Konfigurera brandväggar och virtuella nätverk i Azure Storage

Azure Storage tillhandahåller en skiktbaserad säkerhetsmodell. Med den här modellen kan du skydda och kontrollera åtkomstnivån till dina lagringskonton som dina program och företagsmiljöer kräver, baserat på vilken typ och delmängd av nätverk eller resurser som används. När nätverksregler har konfigurerats kan endast program som begär data via den angivna uppsättningen nätverk eller via den angivna uppsättningen Azure-resurser komma åt ett lagringskonto. Du kan begränsa åtkomsten till ditt lagringskonto till begäranden som kommer från angivna IP-adresser, IP-intervall, undernät i en Azure Virtual Network (VNet) eller resursinstanser av vissa Azure-tjänster.

Storage konton har en offentlig slutpunkt som är tillgänglig via Internet. Du kan också skapa privata slutpunkter för ditt lagringskonto, som tilldelar en privat IP-adress från ditt VNet till lagringskontot och skyddar all trafik mellan ditt virtuella nätverk och lagringskontot via en privat länk. Azure Storage-brandväggen ger åtkomstkontroll för den offentliga slutpunkten för ditt lagringskonto. Du kan också använda brandväggen för att blockera all åtkomst via den offentliga slutpunkten när du använder privata slutpunkter. Konfigurationen av lagringsbrandväggen gör det också möjligt att välja betrodda Azure-plattformstjänster för säker åtkomst till lagringskontot.

Ett program som har åtkomst till ett lagringskonto när nätverksregler tillämpas kräver fortfarande korrekt auktorisering för begäran. Auktorisering stöds med autentiseringsuppgifter för Azure Active Directory (Azure AD) för blobar och köer, med en giltig kontoåtkomstnyckel eller med en SAS-token. När en blobcontainer har konfigurerats för anonym offentlig åtkomst behöver begäranden om att läsa data i containern inte auktoriseras, men brandväggsreglerna gäller fortfarande och blockerar anonym trafik.

Viktigt

Om du aktiverar brandväggsregler för ditt lagringskonto blockeras inkommande begäranden om data som standard, såvida inte begäranden kommer från en tjänst som körs inom ett Azure Virtual Network (VNet) eller från tillåtna offentliga IP-adresser. Begäranden som blockeras omfattar sådana från andra Azure-tjänster, från Azure Portal, från loggnings- och måtttjänster och så vidare.

Du kan bevilja åtkomst till Azure-tjänster som körs inifrån ett virtuellt nätverk genom att tillåta trafik från det undernät som är värd för tjänstinstansen. Du kan också aktivera ett begränsat antal scenarier med hjälp av undantagsmekanismen som beskrivs nedan. För att få åtkomst till data från lagringskontot via Azure Portal måste du vara på en dator inom den betrodda gränsen (IP eller VNet) som du har konfigurerat.

Anteckning

Den här artikeln använder Azure Az PowerShell-modulen, som är den rekommenderade PowerShell-modulen för att interagera med Azure. För att komma igång med Az PowerShell kan du läsa artikeln om att installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Scenarier

För att skydda ditt lagringskonto bör du först konfigurera en regel för att neka åtkomst till trafik från alla nätverk (inklusive Internettrafik) på den offentliga slutpunkten som standard. Sedan bör du konfigurera regler som beviljar åtkomst till trafik från specifika virtuella nätverk. Du kan också konfigurera regler för att bevilja åtkomst till trafik från valda offentliga IP-adressintervall för Internet, vilket möjliggör anslutningar från specifika Internet- eller lokala klienter. Med den här konfigurationen kan du skapa en säker nätverksgräns för dina program.

Du kan kombinera brandväggsregler som tillåter åtkomst från specifika virtuella nätverk och från offentliga IP-adressintervall på samma lagringskonto. Storage brandväggsregler kan tillämpas på befintliga lagringskonton eller när du skapar nya lagringskonton.

Storage brandväggsregler gäller för den offentliga slutpunkten för ett lagringskonto. Du behöver inga brandväggsåtkomstregler för att tillåta trafik för privata slutpunkter för ett lagringskonto. Processen för att godkänna skapandet av en privat slutpunkt ger implicit åtkomst till trafik från det undernät som är värd för den privata slutpunkten.

