Настройка брандмауэров службы хранилища Azure и виртуальных сетейConfigure Azure Storage firewalls and virtual networks

Служба хранилища Azure предоставляет многоуровневую модель безопасности.Azure Storage provides a layered security model. Эта модель позволяет защищать и контролировать уровень доступа к учетным записям хранения, которые требуются приложениям и корпоративным средам, в зависимости от типа и подмножества используемых сетей.This model enables you to secure and control the level of access to your storage accounts that your applications and enterprise environments demand, based on the type and subset of networks used. При настройке сетевых правил только приложения, запрашивающие данные через указанный набор сетей, могут получить доступ к учетной записи хранения.When network rules are configured, only applications requesting data over the specified set of networks can access a storage account. Вы можете ограничить доступ к учетной записи хранения запросами, источником которых являются указанные IP-адреса, диапазоны IP-адресов или список подсетей в виртуальной сети Azure (VNet).You can limit access to your storage account to requests originating from specified IP addresses, IP ranges or from a list of subnets in an Azure Virtual Network (VNet).

Учетные записи хранения имеют общедоступную конечную точку, доступную через Интернет.Storage accounts have a public endpoint that is accessible through the internet. Вы также можете создать частные конечные точки для учетной записи хранения, которая назначает частный IP-адрес из виртуальной сети в учетную запись хранения, а также защищает весь трафик между виртуальной сетью и учетной записью хранения по частной ссылке.You can also create Private Endpoints for your storage account, which assigns a private IP address from your VNet to the storage account, and secures all traffic between your VNet and the storage account over a private link. Брандмауэр службы хранилища Azure предоставляет доступ к контролю доступа для общедоступной конечной точки вашей учетной записи хранения.The Azure storage firewall provides access control access for the public endpoint of your storage account. Кроме того, брандмауэр можно использовать для блокировки доступа через общедоступную конечную точку при использовании частных конечных точек.You can also use the firewall to block all access through the public endpoint when using private endpoints. Конфигурация брандмауэра хранилища также позволяет безопасно выбрать Доверенные службы платформы Azure для безопасного доступа к учетной записи хранения.Your storage firewall configuration also enables select trusted Azure platform services to access the storage account securely.

Приложение, которое обращается к учетной записи хранения, когда действуют правила сети, по-прежнему требует соответствующей авторизации для запроса.An application that accesses a storage account when network rules are in effect still requires proper authorization for the request. Авторизация поддерживается с учетными данными Azure Active Directory (Azure AD) для больших двоичных объектов и очередей с допустимым ключом доступа к учетной записи или маркером SAS.Authorization is supported with Azure Active Directory (Azure AD) credentials for blobs and queues, with a valid account access key, or with an SAS token.

Важно!

Включение правил брандмауэра для вашей учетной записи хранения блокирует входящие запросы данных по умолчанию, если запросы не берутся из службы, работающей в виртуальной сети Azure (VNet), или из разрешенных общедоступных IP-адресов.Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests originate from a service operating within an Azure Virtual Network (VNet) or from allowed public IP addresses. Запросы от других служб Azure, в том числе портала Azure, служб метрики и ведения журналов, блокируются.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on.

Вы можете предоставить доступ к службам Azure, работающим в виртуальной сети, разрешив трафик из подсети, в которой размещен экземпляр службы.You can grant access to Azure services that operate from within a VNet by allowing traffic from the subnet hosting the service instance. Можно также включить ограниченное количество сценариев с помощью механизма исключений , описанного ниже.You can also enable a limited number of scenarios through the Exceptions mechanism described below. Чтобы получить доступ к данным из учетной записи хранения с помощью портал Azure, необходимо находиться на компьютере в пределах доверенной границы (IP-адрес или виртуальная сеть), которые вы настроили.To access data from the storage account through the Azure portal, you would need to be on a machine within the trusted boundary (either IP or VNet) that you set up.

Примечание

Эта статья была изменена и теперь содержит сведения о новом модуле Az для Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Вы по-прежнему можете использовать модуль AzureRM, исправления ошибок для которого будут продолжать выпускаться как минимум до декабря 2020 г.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Дополнительные сведения о совместимости модуля Az с AzureRM см. в статье Introducing the new Azure PowerShell Az module (Знакомство с новым модулем Az для Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Инструкции по установке модуля Az см. в статье об установке Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

СценарииScenarios

Чтобы защитить учетную запись хранения, необходимо сначала настроить правило, запрещающее доступ к трафику из всех сетей (включая Интернет-трафик) в общедоступной конечной точке по умолчанию.To secure your storage account, you should first configure a rule to deny access to traffic from all networks (including internet traffic) on the public endpoint, by default. Затем следует настроить правила, предоставляющие доступ к трафику из конкретных виртуальных сетей.Then, you should configure rules that grant access to traffic from specific VNets. Кроме того, можно настроить правила для предоставления доступа к трафику из диапазона общедоступных IP-адресов в Интернете, что позволяет устанавливать подключения от конкретных клиентов в Интернете или локальных клиентах.You can also configure rules to grant access to traffic from select public internet IP address ranges, enabling connections from specific internet or on-premises clients. Такая конфигурация позволяет создать для приложений границу в виде безопасной сети.This configuration enables you to build a secure network boundary for your applications.

