Konfigurera brandväggar och virtuella nätverk i Azure Storage

Azure Storage tillhandahåller en säkerhetsmodell i flera lager. Med den här modellen kan du kontrollera åtkomstnivån för dina lagringskonton som dina program och företagsmiljöer kräver, baserat på typ och deluppsättning av nätverk eller resurser som du använder.

När du konfigurerar nätverksregler kan endast program som begär data via den angivna uppsättningen nätverk eller via den angivna uppsättningen Azure-resurser komma åt ett lagringskonto. Du kan begränsa åtkomsten till ditt lagringskonto till begäranden som kommer från angivna IP-adresser, IP-intervall, undernät i ett virtuellt Azure-nätverk eller resursinstanser av vissa Azure-tjänster.

Lagringskonton har en offentlig slutpunkt som är tillgänglig via Internet. Du kan också skapa privata slutpunkter för ditt lagringskonto. När du skapar privata slutpunkter tilldelas lagringskontot en privat IP-adress från ditt virtuella nätverk. Det hjälper till att skydda trafiken mellan ditt virtuella nätverk och lagringskontot via en privat länk.

Azure Storage-brandväggen ger åtkomstkontroll för den offentliga slutpunkten för ditt lagringskonto. Du kan också använda brandväggen för att blockera all åtkomst via den offentliga slutpunkten när du använder privata slutpunkter. Brandväggskonfigurationen gör det också möjligt för betrodda Azure-plattformstjänster att komma åt lagringskontot.

Ett program som har åtkomst till ett lagringskonto när nätverksregler tillämpas kräver fortfarande korrekt auktorisering för begäran. Auktorisering stöds med Microsoft Entra-autentiseringsuppgifter för blobar, tabeller, filresurser och köer, med en giltig kontoåtkomstnyckel eller med en SAS-token (signatur för delad åtkomst). När du konfigurerar en blobcontainer för anonym åtkomst behöver begäranden om att läsa data i containern inte auktoriseras. Brandväggsreglerna gäller fortfarande och blockerar anonym trafik.

Om du aktiverar brandväggsregler för ditt lagringskonto blockeras inkommande begäranden om data som standard, såvida inte begäranden kommer från en tjänst som körs i ett virtuellt Azure-nätverk eller från tillåtna offentliga IP-adresser. Begäranden som blockeras inkluderar sådana från andra Azure-tjänster, från Azure-portalen och från loggnings- och måtttjänster.

Du kan bevilja åtkomst till Azure-tjänster som körs inifrån ett virtuellt nätverk genom att tillåta trafik från det undernät som är värd för tjänstinstansen. Du kan också aktivera ett begränsat antal scenarier via undantagsmekanismen som beskrivs i den här artikeln. För att få åtkomst till data från lagringskontot via Azure-portalen måste du vara på en dator inom den betrodda gränsen (ip-adress eller virtuellt nätverk) som du har konfigurerat.

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Scenarier

För att skydda ditt lagringskonto bör du först konfigurera en regel för att neka åtkomst till trafik från alla nätverk (inklusive Internettrafik) på den offentliga slutpunkten som standard. Sedan bör du konfigurera regler som ger åtkomst till trafik från specifika virtuella nätverk. Du kan också konfigurera regler för att bevilja åtkomst till trafik från valda offentliga IP-adressintervall för Internet, vilket aktiverar anslutningar från specifika Internet- eller lokala klienter. Den här konfigurationen hjälper dig att skapa en säker nätverksgräns för dina program.

Du kan kombinera brandväggsregler som tillåter åtkomst från specifika virtuella nätverk och från offentliga IP-adressintervall på samma lagringskonto. Du kan tillämpa brandväggsregler för lagring på befintliga lagringskonton eller när du skapar nya lagringskonton.

Brandväggsregler för lagring gäller för den offentliga slutpunkten för ett lagringskonto. Du behöver inga brandväggsåtkomstregler för att tillåta trafik för privata slutpunkter för ett lagringskonto. Processen med att godkänna skapandet av en privat slutpunkt ger implicit åtkomst till trafik från det undernät som är värd för den privata slutpunkten.

Viktigt!

Azure Storage-brandväggsregler gäller endast för dataplansåtgärder . Kontrollplansåtgärder omfattas inte av de begränsningar som anges i brandväggsregler.

Vissa åtgärder, till exempel blobcontaineråtgärder, kan utföras via både kontrollplanet och dataplanet. Så om du försöker utföra en åtgärd, till exempel att visa containrar från Azure-portalen, kommer åtgärden att lyckas om den inte blockeras av en annan mekanism. Försök att komma åt blobdata från ett program, till exempel Azure Storage Explorer, styrs av brandväggsbegränsningarna.

En lista över dataplansåtgärder finns i REST API-referensen för Azure Storage. En lista över kontrollplansåtgärder finns i REST API-referensen för Azure Storage-resursprovidern.

Konfigurera nätverksåtkomst till Azure Storage

Du kan styra åtkomsten till data i ditt lagringskonto via nätverksslutpunkter, eller via betrodda tjänster eller resurser i valfri kombination, inklusive:

• Tillåt åtkomst från valda undernät i virtuella nätverk med hjälp av privata slutpunkter.
• Tillåt åtkomst från valda undernät i virtuella nätverk med hjälp av tjänstslutpunkter.
• Tillåt åtkomst från specifika offentliga IP-adresser eller intervall.
• Tillåt åtkomst från valda Azure-resursinstanser.
• Tillåt åtkomst från betrodda Azure-tjänster (med hantera undantag).
• Konfigurera undantag för loggnings- och måtttjänster.