Nätverksregler tillämpas på alla nätverksprotokoll för Azure Storage, inklusive REST och SMB. För att komma åt data med hjälp av verktyg som Azure Portal, Storage Explorer och AzCopy måste explicita nätverksregler konfigureras.

När nätverksregler har tillämpats tillämpas de för alla begäranden. SAS-token som beviljar åtkomst till en specifik IP-adress används för att begränsa tokeninnehavarens åtkomst, men beviljar inte ny åtkomst utöver konfigurerade nätverksregler.

Disktrafik för virtuella datorer (inklusive monterings- och avmonteringsåtgärder och disk-I/O) påverkas inte av nätverksregler. REST-åtkomst till sidblobar skyddas av nätverksregler.

Klassiska lagringskonton stöder inte brandväggar och virtuella nätverk.

Du kan använda ohanterade diskar i lagringskonton med nätverksregler som tillämpas för att säkerhetskopiera och återställa virtuella datorer genom att skapa ett undantag. Den här processen dokumenteras i avsnittet Hantera undantag i den här artikeln. Brandväggsfel gäller inte för hanterade diskar eftersom de redan hanteras av Azure.

Ändra standardåtkomstregeln för nätverk

Som standard godkänner lagringskonton anslutningar från klienter i alla nätverk. Du kan begränsa åtkomsten till valda nätverk eller förhindra trafik från alla nätverk och endast tillåta åtkomst via en privat slutpunkt.

Varning

Om du ändrar den här inställningen kan det påverka programmets möjlighet att ansluta till Azure Storage. Se till att bevilja åtkomst till alla tillåtna nätverk eller konfigurera åtkomst via en privat slutpunkt innan du ändrar den här inställningen.

  1. Gå till det lagringskonto som du vill skydda.

  2. Leta upp nätverksinställningarna under Säkerhet + nätverk.

  3. Välj vilken typ av offentlig nätverksåtkomst du vill tillåta.

    • Om du vill tillåta trafik från alla nätverk väljer du Aktiverad från alla nätverk.

    • Om du bara vill tillåta trafik från specifika virtuella nätverk väljer du Aktiverad från valda virtuella nätverk och IP-adresser.

    • Om du vill blockera trafik från alla nätverk väljer du Inaktiverad.

  4. Klicka på Spara för att tillämpa dina ändringar.

Bevilja åtkomst från ett virtuellt nätverk

Du kan konfigurera lagringskonton så att de endast tillåter åtkomst från specifika undernät. De tillåtna undernäten kan tillhöra ett virtuellt nätverk i samma prenumeration, eller de i en annan prenumeration, inklusive prenumerationer som tillhör en annan Azure Active Directory klientorganisation.

Du kan aktivera en tjänstslutpunkt för Azure Storage i det virtuella nätverket. Tjänstslutpunkten dirigerar trafik från det virtuella nätverket via en optimal sökväg till Azure Storage-tjänsten. Identiteterna för undernätet och det virtuella nätverket skickas också med varje begäran. Administratörer kan sedan konfigurera nätverksregler för lagringskontot som tillåter att begäranden tas emot från specifika undernät i ett virtuellt nätverk. Klienter som beviljas åtkomst via dessa nätverksregler måste fortsätta att uppfylla auktoriseringskraven för lagringskontot för att få åtkomst till data.

Varje lagringskonto stöder upp till 200 regler för virtuella nätverk, som kan kombineras med IP-nätverksregler.

Viktigt

Om du tar bort ett undernät som har inkluderats i en nätverksregel tas det bort från nätverksreglerna för lagringskontot. Om du skapar ett nytt undernät med samma namn har det inte åtkomst till lagringskontot. Om du vill tillåta åtkomst måste du uttryckligen auktorisera det nya undernätet i nätverksreglerna för lagringskontot.

