Konfigurera brandväggar och virtuella nätverk i Azure Storage
Azure Storage tillhandahåller en skiktbaserad säkerhetsmodell. Med den här modellen kan du skydda och kontrollera den åtkomstnivå till dina lagringskonton som dina program och företagsmiljöer kräver, baserat på typ och delmängd av nätverk eller resurser som används. När nätverksregler har konfigurerats kan endast program som begär data över den angivna uppsättningen nätverk eller via den angivna uppsättningen Azure-resurser komma åt ett lagringskonto. Du kan begränsa åtkomsten till ditt lagringskonto till begäranden som kommer från angivna IP-adresser, IP-intervall, undernät i ett Azure Virtual Network (VNet) eller resursinstanser av vissa Azure-tjänster.
Storage-konton har en offentlig slutpunkt som är tillgänglig via Internet. Du kan också skapa privata slutpunkter för ditt lagringskonto , som tilldelar en privat IP-adress från ditt VNet till lagringskontotoch skyddar all trafik mellan ditt VNet och lagringskontot via en privat länk. Azure Storage-brandväggen ger åtkomstkontroll för lagringskontots offentliga slutpunkt. Du kan också använda brandväggen för att blockera all åtkomst via den offentliga slutpunkten när du använder privata slutpunkter. Konfigurationen av lagringsbrandväggen gör det också möjligt att välja betrodda Azure-plattformstjänster för säker åtkomst till lagringskontot.
Ett program som har åtkomst till ett lagringskonto när nätverksregler tillämpas kräver fortfarande rätt auktorisering för begäran. Auktorisering stöds med Azure Active Directory autentiseringsuppgifter (Azure AD) för blobar och köer, med en giltig kontoåtkomstnyckel eller med en SAS-token.
Viktigt
Om du startar brandväggsregler för ditt lagringskonto blockeras inkommande begäranden om data som standard, såvida inte begärandena kommer från en tjänst som fungerar i ett Azure Virtual Network (VNet) eller från tillåtna offentliga IP-adresser. Begäranden som blockeras är bland annat från andra Azure-tjänster, från Azure Portal, från loggnings- och måtttjänster och så vidare.
Du kan bevilja åtkomst till Azure-tjänster som fungerar inifrån ett VNet genom att tillåta trafik från undernätet som är värd för tjänstinstansen. Du kan också aktivera ett begränsat antal scenarier via undantagsmekanismen som beskrivs nedan. För att komma åt data från lagringskontot via Azure Portal måste du vara på en dator inom den betrodda gränsen (antingen IP eller VNet) som du har ställt in.
Anteckning
I den här artikeln används Azure Az PowerShell-modulen, som är den rekommenderade PowerShell-modulen för att interagera med Azure. För att komma igång med Az PowerShell kan du läsa artikeln om att installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.
Scenarier
För att skydda ditt lagringskonto bör du först konfigurera en regel för att neka åtkomst till trafik från alla nätverk (inklusive Internettrafik) på den offentliga slutpunkten som standard. Sedan bör du konfigurera regler som beviljar åtkomst till trafik från specifika virtuella nätverk. Du kan också konfigurera regler för att bevilja åtkomst till trafik från valda offentliga IP-adressintervall på internet, vilket aktiverar anslutningar från specifika Internet- eller lokala klienter. Med den här konfigurationen kan du skapa en säker nätverksgräns för dina program.
Du kan kombinera brandväggsregler som tillåter åtkomst från specifika virtuella nätverk och från offentliga IP-adressintervall på samma lagringskonto. Storage brandväggsregler kan tillämpas på befintliga lagringskonton eller när du skapar nya lagringskonton.
Storage brandväggsregler gäller för den offentliga slutpunkten för ett lagringskonto. Du behöver inga brandväggsregler för att tillåta trafik för privata slutpunkter för ett lagringskonto. Processen att godkänna skapandet av en privat slutpunkt ger implicit åtkomst till trafik från undernätet som är värd för den privata slutpunkten.
Nätverksregler tillämpas på alla nätverksprotokoll för Azure Storage, inklusive REST och SMB. För att komma åt data med verktyg som Azure Portal, Storage Explorer och AzCopy måste explicita nätverksregler konfigureras.
När nätverksregler tillämpas tillämpas de för alla begäranden. SAS-token som beviljar åtkomst till en specifik IP-adress begränsar åtkomsten för tokeninnehavaren, men beviljar inte ny åtkomst utöver konfigurerade nätverksregler.
