Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırmaConfigure Azure Storage firewalls and virtual networks

Azure Depolama, katmanlı bir güvenlik modeli sağlar.Azure Storage provides a layered security model. Bu model, kullandığınız ağların veya kaynakların türüne ve alt kümelerine göre uygulamalarınızın ve kurumsal ortamların talep ettiği depolama hesaplarınıza erişim düzeyini güvence altına almanıza ve denetlemenize olanak sağlar.This model enables you to secure and control the level of access to your storage accounts that your applications and enterprise environments demand, based on the type and subset of networks or resources used. Ağ kuralları yapılandırıldığında, yalnızca belirtilen ağ kümesi veya belirtilen Azure kaynakları kümesi üzerinden veri isteyen uygulamalar bir depolama hesabına erişebilir.When network rules are configured, only applications requesting data over the specified set of networks or through the specified set of Azure resources can access a storage account. Depolama hesabınıza erişimi, belirtilen IP adreslerinden, IP aralıklarından, bir Azure sanal ağındaki (VNet) alt ağlardan veya bazı Azure hizmetlerinin kaynak örneklerinde bulunan isteklerle sınırlayabilirsiniz.You can limit access to your storage account to requests originating from specified IP addresses, IP ranges, subnets in an Azure Virtual Network (VNet), or resource instances of some Azure services.

Depolama hesaplarının internet üzerinden erişilebilen genel bir uç noktası vardır.Storage accounts have a public endpoint that is accessible through the internet. Depolama hesabınız için, sanal ağınızdan depolama hesabına özel bir IP adresi atayan ve sanal ağınız ile depolama hesabı arasındaki tüm trafiği özel bir bağlantı üzerinden güvenlik altına alarak, depolama hesabınız Için özel uç noktalarda oluşturabilirsiniz.You can also create Private Endpoints for your storage account, which assigns a private IP address from your VNet to the storage account, and secures all traffic between your VNet and the storage account over a private link. Azure Storage güvenlik duvarı, depolama hesabınızın genel uç noktası için erişim denetimi sağlar.The Azure storage firewall provides access control for the public endpoint of your storage account. Özel uç noktaları kullanırken genel uç nokta aracılığıyla tüm erişimi engellemek için güvenlik duvarını da kullanabilirsiniz.You can also use the firewall to block all access through the public endpoint when using private endpoints. Depolama güvenlik duvarınızın yapılandırması, depolama hesabına güvenli bir şekilde erişmek için güvenilen Azure platform Hizmetleri ' ni de sağlar.Your storage firewall configuration also enables select trusted Azure platform services to access the storage account securely.

Ağ kuralları etkin olduğunda depolama hesabına erişen bir uygulama, istek için uygun yetkilendirme gerektirir.An application that accesses a storage account when network rules are in effect still requires proper authorization for the request. Yetkilendirme, geçerli bir hesap erişim anahtarı veya SAS belirteci ile blob 'lar ve kuyruklar için Azure Active Directory (Azure AD) kimlik bilgileri ile desteklenir.Authorization is supported with Azure Active Directory (Azure AD) credentials for blobs and queues, with a valid account access key, or with an SAS token.

Önemli

İstekler bir Azure sanal ağı (VNet) içinde veya izin verilen ortak IP adreslerinden bir hizmetten kaynaklanmadığı takdirde, depolama hesabınız için Güvenlik Duvarı kurallarının etkinleştirilmesi, varsayılan olarak gelen istekleri engeller.Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests originate from a service operating within an Azure Virtual Network (VNet) or from allowed public IP addresses. Engellenen istekler diğer Azure hizmetlerinden, Azure portal, günlük ve ölçüm hizmetlerinden ve bu şekilde devam eder.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on.

Hizmet örneğini barındıran alt ağdan gelen trafiğe izin vererek VNet içinden çalışan Azure hizmetlerine erişim izni verebilirsiniz.You can grant access to Azure services that operate from within a VNet by allowing traffic from the subnet hosting the service instance. Ayrıca, aşağıda açıklanan özel durum mekanizmasıyla sınırlı sayıda senaryoyu etkinleştirebilirsiniz.You can also enable a limited number of scenarios through the exceptions mechanism described below. Depolama hesabındaki verilere Azure portal aracılığıyla erişmek için, ayarladığınız güvenilir sınır (IP veya VNet) içinde bir makinede olmanız gerekir.To access data from the storage account through the Azure portal, you would need to be on a machine within the trusted boundary (either IP or VNet) that you set up.