Om virtuella nätverksslutpunkter

Det finns två typer av virtuella nätverksslutpunkter för lagringskonton:

• Tjänstslutpunkter för virtuellt nätverk
• Privata slutpunkter

Tjänstslutpunkter för virtuella nätverk är offentliga och tillgängliga via Internet. Azure Storage-brandväggen ger möjlighet att styra åtkomsten till ditt lagringskonto via sådana offentliga slutpunkter. När du aktiverar åtkomst till det offentliga nätverket till ditt lagringskonto blockeras alla inkommande begäranden om data som standard. Endast program som begär data från tillåtna källor som du konfigurerar i brandväggsinställningarna för lagringskontot kan komma åt dina data. Källor kan innehålla källans IP-adress eller undernät för ett virtuellt nätverk för en klient, eller en Azure-tjänst eller resursinstans genom vilken klienter eller tjänster får åtkomst till dina data. Begäranden som blockeras inkluderar sådana från andra Azure-tjänster, från Azure-portalen och från loggnings- och måtttjänster, såvida du inte uttryckligen tillåter åtkomst i brandväggskonfigurationen.

En privat slutpunkt använder en privat IP-adress från ditt virtuella nätverk för att få åtkomst till ett lagringskonto via Microsofts stamnätverk. Med en privat slutpunkt skyddas trafiken mellan ditt virtuella nätverk och lagringskontot via en privat länk. Brandväggsregler för lagring gäller endast för offentliga slutpunkter för ett lagringskonto, inte privata slutpunkter. Processen med att godkänna skapandet av en privat slutpunkt ger implicit åtkomst till trafik från det undernät som är värd för den privata slutpunkten. Du kan använda nätverksprinciper för att styra trafik över privata slutpunkter om du vill förfina åtkomstregler. Om du vill använda privata slutpunkter exklusivt kan du använda brandväggen för att blockera all åtkomst via den offentliga slutpunkten.

Information om hur du bestämmer när du ska använda varje typ av slutpunkt i din miljö finns i Jämför privata slutpunkter och tjänstslutpunkter.

Så här närmar du dig nätverkssäkerhet för ditt lagringskonto

Så här skyddar du ditt lagringskonto och skapar en säker nätverksgräns för dina program:

1. Börja med att inaktivera all offentlig nätverksåtkomst för lagringskontot under inställningen Åtkomst till offentligt nätverk i brandväggen för lagringskontot.

2. Om möjligt konfigurerar du privata länkar till ditt lagringskonto från privata slutpunkter i virtuella nätverksundernät där klienterna finns som kräver åtkomst till dina data.

3. Om klientprogram kräver åtkomst via de offentliga slutpunkterna ändrar du inställningen Åtkomst till offentligt nätverk till Aktiverad från valda virtuella nätverk och IP-adresser. Efter behov:

   1. Ange de virtuella nätverksundernät som du vill tillåta åtkomst från.
   2. Ange de offentliga IP-adressintervallen för klienter som du vill tillåta åtkomst från, till exempel de i lokala nätverk.
   3. Tillåt åtkomst från valda Azure-resursinstanser.
   4. Lägg till undantag för att tillåta åtkomst från betrodda tjänster som krävs för åtgärder som säkerhetskopiering av data.
   5. Lägg till undantag för loggning och mått.

När du har tillämpat nätverksregler tillämpas de för alla begäranden. SAS-token som ger åtkomst till en specifik IP-adress används för att begränsa åtkomsten för tokeninnehavaren, men de ger inte ny åtkomst utöver konfigurerade nätverksregler.

Begränsningar och överväganden

Innan du implementerar nätverkssäkerhet för dina lagringskonton bör du granska de viktiga begränsningar och överväganden som beskrivs i det här avsnittet.

• Azure Storage-brandväggsregler gäller endast för dataplansåtgärder . Kontrollplansåtgärder omfattas inte av de begränsningar som anges i brandväggsregler.
• Granska begränsningarna för IP-nätverksregler.
• Om du vill komma åt data med hjälp av verktyg som Azure-portalen, Azure Storage Explorer och AzCopy måste du vara på en dator inom den betrodda gräns som du upprättar när du konfigurerar nätverkssäkerhetsregler.
• Nätverksregler tillämpas på alla nätverksprotokoll för Azure Storage, inklusive REST och SMB.
• Nätverksregler påverkar inte disktrafik för virtuella datorer (VM), inklusive monterings- och avmonteringsåtgärder och disk-I/O, men de hjälper till att skydda REST-åtkomsten till sidblobar.
• Du kan använda ohanterade diskar i lagringskonton med nätverksregler som tillämpas för att säkerhetskopiera och återställa virtuella datorer genom att skapa ett undantag. Brandväggsfel gäller inte för hanterade diskar eftersom Azure redan hanterar dem.
• Klassiska lagringskonton stöder inte brandväggar och virtuella nätverk.
• Om du tar bort ett undernät som ingår i en regel för virtuellt nätverk tas det bort från nätverksreglerna för lagringskontot. Om du skapar ett nytt undernät med samma namn har det inte åtkomst till lagringskontot. Om du vill tillåta åtkomst måste du uttryckligen auktorisera det nya undernätet i nätverksreglerna för lagringskontot.
• När du refererar till en tjänstslutpunkt i ett klientprogram rekommenderar vi att du undviker att använda ett beroende av en cachelagrad IP-adress. IP-adressen för lagringskontot kan komma att ändras, och om du förlitar dig på en cachelagrad IP-adress kan det leda till oväntat beteende. Dessutom rekommenderar vi att du respekterar TTL (time-to-live) för DNS-posten och undviker att åsidosätta den. Att åsidosätta DNS TTL kan leda till oväntat beteende.
• Åtkomst till ett lagringskonto från betrodda tjänster har avsiktligt högsta prioritet framför andra begränsningar för nätverksåtkomst. Om du ställer in Åtkomst för offentligt nätverk till Inaktiverad efter att tidigare ha angett den till Aktiverad från valda virtuella nätverk och IP-adresser, kommer alla resursinstanser och undantag som du tidigare har konfigurerat, inklusive Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot, att gälla. Därför kan dessa resurser och tjänster fortfarande ha åtkomst till lagringskontot.

