Konfigurera brandväggar och virtuella nätverk i Azure StorageConfigure Azure Storage firewalls and virtual networks

Azure Storage tillhandahåller en säkerhetsmodell i flera lager.Azure Storage provides a layered security model. Med den här modellen kan du skydda och kontrollera den nivå av åtkomst till dina lagringskonton som behövs för dina appar och företagsmiljöer, beroende på vilken typ och delmängd av nätverk som används.This model enables you to secure and control the level of access to your storage accounts that your applications and enterprise environments demand, based on the type and subset of networks used. När nätverks regler har kon figurer ATS kan endast program som begär data i den angivna uppsättningen nätverk komma åt ett lagrings konto.When network rules are configured, only applications requesting data over the specified set of networks can access a storage account. Du kan begränsa åtkomsten till ditt lagrings konto till begär Anden som kommer från angivna IP-adresser, IP-intervall eller från en lista över undernät i ett Azure-Virtual Network (VNet).You can limit access to your storage account to requests originating from specified IP addresses, IP ranges or from a list of subnets in an Azure Virtual Network (VNet).

Lagrings konton har en offentlig slut punkt som kan nås via Internet.Storage accounts have a public endpoint that is accessible through the internet. Du kan också skapa privata slut punkter för ditt lagrings konto, som tilldelar en privat IP-adress från ditt VNet till lagrings kontot och skyddar all trafik mellan ditt VNet och lagrings kontot över en privat länk.You can also create Private Endpoints for your storage account, which assigns a private IP address from your VNet to the storage account, and secures all traffic between your VNet and the storage account over a private link. Azure Storage-brandväggen ger åtkomst kontroll för den offentliga slut punkten för ditt lagrings konto.The Azure storage firewall provides access control access for the public endpoint of your storage account. Du kan också använda brand väggen för att blockera all åtkomst via den offentliga slut punkten när du använder privata slut punkter.You can also use the firewall to block all access through the public endpoint when using private endpoints. Konfigurationen av lagrings brand väggen aktiverar även de betrodda Azure Platform-tjänsterna för att få åtkomst till lagrings kontot på ett säkert sätt.Your storage firewall configuration also enables select trusted Azure platform services to access the storage account securely.

Ett program som har åtkomst till ett lagrings konto när nätverks regler tillämpas kräver fortfarande korrekt auktorisering för begäran.An application that accesses a storage account when network rules are in effect still requires proper authorization for the request. Auktorisering stöds med Azure Active Directory (Azure AD)-autentiseringsuppgifter för blobbar och köer, med en giltig konto åtkomst nyckel eller med en SAS-token.Authorization is supported with Azure Active Directory (Azure AD) credentials for blobs and queues, with a valid account access key, or with an SAS token.

Viktigt

Att aktivera brand Väggs regler för ditt lagrings konto blockerar inkommande begär Anden om data som standard, om inte begär Anden kommer från en tjänst som körs i ett Azure-Virtual Network (VNet) eller från tillåtna offentliga IP-adresser.Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests originate from a service operating within an Azure Virtual Network (VNet) or from allowed public IP addresses. Begär Anden som blockeras inkluderar de från andra Azure-tjänster, från Azure Portal, från loggnings-och mått tjänster och så vidare.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on.

Du kan bevilja åtkomst till Azure-tjänster som fungerar inifrån ett VNet genom att tillåta trafik från det undernät som är värd för tjänst instansen.You can grant access to Azure services that operate from within a VNet by allowing traffic from the subnet hosting the service instance. Du kan också aktivera ett begränsat antal scenarier med hjälp av undantags mekanismen som beskrivs nedan.You can also enable a limited number of scenarios through the Exceptions mechanism described below. Om du vill komma åt data från lagrings kontot via Azure Portal måste du vara på en dator inom den betrodda gränser (antingen IP eller VNet) som du konfigurerar.To access data from the storage account through the Azure portal, you would need to be on a machine within the trusted boundary (either IP or VNet) that you set up.

Anteckning

Den här artikeln har uppdaterats till att använda den nya Azure PowerShell Az-modulen.This article has been updated to use the new Azure PowerShell Az module. Du kan fortfarande använda modulen AzureRM som kommer att fortsätta att ta emot felkorrigeringar fram till december 2020 eller längre.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Mer information om den nya Az-modulen och AzureRM-kompatibilitet finns i Introduktion till den nya Azure PowerShell Az-modulen.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Instruktioner för installation av Az-modulen finns i Installera Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

ScenarierScenarios

Om du vill skydda ditt lagrings konto bör du först konfigurera en regel för att neka åtkomst till trafik från alla nätverk (inklusive Internet trafik) på den offentliga slut punkten som standard.To secure your storage account, you should first configure a rule to deny access to traffic from all networks (including internet traffic) on the public endpoint, by default. Sedan bör du konfigurera regler som beviljar åtkomst till trafik från vissa virtuella nätverk.Then, you should configure rules that grant access to traffic from specific VNets. Du kan också konfigurera regler för att bevilja åtkomst till trafik från Välj offentliga IP-adressintervall för Internet, aktivera anslutningar från vissa Internet-eller lokala klienter.You can also configure rules to grant access to traffic from select public internet IP address ranges, enabling connections from specific internet or on-premises clients. Med den här konfigurationen kan du bygga en säker nätverks gränser för dina program.This configuration enables you to build a secure network boundary for your applications.