Behörigheter som krävs

Om du vill använda en regel för virtuella nätverk med ett lagringskonto måste användaren ha rätt behörighet för de undernät som läggs till. Tillämpning av en regel kan utföras av en Storage-kontodeltagare eller en användare som har fått behörighet till azure-resursprovideråtgärdenMicrosoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action via en anpassad Azure-roll.

Storage konto och de virtuella nätverk som beviljas åtkomst kan finnas i olika prenumerationer, inklusive prenumerationer som ingår i en annan Azure AD klientorganisation.

Anteckning

Konfiguration av regler som beviljar åtkomst till undernät i virtuella nätverk som ingår i en annan Azure Active Directory klientorganisation stöds för närvarande endast via PowerShell, CLI och REST API:er. Sådana regler kan inte konfigureras via Azure Portal, även om de kan visas i portalen.

Tillgängliga virtuella nätverksregioner

Som standard fungerar tjänstslutpunkter mellan virtuella nätverk och tjänstinstanser i samma Azure-region. När du använder tjänstslutpunkter med Azure Storage fungerar även tjänstslutpunkter mellan virtuella nätverk och tjänstinstanser i en länkad region. Om du vill använda en tjänstslutpunkt för att bevilja åtkomst till virtuella nätverk i andra regioner måste du registrera AllowGlobalTagsForStorage funktionen i prenumerationen för det virtuella nätverket. Den här funktionen är för närvarande i allmänt tillgänglig förhandsversion.

Tjänstslutpunkter möjliggör kontinuitet under en regional redundansväxling och åtkomst till skrivskyddade ra-redundanta lagringsinstanser (RA-GRS). Nätverksregler som beviljar åtkomst från ett virtuellt nätverk till ett lagringskonto beviljar även åtkomst till alla RA-GRS-instanser.

När du planerar för haveriberedskap under ett regionalt avbrott bör du skapa de virtuella nätverken i den kopplade regionen i förväg. Aktivera tjänstslutpunkter för Azure Storage, med nätverksregler som beviljar åtkomst från dessa alternativa virtuella nätverk. Tillämpa sedan dessa regler på dina geo-redundanta lagringskonton.

Aktivera åtkomst till virtuella nätverk i andra regioner (förhandsversion)

Om du vill aktivera åtkomst från ett virtuellt nätverk som finns i en annan region registrerar du AllowGlobalTagsForStorage funktionen i prenumerationen för det virtuella nätverket. Undernät i andra regioner som har lagringstjänstslutpunkter använder inte längre en offentlig IP-adress för att kommunicera med lagringskontot. All trafik kommer från en privat IP-adress och eventuella IP-nätverksregler som tillåter trafik från dessa undernät kommer inte längre att ha någon effekt.

Viktigt

Den här funktionen är för närvarande i förhandsversion.

Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Under förhandsversionen måste du använda antingen PowerShell eller Azure CLI för att aktivera den här funktionen.

Hantera regler för virtuellt nätverk

Du kan hantera regler för virtuella nätverk för lagringskonton via Azure Portal, PowerShell eller CLIv2.

Anteckning

Om du har registrerat AllowGlobalTagsForStorage funktionen och vill aktivera åtkomst till ditt lagringskonto från ett virtuellt nätverk/undernät i en annan Azure AD klientorganisation, eller i en annan region än lagringskontots region eller dess kopplade region, måste du använda PowerShell eller Azure CLI. Azure Portal visar inte undernät i andra Azure AD klientorganisationer eller i andra regioner än lagringskontots region eller dess kopplade region och kan därför inte användas för att konfigurera åtkomstregler för virtuella nätverk i andra regioner.

  1. Gå till det lagringskonto som du vill skydda.

  2. Välj på inställningsmenyn med namnet Nätverk.

  3. Kontrollera att du har valt att tillåta åtkomst från valda nätverk.

  4. Om du vill bevilja åtkomst till ett virtuellt nätverk med en ny nätverksregel går du till Virtuella nätverk, väljer Lägg till befintligt virtuellt nätverk, väljer Alternativ för virtuella nätverk och undernät och väljer sedan Lägg till. Om du vill skapa ett nytt virtuellt nätverk och ge det åtkomst väljer du Lägg till nytt virtuellt nätverk. Ange den information som behövs för att skapa det nya virtuella nätverket och välj sedan Skapa.