Auktorisering

Klienter som beviljas åtkomst via nätverksregler måste fortsätta att uppfylla auktoriseringskraven för lagringskontot för att få åtkomst till data. Auktorisering stöds med Microsoft Entra-autentiseringsuppgifter för blobar och köer, med en giltig kontoåtkomstnyckel eller med en SAS-token (signatur för delad åtkomst).

När du konfigurerar en blobcontainer för anonym offentlig åtkomst behöver begäranden om att läsa data i containern inte auktoriseras, men brandväggsreglerna gäller fortfarande och blockerar anonym trafik.

Ändra standardåtkomstregeln för nätverk

Som standard godkänner lagringskonton anslutningar från klienter i alla nätverk. Du kan begränsa åtkomsten till valda nätverk eller förhindra trafik från alla nätverk och endast tillåta åtkomst via en privat slutpunkt.

Du måste ange standardregeln för att neka, eller så har nätverksregler ingen effekt. Att ändra den här inställningen kan dock påverka programmets möjlighet att ansluta till Azure Storage. Se till att bevilja åtkomst till alla tillåtna nätverk eller konfigurera åtkomst via en privat slutpunkt innan du ändrar den här inställningen.

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Portal

1. Gå till det lagringskonto som du vill skydda.

2. Leta upp nätverksinställningarna under Säkerhet + nätverk.

3. Välj vilken typ av offentlig nätverksåtkomst du vill tillåta:

   • Om du vill tillåta trafik från alla nätverk väljer du Aktiverad från alla nätverk.

   • Om du bara vill tillåta trafik från specifika virtuella nätverk väljer du Aktiverad från valda virtuella nätverk och IP-adresser.

   • Om du vill blockera trafik från alla nätverk väljer du Inaktiverad.

4. Välj Spara för att införa ändringarna.

PowerShell

1. Installera Azure PowerShell och logga in.

2. Välj vilken typ av offentlig nätverksåtkomst du vill tillåta:

   • Om du vill tillåta trafik från alla nätverk använder du Update-AzStorageAccountNetworkRuleSet kommandot och anger parametern -DefaultAction till Allow:

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
     

   • Om du bara vill tillåta trafik från specifika virtuella nätverk använder du Update-AzStorageAccountNetworkRuleSet kommandot och anger parametern -DefaultAction till Deny:

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
     

   • Om du vill blockera trafik från alla nätverk använder du Set-AzStorageAccount kommandot och anger parametern -PublicNetworkAccess till Disabled. Trafik tillåts endast via en privat slutpunkt. Du måste skapa den privata slutpunkten.

     Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
     

Azure CLI

1. Installera Azure CLI och logga in.

2. Välj vilken typ av offentlig nätverksåtkomst du vill tillåta:

   • Om du vill tillåta trafik från alla nätverk använder du az storage account update kommandot och anger parametern --default-action till Allow:

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
     

   • Om du bara vill tillåta trafik från specifika virtuella nätverk använder du az storage account update kommandot och anger parametern --default-action till Deny:

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
     

   • Om du vill blockera trafik från alla nätverk använder du az storage account update kommandot och anger parametern --public-network-access till Disabled. Trafik tillåts endast via en privat slutpunkt. Du måste skapa den privata slutpunkten.

     az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
     

Varning

Åtkomst till ett lagringskonto från betrodda tjänster har avsiktligt högsta prioritet framför andra begränsningar för nätverksåtkomst. Om du ställer in Åtkomst för offentligt nätverk till Inaktiverad efter att tidigare ha angett den till Aktiverad från valda virtuella nätverk och IP-adresser, kommer alla resursinstanser och undantag som du tidigare har konfigurerat, inklusive Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot, att gälla. Därför kan dessa resurser och tjänster fortfarande ha åtkomst till lagringskontot.

Bevilja åtkomst från ett virtuellt nätverk

Du kan konfigurera lagringskonton så att de endast tillåter åtkomst från specifika undernät. De tillåtna undernäten kan tillhöra ett virtuellt nätverk i samma prenumeration eller en annan prenumeration, inklusive de som tillhör en annan Microsoft Entra-klientorganisation. Med tjänstslutpunkter mellan regioner kan de tillåtna undernäten också finnas i olika regioner från lagringskontot.

Du kan aktivera en tjänstslutpunkt för Azure Storage i det virtuella nätverket. Tjänstslutpunkten dirigerar trafik från det virtuella nätverket via en optimal sökväg till Azure Storage-tjänsten. Identiteterna för undernätet och det virtuella nätverket skickas också med varje begäran. Administratörer kan sedan konfigurera nätverksregler för lagringskontot som tillåter att begäranden tas emot från specifika undernät i ett virtuellt nätverk. Klienter som beviljas åtkomst via dessa nätverksregler måste fortsätta att uppfylla auktoriseringskraven för lagringskontot för att få åtkomst till data.

