registries | ACR-taken hebt toegang tot opslagaccounts bij het bouwen van containerafbeeldingen. |
| Azure Data Factory | Microsoft.DataFactory/factories | Hiermee staat u toegang tot opslagaccounts toe via de ADF-runtime. |
| Azure Data Share | Microsoft.DataShare/accounts | Hiermee wordt toegang tot opslagaccounts via Data Share. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs | Hiermee staat u toegang tot opslagaccounts toe via DevTest Labs. |
| Azure Event Grid | Microsoft.EventGrid/topics | Hiermee wordt toegang tot opslagaccounts via de Azure Event Grid. |
| Azure Healthcare APIs | Microsoft.HealthcareApis/services | Hiermee staat u toegang tot opslagaccounts toe via Azure Healthcare-API's. |
| Azure IoT Central toepassingen | Microsoft.IoTCentral/IoTApps | Staat toegang tot opslagaccounts toe via Azure IoT Central toepassingen. |
| Azure IoT Hub | Microsoft.Devices/IotHubs | Hiermee staat u toe dat gegevens van een IoT-hub naar Blob Storage worden geschreven. Meer informatie |
| Azure Logic Apps | Microsoft.Logic/workflows | Hiermee kunnen logische apps toegang krijgen tot opslagaccounts. Meer informatie. |
| Azure Machine Learning-service | Microsoft.MachineLearningServices | Geautoriseerde Azure Machine Learning schrijven experimentuitvoer, modellen en logboeken naar Blob Storage en lezen de gegevens. Meer informatie. |
| Azure Media Services | Microsoft.Media/mediaservices | Hiermee staat u toegang tot opslagaccounts via Media Services. |
| Azure Migrate | Microsoft.Migrate/migrateprojects | Hiermee staat u toegang tot opslagaccounts via Azure Migrate. |
| Azure Purview | Microsoft.Purview/accounts | Hiermee heeft Purview toegang tot opslagaccounts. |
| Azure Remote Rendering | Microsoft.MixedReality/remoteRenderingAccounts | Hiermee wordt toegang tot opslagaccounts via Remote Rendering. |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults | Hiermee wordt toegang tot opslagaccounts via Site Recovery. |
| Azure SQL Database | Microsoft.Sql | Hiermee kunt u controlegegevens schrijven naar opslagaccounts achter de firewall. |
| Azure Synapse Analytics | Microsoft.Sql | Hiermee kunt u gegevens importeren en exporteren uit specifieke SQL databases met behulp van de COPY-instructie of PolyBase (in toegewezen pool), of de functie en externe tabellen openrowset in een serverloze pool. Meer informatie. |
| Azure Stream Analytics | Microsoft.StreamAnalytics | Hiermee staat u toe dat gegevens van een streaming-taak naar Blob Storage worden geschreven. Meer informatie. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | Hiermee wordt toegang tot gegevens in Azure Storage vanuit Azure Synapse Analytics. |
Toegang verlenen tot Opslaganalyse
In sommige gevallen is toegang tot bronlogboeken en metrische gegevens van buiten de netwerkgrens vereist. Wanneer u vertrouwde services toegang tot het opslagaccount configureert, kunt u leestoegang toestaan voor de logboekbestanden, tabellen met metrische gegevens of beide door een netwerkregel-uitzondering te maken. Zie de sectie Uitzonderingen beheren hieronder voor stapsgewijse richtlijnen. Zie Use Azure Storage analytics to collect logs and metrics data (Analytische gegevens gebruiken om logboeken en metrische gegevens te verzamelen) voor meer informatie over het werken met opslaganalyses.
Uitzonderingen beheren
U kunt uitzonderingen voor netwerkregelen beheren via Azure Portal, PowerShell of Azure CLI v2.
Ga naar het opslagaccount dat u wilt beveiligen.
Selecteer in het instellingenmenu Netwerken.
Controleer of u hebt geselecteerd om toegang vanuit Geselecteerde netwerken toe te staan.
Selecteer onder Uitzonderingen de uitzonderingen die u wilt verlenen.
Klik op Opslaan om uw wijzigingen toe te passen.
Volgende stappen
Meer informatie over Azure Network-service-eindpunten in Service-eindpunten.
Dieper ingaan op Azure Storage beveiliging in Azure Storage beveiligingshandleiding.