Not

Bu makale Azure Az PowerShell modülünü kullanacak şekilde güncelleştirilmiştir.This article has been updated to use the Azure Az PowerShell module. Az PowerShell modülü, Azure ile etkileşim kurmak için önerilen PowerShell modülüdür.The Az PowerShell module is the recommended PowerShell module for interacting with Azure. Az PowerShell modülünü kullanmaya başlamak için Azure PowerShell’i yükleyin.To get started with the Az PowerShell module, see Install Azure PowerShell. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

SenaryolarScenarios

Depolama hesabınızın güvenliğini sağlamak için, varsayılan olarak genel uç noktasındaki tüm ağlardan (internet trafiği dahil) trafiğe erişimi reddetmek üzere bir kural yapılandırmanız gerekir.To secure your storage account, you should first configure a rule to deny access to traffic from all networks (including internet traffic) on the public endpoint, by default. Ardından, belirli sanal ağlardan gelen trafiğe erişim veren kurallar yapılandırmanız gerekir.Then, you should configure rules that grant access to traffic from specific VNets. Ayrıca, belirli bir internet veya şirket içi istemcilerden gelen bağlantıları etkinleştiren seçili genel İnternet IP adresi aralıklarından gelen trafiğe erişim vermek için kurallar da yapılandırabilirsiniz.You can also configure rules to grant access to traffic from selected public internet IP address ranges, enabling connections from specific internet or on-premises clients. Bu yapılandırma, uygulamalarınız için güvenli bir ağ sınırı oluşturmanıza olanak sağlar.This configuration enables you to build a secure network boundary for your applications.

Belirli sanal ağlardan ve aynı depolama hesabındaki genel IP adres aralıklarından erişime izin veren güvenlik duvarı kurallarını birleştirebilirsiniz.You can combine firewall rules that allow access from specific virtual networks and from public IP address ranges on the same storage account. Depolama güvenlik duvarı kuralları mevcut depolama hesaplarına veya yeni depolama hesapları oluştururken uygulanabilir.Storage firewall rules can be applied to existing storage accounts, or when creating new storage accounts.

Depolama güvenlik duvarı kuralları, bir depolama hesabının genel uç noktası için geçerlidir.Storage firewall rules apply to the public endpoint of a storage account. Bir depolama hesabının özel uç noktaları için trafiğe izin vermek üzere herhangi bir güvenlik duvarı erişim kuralına gerek yoktur.You don't need any firewall access rules to allow traffic for private endpoints of a storage account. Özel bir uç noktanın oluşturulmasını onaylama işlemi, Özel uç noktasını barındıran alt ağdan gelen trafiğe örtülü erişim verir.The process of approving the creation of a private endpoint grants implicit access to traffic from the subnet that hosts the private endpoint.

Ağ kuralları, REST ve SMB dahil olmak üzere Azure depolama için tüm ağ protokollerinde zorlanır.Network rules are enforced on all network protocols for Azure storage, including REST and SMB. Azure portal, Depolama Gezgini ve AZCopy gibi araçları kullanarak verilere erişmek için açık ağ kurallarının yapılandırılması gerekir.To access data using tools such as the Azure portal, Storage Explorer, and AZCopy, explicit network rules must be configured.

Ağ kuralları uygulandıktan sonra, tüm istekler için zorlanır.Once network rules are applied, they're enforced for all requests. Belirli bir IP adresine erişim izni veren SAS belirteçleri, belirteç tutucusuna erişimi sınırlandırmaya, ancak yapılandırılan ağ kurallarından daha fazla yeni erişim vermemelidir.SAS tokens that grant access to a specific IP address serve to limit the access of the token holder, but don't grant new access beyond configured network rules.

Sanal makine disk trafiği (bağlama ve çıkarma işlemleri ve disk GÇ dahil) ağ kurallarından etkilenmez.Virtual machine disk traffic (including mount and unmount operations, and disk IO) is not affected by network rules. Sayfa bloblarına REST erişimi ağ kuralları tarafından korunur.REST access to page blobs is protected by network rules.

Klasik depolama hesapları, güvenlik duvarlarını ve sanal ağları desteklemez.Classic storage accounts do not support firewalls and virtual networks.

VM 'Leri yedeklemek ve geri yüklemek için bir özel durum oluşturarak, ağ kuralları uygulanmış depolama hesaplarında yönetilmeyen diskleri kullanabilirsiniz.You can use unmanaged disks in storage accounts with network rules applied to back up and restore VMs by creating an exception. Bu işlem, bu makalenin özel durumları Yönet bölümünde belgelenmiştir.This process is documented in the Manage Exceptions section of this article. Güvenlik Duvarı özel durumları, zaten Azure tarafından yönetildikleri için yönetilen disklerle ilgili değildir.Firewall exceptions aren't applicable with managed disks as they're already managed by Azure.

Varsayılan ağ erişim kuralını değiştirmeChange the default network access rule

Varsayılan olarak, depolama hesapları herhangi bir ağ üzerindeki istemcilerden gelen bağlantıları kabul eder.By default, storage accounts accept connections from clients on any network. Seçili ağlara erişimi sınırlamak için öncelikle varsayılan eylemi değiştirmeniz gerekir.To limit access to selected networks, you must first change the default action.