Можно сочетать правила брандмауэра, которые разрешают доступ из конкретных виртуальных сетей и из диапазонов общедоступных IP-адресов в одной и той же учетной записи хранения.You can combine firewall rules that allow access from specific virtual networks and from public IP address ranges on the same storage account. Правила брандмауэра хранилища можно применять к существующим учетным записям хранения или при создании новых учетных записей хранения.Storage firewall rules can be applied to existing storage accounts, or when creating new storage accounts.

Правила брандмауэра хранилища применяются к общедоступной конечной точке учетной записи хранения.Storage firewall rules apply to the public endpoint of a storage account. Правила доступа брандмауэра не нужны, чтобы разрешить трафик для частных конечных точек учетной записи хранения.You don't need any firewall access rules to allow traffic for private endpoints of a storage account. Процесс утверждения создания частной конечной точки предоставляет неявный доступ к трафику из подсети, в которой размещается частная конечная точка.The process of approving the creation of a private endpoint grants implicit access to traffic from the subnet that hosts the private endpoint.

В службе хранилища Azure сетевые правила применяются ко всем сетевым протоколам, включая REST и SMB.Network rules are enforced on all network protocols to Azure storage, including REST and SMB. Для доступа к данным с помощью таких средств, как портал Azure, Обозреватель службы хранилища и AZCopy, должны быть настроены явные правила сети.To access data using tools such as the Azure portal, Storage Explorer, and AZCopy, explicit network rules must be configured.

Как только правила сети применены, они распространяются на все запросы.Once network rules are applied, they're enforced for all requests. Токены SAS, позволяющие получить доступ к конкретному IP-адресу, служат для ограничения доступа владельца токена, а не предоставляют доступ к каким-либо новым ресурсам, не указанным в настроенных сетевых правилах.SAS tokens that grant access to a specific IP address serve to limit the access of the token holder, but don't grant new access beyond configured network rules.

Правила сети не влияют на трафик дисков виртуальных машин (включая операции подключения и отключения, а также дисковые операции ввода-вывода).Virtual machine disk traffic (including mount and unmount operations, and disk IO) is not affected by network rules. Сетевые правила обеспечивают безопасность во время доступа REST к страничным BLOB-объектам.REST access to page blobs is protected by network rules.

Классические учетные записи хранения не поддерживают брандмауэры и виртуальные сети.Classic storage accounts do not support firewalls and virtual networks.

Чтобы использовать неуправляемые диски в учетных записях хранения с действующими правилами сети относительно резервного копирования и восстановления виртуальных машин, необходимо создать исключение.You can use unmanaged disks in storage accounts with network rules applied to backup and restore VMs by creating an exception. Эта процедура описана в разделе Исключения данной статьи.This process is documented in the Exceptions section of this article. Исключения брандмауэра не применяются к управляемым дискам, так как ими уже управляет Azure.Firewall exceptions aren't applicable with managed disks as they're already managed by Azure.

Изменение сетевого правила доступа по умолчаниюChange the default network access rule

По умолчанию учетные записи хранения принимают запросы на подключение от клиентов в сети.By default, storage accounts accept connections from clients on any network. Для ограничения доступа из выбранных сетей необходимо сначала изменить действие по умолчанию.To limit access to selected networks, you must first change the default action.

Предупреждение

Изменение сетевых правил может повлиять на возможность подключения приложений к службе хранилища Azure.Making changes to network rules can impact your applications' ability to connect to Azure Storage. Если присвоить сетевому правилу по умолчанию значение Deny , блокируются все доступ к данным, если также не применяются определенные правила сети, предоставляющие доступ.Setting the default network rule to deny blocks all access to the data unless specific network rules that grant access are also applied. Предоставьте доступ для разрешенных сетей с помощью сетевых правил, прежде чем изменить правила по умолчанию и запретить доступ.Be sure to grant access to any allowed networks using network rules before you change the default rule to deny access.

Управление сетевыми правилами доступа по умолчаниюManaging default network access rules

Вы можете управлять сетевыми правилами доступа по умолчанию для учетных записей хранения с помощью портала Azure, PowerShell или CLI версии 2.You can manage default network access rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

портале AzureAzure portal

  1. Перейдите к учетной записи хранения, которую нужно защитить.Go to the storage account you want to secure.

  2. Щелкните меню параметров Брандмауэры и виртуальные сети.Click on the settings menu called Firewalls and virtual networks.