Disktrafik för virtuella datorer (inklusive monterings- och demonteringsåtgärder och disk-I/O) påverkas inte av nätverksregler. REST-åtkomst till sidblobar skyddas av nätverksregler.
Klassiska lagringskonton stöder inte brandväggar och virtuella nätverk.
Du kan använda ohanterade diskar i lagringskonton med nätverksregler som tillämpas för att backa upp och återställa virtuella datorer genom att skapa ett undantag. Den här processen dokumenteras i avsnittet Hantera undantag i den här artikeln. Brandväggsundantag gäller inte för hanterade diskar eftersom de redan hanteras av Azure.
Ändra standardåtkomstregeln för nätverk
Som standard godkänner lagringskonton anslutningar från klienter i alla nätverk. Om du vill begränsa åtkomsten till valda nätverk måste du först ändra standardåtgärden.
Varning
Om du gör ändringar av nätverksreglerna kan det påverka programmens möjlighet att ansluta till Azure Storage. Om du anger standardnätverksregeln till neka blockeras all åtkomst till data om inte specifika nätverksregler som beviljar åtkomst också tillämpas. Se till att bevilja åtkomst till alla tillåtna nätverk som använder nätverksregler innan du ändrar standardregeln för att neka åtkomst.
Hantera standardregler för nätverksåtkomst
Du kan hantera standardregler för nätverksåtkomst för lagringskonton via Azure Portal, PowerShell eller CLIv2.
Gå till det lagringskonto som du vill skydda.
Välj på inställningsmenyn nätverk.
Om du vill neka åtkomst som standard väljer du att tillåta åtkomst från Valda nätverk. Om du vill tillåta trafik från alla nätverk väljer du att tillåta åtkomst från Alla nätverk.
Klicka på Spara för att tillämpa dina ändringar.
Bevilja åtkomst från ett virtuellt nätverk
Du kan konfigurera lagringskonton så att de endast tillåter åtkomst från specifika undernät. Tillåtna undernät kan tillhöra ett VNet i samma prenumeration eller i en annan prenumeration, inklusive prenumerationer som tillhör en annan Azure Active Directory klientorganisation.
Aktivera en tjänstslutpunkt för Azure Storage i det virtuella nätverket. Tjänstslutpunkten dirigerar trafik från det virtuella nätverket via en optimal väg till Azure Storage tjänst. Identiteterna för undernätet och det virtuella nätverket skickas också med varje begäran. Administratörer kan sedan konfigurera nätverksregler för lagringskontot som tillåter att begäranden tas emot från specifika undernät i ett VNet. Klienter som beviljas åtkomst via dessa nätverksregler måste fortsätta att uppfylla auktoriseringskraven för lagringskontot för att komma åt data.
Varje lagringskonto stöder upp till 200 regler för virtuella nätverk, som kan kombineras med IP-nätverksregler.
Viktigt
Om du tar bort ett undernät som har inkluderats i en nätverksregel tas det bort från nätverksreglerna för lagringskontot. Om du skapar ett nytt undernät med samma namn har det inte åtkomst till lagringskontot. Om du vill tillåta åtkomst måste du uttryckligen auktorisera det nya undernätet i nätverksregler för lagringskontot.
Tillgängliga regioner för virtuella nätverk
I allmänhet fungerar tjänstslutpunkter mellan virtuella nätverk och tjänstinstanser i samma Azure-region. När du använder tjänstslutpunkter Azure Storage det här omfånget till att omfatta den parkopplade regionen. Tjänstslutpunkter ger kontinuitet under en regional redundans och åtkomst till skrivskyddade instanser av geo-redundant lagring (RA-GRS). Nätverksregler som beviljar åtkomst från ett virtuellt nätverk till ett lagringskonto beviljar också åtkomst till ra-GRS-instanser.
När du planerar för haveriberedskap under ett regionalt avbrott bör du skapa de virtuella nätverken i den parkopplade regionen i förväg. Aktivera tjänstslutpunkter för Azure Storage, med nätverksregler som beviljar åtkomst från dessa alternativa virtuella nätverk. Tillämpa sedan dessa regler på dina geo-redundanta lagringskonton.
Anteckning
Tjänstslutpunkter gäller inte för trafik utanför regionen för det virtuella nätverket och det avsedda regionparet. Du kan bara tillämpa nätverksregler som beviljar åtkomst från virtuella nätverk till lagringskonton i den primära regionen för ett lagringskonto eller i den angivna parkopplade regionen.