Varje lagringskonto har stöd för upp till 400 regler för virtuella nätverk. Du kan kombinera dessa regler med IP-nätverksregler.

Viktigt!

När du refererar till en tjänstslutpunkt i ett klientprogram rekommenderar vi att du undviker att använda ett beroende av en cachelagrad IP-adress. IP-adressen för lagringskontot kan komma att ändras, och om du förlitar dig på en cachelagrad IP-adress kan det leda till oväntat beteende.

Dessutom rekommenderar vi att du respekterar TTL (time-to-live) för DNS-posten och undviker att åsidosätta den. Att åsidosätta DNS TTL kan leda till oväntat beteende.

Behörigheter som krävs

Om du vill tillämpa en regel för virtuellt nätverk på ett lagringskonto måste användaren ha rätt behörigheter för de undernät som läggs till. En lagringskontodeltagare eller en användare som har behörighet till Azure-resursprovideråtgärden Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action kan tillämpa en regel med hjälp av en anpassad Azure-roll.

Lagringskontot och de virtuella nätverk som får åtkomst kan finnas i olika prenumerationer, inklusive prenumerationer som ingår i en annan Microsoft Entra-klientorganisation.

Konfiguration av regler som ger åtkomst till undernät i virtuella nätverk som ingår i en annan Microsoft Entra-klientorganisation stöds för närvarande endast via PowerShell, Azure CLI och REST API:er. Du kan inte konfigurera sådana regler via Azure-portalen, men du kan visa dem i portalen.

Tjänstslutpunkter mellan regioner i Azure Storage

Tjänstslutpunkter mellan regioner för Azure Storage blev allmänt tillgängliga i april 2023. De fungerar mellan virtuella nätverk och lagringstjänstinstanser i valfri region. Med tjänstslutpunkter mellan regioner använder undernät inte längre en offentlig IP-adress för att kommunicera med något lagringskonto, inklusive de i en annan region. I stället använder all trafik från undernät till lagringskonton en privat IP-adress som käll-IP. Det innebär att alla lagringskonton som använder IP-nätverksregler för att tillåta trafik från dessa undernät inte längre har någon effekt.

Att konfigurera tjänstslutpunkter mellan virtuella nätverk och tjänstinstanser i en parad region kan vara en viktig del av din haveriberedskapsplan. Tjänstslutpunkter tillåter kontinuitet under en regional redundansväxling och åtkomst till skrivskyddade geo-redundanta lagringsinstanser (RA-GRS). Nätverksregler som beviljar åtkomst från ett virtuellt nätverk till ett lagringskonto ger också åtkomst till alla RA-GRS-instanser.

När du planerar för haveriberedskap under ett regionalt avbrott skapar du de virtuella nätverken i den kopplade regionen i förväg. Aktivera tjänstslutpunkter för Azure Storage, med nätverksregler som ger åtkomst från dessa alternativa virtuella nätverk. Tillämpa sedan dessa regler på dina geo-redundanta lagringskonton.

Lokala tjänstslutpunkter och tjänstslutpunkter mellan regioner kan inte samexistera i samma undernät. Om du vill ersätta befintliga tjänstslutpunkter med mellan regioner tar du bort de befintliga Microsoft.Storage slutpunkterna och återskapar dem som slutpunkter mellan regioner (Microsoft.Storage.Global).

Hantera regler för virtuellt nätverk

Du kan hantera regler för virtuella nätverk för lagringskonton via Azure-portalen, PowerShell eller Azure CLI v2.

Om du vill aktivera åtkomst till ditt lagringskonto från ett virtuellt nätverk eller undernät i en annan Microsoft Entra-klientorganisation måste du använda PowerShell eller Azure CLI. Azure-portalen visar inte undernät i andra Microsoft Entra-klienter.

Portal

1. Gå till det lagringskonto som du vill skydda.

2. Välj Nätverk.

3. Kontrollera att du har valt att tillåta åtkomst från valda nätverk.

4. Om du vill bevilja åtkomst till ett virtuellt nätverk med hjälp av en ny nätverksregel går du till Virtuella nätverk och väljer Lägg till befintligt virtuellt nätverk. Välj alternativen Virtuella nätverk och undernät och välj sedan Lägg till.

   Om du vill skapa ett nytt virtuellt nätverk och ge det åtkomst väljer du Lägg till nytt virtuellt nätverk. Ange nödvändig information för att skapa det nya virtuella nätverket och välj sedan Skapa.

   Om en tjänstslutpunkt för Azure Storage inte tidigare har konfigurerats för det valda virtuella nätverket och undernäten kan du konfigurera den som en del av den här åtgärden.

   För närvarande visas endast virtuella nätverk som tillhör samma Microsoft Entra-klientorganisation för val när regeln skapas. Om du vill bevilja åtkomst till ett undernät i ett virtuellt nätverk som tillhör en annan klientorganisation använder du PowerShell, Azure CLI eller REST-API:er.

5. Om du vill ta bort ett virtuellt nätverk eller en undernätsregel väljer du ellipsen (...) för att öppna snabbmenyn för det virtuella nätverket eller undernätet och väljer sedan Ta bort.

6. Välj Spara för att införa ändringarna.

Viktigt!