  3. Чтобы запретить доступ по умолчанию, разрешите доступ в разделе Выбранные сети.To deny access by default, choose to allow access from Selected networks. Чтобы разрешить передачу трафика из всех сетей, разрешите доступ в разделе Все сети.To allow traffic from all networks, choose to allow access from All networks.

  4. Щелкните Сохранить, чтобы применить изменения.Click Save to apply your changes.

PowerShellPowerShell

  1. Установите Azure PowerShell и выполните вход.Install the Azure PowerShell and sign in.

  2. Отобразите состояние правила по умолчанию для учетной записи хранения.Display the status of the default rule for the storage account.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").DefaultAction
    
  3. Настройте в правиле по умолчанию запрет сетевого доступа по умолчанию.Set the default rule to deny network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
    
  4. Настройте в правиле по умолчанию разрешение сетевого доступа по умолчанию.Set the default rule to allow network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
    

CLI 2.0CLIv2

  1. Установите Azure CLI и выполните вход.Install the Azure CLI and sign in.

  2. Отобразите состояние правила по умолчанию для учетной записи хранения.Display the status of the default rule for the storage account.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.defaultAction
    
  3. Настройте в правиле по умолчанию запрет сетевого доступа по умолчанию.Set the default rule to deny network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
    
  4. Настройте в правиле по умолчанию разрешение сетевого доступа по умолчанию.Set the default rule to allow network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
    

Предоставление доступа из виртуальной сетиGrant access from a virtual network

Вы можете настроить учетные записи хранения, чтобы разрешить доступ только из конкретных подсетей.You can configure storage accounts to allow access only from specific subnets. Разрешенные подсети могут принадлежать к виртуальной сети в одной подписке или в другой подписке, включая подписки, принадлежащие другому клиенту Azure Active Directory.The allowed subnets may belong to a VNet in the same subscription, or those in a different subscription, including subscriptions belonging to a different Azure Active Directory tenant.

Включите конечную точку службы для службы хранилища Azure, входящей в нужную виртуальную сеть.Enable a Service endpoint for Azure Storage within the VNet. Конечная точка службы направляет трафик из виртуальной сети в оптимальный путь к службе хранилища Azure.The service endpoint routes traffic from the VNet through an optimal path to the Azure Storage service. Удостоверения подсети и виртуальной сети также передаются вместе с каждым запросом.The identities of the subnet and the virtual network are also transmitted with each request. Затем администраторы могут настроить сетевые правила для учетной записи хранения, которая разрешает получение запросов из конкретных подсетей в виртуальной сети.Administrators can then configure network rules for the storage account that allow requests to be received from specific subnets in a VNet. Клиенты, которым предоставлен доступ по этим сетевым правилам, по прежнему должны выполнять требования авторизации учетной записи хранения, чтобы получать доступ к данным.Clients granted access via these network rules must continue to meet the authorization requirements of the storage account to access the data.

Каждая учетная запись хранения поддерживает до 100 правил виртуальной сети, которые можно объединить с правилами IP-сети.Each storage account supports up to 100 virtual network rules, which may be combined with IP network rules.

Доступные регионы виртуальной сетиAvailable virtual network regions

Как правило, конечные точки служб работают между виртуальными сетями и экземплярами служб в одном регионе Azure.In general, service endpoints work between virtual networks and service instances in the same Azure region. При использовании конечных точек служб со службой хранилища Azure область применения расширяется и включает связанный регион.When using service endpoints with Azure Storage, this scope grows to include the paired region. Конечные точки служб обеспечивают непрерывность работы при отработке регионального отказа, а также доступ на чтение к экземплярам геоизбыточного хранилища (RA-GRS).Service endpoints allow continuity during a regional failover and access to read-only geo-redundant storage (RA-GRS) instances. Правила сети, предоставляющие доступ к учетной записи хранения из виртуальной сети, также предоставляют доступ к любому экземпляру RA-GRS.Network rules that grant access from a virtual network to a storage account also grant access to any RA-GRS instance.

Планируя аварийное восстановление на случай регионального сбоя, следует заранее создать виртуальные сети в связанном регионе.When planning for disaster recovery during a regional outage, you should create the VNets in the paired region in advance. Включите конечные точки для службы хранилища Azure с применением сетевых правил, разрешающих доступ из этих альтернативных виртуальных сетей.Enable service endpoints for Azure Storage, with network rules granting access from these alternative virtual networks. Затем примените эти правила к учетным записям своего геоизбыточного хранилища.Then apply these rules to your geo-redundant storage accounts.

Примечание

Конечные точки службы не применяются к трафику за пределами региона виртуальной сети и заданного связанного региона.Service endpoints don't apply to traffic outside the region of the virtual network and the designated region pair. Сетевые правила, предоставляющие доступ к учетным записям хранения из виртуальных сетей, применяются только в основном регионе учетной записи хранения или в заданном связанном регионе.You can only apply network rules granting access from virtual networks to storage accounts in the primary region of a storage account or in the designated paired region.