    Anteckning

    Om en tjänstslutpunkt för Azure Storage inte tidigare har konfigurerats för det valda virtuella nätverket och undernäten kan du konfigurera den som en del av den här åtgärden.

    För närvarande visas endast virtuella nätverk som tillhör samma Azure Active Directory klientorganisation för val när regeln skapas. Om du vill bevilja åtkomst till ett undernät i ett virtuellt nätverk som tillhör en annan klientorganisation använder du API:er för PowerShell, CLI eller REST.

    Även om du har registrerat AllowGlobalTagsForStorageOnly funktionen visas inte undernät i andra regioner än lagringskontots region eller dess kopplade region för val. Om du vill aktivera åtkomst till ditt lagringskonto från ett virtuellt nätverk/undernät i en annan region använder du anvisningarna på flikarna PowerShell eller Azure CLI.

  5. Om du vill ta bort ett virtuellt nätverk eller en undernätsregel väljer du ... för att öppna snabbmenyn för det virtuella nätverket eller undernätet och väljer Ta bort.

  6. välj Spara för att tillämpa ändringarna.

Bevilja åtkomst från ett IP-intervall på internet

Du kan använda IP-nätverksregler för att tillåta åtkomst från specifika offentliga IP-adressintervall genom att skapa IP-nätverksregler. Varje lagringskonto har stöd för upp till 200 regler. Dessa regler beviljar åtkomst till specifika Internetbaserade tjänster och lokala nätverk och blockerar allmän Internettrafik.

Följande begränsningar gäller för IP-adressintervall.

  • IP-nätverksregler tillåts endast för offentliga IP-adresser på Internet .

    IP-adressintervall som är reserverade för privata nätverk (enligt definitionen i RFC 1918) tillåts inte i IP-regler. Privata nätverk innehåller adresser som börjar med 10.**, 172.16. - *172.31. , och *192.168..

  • Du måste ange tillåtna Internetadressintervall med CIDR-notation i formatet 16.17.18.0/24 eller som enskilda IP-adresser som 16.17.18.19.

  • Små adressintervall med prefixstorlekarna "/31" eller "/32" stöds inte. Dessa intervall bör konfigureras med hjälp av enskilda IP-adressregler.

  • Endast IPV4-adresser stöds för konfiguration av lagringsbrandväggsregler.

IP-nätverksregler kan inte användas i följande fall:

  • Begränsa åtkomsten till klienter i samma Azure-region som lagringskontot.

    IP-nätverksregler har ingen effekt på begäranden som kommer från samma Azure-region som lagringskontot. Använd regler för virtuellt nätverk för att tillåta begäranden i samma region.

  • Begränsa åtkomsten till klienter i en länkad region som finns i ett virtuellt nätverk som har en tjänstslutpunkt.

  • Begränsa åtkomsten till Azure-tjänster som distribueras i samma region som lagringskontot.

    Tjänster som distribueras i samma region som lagringskontot använder privata Azure IP-adresser för kommunikation. Därför kan du inte begränsa åtkomsten till specifika Azure-tjänster baserat på deras offentliga utgående IP-adressintervall.

Konfigurera åtkomst från lokala nätverk

Om du vill bevilja åtkomst från dina lokala nätverk till ditt lagringskonto med en IP-nätverksregel måste du identifiera de Internetuppkopplade IP-adresser som används av nätverket. Kontakta nätverksadministratören om du behöver hjälp.

Om du använder ExpressRoute lokalt för offentlig peering eller Microsoft-peering, måste du identifiera de NAT IP-adresser som används. För offentlig peering, använder varje ExpressRoute-krets som standard två NAT IP-adresser, som används för Azure-tjänsttrafik när trafiken kommer till Microsoft Azure-stamnätverket. För Microsoft-peering tillhandahålls eller tillhandahålls de NAT IP-adresser som används av tjänstleverantören. Om du vill tillåta åtkomst till dina tjänstresurser måste du tillåta dessa offentliga IP-adresser i resursens IP-brandväggsinställning. För att kunna hitta ExpressRoute-kretsens IP-adresser för offentlig peering öppnar du en supportbegäran hos ExpressRoute via Azure-portalen. Lär dig mer om NAT för ExpressRoute offentliga peering och Microsoft-peering.