Du kan kombinera brand Väggs regler som tillåter åtkomst från vissa virtuella nätverk och från offentliga IP-adressintervall på samma lagrings konto.You can combine firewall rules that allow access from specific virtual networks and from public IP address ranges on the same storage account. Lagrings brand Väggs regler kan tillämpas på befintliga lagrings konton eller när du skapar nya lagrings konton.Storage firewall rules can be applied to existing storage accounts, or when creating new storage accounts.

Lagrings brand Väggs regler gäller för den offentliga slut punkten för ett lagrings konto.Storage firewall rules apply to the public endpoint of a storage account. Du behöver inga brand Väggs åtkomst regler för att tillåta trafik för privata slut punkter för ett lagrings konto.You don't need any firewall access rules to allow traffic for private endpoints of a storage account. Processen med att godkänna skapandet av en privat slut punkt ger implicit åtkomst till trafik från det undernät som är värd för den privata slut punkten.The process of approving the creation of a private endpoint grants implicit access to traffic from the subnet that hosts the private endpoint.

Nätverks regler tillämpas på alla nätverks protokoll till Azure Storage, inklusive REST och SMB.Network rules are enforced on all network protocols to Azure storage, including REST and SMB. Om du vill komma åt data med hjälp av verktyg som Azure Portal, Storage Explorer och AZCopy måste explicita nätverks regler konfigureras.To access data using tools such as the Azure portal, Storage Explorer, and AZCopy, explicit network rules must be configured.

När nätverks reglerna tillämpas tillämpas de för alla begär Anden.Once network rules are applied, they're enforced for all requests. SAS-token som beviljar åtkomst till en speciell IP-adress som gör att du kan begränsa åtkomsten till token-innehavaren, men inte bevilja ny åtkomst utöver konfigurerade nätverks regler.SAS tokens that grant access to a specific IP address serve to limit the access of the token holder, but don't grant new access beyond configured network rules.

Disk trafik på den virtuella datorn (inklusive åtgärder för montering och demontering och disk-i/o) påverkas inte av nätverks regler.Virtual machine disk traffic (including mount and unmount operations, and disk IO) is not affected by network rules. REST-åtkomst till Page blobbar skyddas av nätverks regler.REST access to page blobs is protected by network rules.

Klassiska lagrings konton stöder inte brand väggar och virtuella nätverk.Classic storage accounts do not support firewalls and virtual networks.

Du kan använda ohanterade diskar i lagrings konton med nätverks regler som används för att säkerhetskopiera och återställa virtuella datorer genom att skapa ett undantag.You can use unmanaged disks in storage accounts with network rules applied to backup and restore VMs by creating an exception. Den här processen dokumenteras i avsnittet undantag i den här artikeln.This process is documented in the Exceptions section of this article. Brand Väggs undantag gäller inte för hanterade diskar eftersom de redan hanteras av Azure.Firewall exceptions aren't applicable with managed disks as they're already managed by Azure.

Ändra standardåtkomstregeln för nätverkChange the default network access rule

Som standard godkänner lagringskonton anslutningar från klienter i alla nätverk.By default, storage accounts accept connections from clients on any network. Om du vill begränsa åtkomsten till valda nätverk måste du först ändra standardåtgärden.To limit access to selected networks, you must first change the default action.

Varning

Om du gör ändringar av nätverksreglerna kan det påverka programmens möjlighet att ansluta till Azure Storage.Making changes to network rules can impact your applications' ability to connect to Azure Storage. Om du anger standard nätverks regeln till neka blockeras alla åtkomst till data, om inte vissa nätverks regler som beviljar åtkomst också tillämpas.Setting the default network rule to deny blocks all access to the data unless specific network rules that grant access are also applied. Se till att bevilja åtkomst till alla tillåtna nätverk som använder nätverksregler innan du ändrar standardregeln för att neka åtkomst.Be sure to grant access to any allowed networks using network rules before you change the default rule to deny access.

Hantera standardregler för nätverksåtkomstManaging default network access rules

Du kan hantera standard regler för nätverks åtkomst för lagrings konton via Azure Portal, PowerShell eller CLIv2.You can manage default network access rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure PortalAzure portal

  1. Gå till det lagringskonto som du vill skydda.Go to the storage account you want to secure.

  2. Klicka på menyn Inställningar, som kallas brand väggar och virtuella nätverk .Click on the settings menu called Firewalls and virtual networks .

  3. Om du vill neka åtkomst som standard väljer du att tillåta åtkomst från valda nätverk .To deny access by default, choose to allow access from Selected networks . Om du vill tillåta trafik från alla nätverk väljer du att tillåta åtkomst från Alla nätverk .To allow traffic from all networks, choose to allow access from All networks .