Om du tar bort ett undernät som ingår i en nätverksregel tas det bort från nätverksreglerna för lagringskontot. Om du skapar ett nytt undernät med samma namn har det inte åtkomst till lagringskontot. Om du vill tillåta åtkomst måste du uttryckligen auktorisera det nya undernätet i nätverksreglerna för lagringskontot.

PowerShell

1. Installera Azure PowerShell och logga in.

2. Lista regler för virtuella nätverk:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
   

3. Aktivera en tjänstslutpunkt för Azure Storage i ett befintligt virtuellt nätverk och undernät:

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
   

4. Lägg till en nätverksregel för ett virtuellt nätverk och undernät:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

   Om du vill lägga till en nätverksregel för ett undernät i ett virtuellt nätverk som tillhör en annan Microsoft Entra-klientorganisation använder du en fullständigt kvalificerad VirtualNetworkResourceId parameter i formuläret /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.

5. Ta bort en nätverksregel för ett virtuellt nätverk och undernät:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
   

Azure CLI

1. Installera Azure CLI och logga in.

2. Lista regler för virtuella nätverk:

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
   

3. Aktivera en tjänstslutpunkt för Azure Storage i ett befintligt virtuellt nätverk och undernät:

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
   

4. Lägg till en nätverksregel för ett virtuellt nätverk och undernät:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

   Om du vill lägga till en regel för ett undernät i ett virtuellt nätverk som tillhör en annan Microsoft Entra-klientorganisation använder du ett fullständigt kvalificerat undernäts-ID i formuläret /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>. Du kan använda parametern subscription för att hämta undernäts-ID:t för ett virtuellt nätverk som tillhör en annan Microsoft Entra-klientorganisation.

5. Ta bort en nätverksregel för ett virtuellt nätverk och undernät:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
   

Bevilja åtkomst från ett IP-intervall på internet

Du kan använda IP-nätverksregler för att tillåta åtkomst från specifika offentliga IP-adressintervall för Internet genom att skapa IP-nätverksregler. Varje lagringskonto har stöd för upp till 400 regler. Dessa regler ger åtkomst till specifika Internetbaserade tjänster och lokala nätverk och blockerar allmän Internettrafik.

Begränsningar för IP-nätverksregler

Följande begränsningar gäller för IP-adressintervall:

• IP-nätverksregler tillåts endast för offentliga IP-adresser på Internet .

  IP-adressintervall som är reserverade för privata nätverk (enligt definitionen i RFC 1918) tillåts inte i IP-regler. Privata nätverk innehåller adresser som börjar med 10, 172.16 till 172.31 och 192.168.

• Du måste ange tillåtna internetadressintervall med hjälp av CIDR-notation i formuläret 16.17.18.0/24 eller som enskilda IP-adresser som 16.17.18.19.

• Små adressintervall som använder /31- eller /32-prefixstorlekar stöds inte. Konfigurera dessa intervall med hjälp av enskilda IP-adressregler.

• Endast IPv4-adresser stöds för konfiguration av lagringsbrandväggsregler.

Viktigt!

Du kan inte använda IP-nätverksregler i följande fall:

• Begränsa åtkomsten till klienter i samma Azure-region som lagringskontot. IP-nätverksregler påverkar inte begäranden som kommer från samma Azure-region som lagringskontot. Använd regler för virtuellt nätverk för att tillåta begäranden i samma region.
• Begränsa åtkomsten till klienter i en länkad region som finns i ett virtuellt nätverk som har en tjänstslutpunkt.
• Begränsa åtkomsten till Azure-tjänster som distribueras i samma region som lagringskontot. Tjänster som distribueras i samma region som lagringskontot använder privata Azure IP-adresser för kommunikation. Därför kan du inte begränsa åtkomsten till specifika Azure-tjänster baserat på deras offentliga utgående IP-adressintervall.

Konfigurera åtkomst från lokala nätverk

Om du vill bevilja åtkomst från dina lokala nätverk till ditt lagringskonto med hjälp av en IP-nätverksregel måste du identifiera de Internetuppkopplade IP-adresser som nätverket använder. Kontakta nätverksadministratören om du vill ha hjälp.

Om du använder Azure ExpressRoute från din lokala plats, för offentlig peering eller Microsoft-peering, måste du identifiera de NAT IP-adresser som används. För offentlig peering använder varje ExpressRoute-krets (som standard) två NAT IP-adresser som tillämpas på Azure-tjänsttrafik när trafiken kommer in i Microsoft Azure-nätverkets stamnät. För Microsoft-peering tillhandahåller antingen tjänstleverantören eller kunden NAT IP-adresserna.

Om du vill tillåta åtkomst till dina tjänstresurser måste du tillåta dessa offentliga IP-adresser i brandväggsinställningen för resurs-IP-adresser. Om du vill hitta dina IP-adresser för ExpressRoute-kretsar med offentlig peering öppnar du ett supportärende med ExpressRoute via Azure-portalen. Läs mer om NAT för offentlig ExpressRoute-peering och Microsoft-peering.

Hantera IP-nätverksregler

Du kan hantera IP-nätverksregler för lagringskonton via Azure-portalen, PowerShell eller Azure CLI v2.

Portal

1. Gå till det lagringskonto som du vill skydda.

2. Välj Nätverk.

3. Kontrollera att du har valt att tillåta åtkomst från valda nätverk.

4. Om du vill bevilja åtkomst till ett INTERNET-IP-intervall anger du IP-adressen eller adressintervallet (i CIDR-format) under Brandväggsadressintervall>.