Необходимые разрешенияRequired permissions

Чтобы применить правило виртуальной сети к учетной записи хранения, у пользователя должны быть соответствующие разрешения для добавляемых подсетей.To apply a virtual network rule to a storage account, the user must have the appropriate permissions for the subnets being added. Это разрешение Join Service to a Subnet (Добавить службу к подсети), включенное во встроенную роль Участник учетных записей хранения.The permission needed is Join Service to a Subnet and is included in the Storage Account Contributor built-in role. Его также можно добавить к определениям пользовательских ролей.It can also be added to custom role definitions.

Учетная запись хранения и виртуальные сети, которым предоставлен доступ, могут находиться в разных подписках, включая подписки, которые являются частью другого клиента Azure AD.Storage account and the virtual networks granted access may be in different subscriptions, including subscriptions that are a part of a different Azure AD tenant.

Примечание

Конфигурация правил, предоставляющих доступ к подсетям в виртуальных сетях, которые являются частью другого клиента Azure Active Directory, в настоящее время поддерживаются только с помощью PowerShell, интерфейса командной строки и API-интерфейсов RESTFUL.Configuration of rules that grant access to subnets in virtual networks that are a part of a different Azure Active Directory tenant are currently only supported through Powershell, CLI and REST APIs. Такие правила нельзя настроить с помощью портал Azure, хотя они могут быть просмотрены на портале.Such rules cannot be configured through the Azure portal, though they may be viewed in the portal.

Управление правилами виртуальной сетиManaging virtual network rules

Правилами виртуальной сети для учетных записей хранения можно управлять с помощью портала Azure, PowerShell или CLI версии 2.You can manage virtual network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

портале AzureAzure portal

  1. Перейдите к учетной записи хранения, которую нужно защитить.Go to the storage account you want to secure.

  2. Щелкните меню параметров Брандмауэры и виртуальные сети.Click on the settings menu called Firewalls and virtual networks.

  3. Убедитесь, что вы разрешили доступ в разделе Выбранные сети.Check that you've selected to allow access from Selected networks.

  4. Чтобы предоставить доступ виртуальной сети с новым сетевым правилом, в разделе Виртуальные сети выберите команду Добавить существующую виртуальную сеть, укажите параметры для пунктов Виртуальные сети и Подсети, а затем нажмите Добавить.To grant access to a virtual network with a new network rule, under Virtual networks, click Add existing virtual network, select Virtual networks and Subnets options, and then click Add. Чтобы создать виртуальную сеть и предоставить ей доступ, выберите команду Добавить новую виртуальную сеть.To create a new virtual network and grant it access, click Add new virtual network. Укажите сведения, необходимые для создания виртуальной сети, а затем нажмите Создать.Provide the information necessary to create the new virtual network, and then click Create.

    Примечание

    Если конечная точка службы для службы хранилища Azure еще не настроена для выбранной виртуальной сети и подсетей, ее можно настроить в ходе этой операции.If a service endpoint for Azure Storage wasn't previously configured for the selected virtual network and subnets, you can configure it as part of this operation.

    В настоящее время для выбора при создании правила отображаются только виртуальные сети, принадлежащие одному и тому же клиенту Azure Active Directory.Presently, only virtual networks belonging to the same Azure Active Directory tenant are shown for selection during rule creation. Чтобы предоставить доступ к подсети в виртуальной сети, принадлежащей другому клиенту, используйте PowerShell, интерфейс командной строки или API-интерфейсы RESTFUL.To grant access to a subnet in a virtual network belonging to another tenant, please use Powershell, CLI or REST APIs.

  5. Если нужно удалить правила виртуальной сети или подсети, щелкните ... , чтобы открыть контекстное меню для виртуальной сети или подсети, и выберите пункт Удалить.To remove a virtual network or subnet rule, click ... to open the context menu for the virtual network or subnet, and click Remove.

  6. Щелкните Сохранить, чтобы применить изменения.Click Save to apply your changes.

PowerShellPowerShell

  1. Установите Azure PowerShell и выполните вход.Install the Azure PowerShell and sign in.

  2. Выведите список правил виртуальной сети.List virtual network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
    
  3. Включите конечную точку службы для службы хранилища Azure в имеющейся виртуальной сети и подсети.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzVirtualNetwork
    
  4. Добавьте сетевое правило для виртуальной сети и подсети.Add a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    

    Совет

    Чтобы добавить сетевое правило для подсети, принадлежащей другому клиенту Azure AD, используйте полный параметр виртуалнетворкресаурцеид в форме "/субскриптионс/субскриптион-ИД/ресаурцеграупс/ресаурцеграуп-наме/провидерс/Микрософт.Нетворк/виртуалнетворкс/внет-наме/субнетс/субнет-наме".To add a network rule for a subnet in a VNet belonging to another Azure AD tenant, use a fully-qualified VirtualNetworkResourceId parameter in the form "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

  5. Удалите сетевое правило для виртуальной сети и подсети.Remove a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    

Важно!

