Configurar o armazenamento do Azure firewalls e redes virtuaisConfigure Azure Storage firewalls and virtual networks

O armazenamento do Azure fornece um modelo de segurança em camadas.Azure Storage provides a layered security model. Este modelo permite-lhe proteger as contas de armazenamento para um conjunto específico de redes suportados.This model enables you to secure your storage accounts to a specific set of supported networks. Quando as regras de rede estiverem configuradas, apenas as aplicações pedir dados de mais de mil o conjunto especificado de redes podem aceder a uma conta de armazenamento.When network rules are configured, only applications requesting data from over the specified set of networks can access a storage account.

Uma aplicação que acede a uma conta de armazenamento quando as regras de rede estão em vigor requer autorização adequada no pedido.An application that accesses a storage account when network rules are in effect requires proper authorization on the request. Autorização é suportada com as credenciais do Azure Active Directory (Azure AD) para blobs e filas, com uma chave de acesso de conta válido ou um token de SAS.Authorization is supported with Azure Active Directory (Azure AD) credentials for blobs and queues, with a valid account access key, or with an SAS token.

Importante

Ativar as regras de firewall para a sua conta de armazenamento bloqueia pedidos de entrada de dados por predefinição, a menos que os pedidos provenientes de um serviço que está a funcionar dentro de uma rede Virtual do Azure (VNet).Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests come from a service that is operating within an Azure Virtual Network (VNet). Pedidos que estão bloqueados incluem os de outros serviços do Azure, do portal do Azure, do Registro em log e serviços de métricas e assim por diante.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on.

Pode conceder acesso aos serviços do Azure que funcionam de dentro de uma VNet, permitindo que a sub-rede da instância do serviço.You can grant access to Azure services that operate from within a VNet by allowing the subnet of the service instance. Ativar um número limitado de cenários por meio da exceções mecanismo descrito na secção seguinte.Enable a limited number of scenarios through the Exceptions mechanism described in the following section. Para aceder ao portal do Azure, terá de estar numa máquina dentro do limite confiável (IP ou VNet) que configurou.To access the Azure portal, you would need to be on a machine within the trusted boundary (either IP or VNet) that you set up.

Nota

Este artigo foi atualizado para utilizar o módulo Azure PowerShell Az novo.This article has been updated to use the new Azure PowerShell Az module. Pode continuar a utilizar o módulo de AzureRM, que vai continuar a receber correções de erros até que, pelo menos, Dezembro de 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Para saber mais sobre o novo módulo Az e AzureRM compatibilidade, veja apresentando o novo módulo Azure PowerShell Az.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Para instruções de instalação do módulo de Az, consulte instalar o Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

CenáriosScenarios

Configure contas de armazenamento para negar o acesso ao tráfego de todas as redes (incluindo o tráfego de internet) por predefinição.Configure storage accounts to deny access to traffic from all networks (including internet traffic) by default. Em seguida, conceda acesso ao tráfego de VNets específico.Then grant access to traffic from specific VNets. Esta configuração permite-lhe criar um limite de rede segura para as suas aplicações.This configuration enables you to build a secure network boundary for your applications. Também pode conceder acesso à internet pública intervalos de endereços IP, habilitar conexões de clientes de internet ou no local específicos.You can also grant access to public internet IP address ranges, enabling connections from specific internet or on-premises clients.

Regras de rede são impostas em todos os protocolos de rede ao armazenamento do Azure, incluindo o SMB e REST.Network rules are enforced on all network protocols to Azure storage, including REST and SMB. Para acessar os dados com ferramentas como o portal do Azure, o Explorador de armazenamento e o AZCopy, são necessárias regras de rede explícita.To access the data with tools like Azure portal, Storage Explorer, and AZCopy, explicit network rules are required.

Pode aplicar regras de rede para contas de armazenamento existentes ou quando criar novas contas de armazenamento.You can apply network rules to existing storage accounts, or when you create new storage accounts.

Assim que as regras de rede são aplicadas, elas são impostas para todos os pedidos.Once network rules are applied, they're enforced for all requests. Tokens SAS que concedem acesso a um endereço IP específico servem para limitar o acesso do token portador, mas não a conceder acesso de novo para além de regras de rede configuradas.SAS tokens that grant access to a specific IP address serve to limit the access of the token holder, but don't grant new access beyond configured network rules.