Behörigheter som krävs
Om du vill använda en regel för virtuella nätverk med ett lagringskonto måste användaren ha rätt behörighet för de undernät som läggs till. Att tillämpa en regel kan utföras av en Storage-kontodeltagare eller en användare som har fått behörighet till Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Azure-resursprovideråtgärden via en anpassad Azure-roll.
Storage och de virtuella nätverk som beviljas åtkomst kan finnas i olika prenumerationer, inklusive prenumerationer som ingår i en annan Azure AD-klientorganisation.
Anteckning
Konfiguration av regler som beviljar åtkomst till undernät i virtuella nätverk som är en del av en annan Azure Active Directory-klientorganisation stöds för närvarande endast via PowerShell, CLI och REST-API:er. Sådana regler kan inte konfigureras via Azure Portal, men de kan visas i portalen.
Hantera regler för virtuellt nätverk
Du kan hantera regler för virtuella nätverk för lagringskonton via Azure Portal, PowerShell eller CLIv2.
Gå till det lagringskonto som du vill skydda.
Välj på inställningsmenyn nätverk.
Kontrollera att du har valt att tillåta åtkomst från Valda nätverk.
Om du vill bevilja åtkomst till ett virtuellt nätverk med en ny nätverksregel går du till Virtuella nätverk, väljer Lägg till befintligt virtuellt nätverk, väljer Virtuella nätverk och undernätsalternativ och väljer sedan Lägg till. Om du vill skapa ett nytt virtuellt nätverk och ge det åtkomst väljer du Lägg till nytt virtuellt nätverk. Ange den information som krävs för att skapa det nya virtuella nätverket och välj sedan Skapa.
Anteckning
Om en tjänstslutpunkt för Azure Storage inte tidigare har konfigurerats för det valda virtuella nätverket och undernäten kan du konfigurera den som en del av den här åtgärden.
För närvarande visas endast virtuella nätverk som tillhör Azure Active Directory klientorganisation för val när regeln skapas. Om du vill bevilja åtkomst till ett undernät i ett virtuellt nätverk som tillhör en annan klientorganisation använder du PowerShell, CLI eller REST API:er.
Om du vill ta bort ett virtuellt nätverk eller en undernätsregel väljer du ... för att öppna snabbmenyn för det virtuella nätverket eller undernätet och väljer Ta bort.
Välj Spara för att tillämpa ändringarna.
Bevilja åtkomst från ett IP-intervall på Internet
Du kan använda IP-nätverksregler för att tillåta åtkomst från specifika offentliga IP-adressintervall för Internet genom att skapa IP-nätverksregler. Varje lagringskonto har stöd för upp till 200 regler. Dessa regler beviljar åtkomst till specifika Internetbaserade tjänster och lokala nätverk och blockerar allmän Internettrafik.
Följande begränsningar gäller för IP-adressintervall.
IP-nätverksregler tillåts endast för offentliga Internet-IP-adresser.
IP-adressintervall som är reserverade för privata nätverk (enligt definitionen i RFC 1918) tillåts inte i IP-regler. Privata nätverk innehåller adresser som börjar med 10.**, 172.16. – 172.31.* och *192.168.**.
Du måste ange tillåtna Internetadressintervall med CIDR-notation i form av 16.17.18.0/24 eller som enskilda IP-adresser som 16.17.18.19.
Små adressintervall med prefixstorlekarna "/31" eller "/32" stöds inte. Dessa intervall bör konfigureras med hjälp av enskilda IP-adressregler.
Endast IPV4-adresser stöds för konfiguration av lagringsbrandväggsregler.
IP-nätverksregler kan inte användas i följande fall:
Begränsa åtkomsten till klienter i samma Azure-region som lagringskontot.
IP-nätverksregler har ingen effekt på begäranden som kommer från samma Azure-region som lagringskontot. Använd regler för virtuellt nätverk för att tillåta begäranden i samma region.
Begränsa åtkomsten till klienter i en länkad region som finns i ett VNet som har en tjänstslutpunkt.
Begränsa åtkomsten till Azure-tjänster som distribueras i samma region som lagringskontot.
Tjänster som distribueras i samma region som lagringskontot använder privata Azure IP-adresser för kommunikation. Därför kan du inte begränsa åtkomsten till specifika Azure-tjänster baserat på deras offentliga utgående IP-adressintervall.