Обязательно укажите для правила по умолчанию значение deny, иначе сетевые правила не будут действовать.Be sure to set the default rule to deny, or network rules have no effect.

CLI 2.0CLIv2

  1. Установите Azure CLI и выполните вход.Install the Azure CLI and sign in.

  2. Выведите список правил виртуальной сети.List virtual network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
    
  3. Включите конечную точку службы для службы хранилища Azure в имеющейся виртуальной сети и подсети.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
    
  4. Добавьте сетевое правило для виртуальной сети и подсети.Add a network rule for a virtual network and subnet.

    $subnetid=(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    

    Совет

    Чтобы добавить правило для подсети, принадлежащей другому клиенту Azure AD, используйте полный идентификатор подсети в форме "/Subscriptions/<Subscription-ID>/resourceGroups/<resourceGroup-Name>/Провидерс/Микрософт.Нетворк/виртуалнетворкс/<vNet-Name>/субнетс/<Subnet-Name>".To add a rule for a subnet in a VNet belonging to another Azure AD tenant, use a fully-qualified subnet ID in the form "/subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>".

    Чтобы получить идентификатор подсети для виртуальной сети, принадлежащей другому клиенту Azure AD, можно использовать параметр Subscription .You can use the subscription parameter to retrieve the subnet ID for a VNet belonging to another Azure AD tenant.

  5. Удалите сетевое правило для виртуальной сети и подсети.Remove a network rule for a virtual network and subnet.

    $subnetid=(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    

Важно!

Обязательно укажите для правила по умолчанию значение deny, иначе сетевые правила не будут действовать.Be sure to set the default rule to deny, or network rules have no effect.

Предоставление доступа из диапазона IP-адресов в ИнтернетеGrant access from an internet IP range

Вы можете настроить учетные записи хранения так, чтобы разрешить доступ из определенных диапазонов общедоступных IP-адресов в Интернете.You can configure storage accounts to allow access from specific public internet IP address ranges. Такая конфигурация позволяет предоставить доступ конкретным интернет-службам и локальным сетям, заблокировав при этом общий интернет-трафик.This configuration grants access to specific internet-based services and on-premises networks and blocks general internet traffic.

Предоставьте разрешенные диапазоны адресов в Интернете, используя нотацию CIDR в формате 16.17.18.0/24 или в виде отдельных IP-адресов, таких как 16.17.18.19.Provide allowed internet address ranges using CIDR notation in the form 16.17.18.0/24 or as individual IP addresses like 16.17.18.19.

Примечание

Небольшие адреса, использующие размеры с префиксом /31 или /32, не поддерживаются.Small address ranges using "/31" or "/32" prefix sizes are not supported. Эти диапазоны следует настраивать с помощью отдельных правил для IP-адресов.These ranges should be configured using individual IP address rules.

Правила IP-сети можно применять только для общедоступных IP-адресов в Интернете.IP network rules are only allowed for public internet IP addresses. Диапазоны IP-адресов, зарезервированные для частных сетей (как определено в документе RFC 1918), запрещено использовать в правилах IP.IP address ranges reserved for private networks (as defined in RFC 1918) aren't allowed in IP rules. К частным сетям относятся адреса, начинающиеся с 10.* , 172.16.* - 172.31.* и 192.168.* .Private networks include addresses that start with 10.*, 172.16.* - 172.31.*, and 192.168.*.

Примечание

Правила IP-сети не затрагивают запросы, исходящие из того же региона Azure, к которому относится учетная запись хранения.IP network rules have no effect on requests originating from the same Azure region as the storage account. Используйте правила виртуальной сети для разрешения запросов из того же региона.Use Virtual network rules to allow same-region requests.

Примечание

Службы, развернутые в том же регионе, что и учетная запись хранения, используют частные IP-адреса Azure для обмена данными.Services deployed in the same region as the storage account use private Azure IP addresses for communication. Поэтому нельзя ограничить доступ к определенным службам Azure на основе их общедоступного диапазона входящих IP-адресов.Thus, you cannot restrict access to specific Azure services based on their public inbound IP address range.

Для настройки правил брандмауэра хранилища поддерживаются только IPV4-адреса.Only IPV4 addresses are supported for configuration of storage firewall rules.

Каждая учетная запись хранения поддерживает до 100 правил сети IP.Each storage account supports up to 100 IP network rules.

Настройка доступа из локальных сетейConfiguring access from on-premises networks

Чтобы предоставить доступ из вашей локальной сети к учетной записи хранения в правиле IP-сети, необходимо определить IP-адреса для Интернета, которые используются в вашей сети.To grant access from your on-premises networks to your storage account with an IP network rule, you must identify the internet facing IP addresses used by your network. За помощью обращайтесь к администратору сети.Contact your network administrator for help.