Tráfego de disco de máquina virtual (incluindo montar e desmontar as operações de e/s de disco) não é afetado pelas regras de rede.Virtual machine disk traffic (including mount and unmount operations, and disk IO) is not affected by network rules. Acesso REST aos blobs de página está protegido por regras de rede.REST access to page blobs is protected by network rules.

Contas de armazenamento clássicas não suportam firewalls e redes virtuais.Classic storage accounts do not support firewalls and virtual networks.

Pode utilizar discos não geridos nas contas de armazenamento com regras de rede aplicadas às VMs de cópia de segurança e restauro através da criação de uma exceção.You can use unmanaged disks in storage accounts with network rules applied to backup and restore VMs by creating an exception. Esse processo está documentado no exceções seção deste artigo.This process is documented in the Exceptions section of this article. Exceções de firewall não são aplicáveis com discos geridos à medida que já sejam geridos pelo Azure.Firewall exceptions aren't applicable with managed disks as they're already managed by Azure.

Alterar a regra de acesso de rede predefinidaChange the default network access rule

Por predefinição, as contas de armazenamento aceitam ligações de clientes em qualquer rede.By default, storage accounts accept connections from clients on any network. Para limitar o acesso a redes selecionadas, primeiro tem de alterar a ação predefinida.To limit access to selected networks, you must first change the default action.

Aviso

Fazer alterações às regras de rede pode afetar a capacidade de seus aplicativos para se ligar ao armazenamento do Azure.Making changes to network rules can impact your applications' ability to connect to Azure Storage. Definir a regra de rede predefinido para negar todos os blocos de acesso aos dados, a menos que as regras de rede específicas para conceder acesso também são aplicadas.Setting the default network rule to deny blocks all access to the data unless specific network rules to grant access are also applied. Certifique-se de que conceder acesso a quaisquer redes permitidas utilizar regras de rede antes de alterar a regra predefinida para negar o acesso.Be sure to grant access to any allowed networks using network rules before you change the default rule to deny access.

Gerir regras de acesso de rede predefinidasManaging default network access rules

Pode gerir as regras de acesso de rede predefinido para contas de armazenamento através do portal do Azure, PowerShell ou CLIv2.You can manage default network access rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Portal do AzureAzure portal

  1. Vá para a conta de armazenamento que pretende proteger.Go to the storage account you want to secure.

  2. Clique no menu de definições denominado Firewalls e redes virtuais.Click on the settings menu called Firewalls and virtual networks.

  3. Para negar o acesso por predefinição, optar por permitir acesso a partir redes selecionadas.To deny access by default, choose to allow access from Selected networks. Para permitir tráfego de todas as redes, optar por permitir acesso a partir todas as redes.To allow traffic from all networks, choose to allow access from All networks.

  4. Clique em guardar para aplicar as alterações.Click Save to apply your changes.

PowerShellPowerShell

  1. Instalar o do Azure PowerShell e iniciar sessão.Install the Azure PowerShell and sign in.

  2. Apresenta o estado da regra predefinida para a conta de armazenamento.Display the status of the default rule for the storage account.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").DefaultAction
    
  3. Defina a regra predefinida para negar o acesso à rede por predefinição.Set the default rule to deny network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
    
  4. Defina a regra predefinida para permitir o acesso à rede por predefinição.Set the default rule to allow network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
    

CLIv2CLIv2

  1. Instalar o CLI do Azure e iniciar sessão.Install the Azure CLI and sign in.

  2. Apresenta o estado da regra predefinida para a conta de armazenamento.Display the status of the default rule for the storage account.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.defaultAction
    
  3. Defina a regra predefinida para negar o acesso à rede por predefinição.Set the default rule to deny network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
    
  4. Defina a regra predefinida para permitir o acesso à rede por predefinição.Set the default rule to allow network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
    

Conceder acesso a partir de uma rede virtualGrant access from a virtual network

Pode configurar contas de armazenamento para permitir o acesso apenas a partir de VNets específico.You can configure storage accounts to allow access only from specific VNets.