5. Om du vill ta bort en IP-nätverksregel väljer du borttagningsikonen ( ) bredvid adressintervallet.

6. Välj Spara för att införa ändringarna.

PowerShell

1. Installera Azure PowerShell och logga in.

2. Lista IP-nätverksregler:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
   

3. Lägg till en nätverksregel för en enskild IP-adress:

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

4. Lägg till en nätverksregel för ett IP-adressintervall:

   Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

5. Ta bort en nätverksregel för en enskild IP-adress:

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
   

6. Ta bort en nätverksregel för ett IP-adressintervall:

   Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
   

Azure CLI

1. Installera Azure CLI och logga in.

2. Lista IP-nätverksregler:

   az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
   

3. Lägg till en nätverksregel för en enskild IP-adress:

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

4. Lägg till en nätverksregel för ett IP-adressintervall:

   az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

5. Ta bort en nätverksregel för en enskild IP-adress:

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
   

6. Ta bort en nätverksregel för ett IP-adressintervall:

   az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
   

Bevilja åtkomst från Azure-resursinstanser

I vissa fall kan ett program vara beroende av Azure-resurser som inte kan isoleras via ett virtuellt nätverk eller en IP-adressregel. Men du vill ändå skydda och begränsa åtkomsten till lagringskontot till endast programmets Azure-resurser. Du kan konfigurera lagringskonton för att tillåta åtkomst till specifika resursinstanser av betrodda Azure-tjänster genom att skapa en resursinstansregel.

Azure-rolltilldelningarna för resursinstansen avgör vilka typer av åtgärder som en resursinstans kan utföra på lagringskontodata. Resursinstanser måste komma från samma klientorganisation som ditt lagringskonto, men de kan tillhöra valfri prenumeration i klientorganisationen.

Portal

Du kan lägga till eller ta bort resursnätverksregler i Azure-portalen:

1. Logga in på Azure-portalen.

2. Leta upp ditt lagringskonto och visa kontoöversikten.

3. Välj Nätverk.

4. Under Brandväggar och virtuella nätverk väljer du alternativet för att tillåta åtkomst för Valda nätverk.

5. Bläddra ned för att hitta resursinstanser. I listrutan Resurstyp väljer du resurstypen för resursinstansen.

6. I listrutan Instansnamn väljer du resursinstansen. Du kan också välja att inkludera alla resursinstanser i den aktiva klientorganisationen, prenumerationen eller resursgruppen.

7. Välj Spara för att införa ändringarna. Resursinstansen visas i avsnittet Resursinstanser på sidan för nätverksinställningar.

Om du vill ta bort resursinstansen väljer du borttagningsikonen ( ) bredvid resursinstansen.

PowerShell

Du kan använda PowerShell-kommandon för att lägga till eller ta bort resursnätverksregler.

Bevilja åtkomst

Lägg till en nätverksregel som ger åtkomst från en resursinstans:

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

Ange flera resursinstanser samtidigt genom att ändra nätverksregeluppsättningen:

$resourceId1 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$resourceId2 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/mySQLServer"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule (@{ResourceId=$resourceId1;TenantId=$tenantId},@{ResourceId=$resourceId2;TenantId=$tenantId}) 

Ta bort åtkomst

Ta bort en nätverksregel som ger åtkomst från en resursinstans:

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Remove-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId  

Ta bort alla nätverksregler som beviljar åtkomst från resursinstanser:

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule @()  

Visa en lista över tillåtna resursinstanser

Visa en fullständig lista över resursinstanser som har åtkomst till lagringskontot:

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

$rule = Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName
$rule.ResourceAccessRules 

Azure CLI

Du kan använda Azure CLI-kommandon för att lägga till eller ta bort resursnätverksregler.

Bevilja åtkomst

Lägg till en nätverksregel som ger åtkomst från en resursinstans:

az storage account network-rule add \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Ta bort åtkomst

Ta bort en nätverksregel som ger åtkomst från en resursinstans:

az storage account network-rule remove \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

Visa en lista över tillåtna resursinstanser

Visa en fullständig lista över resursinstanser som har åtkomst till lagringskontot:

az storage account network-rule list \
    -g myResourceGroup \
    --account-name mystorageaccount

Bevilja åtkomst till betrodda Azure-tjänster

Vissa Azure-tjänster fungerar från nätverk som du inte kan inkludera i dina nätverksregler. Du kan ge en delmängd av sådana betrodda Azure-tjänster åtkomst till lagringskontot, samtidigt som du behåller nätverksregler för andra appar. Dessa betrodda tjänster använder sedan stark autentisering för att ansluta till ditt lagringskonto.

Du kan bevilja åtkomst till betrodda Azure-tjänster genom att skapa ett undantag för nätverksregeln. Avsnittet Hantera undantag i den här artikeln innehåller stegvis vägledning.

Betrodd åtkomst för resurser som registrerats i din prenumeration

Resurser för vissa tjänster som är registrerade i din prenumeration kan komma åt ditt lagringskonto i samma prenumeration för valda åtgärder, till exempel att skriva loggar eller köra säkerhetskopior. I följande tabell beskrivs varje tjänst och de tillåtna åtgärderna.