Если вы используете ExpressRoute для локальной среды, для общедоступного пиринга или пиринга Майкрософт, то вам необходимо определить используемые IP-адреса NAT.If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Для общедоступного пиринга в каждом канале ExpressRoute по умолчанию используется два IP-адреса NAT для трафика служб Azure, когда он входит в основную магистральную сеть Microsoft Azure.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Для пиринга Майкрософт используются IP-адреса NAT либо предоставленные клиентом, либо предоставленные поставщиком услуг.For Microsoft peering, the NAT IP addresses used are either customer provided or are provided by the service provider. Чтобы разрешить доступ к ресурсам служб, необходимо разрешить эти общедоступные IP-адреса в настройках брандмауэра IP-адресов ресурсов.To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Чтобы найти IP-адреса канала ExpressRoute для общедоступного пиринга, отправьте запрос по ExpressRoute в службу поддержки через портал Azure.To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Узнайте больше о NAT для общедоступного пиринга и пиринга Майкрософт.Learn more about NAT for ExpressRoute public and Microsoft peering.

Управление правилами IP-сетиManaging IP network rules

Правилами IP-сети для учетных записей хранения можно управлять с помощью портала Azure, PowerShell или CLI версии 2.You can manage IP network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

портале AzureAzure portal

  1. Перейдите к учетной записи хранения, которую нужно защитить.Go to the storage account you want to secure.

  2. Щелкните меню параметров Брандмауэры и виртуальные сети.Click on the settings menu called Firewalls and virtual networks.

  3. Убедитесь, что вы разрешили доступ в разделе Выбранные сети.Check that you've selected to allow access from Selected networks.

  4. Чтобы предоставить доступ к диапазону IP-адресов в Интернете, введите IP-адрес или диапазон адресов (в формате CIDR) в разделе Брандмауэр > Диапазон адресов.To grant access to an internet IP range, enter the IP address or address range (in CIDR format) under Firewall > Address Range.

  5. Чтобы удалить правило IP-сети, щелкните значок корзины рядом с диапазоном адресов.To remove an IP network rule, click the trash can icon next to the address range.

  6. Щелкните Сохранить, чтобы применить изменения.Click Save to apply your changes.

PowerShellPowerShell

  1. Установите Azure PowerShell и выполните вход.Install the Azure PowerShell and sign in.

  2. Выведите список правил IP-сети.List IP network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
    
  3. Добавьте правило сети для отдельного IP-адреса.Add a network rule for an individual IP address.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  4. Добавьте правило сети для диапазона IP-адресов.Add a network rule for an IP address range.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    
  5. Удалите правило сети для отдельного IP-адреса.Remove a network rule for an individual IP address.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  6. Удалите правило сети для диапазона IP-адресов.Remove a network rule for an IP address range.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    

Важно!

Обязательно укажите для правила по умолчанию значение deny, иначе сетевые правила не будут действовать.Be sure to set the default rule to deny, or network rules have no effect.

CLI 2.0CLIv2

  1. Установите Azure CLI и выполните вход.Install the Azure CLI and sign in.

  2. Выведите список правил IP-сети.List IP network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
    
  3. Добавьте правило сети для отдельного IP-адреса.Add a network rule for an individual IP address.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  4. Добавьте правило сети для диапазона IP-адресов.Add a network rule for an IP address range.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    
  5. Удалите правило сети для отдельного IP-адреса.Remove a network rule for an individual IP address.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  6. Удалите правило сети для диапазона IP-адресов.Remove a network rule for an IP address range.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    

Важно!

Обязательно укажите для правила по умолчанию значение deny, иначе сетевые правила не будут действовать.Be sure to set the default rule to deny, or network rules have no effect.

ИсключенияExceptions

Сетевые правила помогают создать безопасную среду для подключений между приложениями и данными для большинства сценариев.Network rules help to create a secure environment for connections between your applications and your data for most scenarios. Однако некоторые приложения зависят от служб Azure, которые не могут быть однозначно изолированы с помощью правил виртуальной сети или IP-адреса.However, some applications depend on Azure services that cannot be uniquely isolated through virtual network or IP address rules. Но такие службы должны быть предоставлены для хранения, чтобы обеспечить полную функциональность приложения.But such services must be granted to storage to enable full application functionality. В таких ситуациях можно использовать параметр Разрешить доверенные службы Майкрософт... , чтобы обеспечить доступ таких служб к данным, журналам или аналитике.In such situations, you can use the Allow trusted Microsoft services... setting to enable such services to access your data, logs, or analytics.

Доверенные службы МайкрософтTrusted Microsoft services

Некоторые службы Майкрософт работают с сетями, которые не могут быть добавлены в правила сети.Some Microsoft services operate from networks that can't be included in your network rules. Вы можете предоставить подмножеству таких доверенных служб Майкрософт доступ к учетной записи хранения, сохранив сетевые правила для других приложений.You can grant a subset of such trusted Microsoft services access to the storage account, while maintaining network rules for other apps. Эти доверенные службы будут использовать надежную проверку подлинности для безопасного подключения к учетной записи хранения.These trusted services will then use strong authentication to connect to your storage account securely. Мы включили два режима доверенного доступа для служб Майкрософт.We've enabled two modes of trusted access for Microsoft services.