Konfigurera åtkomst från lokala nätverk
Om du vill bevilja åtkomst från dina lokala nätverk till ditt lagringskonto med en IP-nätverksregel måste du identifiera de Internetuppriktade IP-adresser som används av nätverket. Kontakta nätverksadministratören om du behöver hjälp.
Om du använder ExpressRoute lokalt för offentlig peering eller Microsoft-peering, måste du identifiera de NAT IP-adresser som används. För offentlig peering, använder varje ExpressRoute-krets som standard två NAT IP-adresser, som används för Azure-tjänsttrafik när trafiken kommer till Microsoft Azure-stamnätverket. För Microsoft-peering är de NAT IP-adresser som används antingen kundtilldelar eller tillhandahålls av tjänstleverantören. Om du vill tillåta åtkomst till dina tjänstresurser måste du tillåta dessa offentliga IP-adresser i resursens IP-brandväggsinställning. För att kunna hitta ExpressRoute-kretsens IP-adresser för offentlig peering öppnar du en supportbegäran hos ExpressRoute via Azure-portalen. Lär dig mer om NAT för ExpressRoute offentliga peering och Microsoft-peering.
Hantera IP-nätverksregler
Du kan hantera IP-nätverksregler för lagringskonton via Azure Portal, PowerShell eller CLIv2.
Gå till det lagringskonto som du vill skydda.
Välj på inställningsmenyn Nätverk.
Kontrollera att du har valt att tillåta åtkomst från Valda nätverk.
Om du vill bevilja åtkomst till ett Internet-IP-intervall anger du IP-adress eller adressintervall (i CIDR-format) under > Brandväggsadressintervall.
Om du vill ta bort en IP-nätverksregel väljer du papperskorgsikonen bredvid adressintervallet.
Klicka på Spara för att tillämpa dina ändringar.
Bevilja åtkomst från Azure-resursinstanser (förhandsversion)
I vissa fall kan ett program vara beroende av Azure-resurser som inte kan isoleras via ett virtuellt nätverk eller en IP-adressregel. Du vill dock fortfarande skydda och begränsa lagringskontots åtkomst till endast programmets Azure-resurser. Du kan konfigurera lagringskonton för att tillåta åtkomst till specifika resursinstanser av vissa Azure-tjänster genom att skapa en resursinstansregel.
Vilka typer av åtgärder som en resursinstans kan utföra på lagringskontodata bestäms av azure-rolltilldelningarna för resursinstansen. Resursinstanser måste komma från samma klientorganisation som ditt lagringskonto, men de kan tillhöra vilken prenumeration som helst i klientorganisationen.
Anteckning
Den här funktionen är i offentlig förhandsversion och är tillgänglig i alla offentliga molnregioner.
Du kan lägga till eller ta bort resursnätverksregler i Azure Portal.
Kom igång genom att logga in på Azure-portalen.
Leta upp ditt lagringskonto och visa kontoöversikten.
Välj Nätverk för att visa konfigurationssidan för nätverk.
I listrutan Resurstyp väljer du resurstypen för din resursinstans.
I listrutan Instansnamn väljer du resursinstansen. Du kan också välja att inkludera alla resursinstanser i den aktiva klientorganisationen, prenumerationen eller resursgruppen.
Klicka på Spara för att tillämpa dina ändringar. Resursinstansen visas i avsnittet Resursinstanser på sidan nätverksinställningar.
Om du vill ta bort resursinstansen väljer du borttagningsikonen ( 
) bredvid resursinstansen.
Bevilja åtkomst till betrodda Azure-tjänster
Vissa Azure-tjänster fungerar från nätverk som inte kan ingå i dina nätverksregler. Du kan ge en delmängd av sådana betrodda Azure-tjänster åtkomst till lagringskontot, samtidigt som nätverksregler för andra appar upprätthålls. Dessa betrodda tjänster använder sedan stark autentisering för att på ett säkert sätt ansluta till ditt lagringskonto.
Du kan bevilja åtkomst till betrodda Azure-tjänster genom att skapa ett undantag för nätverksregeln. Stegvisa anvisningar finns i avsnittet Hantera undantag i den här artikeln.
När du beviljar åtkomst till betrodda Azure-tjänster beviljar du följande typer av åtkomst:
- Betrodd åtkomst för utvalda åtgärder till resurser som är registrerade i din prenumeration.