  4. Klicka på Spara för att tillämpa dina ändringar.Click Save to apply your changes.

PowerShellPowerShell

  1. Installera Azure PowerShell och Loggain.Install the Azure PowerShell and sign in.

  2. Visa status för standard regeln för lagrings kontot.Display the status of the default rule for the storage account.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").DefaultAction
    
  3. Ange standard regeln för att neka nätverks åtkomst som standard.Set the default rule to deny network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
    
  4. Ange standard regeln för att tillåta nätverks åtkomst som standard.Set the default rule to allow network access by default.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
    

CLIv2CLIv2

  1. Installera Azure CLI och Loggain.Install the Azure CLI and sign in.

  2. Visa status för standard regeln för lagrings kontot.Display the status of the default rule for the storage account.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.defaultAction
    
  3. Ange standard regeln för att neka nätverks åtkomst som standard.Set the default rule to deny network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
    
  4. Ange standard regeln för att tillåta nätverks åtkomst som standard.Set the default rule to allow network access by default.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
    

Bevilja åtkomst från ett virtuellt nätverkGrant access from a virtual network

Du kan konfigurera lagrings konton så att endast åtkomst från vissa undernät tillåts.You can configure storage accounts to allow access only from specific subnets. De tillåtna under näten kan tillhöra ett VNet i samma prenumeration eller i en annan prenumeration, inklusive prenumerationer som tillhör en annan Azure Active Directory klient.The allowed subnets may belong to a VNet in the same subscription, or those in a different subscription, including subscriptions belonging to a different Azure Active Directory tenant.

Aktivera en tjänst slut punkt för Azure Storage i VNet.Enable a Service endpoint for Azure Storage within the VNet. Tjänst slut punkten dirigerar trafik från VNet via en optimal sökväg till Azure Storage tjänsten.The service endpoint routes traffic from the VNet through an optimal path to the Azure Storage service. Identiteterna för under nätet och det virtuella nätverket överförs också med varje begäran.The identities of the subnet and the virtual network are also transmitted with each request. Administratörer kan sedan konfigurera nätverks regler för det lagrings konto som tillåter att förfrågningar tas emot från vissa undernät i ett VNet.Administrators can then configure network rules for the storage account that allow requests to be received from specific subnets in a VNet. Klienter som beviljats åtkomst via dessa nätverks regler måste fortsätta att uppfylla kraven för auktorisering av lagrings kontot för att komma åt data.Clients granted access via these network rules must continue to meet the authorization requirements of the storage account to access the data.

Varje lagrings konto har stöd för upp till 200 virtuella nätverks regler, som kan kombineras med IP-nätverks-regler.Each storage account supports up to 200 virtual network rules, which may be combined with IP network rules.

Tillgängliga virtuella nätverks regionerAvailable virtual network regions

I allmänhet fungerar tjänst slut punkter mellan virtuella nätverk och tjänst instanser i samma Azure-region.In general, service endpoints work between virtual networks and service instances in the same Azure region. När du använder tjänst slut punkter med Azure Storage växer det här omfånget för att inkludera den kopplade regionen.When using service endpoints with Azure Storage, this scope grows to include the paired region. Tjänst slut punkter tillåter kontinuitet under en regional redundans och till gång till skrivskyddade geo-redundanta lagrings instanser (RA-GRS).Service endpoints allow continuity during a regional failover and access to read-only geo-redundant storage (RA-GRS) instances. Nätverks regler som beviljar åtkomst från ett virtuellt nätverk till ett lagrings konto ger också åtkomst till valfri RA-GRS-instans.Network rules that grant access from a virtual network to a storage account also grant access to any RA-GRS instance.

När du planerar för haveri beredskap under ett regionalt avbrott bör du skapa virtuella nätverk i den kopplade regionen i förväg.When planning for disaster recovery during a regional outage, you should create the VNets in the paired region in advance. Aktivera tjänstens slut punkter för Azure Storage med nätverks regler som beviljar åtkomst från dessa alternativa virtuella nätverk.Enable service endpoints for Azure Storage, with network rules granting access from these alternative virtual networks. Tillämpa sedan dessa regler på dina geo-redundanta lagrings konton.Then apply these rules to your geo-redundant storage accounts.

Anteckning

Tjänstens slut punkter gäller inte för trafik utanför regionen för det virtuella nätverket och det angivna region paret.Service endpoints don't apply to traffic outside the region of the virtual network and the designated region pair. Du kan bara använda nätverks regler som beviljar åtkomst från virtuella nätverk till lagrings konton i den primära regionen för ett lagrings konto eller i den angivna kopplade regionen.You can only apply network rules granting access from virtual networks to storage accounts in the primary region of a storage account or in the designated paired region.

Behörigheter som krävsRequired permissions

Om du vill tillämpa en virtuell nätverks regel på ett lagrings konto måste användaren ha rätt behörighet för de undernät som läggs till.To apply a virtual network rule to a storage account, the user must have the appropriate permissions for the subnets being added. Den behörighet som krävs är Anslut till ett undernät och ingår i den inbyggda rollen lagrings konto deltagare .The permission needed is Join Service to a Subnet and is included in the Storage Account Contributor built-in role. Den kan också läggas till i anpassade roll definitioner.It can also be added to custom role definitions.

Lagrings kontot och de virtuella nätverk som beviljats åtkomst kan finnas i olika prenumerationer, inklusive prenumerationer som ingår i en annan Azure AD-klient.Storage account and the virtual networks granted access may be in different subscriptions, including subscriptions that are a part of a different Azure AD tenant.