  • Ресурсы некоторых служб, зарегистрированных в подписке, могут получить доступ к учетной записи хранения в той же подписке для операций выбора, таких как запись журналов или резервное копирование.Resources of some services, when registered in your subscription, can access your storage account in the same subscription for select operations, such as writing logs or backup.
  • Ресурсам некоторых служб можно предоставить явный доступ к учетной записи хранения, назначив ей роль RBAC управляемому удостоверению, назначенному системой.Resources of some services can be granted explicit access to your storage account by assigning an RBAC role to its system-assigned managed identity.

При включении параметра Разрешить доверенные службы Майкрософт... для ресурсов следующих служб, зарегистрированных в той же подписке, что и ваша учетная запись хранения, предоставляется доступ для ограниченного набора операций, как описано ниже.When you enable the Allow trusted Microsoft services... setting, resources of the following services that are registered in the same subscription as your storage account are granted access for a limited set of operations as described:

СлужбаService Имя поставщика ресурсовResource Provider Name Разрешенные операцииOperations allowed
Служба архивации AzureAzure Backup Microsoft.RecoveryServicesMicrosoft.RecoveryServices Резервное копирование и восстановление неуправляемых дисков в виртуальных машинах IAAS.Run backups and restores of unmanaged disks in IAAS virtual machines. (Не требуется для управляемых дисков.)(not required for managed disks). Дополнительные сведенияLearn more.
Azure Data BoxAzure Data Box Microsoft.DataBoxMicrosoft.DataBox Позволяет импортировать данные в Azure с помощью Data Box.Enables import of data to Azure using Data Box. Дополнительные сведенияLearn more.
Azure DevTest LabsAzure DevTest Labs Microsoft.DevTestLabMicrosoft.DevTestLab Создание пользовательских образов и установка артефактов.Custom image creation and artifact installation. Дополнительные сведенияLearn more.
Сетка событий AzureAzure Event Grid Microsoft.EventGridMicrosoft.EventGrid Включение публикации событий в хранилище BLOB-объектов и предоставление службе "Сетка событий" разрешения на публикацию в хранилище очередей.Enable Blob Storage event publishing and allow Event Grid to publish to storage queues. См. дополнительные сведения о событиях хранилища BLOB-объектов и публикации в хранилище очередей.Learn about blob storage events and publishing to queues.
Центры событий AzureAzure Event Hubs Microsoft.EventHubMicrosoft.EventHub Архивация данных с помощью функции "Сбор" в Центрах событий.Archive data with Event Hubs Capture. ПодробнееLearn More.
Служба синхронизации файлов AzureAzure File Sync Microsoft.StorageSyncMicrosoft.StorageSync Позволяет преобразовать локальный файловый сервер в кэш для файловых ресурсов Azure.Enables you to transform your on-prem file server to a cache for Azure File shares. Обеспечивается многосайтовая синхронизация, быстрое аварийное восстановление и резервное копирование на стороне облака.Allowing for multi-site sync, fast disaster-recovery, and cloud-side backup. ПодробнееLearn more
Azure HDInsightAzure HDInsight Microsoft.HDInsightMicrosoft.HDInsight Подготавливает начальное содержимое файловой системы по умолчанию для нового кластера HDInsight.Provision the initial contents of the default file system for a new HDInsight cluster. Дополнительные сведенияLearn more.
Azure MonitorAzure Monitor Microsoft.InsightsMicrosoft.Insights Позволяет записывать данные мониторинга в защищенную учетную запись. Дополнительные сведения.Allows writing of monitoring data to a secured storage account Learn more.
Сеть AzureAzure Networking Microsoft.Network.Microsoft.Network Хранение и анализ журналов сетевого трафика.Store and analyze network traffic logs. Дополнительные сведенияLearn more.
Azure Site RecoveryAzure Site Recovery Microsoft.SiteRecoveryMicrosoft.SiteRecovery Включите репликацию для аварийного восстановления виртуальных машин IaaS Azure при использовании кэша, источника или целевых учетных записей хранения с поддержкой брандмауэра.Enable replication for disaster-recovery of Azure IaaS virtual machines when using firewall-enabled cache, source, or target storage accounts. Дополнительные сведенияLearn more.

Параметр Allow Trusted Microsoft Services... также позволяет определенному экземпляру следующих служб получить доступ к учетной записи хранения, если роль RBAC явно назначается управляемому удостоверению, назначенному системой для этого экземпляра ресурса.The Allow trusted Microsoft services... setting also allows a particular instance of the below services to access the storage account, if you explicitly assign an RBAC role to the system-assigned managed identity for that resource instance. В этом случае область доступа для экземпляра соответствует роли RBAC, назначенной управляемому удостоверению.In this case, the scope of access for the instance corresponds to the RBAC role assigned to the managed identity.