- Betrodd åtkomst till resurser baserat på system tilldelad hanterad identitet.
Betrodd åtkomst för resurser som är registrerade i din prenumeration
Resurser för vissa tjänster, när de är registrerade i din prenumeration , kan komma åt ditt lagringskonto i samma prenumeration för utvalda åtgärder, till exempel att skriva loggar eller säkerhetskopiera. I följande tabell beskrivs varje tjänst och vilka åtgärder som tillåts.
| Tjänst | Resursproviderns namn | Tillåtna åtgärder |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices | Kör säkerhetskopieringar och återställningar av ohanterade diskar på virtuella IAAS-datorer. (krävs inte för hanterade diskar). Läs mer. |
| Azure Data Box | Microsoft.DataBox | Tillåter import av data till Azure med hjälp av Data Box-enhet. Läs mer. |
| Azure DevTest Labs | Microsoft.DevTestLab | Skapa anpassade avbildningar och installera artefakter. Läs mer. |
| Azure Event Grid | Microsoft.EventGrid | Aktivera publicering Storage Blob-händelser och Event Grid publicera till lagringsköer. Lär dig mer om bloblagringshändelser och publicering till köer. |
| Azure Event Hubs | Microsoft.EventHub | Arkivera data med Event Hubs Capture. Läs mer. |
| Azure File Sync | Microsoft.StorageSync | Med det här alternativet kan du omvandla den virtuella filservern till ett cacheminne för Azure-filresurser. Möjliggör synkronisering av flera webbplatser, snabb haveriberedskap och säkerhetskopiering på molnsidan. Läs mer |
| Azure HDInsight | Microsoft.HDInsight | Etablera det första innehållet i standardfilsystemet för ett nytt HDInsight-kluster. Läs mer. |
| Azure Import Export | Microsoft.ImportExport | Gör det möjligt att importera data Azure Storage eller exportera data från Azure Storage med hjälp av Azure Storage Import/Export tjänsten. Läs mer. |
| Azure Monitor | Microsoft.Insights | Tillåter skrivning av övervakningsdata till ett skyddat lagringskonto, inklusive resursloggar, Azure Active Directory inloggnings- och granskningsloggar och Microsoft Intune loggar. Läs mer. |
| Azure-nätverkstjänster | Microsoft.Network | Lagra och analysera nätverkstrafikloggar, inklusive via Network Watcher och Trafikanalys tjänster. Läs mer. |
| Azure Site Recovery | Microsoft.SiteRecovery | Aktivera replikering för haveriberedskap för virtuella Azure IaaS-datorer när du använder brandväggsaktiverad cache, källa eller mållagringskonton. Läs mer. |
Betrodd åtkomst baserat på system tilldelad hanterad identitet
I följande tabell visas tjänster som kan ha åtkomst till dina lagringskontodata om resursinstanserna för dessa tjänster har rätt behörighet.
Om funktionen hierarkisk namnrymd inte är aktiverad för ditt konto kan du bevilja behörighet genom att uttryckligen tilldela en Azure-roll till den system tilldelade hanterade identiteten för varje resursinstans. I det här fallet motsvarar åtkomstomfånget för instansen den Azure-roll som tilldelats den hanterade identiteten.
Du kan använda samma metod för ett konto som har funktionen hierarkisk namnrymd på sig. Du behöver dock inte tilldela en Azure-roll om du lägger till den system tilldelade hanterade identiteten i åtkomstkontrolllistan (ACL) för någon katalog eller blob som finns i lagringskontot. I så fall motsvarar åtkomstomfånget för instansen den katalog eller fil som den system tilldelade hanterade identiteten har beviljats åtkomst till. Du kan också kombinera Azure-roller och ACL:er tillsammans. Mer information om hur du kombinerar dem för att bevilja åtkomst finns i Access control model in Azure Data Lake Storage Gen2 (Åtkomstkontrollmodell i Azure Data Lake Storage Gen2).