Tjänst	Namn på resursprovider	Tillåtna åtgärder
Azure Backup	Microsoft.RecoveryServices	Kör säkerhetskopieringar och återställningar av ohanterade diskar i virtuella IaaS-datorer (infrastruktur som en tjänst) (krävs inte för hanterade diskar). Läs mer.
Azure Data Box	Microsoft.DataBox	Importera data till Azure. Läs mer.
Azure DevTest Labs	Microsoft.DevTestLab	Skapa anpassade avbildningar och installera artefakter. Läs mer.
Azure Event Grid	Microsoft.EventGrid	Aktivera Azure Blob Storage-händelsepublicering och tillåt publicering till lagringsköer.
Azure Event Hubs	Microsoft.EventHub	Arkivera data med hjälp av Event Hubs Capture. Läs mer.
Azure File Sync	Microsoft.StorageSync	Omvandla din lokala filserver till en cache för Azure-filresurser. Den här funktionen möjliggör synkronisering på flera platser, snabb haveriberedskap och säkerhetskopiering på molnsidan. Läs mer.
Azure HDInsight	Microsoft.HDInsight	Etablera det första innehållet i standardfilsystemet för ett nytt HDInsight-kluster. Läs mer.
Azure Import/Export	Microsoft.ImportExport	Importera data till Azure Storage eller exportera data från Azure Storage. Läs mer.
Azure Monitor	Microsoft.Insights	Skriva övervakningsdata till ett skyddat lagringskonto, inklusive resursloggar, Microsoft Entra-inloggning och granskningsloggar och Microsoft Intune-loggar. Läs mer.
Azure-nätverkstjänster	Microsoft.Network	Lagra och analysera nätverkstrafikloggar, bland annat via Azure Network Watcher- och Azure Traffic Manager-tjänsterna. Läs mer.
Azure Site Recovery	Microsoft.SiteRecovery	Aktivera replikering för haveriberedskap för virtuella Azure IaaS-datorer när du använder brandväggsaktiverade cache-, käll- eller mållagringskonton. Läs mer.

Betrodd åtkomst baserat på en hanterad identitet

I följande tabell visas tjänster som kan komma åt dina lagringskontodata om resursinstanserna av dessa tjänster har rätt behörighet.

Tjänst	Namn på resursprovider	Syfte
Azure FarmBeats	Microsoft.AgFoodPlatform/farmBeats	Ger åtkomst till lagringskonton.
Azure API Management	Microsoft.ApiManagement/service	Ger åtkomst till lagringskonton bakom brandväggar via principer. Läs mer.
Microsoft Autonomous Systems	Microsoft.AutonomousSystems/workspaces	Ger åtkomst till lagringskonton.
Azure Cache for Redis	Microsoft.Cache/Redis	Ger åtkomst till lagringskonton. Läs mer.
Azure AI-sökning	Microsoft.Search/searchServices	Ger åtkomst till lagringskonton för indexering, bearbetning och frågor.
Azure AI-tjänster	Microsoft.CognitiveService/accounts	Ger åtkomst till lagringskonton. Läs mer.
Azure Container Registry	Microsoft.ContainerRegistry/registries	Via ACR Tasks-paketet med funktioner ger du åtkomst till lagringskonton när du skapar containeravbildningar.
Microsoft Cost Management	Microsoft.CostManagementExports	Aktiverar export till lagringskonton bakom en brandvägg. Läs mer.
Azure Databricks	Microsoft.Databricks/accessConnectors	Ger åtkomst till lagringskonton.
Azure Data Factory	Microsoft.DataFactory/factories	Ger åtkomst till lagringskonton via Data Factory-körningen.
Azure Backup Vault	Microsoft.DataProtection/BackupVaults	Ger åtkomst till lagringskonton.
Azure Data Share	Microsoft.DataShare/accounts	Ger åtkomst till lagringskonton.
Azure Database for PostgreSQL	Microsoft.DBForPostgreSQL	Ger åtkomst till lagringskonton.
Azure IoT Hub	Microsoft.Devices/IotHubs	Tillåter att data från en IoT-hubb skrivs till Blob Storage. Läs mer.
Azure DevTest Labs	Microsoft.DevTestLab/labs	Ger åtkomst till lagringskonton.
Azure Event Grid	Microsoft.EventGrid/domains	Ger åtkomst till lagringskonton.
Azure Event Grid	Microsoft.EventGrid/partnerTopics	Ger åtkomst till lagringskonton.
Azure Event Grid	Microsoft.EventGrid/systemTopics	Ger åtkomst till lagringskonton.
Azure Event Grid	Microsoft.EventGrid/topics	Ger åtkomst till lagringskonton.
Microsoft Fabric	Microsoft.Fabric	Ger åtkomst till lagringskonton.
API:er för Azure Healthcare	Microsoft.HealthcareApis/services	Ger åtkomst till lagringskonton.
API:er för Azure Healthcare	Microsoft.HealthcareApis/workspaces	Ger åtkomst till lagringskonton.
Azure IoT Central	Microsoft.IoTCentral/IoTApps	Ger åtkomst till lagringskonton.
Azure Key Vault Managed HSM	Microsoft.keyvault/managedHSMs	Ger åtkomst till lagringskonton.
Azure Logic Program-program	Microsoft.Logic/integrationAccounts	Gör det möjligt för logikappar att komma åt lagringskonton. Läs mer.
Azure Logic Program-program	Microsoft.Logic/workflows	Gör det möjligt för logikappar att komma åt lagringskonton. Läs mer.
Azure Machine Learning Studio	Microsoft.MachineLearning/registries	Gör det möjligt för auktoriserade Azure Machine Learning-arbetsytor att skriva experimentutdata, modeller och loggar till Blob Storage och läsa data. Läs mer.
Azure Machine Learning	Microsoft.MachineLearningServices	Gör det möjligt för auktoriserade Azure Machine Learning-arbetsytor att skriva experimentutdata, modeller och loggar till Blob Storage och läsa data. Läs mer.
Azure Machine Learning	Microsoft.MachineLearningServices/workspaces	Gör det möjligt för auktoriserade Azure Machine Learning-arbetsytor att skriva experimentutdata, modeller och loggar till Blob Storage och läsa data. Läs mer.
Azure Media Services	Microsoft.Media/mediaservices	Ger åtkomst till lagringskonton.
Azure Migrate	Microsoft.Migrate/migrateprojects	Ger åtkomst till lagringskonton.
Azure Spatial Anchors	Microsoft.MixedReality/remoteRenderingAccounts	Ger åtkomst till lagringskonton.
Azure ExpressRoute	Microsoft.Network/expressRoutePorts	Ger åtkomst till lagringskonton.
Microsoft Power Platform	Microsoft.PowerPlatform/enterprisePolicies	Ger åtkomst till lagringskonton.
Microsoft Project Arcadia	Microsoft.ProjectArcadia/workspaces	Ger åtkomst till lagringskonton.
Azure Data Catalog	Microsoft.ProjectBabylon/accounts	Ger åtkomst till lagringskonton.
Microsoft Purview	Microsoft.Purview/accounts	Ger åtkomst till lagringskonton.
Azure Site Recovery	Microsoft.RecoveryServices/vaults	Ger åtkomst till lagringskonton.
Security Center	Microsoft.Security/dataScanners	Ger åtkomst till lagringskonton.
Singularity	Microsoft.Singularity/accounts	Ger åtkomst till lagringskonton.
Azure SQL Database	Microsoft.Sql	Tillåter att granskningsdata skrivs till lagringskonton bakom en brandvägg.
Azure SQL-servrar	Microsoft.Sql/servers	Tillåter att granskningsdata skrivs till lagringskonton bakom en brandvägg.
Azure Synapse Analytics	Microsoft.Sql	Tillåter import och export av data från specifika SQL-databaser via instruktionen COPY eller PolyBase (i en dedikerad pool) eller openrowset funktionen och de externa tabellerna i en serverlös pool. Läs mer.
Azure Stream Analytics	Microsoft.StreamAnalytics	Tillåter att data från ett direktuppspelningsjobb skrivs till Blob Storage. Läs mer.
Azure Stream Analytics	Microsoft.StreamAnalytics/streamingjobs	Tillåter att data från ett direktuppspelningsjobb skrivs till Blob Storage. Läs mer.
Azure Synapse Analytics	Microsoft.Synapse/workspaces	Ger åtkomst till data i Azure Storage.
Azure Video Indexer	Microsoft.VideoIndexer/Accounts	Ger åtkomst till lagringskonton.