СлужбаService Имя поставщика ресурсовResource Provider Name НазначениеPurpose
Фабрика данных AzureAzure Data Factory Microsoft.DataFactory/factories;Microsoft.DataFactory/factories Разрешает доступ к учетным записям хранения через среду выполнения ADF.Allows access to storage accounts through the ADF runtime.
Azure Logic AppsAzure Logic Apps Microsoft.Logic/workflowsMicrosoft.Logic/workflows Позволяет приложениям логики получать доступ к учетным записям хранения.Enables logic apps to access storage accounts. Дополнительные сведенияLearn more.
Служба "Машинное обучение Azure"Azure Machine Learning Service Microsoft.MachineLearningServicesMicrosoft.MachineLearningServices Полномочные Машинное обучение Azure рабочие области записывают выходные данные эксперимента, модели и журналы в хранилище BLOB-объектов.Authorized Azure Machine Learning workspaces write experiment output, models, and logs to Blob storage. Дополнительные сведенияLearn more.
Хранилище данных SQL AzureAzure SQL Data Warehouse Microsoft.SqlMicrosoft.Sql Позволяет импортировать и экспортировать данные из конкретных экземпляров базы данных SQL с помощью Polybase.Allows import and export of data from specific SQL Database instances using PolyBase. Дополнительные сведенияLearn more.
Azure Stream AnalyticsAzure Stream Analytics Microsoft.StreamAnalyticsMicrosoft.StreamAnalytics Позволяет записывать данные из задания потоковой передачи в хранилище BLOB-объектов.Allows data from a streaming job to be written to Blob storage. Эта функция в настоящее время находится на стадии предварительной версии.This feature is currently in preview. Дополнительные сведенияLearn more.

Доступ к данным аналитики хранилищаStorage analytics data access

В некоторых случаях доступ для чтения журналов диагностики и метрик нужно получать за пределами сети.In some cases, access to read diagnostic logs and metrics is required from outside the network boundary. При настройке доверенных служб для доступа к учетной записи хранения можно разрешить доступ для чтения для файлов журнала, таблиц метрик или и того, и другого.When configuring trusted services access to the storage account, you can allow read-access for the log files, metrics tables, or both. Дополнительные сведения о работе с аналитикой хранилища см. в этой статье.Learn more about working with storage analytics.

Управление исключениямиManaging exceptions

Исключениями из правил сети можно управлять с помощью портала Azure, PowerShell или Azure CLI v2.You can manage network rule exceptions through the Azure portal, PowerShell, or Azure CLI v2.

портале AzureAzure portal

  1. Перейдите к учетной записи хранения, которую нужно защитить.Go to the storage account you want to secure.

  2. Щелкните меню параметров Брандмауэры и виртуальные сети.Click on the settings menu called Firewalls and virtual networks.

  3. Убедитесь, что вы разрешили доступ в разделе Выбранные сети.Check that you've selected to allow access from Selected networks.

  4. В разделе Исключения выберите те исключения, которые нужно предоставить.Under Exceptions, select the exceptions you wish to grant.

  5. Щелкните Сохранить, чтобы применить изменения.Click Save to apply your changes.

PowerShellPowerShell

  1. Установите Azure PowerShell и выполните вход.Install the Azure PowerShell and sign in.

  2. Отобразите исключения для сетевых правил учетной записи хранения.Display the exceptions for the storage account network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
    
  3. Настройте исключения для сетевых правил учетной записи хранения.Configure the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
    
  4. Удалите исключения для сетевых правил учетной записи хранения.Remove the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
    

Важно!

Обязательно укажите для правила по умолчанию значение deny, иначе исключение не будет действовать.Be sure to set the default rule to deny, or removing exceptions have no effect.

CLI 2.0CLIv2

  1. Установите Azure CLI и выполните вход.Install the Azure CLI and sign in.

  2. Отобразите исключения для сетевых правил учетной записи хранения.Display the exceptions for the storage account network rules.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
    
  3. Настройте исключения для сетевых правил учетной записи хранения.Configure the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
    
  4. Удалите исключения для сетевых правил учетной записи хранения.Remove the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
    

Важно!

Обязательно укажите для правила по умолчанию значение deny, иначе исключение не будет действовать.Be sure to set the default rule to deny, or removing exceptions have no effect.

Дополнительная информацияNext steps

Дополнительные сведения о конечных точках службы сети Azure см. в статье Конечные точки службы виртуальной сети.Learn more about Azure Network service endpoints in Service endpoints.

Более подробную информацию о безопасности службы хранилища Azure см. в статье Руководство по безопасности службы хранилища Azure.Dig deeper into Azure Storage security in Azure Storage security guide.