Ativar uma ponto final de serviço do armazenamento do Azure dentro da VNet.Enable a Service endpoint for Azure Storage within the VNet. Este ponto final permite tráfego de uma rota ideal para o serviço de armazenamento do Azure.This endpoint gives traffic an optimal route to the Azure Storage service. As identidades de rede virtual e sub-rede também são transmitidas com cada solicitação.The identities of the virtual network and the subnet are also transmitted with each request. Os administradores podem, em seguida, configurar regras de rede para a conta de armazenamento que permitem que pedidos a serem recebidos de sub-redes específicas na VNet.Administrators can then configure network rules for the storage account that allow requests to be received from specific subnets in the VNet. Os clientes concedido o acesso através destas regras de rede têm de continuar para cumprir os requisitos de autorização da conta de armazenamento para acessar os dados.Clients granted access via these network rules must continue to meet the authorization requirements of the storage account to access the data.

Cada conta de armazenamento suporta até 100 regras de rede virtual, que podem ser combinadas com regras de rede IP.Each storage account supports up to 100 virtual network rules, which may be combined with IP network rules.

Regiões de rede virtual disponívelAvailable virtual network regions

Em geral, os pontos finais de serviço funcionam entre redes virtuais e instâncias do serviço na mesma região do Azure.In general, service endpoints work between virtual networks and service instances in the same Azure region. Quando utilizar pontos finais de serviço com o armazenamento do Azure, este âmbito cresce para incluir o região emparelhada.When using service endpoints with Azure Storage, this scope grows to include the paired region. Pontos finais de serviço permitem a continuidade durante uma ativação pós-falha e o acesso a instâncias de armazenamento georredundante de só de leitura (RA-GRS).Service endpoints allow continuity during a regional failover and access to read-only geo-redundant storage (RA-GRS) instances. Regras de rede que concedam acesso a partir de uma rede virtual para uma conta de armazenamento também concedem acesso a qualquer instância de RA-GRS.Network rules that grant access from a virtual network to a storage account also grant access to any RA-GRS instance.

Quando planear a recuperação após desastre durante uma falha regional, deve criar as VNets na região emparelhada com antecedência.When planning for disaster recovery during a regional outage, you should create the VNets in the paired region in advance. Ative pontos finais de serviço para o armazenamento do Azure, com regras de rede, conceder acesso a partir destas redes virtuais alternativas.Enable service endpoints for Azure Storage, with network rules granting access from these alternative virtual networks. Em seguida, aplica estas regras para as suas contas de armazenamento georredundante.Then apply these rules to your geo-redundant storage accounts.

Nota

Pontos finais de serviço não se aplicam ao tráfego fora da região de rede virtual e o par de regiões designado.Service endpoints don't apply to traffic outside the region of the virtual network and the designated region pair. Só pode aplicar regras de rede, conceder acesso a partir de redes virtuais para contas de armazenamento na região primária de uma conta de armazenamento ou na região emparelhada designado.You can only apply network rules granting access from virtual networks to storage accounts in the primary region of a storage account or in the designated paired region.

Permissões obrigatóriasRequired permissions

Para aplicar uma regra de rede virtual a uma conta de armazenamento, o utilizador tem de ter as permissões adequadas para as sub-redes que está a ser adicionadas.To apply a virtual network rule to a storage account, the user must have the appropriate permissions for the subnets being added. A permissão necessário é aderir ao serviço a uma sub-rede e está incluído nos contribuinte de conta de armazenamento função incorporada.The permission needed is Join Service to a Subnet and is included in the Storage Account Contributor built-in role. Também podem ser adicionada às definições de função personalizada.It can also be added to custom role definitions.

Conta de armazenamento e as redes virtuais concedido o acesso pode ser em subscrições diferentes, mas essas subscrições têm de fazer parte do mesmo inquilino do Azure AD.Storage account and the virtual networks granted access may be in different subscriptions, but those subscriptions must be part of the same Azure AD tenant.

Gerir regras de rede virtualManaging virtual network rules

Pode gerir regras de rede virtual para contas de armazenamento através do portal do Azure, PowerShell ou CLIv2.You can manage virtual network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Portal do AzureAzure portal

  1. Vá para a conta de armazenamento que pretende proteger.Go to the storage account you want to secure.

  2. Clique no menu de definições denominado Firewalls e redes virtuais.Click on the settings menu called Firewalls and virtual networks.