Anteckning

Konfiguration av regler som beviljar åtkomst till undernät i virtuella nätverk som ingår i en annan Azure Active Directory klient stöds för närvarande bara via PowerShell-, CLI-och REST-API: er.Configuration of rules that grant access to subnets in virtual networks that are a part of a different Azure Active Directory tenant are currently only supported through Powershell, CLI and REST APIs. Sådana regler kan inte konfigureras via Azure Portal, men de kan visas i portalen.Such rules cannot be configured through the Azure portal, though they may be viewed in the portal.

Hantera virtuella nätverks reglerManaging virtual network rules

Du kan hantera virtuella nätverks regler för lagrings konton via Azure Portal, PowerShell eller CLIv2.You can manage virtual network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure PortalAzure portal

  1. Gå till det lagringskonto som du vill skydda.Go to the storage account you want to secure.

  2. Klicka på menyn Inställningar, som kallas brand väggar och virtuella nätverk .Click on the settings menu called Firewalls and virtual networks .

  3. Kontrol lera att du har valt att tillåta åtkomst från valda nätverk .Check that you've selected to allow access from Selected networks .

  4. Om du vill bevilja åtkomst till ett virtuellt nätverk med en ny nätverks regel klickar du på Lägg till befintligt virtuellt nätverk under virtuella nätverk , väljer alternativ för virtuella nätverk och undernät och klickar sedan på Lägg till .To grant access to a virtual network with a new network rule, under Virtual networks , click Add existing virtual network , select Virtual networks and Subnets options, and then click Add . Om du vill skapa ett nytt virtuellt nätverk och bevilja det åtkomst klickar du på Lägg till nytt virtuellt nätverk .To create a new virtual network and grant it access, click Add new virtual network . Ange den information som krävs för att skapa det nya virtuella nätverket och klicka sedan på skapa .Provide the information necessary to create the new virtual network, and then click Create .

    Anteckning

    Om en tjänst slut punkt för Azure Storage inte tidigare har kon figurer ATS för det valda virtuella nätverket och under nätet, kan du konfigurera den som en del av den här åtgärden.If a service endpoint for Azure Storage wasn't previously configured for the selected virtual network and subnets, you can configure it as part of this operation.

    För närvarande visas endast virtuella nätverk som hör till samma Azure Active Directory klient organisation för val av skapande av regel.Presently, only virtual networks belonging to the same Azure Active Directory tenant are shown for selection during rule creation. Om du vill bevilja åtkomst till ett undernät i ett virtuellt nätverk som tillhör en annan klient organisation använder du PowerShell-, CLI-eller REST-API: er.To grant access to a subnet in a virtual network belonging to another tenant, please use Powershell, CLI or REST APIs.

  5. Om du vill ta bort ett virtuellt nätverk eller en under näts regel klickar du på ... för att öppna snabb menyn för det virtuella nätverket eller under nätet och klicka på ta bort .To remove a virtual network or subnet rule, click ... to open the context menu for the virtual network or subnet, and click Remove .

  6. Klicka på Spara för att tillämpa dina ändringar.Click Save to apply your changes.

PowerShellPowerShell

  1. Installera Azure PowerShell och Loggain.Install the Azure PowerShell and sign in.

  2. Lista över virtuella nätverks regler.List virtual network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
    
  3. Aktivera tjänstens slut punkt för Azure Storage på ett befintligt virtuellt nätverk och undernät.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage" | Set-AzVirtualNetwork
    
  4. Lägg till en nätverks regel för ett virtuellt nätverk och undernät.Add a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    

    Tips

    Om du vill lägga till en nätverks regel för ett undernät i ett virtuellt nätverk som tillhör en annan Azure AD-klient använder du en fullständigt kvalificerad VirtualNetworkResourceId -parameter i formatet "/Subscriptions/Subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-Name/subnets/Subnet-Name".To add a network rule for a subnet in a VNet belonging to another Azure AD tenant, use a fully-qualified VirtualNetworkResourceId parameter in the form "/subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name".

  5. Ta bort en nätverks regel för ett virtuellt nätverk och undernät.Remove a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
    

Viktigt

Se till att Ange standard regeln för neka eller att nätverks regler inte har någon påverkan.Be sure to set the default rule to deny , or network rules have no effect.

CLIv2CLIv2

  1. Installera Azure CLI och Loggain.Install the Azure CLI and sign in.

  2. Lista över virtuella nätverks regler.List virtual network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
    
  3. Aktivera tjänstens slut punkt för Azure Storage på ett befintligt virtuellt nätverk och undernät.Enable service endpoint for Azure Storage on an existing virtual network and subnet.

    az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage"
    
  4. Lägg till en nätverks regel för ett virtuellt nätverk och undernät.Add a network rule for a virtual network and subnet.

    subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    

    Tips

    Om du vill lägga till en regel för ett undernät i ett virtuellt nätverk som tillhör en annan Azure AD-klient använder du ett fullständigt kvalificerat undernät-ID i formatet "/Subscriptions/ <subscription-ID> /ResourceGroups/ <resourceGroup-Name> /providers/Microsoft.Network/virtualNetworks/ <vNet-name> /subnets/ <subnet-name> ".To add a rule for a subnet in a VNet belonging to another Azure AD tenant, use a fully-qualified subnet ID in the form "/subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>".

    Du kan använda parametern Subscription för att hämta Undernäts-ID: t för ett VNet som tillhör en annan Azure AD-klient.You can use the subscription parameter to retrieve the subnet ID for a VNet belonging to another Azure AD tenant.