Hantera IP-nätverksregler

Du kan hantera IP-nätverksregler för lagringskonton via Azure Portal, PowerShell eller CLIv2.

  1. Gå till det lagringskonto som du vill skydda.

  2. Välj på inställningsmenyn med namnet Nätverk.

  3. Kontrollera att du har valt att tillåta åtkomst från valda nätverk.

  4. Om du vill bevilja åtkomst till ett INTERNET-IP-intervall anger du IP-adressen eller adressintervallet (i CIDR-format) under FirewallAddress> Range.

  5. Om du vill ta bort en IP-nätverksregel väljer du papperskorgsikonen bredvid adressintervallet.

  6. Klicka på Spara för att tillämpa dina ändringar.

Bevilja åtkomst från Azure-resursinstanser (förhandsversion)

I vissa fall kan ett program vara beroende av Azure-resurser som inte kan isoleras via ett virtuellt nätverk eller en IP-adressregel. Du vill dock fortfarande skydda och begränsa åtkomsten till lagringskontot till endast programmets Azure-resurser. Du kan konfigurera lagringskonton för att tillåta åtkomst till specifika resursinstanser av vissa Azure-tjänster genom att skapa en resursinstansregel.

De typer av åtgärder som en resursinstans kan utföra på lagringskontodata bestäms av Resursinstansens Azure-rolltilldelningar. Resursinstanser måste komma från samma klientorganisation som ditt lagringskonto, men de kan tillhöra valfri prenumeration i klientorganisationen.

Anteckning

Den här funktionen är i offentlig förhandsversion och är tillgänglig i alla offentliga molnregioner.

Du kan lägga till eller ta bort resursnätverksregler i Azure Portal.

  1. Kom igång genom att logga in på Azure-portalen.

  2. Leta upp ditt lagringskonto och visa kontoöversikten.

  3. Välj Nätverk för att visa konfigurationssidan för nätverk.

  4. Under Brandväggar och virtuella nätverk för Valda nätverk väljer du för att tillåta åtkomst.

  5. Rulla ned för att hitta resursinstanser och välj resurstyp för din resursinstans i listrutan Resurstyp .

  6. I listrutan Instansnamn väljer du resursinstansen. Du kan också välja att inkludera alla resursinstanser i den aktiva klientorganisationen, prenumerationen eller resursgruppen.

  7. Klicka på Spara för att tillämpa dina ändringar. Resursinstansen visas i avsnittet Resursinstanser på sidan nätverksinställningar.

Om du vill ta bort resursinstansen väljer du ikonen ta bort ( ) bredvid resursinstansen.

Bevilja åtkomst till betrodda Azure-tjänster

Vissa Azure-tjänster fungerar från nätverk som inte kan ingå i dina nätverksregler. Du kan ge en delmängd av sådana betrodda Azure-tjänster åtkomst till lagringskontot, samtidigt som du behåller nätverksregler för andra appar. Dessa betrodda tjänster använder sedan stark autentisering för att ansluta säkert till ditt lagringskonto.

Du kan bevilja åtkomst till betrodda Azure-tjänster genom att skapa ett undantag för nätverksregeln. Stegvisa anvisningar finns i avsnittet Hantera undantag i den här artikeln.

När du beviljar åtkomst till betrodda Azure-tjänster beviljar du följande typer av åtkomst:

  • Betrodd åtkomst för utvalda åtgärder till resurser som är registrerade i din prenumeration.
  • Betrodd åtkomst till resurser baserat på en hanterad identitet.

Betrodd åtkomst för resurser som registrerats i din prenumeration

Resurser för vissa tjänster, när de är registrerade i din prenumeration, kan komma åt ditt lagringskonto i samma prenumeration för utvalda åtgärder, till exempel att skriva loggar eller säkerhetskopiera. I följande tabell beskrivs varje tjänst och de åtgärder som tillåts.