  3. Verifique se selecionou para permitir o acesso a partir redes selecionadas.Check that you've selected to allow access from Selected networks.

  4. Para conceder acesso a uma rede virtual com uma nova regra de rede, em redes virtuais, clique em adicionar rede virtual existente, selecione redes virtuais e Sub-redes opções e clique em adicionar.To grant access to a virtual network with a new network rule, under Virtual networks, click Add existing virtual network, select Virtual networks and Subnets options, and then click Add. Para criar uma nova rede virtual e conceder acesso, clique em Adicionar nova rede virtual.To create a new virtual network and grant it access, click Add new virtual network. Forneça as informações necessárias para criar a nova rede virtual e, em seguida, clique em criar.Provide the information necessary to create the new virtual network, and then click Create.

    Nota

    Se um ponto final de serviço do armazenamento do Azure não foi configurado anteriormente para a rede virtual selecionada e sub-redes, pode configurá-lo como parte desta operação.If a service endpoint for Azure Storage wasn't previously configured for the selected virtual network and subnets, you can configure it as part of this operation.

  5. Para remover uma rede virtual ou a regra de sub-rede, clique em ... para abrir o menu de contexto para a rede virtual ou sub-rede e clique em remover.To remove a virtual network or subnet rule, click ... to open the context menu for the virtual network or subnet, and click Remove.

  6. Clique em guardar para aplicar as alterações.Click Save to apply your changes.

PowerShellPowerShell

  1. Instalar o do Azure PowerShell e iniciar sessão.Install the Azure PowerShell and sign in.

  2. Lista de regras de rede virtual.List virtual network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
    
  3. Ative o ponto final de serviço do armazenamento do Azure numa rede virtual existente e a sub-rede.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzVirtualNetwork
    
  4. Adicione uma regra de rede para uma rede virtual e uma sub-rede.Add a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    
  5. Remova uma regra de rede para uma rede virtual e uma sub-rede.Remove a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    

Importante

Não se esqueça definir a regra predefinida ao negar, ou as regras de rede não têm qualquer efeito.Be sure to set the default rule to deny, or network rules have no effect.

CLIv2CLIv2

  1. Instalar o CLI do Azure e iniciar sessão.Install the Azure CLI and sign in.

  2. Lista de regras de rede virtual.List virtual network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
    
  3. Ative o ponto final de serviço do armazenamento do Azure numa rede virtual existente e a sub-rede.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
    
  4. Adicione uma regra de rede para uma rede virtual e uma sub-rede.Add a network rule for a virtual network and subnet.

    $subnetid=(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    
  5. Remova uma regra de rede para uma rede virtual e uma sub-rede.Remove a network rule for a virtual network and subnet.

    $subnetid=(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    

Importante

Não se esqueça definir a regra predefinida ao negar, ou as regras de rede não têm qualquer efeito.Be sure to set the default rule to deny, or network rules have no effect.

Conceder acesso a partir de um internet intervalo IPGrant access from an internet IP range

Pode configurar contas de armazenamento para permitir o acesso a partir da internet pública específica intervalos de endereços IP.You can configure storage accounts to allow access from specific public internet IP address ranges. Esta configuração concede acesso a serviços específicos baseados na internet e redes no local e bloqueia o tráfego de internet geral.This configuration grants access to specific internet-based services and on-premises networks and blocks general internet traffic.

Fornecer internet permitidos intervalos de endereços usando notação CIDR sob a forma 16.17.18.0/24 ou como individual IP, como endereços 16.17.18.19.Provide allowed internet address ranges using CIDR notation in the form 16.17.18.0/24 or as individual IP addresses like 16.17.18.19.

Nota

Intervalos de endereços pequenos com "/ 31" ou "/ 32" prefixo tamanhos não são suportados.Small address ranges using "/31" or "/32" prefix sizes are not supported. Estes intervalos devem ser configurados com regras de endereços IP individuais.These ranges should be configured using individual IP address rules.