  5. Ta bort en nätverks regel för ett virtuellt nätverk och undernät.Remove a network rule for a virtual network and subnet.

    subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
    

Viktigt

Se till att Ange standard regeln för neka eller att nätverks regler inte har någon påverkan.Be sure to set the default rule to deny , or network rules have no effect.

Bevilja åtkomst från ett IP-intervall på internetGrant access from an internet IP range

Du kan konfigurera lagrings konton så att de tillåter åtkomst från vissa offentliga IP-adressintervall för Internet.You can configure storage accounts to allow access from specific public internet IP address ranges. Den här konfigurationen beviljar åtkomst till vissa Internetbaserade tjänster och lokala nätverk och blockerar allmän Internet trafik.This configuration grants access to specific internet-based services and on-premises networks and blocks general internet traffic.

Tillhandahålla tillåtna Internet adress intervall med CIDR-notering i formatet 16.17.18.0/24 eller enskilda IP-adresser som 16.17.18.19 .Provide allowed internet address ranges using CIDR notation in the form 16.17.18.0/24 or as individual IP addresses like 16.17.18.19 .

Anteckning

Små adress intervall som använder sig av prefixlängden "/31" eller "/32" stöds inte.Small address ranges using "/31" or "/32" prefix sizes are not supported. Dessa intervall ska konfigureras med hjälp av enskilda IP-adressintervall.These ranges should be configured using individual IP address rules.

IP-nätverks regler tillåts endast för offentliga Internet -IP-adresser.IP network rules are only allowed for public internet IP addresses. IP-adressintervall som är reserverade för privata nätverk (enligt definitionen i RFC 1918) tillåts inte i IP-regler.IP address ranges reserved for private networks (as defined in RFC 1918) aren't allowed in IP rules. Privata nätverk innehåller adresser som börjar med 10. * , 172,16. * - 172,31. * och 192,168. * .Private networks include addresses that start with 10.* , 172.16.* - 172.31.* , and 192.168.* .

Anteckning

IP-nätverksanslutningar har ingen påverkan på begär Anden som kommer från samma Azure-region som lagrings kontot.IP network rules have no effect on requests originating from the same Azure region as the storage account. Använd regler för virtuella nätverk för att tillåta begäran om samma region.Use Virtual network rules to allow same-region requests.

Anteckning

Tjänster som distribueras i samma region som lagrings kontot använder privata Azure IP-adresser för kommunikation.Services deployed in the same region as the storage account use private Azure IP addresses for communication. Därför kan du inte begränsa åtkomsten till vissa Azure-tjänster baserat på deras offentliga utgående IP-adressintervall.Thus, you cannot restrict access to specific Azure services based on their public outbound IP address range.

Endast IPV4-adresser stöds för konfiguration av lagrings brand Väggs regler.Only IPV4 addresses are supported for configuration of storage firewall rules.

Varje lagrings konto har stöd för upp till 200 IP-nätverksanslutningar.Each storage account supports up to 200 IP network rules.

Konfigurera åtkomst från lokala nätverkConfiguring access from on-premises networks

Om du vill bevilja åtkomst från dina lokala nätverk till ditt lagrings konto med en IP-nätverks regel måste du identifiera de Internet adresser som IP-adresser används i nätverket.To grant access from your on-premises networks to your storage account with an IP network rule, you must identify the internet facing IP addresses used by your network. Kontakta nätverks administratören om du behöver hjälp.Contact your network administrator for help.

Om du använder ExpressRoute lokalt för offentlig peering eller Microsoft-peering, måste du identifiera de NAT IP-adresser som används.If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. För offentlig peering, använder varje ExpressRoute-krets som standard två NAT IP-adresser, som används för Azure-tjänsttrafik när trafiken kommer till Microsoft Azure-stamnätverket.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. För Microsoft-peering används de NAT-IP-adresser som används antingen för kunden eller tillhandahålls av tjänst leverantören.For Microsoft peering, the NAT IP addresses used are either customer provided or are provided by the service provider. Om du vill tillåta åtkomst till dina tjänstresurser måste du tillåta dessa offentliga IP-adresser i resursens IP-brandväggsinställning.To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. För att kunna hitta ExpressRoute-kretsens IP-adresser för offentlig peering öppnar du en supportbegäran hos ExpressRoute via Azure-portalen.To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Lär dig mer om NAT för ExpressRoute offentliga peering och Microsoft-peering.Learn more about NAT for ExpressRoute public and Microsoft peering.

Hantera IP-nätverks reglerManaging IP network rules

Du kan hantera IP-nätverks regler för lagrings konton via Azure Portal, PowerShell eller CLIv2.You can manage IP network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

Azure PortalAzure portal

  1. Gå till det lagringskonto som du vill skydda.Go to the storage account you want to secure.

  2. Klicka på menyn Inställningar, som kallas brand väggar och virtuella nätverk .Click on the settings menu called Firewalls and virtual networks .

  3. Kontrol lera att du har valt att tillåta åtkomst från valda nätverk .Check that you've selected to allow access from Selected networks .

  4. Om du vill bevilja åtkomst till ett Internet-IP-intervall anger du IP-adressen eller adress intervallet (i CIDR-format) under brand Väggs > adress intervall .To grant access to an internet IP range, enter the IP address or address range (in CIDR format) under Firewall > Address Range .