Uyarı

Ağ kurallarında değişiklikler yapmak uygulamalarınızın Azure Depolamaya bağlanma yeteneğini etkileyebilir.Making changes to network rules can impact your applications' ability to connect to Azure Storage. Varsayılan ağ kuralını Reddet olarak ayarlamak, erişim izni veren belirli ağ kuralları da uygulanmamışsa veriye tüm erişimi engeller.Setting the default network rule to deny blocks all access to the data unless specific network rules that grant access are also applied. Varsayılan kuralı erişimi reddedecek şekilde değiştirmeden önce ağ kurallarını kullanarak izin verilen ağlara erişim verdiğinizden emin olun.Be sure to grant access to any allowed networks using network rules before you change the default rule to deny access.

Varsayılan ağ erişim kurallarını yönetmeManaging default network access rules

Azure portal, PowerShell veya CLIv2 aracılığıyla depolama hesapları için varsayılan ağ erişim kurallarını yönetebilirsiniz.You can manage default network access rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

  1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.Go to the storage account you want to secure.

  2. Ağ iletişimi adlı ayarlar menüsünde öğesini seçin.Select on the settings menu called Networking.

  3. Erişimi varsayılan olarak reddetmek için, Seçili ağlardan erişime izin ver ' i seçin.To deny access by default, choose to allow access from Selected networks. Tüm ağlardan gelen trafiğe izin vermek için Tüm ağlardan erişime izin vermeyi seçin.To allow traffic from all networks, choose to allow access from All networks.

  4. Değişikliklerinizi uygulamak için Kaydet’i seçin.Select Save to apply your changes.

Bir sanal ağdan erişim izni vermeGrant access from a virtual network

Depolama hesaplarını yalnızca belirli alt ağlardan erişime izin verecek şekilde yapılandırabilirsiniz.You can configure storage accounts to allow access only from specific subnets. İzin verilen alt ağlar, farklı bir Azure Active Directory kiracısına ait abonelikler de dahil olmak üzere, aynı abonelikte bulunan bir VNet 'e veya farklı bir aboneliğe ait olabilir.The allowed subnets may belong to a VNet in the same subscription, or those in a different subscription, including subscriptions belonging to a different Azure Active Directory tenant.

VNet içinde Azure depolama için bir hizmet uç noktası etkinleştirin.Enable a Service endpoint for Azure Storage within the VNet. Hizmet uç noktası, trafiği VNet 'ten Azure depolama hizmetine en uygun bir yol üzerinden yönlendirir.The service endpoint routes traffic from the VNet through an optimal path to the Azure Storage service. Alt ağın ve sanal ağın kimlikleri de her istekle birlikte iletilir.The identities of the subnet and the virtual network are also transmitted with each request. Yöneticiler daha sonra depolama hesabı için ağ kurallarını, isteklerin bir sanal ağdaki belirli alt ağlardan alınmasına izin veren ağ kurallarını yapılandırabilir.Administrators can then configure network rules for the storage account that allow requests to be received from specific subnets in a VNet. Bu ağ kuralları aracılığıyla erişim izni verilen istemciler, verileri erişmek için depolama hesabının yetkilendirme gereksinimlerini karşılamaya devam etmelidir.Clients granted access via these network rules must continue to meet the authorization requirements of the storage account to access the data.

Her depolama hesabı, IP ağ kurallarıile birleştirilebilir en fazla 200 sanal ağ kuralını destekler.Each storage account supports up to 200 virtual network rules, which may be combined with IP network rules.

Kullanılabilir sanal ağ bölgeleriAvailable virtual network regions

Genel olarak, hizmet uç noktaları aynı Azure bölgesindeki sanal ağlar ve hizmet örnekleri arasında çalışır.In general, service endpoints work between virtual networks and service instances in the same Azure region. Azure depolama ile hizmet uç noktaları kullanılırken, bu kapsam eşleştirilmiş bölgeyidahil etmek için büyür.When using service endpoints with Azure Storage, this scope grows to include the paired region. Hizmet uç noktaları bölgesel yük devretme sırasında sürekliliği ve salt Erişimli Coğrafi olarak yedekli depolama (RA-GRS) örneklerine erişim sağlar.Service endpoints allow continuity during a regional failover and access to read-only geo-redundant storage (RA-GRS) instances. Bir sanal ağdan bir depolama hesabına erişim izni veren ağ kuralları da herhangi bir RA-GRS örneğine erişim sağlar.Network rules that grant access from a virtual network to a storage account also grant access to any RA-GRS instance.