Regras de rede IP só são permitidas para internet pública endereços IP.IP network rules are only allowed for public internet IP addresses. Reservado para redes privadas de intervalos de endereços de IP (conforme definido na RFC 1918) não são permitidos em regras de IP.IP address ranges reserved for private networks (as defined in RFC 1918) aren't allowed in IP rules. Redes privadas incluem endereços que comecem com 10.* , 172.16. * - 172.31. * , e 192.168. * .Private networks include addresses that start with 10.*, 172.16.* - 172.31.*, and 192.168.*.

Nota

Regras de rede IP não têm qualquer efeito nos pedidos com origem na mesma região do Azure que a conta de armazenamento.IP network rules have no effect on requests originating from the same Azure region as the storage account. Uso regras de rede Virtual para permitir pedidos da mesma região.Use Virtual network rules to allow same-region requests.

Apenas endereços IPV4 são suportados neste momento.Only IPV4 addresses are supported at this time.

Cada conta de armazenamento suporta até 100 regras de rede IP, que podem ser combinadas com regras de rede Virtual.Each storage account supports up to 100 IP network rules, which may be combined with Virtual network rules.

Configurar o acesso a partir de redes no localConfiguring access from on-premises networks

Para conceder acesso a partir de suas redes no local para a sua conta de armazenamento com uma regra de rede IP, tem de identificar endereços IP utilizados pela sua rede de acesso à internet.To grant access from your on-premises networks to your storage account with an IP network rule, you must identify the internet facing IP addresses used by your network. Contacte o administrador de rede para obter ajuda.Contact your network administrator for help.

Se estiver a utilizar ExpressRoute no local, para peering público ou peering da Microsoft, terá de identificar os endereços NAT IP que são utilizados.If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Para peering público, cada circuito ExpressRoute, por predefinição, utiliza dois endereços IP NAT que são aplicados ao tráfego de serviço do Azure quando o tráfego entra no backbone de rede do Microsoft Azure.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Para peering da Microsoft, o(s) endereço(s) IP NAT que são utilizados são fornecidos pelo cliente ou são fornecidos pelo fornecedor de serviços.For Microsoft peering, the NAT IP address(es) that are used are either customer provided or are provided by the service provider. Para permitir o acesso aos recursos de serviço, tem de permitir estes endereços IP públicos na definição da firewall do IP dos recursos.To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Para localizar os endereços IP do circuito ExpressRoute de peering público, abra um pedido de suporte no ExpressRoute através do portal do Azure.To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Saiba mais sobre NAT para peering público e da Microsoft do ExpressRoute.Learn more about NAT for ExpressRoute public and Microsoft peering.

Gerir regras de rede IPManaging IP network rules

Pode gerir regras de rede IP para as contas de armazenamento através do portal do Azure, PowerShell ou CLIv2.You can manage IP network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Portal do AzureAzure portal

  1. Vá para a conta de armazenamento que pretende proteger.Go to the storage account you want to secure.

  2. Clique no menu de definições denominado Firewalls e redes virtuais.Click on the settings menu called Firewalls and virtual networks.

  3. Verifique se selecionou para permitir o acesso a partir redes selecionadas.Check that you've selected to allow access from Selected networks.

  4. Para conceder acesso a um internet intervalo de IP, introduza o endereço IP ou intervalo de endereços (no formato CIDR) sob Firewall > intervalo de endereços.To grant access to an internet IP range, enter the IP address or address range (in CIDR format) under Firewall > Address Range.

  5. Para remover uma regra de rede IP, clique no ícone de caixote do lixo junto o intervalo de endereços.To remove an IP network rule, click the trash can icon next to the address range.

  6. Clique em guardar para aplicar as alterações.Click Save to apply your changes.

PowerShellPowerShell

  1. Instalar o do Azure PowerShell e iniciar sessão.Install the Azure PowerShell and sign in.

  2. Listar regras de rede IP.List IP network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
    
  3. Adicione uma regra de rede para um endereço IP individual.Add a network rule for an individual IP address.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  4. Adicione uma regra de rede para um intervalo de endereços IP.Add a network rule for an IP address range.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    
  5. Remova uma regra de rede para um endereço IP individual.Remove a network rule for an individual IP address.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  6. Remova uma regra de rede para um intervalo de endereços IP.Remove a network rule for an IP address range.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    

Importante

Não se esqueça definir a regra predefinida ao negar, ou as regras de rede não têm qualquer efeito.Be sure to set the default rule to deny, or network rules have no effect.