Om du inte har aktiverat den hierarkiska namnområdesfunktionen för ditt konto kan du bevilja behörighet genom att uttryckligen tilldela en Azure-roll till den hanterade identiteten för varje resursinstans. I det här fallet motsvarar åtkomstomfånget för instansen den Azure-roll som har tilldelats den hanterade identiteten.

Du kan använda samma teknik för ett konto som har funktionen hierarkisk namnrymd aktiverad. Du behöver dock inte tilldela en Azure-roll om du lägger till den hanterade identiteten i åtkomstkontrollistan (ACL) för någon katalog eller blob som lagringskontot innehåller. I så fall motsvarar åtkomstomfånget för instansen den katalog eller fil som den hanterade identiteten har åtkomst till.

Du kan också kombinera Azure-roller och ACL:er tillsammans för att bevilja åtkomst. Mer information finns i Åtkomstkontrollmodell i Azure Data Lake Storage Gen2.

Vi rekommenderar att du använder resursinstansregler för att bevilja åtkomst till specifika resurser.

Hantera undantag

I vissa fall, till exempel lagringsanalys, krävs åtkomst till läsresursloggar och mått utanför nätverksgränsen. När du konfigurerar betrodda tjänster för åtkomst till lagringskontot kan du tillåta läsåtkomst för loggfiler, måtttabeller eller båda genom att skapa ett undantag för nätverksregeln. Du kan hantera undantag från nätverksregeln via Azure-portalen, PowerShell eller Azure CLI v2.

Mer information om hur du arbetar med lagringsanalys finns i Använda Azure Storage-analys för att samla in loggar och måttdata.

Portal

1. Gå till det lagringskonto som du vill skydda.

2. Välj Nätverk.

3. Kontrollera att du har valt att tillåta åtkomst från valda nätverk.

4. Under Undantag väljer du de undantag som du vill bevilja.

5. Välj Spara för att införa ändringarna.

PowerShell

1. Installera Azure PowerShell och logga in.

2. Visa undantagen för lagringskontots nätverksregler:

   (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
   

3. Konfigurera undantagen till lagringskontots nätverksregler:

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
   

4. Ta bort undantagen från lagringskontots nätverksregler:

   Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
   

Azure CLI

1. Installera Azure CLI och logga in.

2. Visa undantagen för lagringskontots nätverksregler:

   az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
   

3. Konfigurera undantagen till lagringskontots nätverksregler:

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
   

4. Ta bort undantagen från lagringskontots nätverksregler:

   az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
   

Nästa steg

Läs mer om Azure-nätverkstjänstslutpunkter. Fördjupa dig i Azure Storage-säkerhet.