  5. Om du vill ta bort en IP-nätverks regel klickar du på pappers korgs ikonen bredvid adress intervallet.To remove an IP network rule, click the trash can icon next to the address range.

  6. Klicka på Spara för att tillämpa dina ändringar.Click Save to apply your changes.

PowerShellPowerShell

  1. Installera Azure PowerShell och Loggain.Install the Azure PowerShell and sign in.

  2. Lista IP-nätverksnummer.List IP network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").IPRules
    
  3. Lägg till en nätverks regel för en enskild IP-adress.Add a network rule for an individual IP address.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  4. Lägg till en nätverks regel för ett IP-adressintervall.Add a network rule for an IP address range.

    Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    
  5. Ta bort en nätverks regel för en enskild IP-adress.Remove a network rule for an individual IP address.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.19"
    
  6. Ta bort en nätverks regel för ett IP-adressintervall.Remove a network rule for an IP address range.

    Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount" -IPAddressOrRange "16.17.18.0/24"
    

Viktigt

Se till att Ange standard regeln för neka eller att nätverks regler inte har någon påverkan.Be sure to set the default rule to deny , or network rules have no effect.

CLIv2CLIv2

  1. Installera Azure CLI och Loggain.Install the Azure CLI and sign in.

  2. Lista IP-nätverksnummer.List IP network rules.

    az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query ipRules
    
  3. Lägg till en nätverks regel för en enskild IP-adress.Add a network rule for an individual IP address.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  4. Lägg till en nätverks regel för ett IP-adressintervall.Add a network rule for an IP address range.

    az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    
  5. Ta bort en nätverks regel för en enskild IP-adress.Remove a network rule for an individual IP address.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.19"
    
  6. Ta bort en nätverks regel för ett IP-adressintervall.Remove a network rule for an IP address range.

    az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --ip-address "16.17.18.0/24"
    

Viktigt

Se till att Ange standard regeln för neka eller att nätverks regler inte har någon påverkan.Be sure to set the default rule to deny , or network rules have no effect.

UndantagExceptions

Nätverks regler hjälper till att skapa en säker miljö för anslutningar mellan dina program och dina data för de flesta scenarier.Network rules help to create a secure environment for connections between your applications and your data for most scenarios. Vissa program är dock beroende av Azure-tjänster som inte kan isoleras unikt genom virtuella nätverks-eller IP-adress regler.However, some applications depend on Azure services that cannot be uniquely isolated through virtual network or IP address rules. Men sådana tjänster måste beviljas till lagring för att möjliggöra fullständig program funktion.But such services must be granted to storage to enable full application functionality. I sådana fall kan du använda * Tillåt betrodda Microsoft-tjänster... _ inställning för att aktivera sådana tjänster för att få åtkomst till dina data, loggar eller analyser.In such situations, you can use the * Allow trusted Microsoft services... _ setting to enable such services to access your data, logs, or analytics.

Betrodda Microsoft-tjänsterTrusted Microsoft services

Vissa Microsoft-tjänster körs från nätverk som inte kan ingå i dina nätverks regler.Some Microsoft services operate from networks that can't be included in your network rules. Du kan ge en delmängd av dessa betrodda Microsoft-tjänster åtkomst till lagrings kontot, samtidigt som nätverks reglerna för andra appar upprätthålls.You can grant a subset of such trusted Microsoft services access to the storage account, while maintaining network rules for other apps. Dessa betrodda tjänster kommer sedan att använda stark autentisering för att ansluta till ditt lagrings konto på ett säkert sätt.These trusted services will then use strong authentication to connect to your storage account securely. Vi har aktiverat två lägen för betrodd åtkomst för Microsoft-tjänster.We've enabled two modes of trusted access for Microsoft services.

  • Resurser för vissa tjänster, _ * när de har registrerats i din prenumeration * *, kan komma åt ditt lagrings konto i samma prenumeration för Select-åtgärder, till exempel skriva loggar eller säkerhets kopiering.Resources of some services, _*when registered in your subscription**, can access your storage account in the same subscription for select operations, such as writing logs or backup.
  • Resurser i vissa tjänster kan beviljas uttrycklig åtkomst till ditt lagrings konto genom att tilldela en Azure-roll till sin systemtilldelade hanterade identitet.Resources of some services can be granted explicit access to your storage account by assigning an Azure role to its system-assigned managed identity.

När du aktiverar inställningen Tillåt betrodda Microsoft-tjänster... , beviljas resurser för följande tjänster som är registrerade i samma prenumeration som ditt lagrings konto åtkomst för en begränsad uppsättning åtgärder enligt beskrivningen:When you enable the Allow trusted Microsoft services... setting, resources of the following services that are registered in the same subscription as your storage account are granted access for a limited set of operations as described:

TjänstService Namn på resurs leverantörResource Provider Name Tillåtna åtgärderOperations allowed
Azure BackupAzure Backup Microsoft. RecoveryServicesMicrosoft.RecoveryServices Kör säkerhets kopiering och återställning av ohanterade diskar i virtuella IAAS-datorer.Run backups and restores of unmanaged disks in IAAS virtual machines. (krävs inte för Managed Disks).(not required for managed disks). Läs mer.Learn more.
Azure Data BoxAzure Data Box Microsoft. data-Microsoft.DataBox Gör det möjligt att importera data till Azure med hjälp av Data Box-enhet.Enables import of data to Azure using Data Box. Läs mer.Learn more.
Azure DevTest LabsAzure DevTest Labs Microsoft. DevTestLabMicrosoft.DevTestLab Skapande av anpassad avbildning och artefakt installation.Custom image creation and artifact installation. Läs mer.Learn more.
Azure Event GridAzure Event Grid Microsoft. EventGridMicrosoft.EventGrid Aktivera Blob Storage händelse publicering och Tillåt Event Grid att publicera till lagrings köer.Enable Blob Storage event publishing and allow Event Grid to publish to storage queues. Lär dig mer om Blob Storage-händelser och publicering till köer.Learn about blob storage events and publishing to queues.
Azure Event HubsAzure Event Hubs Microsoft. EventHubMicrosoft.EventHub Arkivera data med Event Hubs avbildning.Archive data with Event Hubs Capture. Läs mer.Learn More.
Azure File SyncAzure File Sync Microsoft. StorageSyncMicrosoft.StorageSync Gör att du kan omvandla din lokal fil server till ett cacheminne för Azure-filresurser.Enables you to transform your on-prem file server to a cache for Azure File shares. Tillåter synkronisering av flera platser, snabb katastrof återställning och säkerhets kopiering på moln sidan.Allowing for multi-site sync, fast disaster-recovery, and cloud-side backup. Läs merLearn more
Azure HDInsightAzure HDInsight Microsoft. HDInsightMicrosoft.HDInsight Etablera det inledande innehållet i standard fil systemet för ett nytt HDInsight-kluster.Provision the initial contents of the default file system for a new HDInsight cluster. Läs mer.Learn more.
Azure import-exportAzure Import Export Microsoft. ImportExportMicrosoft.ImportExport Möjliggör import av data till Azure Storage eller export av data från Azure Storage med hjälp av Azure Storage import/export-tjänsten.Enables import of data to Azure Storage or export of data from Azure Storage using the Azure Storage Import/Export service. Läs mer.Learn more.
Azure MonitorAzure Monitor Microsoft. InsightsMicrosoft.Insights Tillåter skrivning av övervaknings data till ett skyddat lagrings konto, inklusive resurs loggar, Azure Active Directory inloggnings-och gransknings loggar och Microsoft Intune loggar.Allows writing of monitoring data to a secured storage account, including resource logs, Azure Active Directory sign-in and audit logs, and Microsoft Intune logs. Läs mer.Learn more.
Azure-nätverkAzure Networking Microsoft.NetworkMicrosoft.Network Lagra och analysera nätverks trafik loggar, inklusive via Network Watcher-och Trafikanalys-tjänsterna.Store and analyze network traffic logs, including through the Network Watcher and Traffic Analytics services. Läs mer.Learn more.
Azure Site RecoveryAzure Site Recovery Microsoft. SiteRecoveryMicrosoft.SiteRecovery Aktivera replikering för haveri beredskap för virtuella Azure IaaS-datorer när du använder brand Väggs-aktiverade cache-, käll-eller mål lagrings konton.Enable replication for disaster-recovery of Azure IaaS virtual machines when using firewall-enabled cache, source, or target storage accounts. Läs mer.Learn more.

Inställningen Tillåt betrodda Microsoft-tjänster... tillåter också att en viss instans av nedanstående tjänster får åtkomst till lagrings kontot, om du uttryckligen tilldelar en Azure-roll till den systemtilldelade hanterade identiteten för den resurs instansen.The Allow trusted Microsoft services... setting also allows a particular instance of the below services to access the storage account, if you explicitly assign an Azure role to the system-assigned managed identity for that resource instance. I det här fallet motsvarar åtkomst omfånget för instansen den Azure-roll som tilldelats den hanterade identiteten.In this case, the scope of access for the instance corresponds to the Azure role assigned to the managed identity.