CLIv2CLIv2

  1. Instalar o CLI do Azure e iniciar sessão.Install the Azure CLI and sign in.

  2. Listar regras de rede IP.List IP network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
    
  3. Adicione uma regra de rede para um endereço IP individual.Add a network rule for an individual IP address.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  4. Adicione uma regra de rede para um intervalo de endereços IP.Add a network rule for an IP address range.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    
  5. Remova uma regra de rede para um endereço IP individual.Remove a network rule for an individual IP address.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  6. Remova uma regra de rede para um intervalo de endereços IP.Remove a network rule for an IP address range.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    

Importante

Não se esqueça definir a regra predefinida ao negar, ou as regras de rede não têm qualquer efeito.Be sure to set the default rule to deny, or network rules have no effect.

ExceçõesExceptions

Regras de rede podem ativar uma configuração de rede segura para a maioria dos cenários.Network rules can enable a secure network configuration for most scenarios. No entanto, existem alguns casos em que as exceções devem ser concedidas para ativar a funcionalidade completa.However, there are some cases where exceptions must be granted to enable full functionality. Pode configurar contas de armazenamento com exceções para serviços Microsoft fidedignos e para acesso a dados de análise de armazenamento.You can configure storage accounts with exceptions for trusted Microsoft services, and for access to storage analytics data.

Serviços Microsoft fidedignosTrusted Microsoft services

Alguns serviços da Microsoft que interagem com contas de armazenamento operam de redes que não não possível conceder acesso por meio de regras de rede.Some Microsoft services that interact with storage accounts operate from networks that can't be granted access through network rules.

Para ajudar a este tipo de trabalho do serviço conforme pretendido, permitir que o conjunto de serviços Microsoft fidedignos para ignorar as regras de rede.To help this type of service work as intended, allow the set of trusted Microsoft services to bypass the network rules. Estes serviços, em seguida, irão utilizar a autenticação segura para aceder à conta de armazenamento.These services will then use strong authentication to access the storage account.

Se ativar o permitir confiável a serviços da Microsoft... exceção, os seguintes serviços (quando é registado na sua subscrição), é concedido acesso à conta de armazenamento:If you enable the Allow trusted Microsoft services... exception, the following services (when registered in your subscription), are granted access to the storage account:

ServiçoService Nome do fornecedor de recursosResource Provider Name ObjetivoPurpose
Azure BackupAzure Backup Microsoft.RecoveryServicesMicrosoft.RecoveryServices Executar cópias de segurança e restauros de discos não geridos em máquinas de virtuais IAAS.Run backups and restores of unmanaged disks in IAAS virtual machines. (não necessário para discos geridos).(not required for managed disks). Saiba mais.Learn more.
Azure Data BoxAzure Data Box Microsoft.DataBoxMicrosoft.DataBox Permite que a importação de dados para o Azure com o Data Box.Enables import of data to Azure using Data Box. Saiba mais.Learn more.
Azure DevTest LabsAzure DevTest Labs Microsoft.DevTestLabMicrosoft.DevTestLab Instalação de Federação e de criação de imagem personalizada.Custom image creation and artifact installation. Saiba mais.Learn more.
Azure Event GridAzure Event Grid Microsoft.EventGridMicrosoft.EventGrid Ativar a publicação de eventos de armazenamento de BLOBs e permitir que o Event Grid publicar em filas do armazenamento.Enable Blob Storage event publishing and allow Event Grid to publish to storage queues. Saiba mais sobre eventos de armazenamento de BLOBs e publicação para filas.Learn about blob storage events and publishing to queues.
Azure Event HubsAzure Event Hubs Microsoft.EventHubMicrosoft.EventHub Arquivar dados com a captura de Hubs de eventos.Archive data with Event Hubs Capture. Saiba mais.Learn More.
Azure HDInsightAzure HDInsight Microsoft.HDInsightMicrosoft.HDInsight Aprovisione o conteúdo inicial do sistema de ficheiros predefinido para um novo cluster do HDInsight.Provision the initial contents of the default file system for a new HDInsight cluster. Saiba mais.Learn more.
Azure MonitorAzure Monitor Microsoft. insightsMicrosoft.Insights Permite a escrita de dados para uma conta de armazenamento seguro de monitorização Saiba mais.Allows writing of monitoring data to a secured storage account Learn more.
Redes do AzureAzure Networking Microsoft.NetworkMicrosoft.Network Store e analisar registos de tráfego de rede.Store and analyze network traffic logs. Saiba mais.Learn more.
Azure Site RecoveryAzure Site Recovery Microsoft.SiteRecoveryMicrosoft.SiteRecovery Configure recuperação após desastre ao ativar a replicação para máquinas de virtuais de IaaS do Azure.Configure disaster recovery by enabling replication for Azure IaaS virtual machines. Isto é necessário se estiver a utilizar a conta de armazenamento de cache de firewall ativada ou a conta de armazenamento de origem ou a conta de armazenamento de destino.This is required if you are using firewall enabled cache storage account or source storage account or target storage account. Saiba mais.Learn more.
Azure SQL Data WarehouseAzure SQL Data Warehouse Microsoft.SqlMicrosoft.Sql Permite importar e exportar os cenários de instâncias específicas de bases de dados SQL com o PolyBase.Allows import and export scenarios from specific SQL Databases instances using PolyBase. Saiba mais.Learn more.