Tjänst Namn på resursprovider Åtgärder tillåts
Azure Backup Microsoft.RecoveryServices Kör säkerhetskopior och återställningar av ohanterade diskar på virtuella IAAS-datorer. (krävs inte för hanterade diskar). Läs mer.
Azure Data Box Microsoft.DataBox Möjliggör import av data till Azure med hjälp av Data Box. Läs mer.
Azure DevTest Labs Microsoft.DevTestLab Skapande av anpassade avbildningar och artefaktinstallation. Läs mer.
Azure Event Grid Microsoft.EventGrid Aktivera Blob Storage händelsepublicering och tillåt att Event Grid publicerar till lagringsköer. Lär dig mer om bloblagringshändelser och publicering till köer.
Azure Event Hubs Microsoft.EventHub Arkivera data med Event Hubs Capture. Läs mer.
Azure File Sync Microsoft.StorageSync Gör att du kan omvandla din lokala filserver till en cache för Azure-filresurser. Möjliggör synkronisering av flera platser, snabb haveriberedskap och säkerhetskopiering på molnsidan. Läs mer
Azure HDInsight Microsoft.HDInsight Etablera det ursprungliga innehållet i standardfilsystemet för ett nytt HDInsight-kluster. Läs mer.
Export av Azure-import Microsoft.ImportExport Gör det möjligt att importera data för att Azure Storage eller exportera data från Azure Storage med hjälp av Azure Storage Import/Export-tjänsten. Läs mer.
Azure Monitor Microsoft.Insights Tillåter skrivning av övervakningsdata till ett skyddat lagringskonto, inklusive resursloggar, Azure Active Directory inloggnings- och granskningsloggar samt Microsoft Intune loggar. Läs mer.
Azure-nätverk Microsoft.Network Lagra och analysera nätverkstrafikloggar, inklusive via Network Watcher- och Traffic Analytics-tjänsterna. Läs mer.
Azure Site Recovery Microsoft.SiteRecovery Aktivera replikering för haveriberedskap för virtuella Azure IaaS-datorer när du använder brandväggsaktiverad cache, käll- eller mållagringskonton. Läs mer.

Betrodd åtkomst baserat på en hanterad identitet

I följande tabell visas tjänster som kan ha åtkomst till dina lagringskontodata om resursinstanserna för dessa tjänster får lämplig behörighet.

Om ditt konto inte har den hierarkiska namnområdesfunktionen aktiverad på det kan du bevilja behörighet genom att uttryckligen tilldela en Azure-roll till den hanterade identiteten för varje resursinstans. I det här fallet motsvarar åtkomstomfånget för instansen den Azure-roll som tilldelats den hanterade identiteten.

Du kan använda samma teknik för ett konto som har funktionen hierarkisk namnrymd aktiverad. Du behöver dock inte tilldela någon Azure-roll om du lägger till den hanterade identiteten i åtkomstkontrollistan (ACL) för någon katalog eller blob som finns i lagringskontot. I så fall motsvarar åtkomstomfånget för instansen den katalog eller fil som den hanterade identiteten har beviljats åtkomst till. Du kan också kombinera Azure-roller och ACL:er tillsammans. Mer information om hur du kombinerar dem för att bevilja åtkomst finns i Åtkomstkontrollmodell i Azure Data Lake Storage Gen2.

Tips

Det rekommenderade sättet att bevilja åtkomst till specifika resurser är att använda resursinstansregler. Information om hur du beviljar åtkomst till specifika resursinstanser finns i avsnittet Bevilja åtkomst från Azure-resursinstanser (förhandsversion) i den här artikeln.