TjänstService Namn på resurs leverantörResource Provider Name SyftePurpose
Azure API ManagementAzure API Management Microsoft.ApiManagement/serviceMicrosoft.ApiManagement/service Aktiverar API Management-tjänstens åtkomst till lagrings konton bakom brand väggen med hjälp av principer.Enables Api Management service access to storage accounts behind firewall using policies. Läs mer.Learn more.
Azure Cognitive SearchAzure Cognitive Search Microsoft. search/searchServicesMicrosoft.Search/searchServices Ger Kognitiv sökning-tjänster åtkomst till lagrings konton för indexering, bearbetning och frågor.Enables Cognitive Search services to access storage accounts for indexing, processing and querying.
Azure Container Registry TasksAzure Container Registry Tasks Microsoft. ContainerRegistry/registerMicrosoft.ContainerRegistry/registries ACR-aktiviteter kan komma åt lagrings konton när du skapar behållar avbildningar.ACR Tasks can access storage accounts when building container images.
Azure Data FactoryAzure Data Factory Microsoft. DataFactory/fabrikerMicrosoft.DataFactory/factories Ger åtkomst till lagrings konton via ADF-körningen.Allows access to storage accounts through the ADF runtime.
Azure Data ShareAzure Data Share Microsoft. DataShare/kontonMicrosoft.DataShare/accounts Ger åtkomst till lagrings konton via data resurs.Allows access to storage accounts through Data Share.
Azure IoT HubAzure IoT Hub Microsoft. Devices/IotHubsMicrosoft.Devices/IotHubs Tillåter att data från en IoT-hubb skrivs till Blob Storage.Allows data from an IoT hub to be written to Blob storage. Läs merLearn more
Azure Logic AppsAzure Logic Apps Microsoft. Logic/arbets flödenMicrosoft.Logic/workflows Gör att Logic Apps kan komma åt lagrings konton.Enables logic apps to access storage accounts. Läs mer.Learn more.
Azure Machine Learning-tjänstenAzure Machine Learning Service Microsoft.MachineLearningServicesMicrosoft.MachineLearningServices Auktoriserade Azure Machine Learning arbets ytor skriver experiment, modeller och loggar till Blob Storage och läser data.Authorized Azure Machine Learning workspaces write experiment output, models, and logs to Blob storage and read the data. Läs mer.Learn more.
Azure Synapse Analytics (tidigare SQL Data Warehouse)Azure Synapse Analytics (formerly SQL Data Warehouse) Microsoft.SqlMicrosoft.Sql Tillåter import och export av data från vissa SQL-databaser med hjälp av KOPIERINGs instruktionen eller polybasen.Allows import and export of data from specific SQL databases using the COPY statement or PolyBase. Läs mer.Learn more.
Azure SQL DatabaseAzure SQL Database Microsoft.SqlMicrosoft.Sql Tillåter import av data från lagrings konton och skrivning av gransknings data till lagrings konton bakom brand väggen.Allows import of data from storage accounts and writing audit data to storage accounts behind firewall.
Azure Stream AnalyticsAzure Stream Analytics Microsoft. StreamAnalyticsMicrosoft.StreamAnalytics Tillåter att data från ett strömmande jobb skrivs till Blob Storage.Allows data from a streaming job to be written to Blob storage. Läs mer.Learn more.
Azure Synapse AnalyticsAzure Synapse Analytics Microsoft. Synapse/arbets ytorMicrosoft.Synapse/workspaces Ger åtkomst till data i Azure Storage från Synapse Analytics.Enables access to data in Azure Storage from Synapse Analytics.

Åtkomst till Storage Analytics-dataStorage analytics data access

I vissa fall krävs åtkomst till läsa resurs loggar och mät värden utanför nätverks gränserna.In some cases, access to read resource logs and metrics is required from outside the network boundary. När du konfigurerar betrodda tjänster till lagrings kontot kan du tillåta Läs åtkomst för loggfiler, mått tabeller eller både och.When configuring trusted services access to the storage account, you can allow read-access for the log files, metrics tables, or both. Lär dig mer om hur du arbetar med lagrings analys.Learn more about working with storage analytics.

Hantera undantagManaging exceptions

Du kan hantera nätverks regel undantag via Azure Portal, PowerShell eller Azure CLI v2.You can manage network rule exceptions through the Azure portal, PowerShell, or Azure CLI v2.

Azure PortalAzure portal

  1. Gå till det lagringskonto som du vill skydda.Go to the storage account you want to secure.

  2. Klicka på menyn Inställningar, som kallas brand väggar och virtuella nätverk .Click on the settings menu called Firewalls and virtual networks .

  3. Kontrol lera att du har valt att tillåta åtkomst från valda nätverk .Check that you've selected to allow access from Selected networks .

  4. Under undantag väljer du de undantag som du vill bevilja.Under Exceptions , select the exceptions you wish to grant.

  5. Klicka på Spara för att tillämpa dina ändringar.Click Save to apply your changes.

PowerShellPowerShell

  1. Installera Azure PowerShell och Loggain.Install the Azure PowerShell and sign in.

  2. Visa undantagen för lagrings kontots nätverks regler.Display the exceptions for the storage account network rules.

    (Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount").Bypass
    
  3. Konfigurera undantagen för lagrings kontots nätverks regler.Configure the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass AzureServices,Metrics,Logging
    
  4. Ta bort undantagen till lagrings kontots nätverks regler.Remove the exceptions to the storage account network rules.

    Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -Bypass None
    

Viktigt

Se till att Ange standard regeln som neka eller ta bort undantag har ingen påverkan.Be sure to set the default rule to deny , or removing exceptions have no effect.

CLIv2CLIv2

  1. Installera Azure CLI och Loggain.Install the Azure CLI and sign in.

  2. Visa undantagen för lagrings kontots nätverks regler.Display the exceptions for the storage account network rules.

    az storage account show --resource-group "myresourcegroup" --name "mystorageaccount" --query networkRuleSet.bypass
    
  3. Konfigurera undantagen för lagrings kontots nätverks regler.Configure the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass Logging Metrics AzureServices
    
  4. Ta bort undantagen till lagrings kontots nätverks regler.Remove the exceptions to the storage account network rules.

    az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --bypass None
    

Viktigt

Se till att Ange standard regeln som neka eller ta bort undantag har ingen påverkan.Be sure to set the default rule to deny , or removing exceptions have no effect.

Nästa stegNext steps

Läs mer om Azure Network Service-slutpunkter i tjänst slut punkter.Learn more about Azure Network service endpoints in Service endpoints.

Gå djupare i Azure Storage säkerhet i Azure Storage säkerhets guide.Dig deeper into Azure Storage security in Azure Storage security guide.