Acesso de dados de análise de armazenamentoStorage analytics data access

Em alguns casos, o acesso para ler os registos de diagnóstico e métricas é necessário a partir de fora do limite de rede.In some cases, access to read diagnostic logs and metrics is required from outside the network boundary. Pode conceder exceções para as regras de rede para permitir o acesso de leitura aos ficheiros de registo de conta de armazenamento, as tabelas de métricas ou ambos.You can grant exceptions to the network rules to allow read-access to storage account log files, metrics tables, or both. Saiba mais sobre como trabalhar com a análise de armazenamento.Learn more about working with storage analytics.

Gestão de exceçõesManaging exceptions

Pode gerir as exceções de regra de rede através do portal do Azure, o PowerShell ou a CLI do Azure v2.You can manage network rule exceptions through the Azure portal, PowerShell, or Azure CLI v2.

Portal do AzureAzure portal

  1. Vá para a conta de armazenamento que pretende proteger.Go to the storage account you want to secure.

  2. Clique no menu de definições denominado Firewalls e redes virtuais.Click on the settings menu called Firewalls and virtual networks.

  3. Verifique se selecionou para permitir o acesso a partir redes selecionadas.Check that you've selected to allow access from Selected networks.

  4. Sob exceções, selecione as exceções que pretende conceder.Under Exceptions, select the exceptions you wish to grant.

  5. Clique em guardar para aplicar as alterações.Click Save to apply your changes.

PowerShellPowerShell

  1. Instalar o do Azure PowerShell e iniciar sessão.Install the Azure PowerShell and sign in.

  2. Apresente as exceções para as regras de rede da conta de armazenamento.Display the exceptions for the storage account network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
    
  3. Configure as exceções às regras de rede de conta de armazenamento.Configure the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
    
  4. Remova as exceções às regras de rede de conta de armazenamento.Remove the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
    

Importante

Não se esqueça definir a regra predefinida ao negar, ou remoção de exceções não têm qualquer efeito.Be sure to set the default rule to deny, or removing exceptions have no effect.

CLIv2CLIv2

  1. Instalar o CLI do Azure e iniciar sessão.Install the Azure CLI and sign in.

  2. Apresente as exceções para as regras de rede da conta de armazenamento.Display the exceptions for the storage account network rules.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
    
  3. Configure as exceções às regras de rede de conta de armazenamento.Configure the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
    
  4. Remova as exceções às regras de rede de conta de armazenamento.Remove the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
    

Importante

Não se esqueça definir a regra predefinida ao negar, ou remoção de exceções não têm qualquer efeito.Be sure to set the default rule to deny, or removing exceptions have no effect.

Passos SeguintesNext steps

Saiba mais sobre pontos finais de serviço de rede do Azure no pontos finais de serviço.Learn more about Azure Network service endpoints in Service endpoints.

Aprofunde os seus conhecimentos sobre a segurança de armazenamento do Azure no guia de segurança do armazenamento do Azure.Dig deeper into Azure Storage security in Azure Storage security guide.