Tjänst Resursproviderns namn Syfte
Azure API Management Microsoft.ApiManagement/service Ger Api Management-tjänsten åtkomst till lagringskonton bakom brandväggen med hjälp av principer. Läs mer.
Azure Cache for Redis Microsoft.Cache/Redis Tillåter åtkomst till lagringskonton via Azure Cache for Redis. Läs mer
Azure Cognitive Search Microsoft.Search/searchServices Gör det möjligt för Cognitive Search-tjänster att komma åt lagringskonton för indexering, bearbetning och frågor.
Azure Cognitive Services Microsoft.CognitiveService/accounts Gör att Cognitive Services kan komma åt lagringskonton. Läs mer.
Azure Container Registry Tasks Microsoft.ContainerRegistry/registries ACR Tasks kan komma åt lagringskonton när du skapar containeravbildningar.
Azure Data Factory Microsoft.DataFactory/fabriker Tillåter åtkomst till lagringskonton via ADF-körningen.
Azure Data Share Microsoft.DataShare/accounts Tillåter åtkomst till lagringskonton via Data Share.
Azure DevTest Labs Microsoft.DevTestLab/labs Tillåter åtkomst till lagringskonton via DevTest Labs.
Azure Event Grid Microsoft.EventGrid/topics Tillåter åtkomst till lagringskonton via Azure Event Grid.
API:er för Azure Healthcare Microsoft.HealthcareApis/services Tillåter åtkomst till lagringskonton via Azure Healthcare-API:er.
Azure IoT Central-program Microsoft.IoTCentral/IoTApps Tillåter åtkomst till lagringskonton via Azure IoT Central-program.
Azure IoT Hub Microsoft.Devices/IotHubs Tillåter att data från en IoT-hubb skrivs till Blob Storage. Läs mer
Azure Logic Apps Microsoft.Logic/workflows Gör det möjligt för logikappar att komma åt lagringskonton. Läs mer.
Azure Machine Learning-tjänsten Microsoft.MachineLearningServices Auktoriserade Azure Machine Learning arbetsytor skriver experimentutdata, modeller och loggar till Blob Storage och läser data. Läs mer.
Azure Media Services Microsoft.Media/mediaservices Tillåter åtkomst till lagringskonton via Media Services.
Azure Migrate Microsoft.Migrate/migrateprojects Tillåter åtkomst till lagringskonton via Azure Migrate.
Microsoft Purview Microsoft.Purview/accounts Tillåter att Microsoft Purview får åtkomst till lagringskonton.
Azure Remote Rendering Microsoft.MixedReality/remoteRenderingAccounts Tillåter åtkomst till lagringskonton via Remote Rendering.
Azure Site Recovery Microsoft.RecoveryServices/valv Tillåter åtkomst till lagringskonton via Site Recovery.
Azure SQL Database Microsoft.Sql Tillåter att granskningsdata skrivs till lagringskonton bakom brandväggen.
Azure Synapse Analytics Microsoft.Sql Tillåter import och export av data från specifika SQL databaser med copy-instruktionen eller PolyBase (i dedikerad pool) eller openrowset funktionen och externa tabeller i serverlös pool. Läs mer.
Azure Stream Analytics Microsoft.StreamAnalytics Tillåter att data från ett strömmande jobb skrivs till Blob Storage. Läs mer.
Azure Synapse Analytics Microsoft.Synapse/workspaces Ger åtkomst till data i Azure Storage från Azure Synapse Analytics.

Bevilja åtkomst till lagringsanalys

I vissa fall krävs åtkomst till läsresursloggar och mått utanför nätverksgränsen. När du konfigurerar betrodda tjänsters åtkomst till lagringskontot kan du tillåta läsåtkomst för loggfiler, måtttabeller eller båda genom att skapa ett undantag för nätverksregeln. Stegvis vägledning finns i avsnittet Hantera undantag nedan. Mer information om hur du arbetar med lagringsanalys finns i Använda Azure Storage analys för att samla in loggar och måttdata.

Hantera undantag

Du kan hantera undantag från nätverksregeln via Azure Portal, PowerShell eller Azure CLI v2.

  1. Gå till det lagringskonto som du vill skydda.

  2. Välj på inställningsmenyn Med namnet Nätverk.

  3. Kontrollera att du har valt att tillåta åtkomst från valda nätverk.

  4. Under Undantag väljer du de undantag som du vill bevilja.

  5. Klicka på Spara för att tillämpa dina ändringar.

Nästa steg

Läs mer om Tjänstslutpunkter för Azure Network i tjänstslutpunkter.

Fördjupa dig i Azure Storage säkerhet i Azure Storage säkerhetsguide.