Tips
Det rekommenderade sättet att bevilja åtkomst till specifika resurser är att använda resursinstansregler. Information om hur du beviljar åtkomst till specifika resursinstanser finns i avsnittet Bevilja åtkomst från Azure-resursinstanser (förhandsversion) i den här artikeln.
| Tjänst | Resursproviderns namn | Syfte |
|---|---|---|
| Azure API Management | Microsoft.ApiManagement/service | Ger Api Management-tjänsten åtkomst till lagringskonton bakom brandväggen med hjälp av principer. Läs mer. |
| Azure Cache for Redis | Microsoft.Cache/Redis | Tillåter åtkomst till lagringskonton via Azure Cache for Redis. |
| Azure Cognitive Search | Microsoft.Search/searchServices | Ger Cognitive Search åtkomst till lagringskonton för indexering, bearbetning och frågor. |
| Azure Cognitive Services | Microsoft.CognitiveService/accounts | Ger Cognitive Services åtkomst till lagringskonton. Läs mer. |
| Azure Container Registry Tasks | Microsoft.ContainerRegistry/registries | ACR-uppgifter åtkomst till lagringskonton när du skapar containeravbildningar. |
| Azure Data Factory | Microsoft.DataFactory/factories | Tillåter åtkomst till lagringskonton via ADF-körningen. |
| Azure Data Share | Microsoft.DataShare/accounts | Tillåter åtkomst till lagringskonton via Data Share. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs | Ger åtkomst till lagringskonton via DevTest Labs. |
| Azure Event Grid | Microsoft.EventGrid/ämnen | Tillåter åtkomst till lagringskonton via Azure Event Grid. |
| API:er för Azure Healthcare | Microsoft.HealthcareApis/services | Ger åtkomst till lagringskonton via Azure Healthcare-API:er. |
| Azure IoT Central program | Microsoft.IoTCentral/IoTApps | Ger åtkomst till lagringskonton via Azure IoT Central Program. |
| Azure IoT Hub | Microsoft.Devices/IotHubs | Tillåter att data från en IoT-hubb skrivs till Blob Storage. Läs mer |
| Azure Logic Apps | Microsoft.Logic/arbetsflöden | Gör det möjligt för logikappar att komma åt lagringskonton. Läs mer. |
| Azure Machine Learning-tjänsten | Microsoft.MachineLearningServices | Auktoriserade Azure Machine Learning skriver experimentutdata, modeller och loggar till Blob Storage och läser data. Läs mer. |
| Azure Media Services | Microsoft.Media/mediaservices | Tillåter åtkomst till lagringskonton via Media Services. |
| Azure Migrate | Microsoft.Migrate/migrateprojects | Tillåter åtkomst till lagringskonton via Azure Migrate. |
| Azure Purview | Microsoft.Purview/accounts | Tillåter Purview att komma åt lagringskonton. |
| Azure Remote Rendering | Microsoft.MixedReality/remoteRenderingAccounts | Tillåter åtkomst till lagringskonton via Remote Rendering. |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults | Tillåter åtkomst till lagringskonton via Site Recovery. |
| Azure SQL Database | Microsoft.Sql | Tillåter skrivning av granskningsdata till lagringskonton bakom brandväggen. |
| Azure Synapse Analytics | Microsoft.Sql | Tillåter import och export av data från specifika SQL databaser med copy-instruktionen eller PolyBase (i dedikerad pool) eller funktionen och externa tabeller i openrowset en serverlös pool. Läs mer. |
| Azure Stream Analytics | Microsoft.StreamAnalytics | Tillåter att data från ett strömningsjobb skrivs till Blob Storage. Läs mer. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces | Ger åtkomst till data i Azure Storage från Azure Synapse Analytics. |
Bevilja åtkomst till lagringsanalys
I vissa fall krävs åtkomst till att läsa resursloggar och mått utanför nätverksgränsen. När du konfigurerar åtkomst för betrodda tjänster till lagringskontot kan du tillåta läsåtkomst för loggfiler, måtttabeller eller båda genom att skapa ett undantag för nätverksregeln. Stegvisa anvisningar finns i avsnittet Hantera undantag nedan. Mer information om hur du arbetar med lagringsanalys finns i Använda Azure Storage analytics för att samla in loggar och måttdata.
Hantera undantag
Du kan hantera undantag för nätverksregel via Azure Portal, PowerShell eller Azure CLI v2.
Gå till det lagringskonto som du vill skydda.
Välj på inställningsmenyn nätverk.
Kontrollera att du har valt att tillåta åtkomst från Valda nätverk.
Under Undantag väljer du de undantag som du vill bevilja.
Klicka på Spara för att tillämpa dina ändringar.
Nästa steg
Läs mer om Tjänstslutpunkter för Azure-nätverk i Tjänstslutpunkter.
Gå djupare in Azure Storage säkerhet i Azure Storage säkerhetsguide.