Bölgesel bir kesinti sırasında olağanüstü durum kurtarma için planlama yaparken, sanal ağları eşleştirilmiş bölgede önceden oluşturmalısınız.When planning for disaster recovery during a regional outage, you should create the VNets in the paired region in advance. Bu alternatif sanal ağlardan erişim sağlayan ağ kuralları ile Azure depolama için hizmet uç noktalarını etkinleştirin.Enable service endpoints for Azure Storage, with network rules granting access from these alternative virtual networks. Ardından bu kuralları coğrafi olarak yedekli depolama hesaplarınıza uygulayın.Then apply these rules to your geo-redundant storage accounts.

Not

Hizmet uç noktaları, sanal ağın ve belirtilen bölge çiftinin bölgesi dışındaki trafiğe uygulanmaz.Service endpoints don't apply to traffic outside the region of the virtual network and the designated region pair. Yalnızca bir depolama hesabının birincil bölgesindeki veya belirtilen eşlenmiş bölgedeki depolama hesaplarına sanal ağlardan erişim sağlayan ağ kuralları uygulayabilirsiniz.You can only apply network rules granting access from virtual networks to storage accounts in the primary region of a storage account or in the designated paired region.

Gerekli izinlerRequired permissions

Depolama hesabına bir sanal ağ kuralı uygulamak için, kullanıcının eklenen alt ağlar üzerinde uygun izinleri olmalıdır.To apply a virtual network rule to a storage account, the user must have the appropriate permissions for the subnets being added. Bir kuralı uygulamak, bir depolama hesabı katılımcısı veya Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Azure Kaynak sağlayıcısı Işlemi için özel bir Azure rolü aracılığıyla izin verilen bir kullanıcı tarafından gerçekleştirilebilir.Applying a rule can be performed by a Storage Account Contributor or a user that has been given permission to the Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Azure resource provider operation via a custom Azure role.

Depolama hesabı ve erişim verilen sanal ağlar, farklı bir Azure AD kiracısının parçası olan abonelikler de dahil olmak üzere farklı aboneliklerde olabilir.Storage account and the virtual networks granted access may be in different subscriptions, including subscriptions that are a part of a different Azure AD tenant.

Not

Farklı bir Azure Active Directory kiracının parçası olan sanal ağlardaki alt ağlara erişim izni veren kuralların yapılandırılması Şu anda yalnızca PowerShell, CLı ve REST API 'Leri aracılığıyla desteklenir.Configuration of rules that grant access to subnets in virtual networks that are a part of a different Azure Active Directory tenant are currently only supported through Powershell, CLI and REST APIs. Bu kurallar, portalda görüntülenebilse de Azure portal aracılığıyla yapılandırılamaz.Such rules cannot be configured through the Azure portal, though they may be viewed in the portal.

Sanal ağ kurallarını yönetmeManaging virtual network rules

Azure portal, PowerShell veya CLIv2 aracılığıyla depolama hesapları için sanal ağ kurallarını yönetebilirsiniz.You can manage virtual network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

  1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.Go to the storage account you want to secure.

  2. Ağ iletişimi adlı ayarlar menüsünde öğesini seçin.Select on the settings menu called Networking.

  3. Seçili ağlardan erişime izin vermeyi seçtiğinizden emin olun.Check that you've selected to allow access from Selected networks.

  4. Yeni bir ağ kuralıyla bir sanal ağa erişim vermek için, sanal ağlar altında var olan sanal ağı ekle' yi seçin, sanal ağlar ve alt ağlar seçeneklerini belirleyin ve ardından Ekle' yi seçin.To grant access to a virtual network with a new network rule, under Virtual networks, select Add existing virtual network, select Virtual networks and Subnets options, and then select Add. Yeni bir sanal ağ oluşturmak ve bu ağa erişim vermek için Yeni sanal ağ ekle' yi seçin.To create a new virtual network and grant it access, select Add new virtual network. Yeni sanal ağı oluşturmak için gereken bilgileri girin ve ardından Oluştur' u seçin.Provide the information necessary to create the new virtual network, and then select Create.

    Not

    Azure Storage için bir hizmet uç noktası, seçilen sanal ağ ve alt ağlar için önceden yapılandırılmadıysa, bu işlemin bir parçası olarak yapılandırabilirsiniz.If a service endpoint for Azure Storage wasn't previously configured for the selected virtual network and subnets, you can configure it as part of this operation.

    Şu anda, kural oluşturma sırasında seçim için yalnızca aynı Azure Active Directory kiracıya ait olan sanal ağlar gösterilir.Presently, only virtual networks belonging to the same Azure Active Directory tenant are shown for selection during rule creation. Başka bir kiracıya ait bir sanal ağdaki bir alt ağa erişim vermek için lütfen PowerShell, CLı veya REST API 'Leri kullanın.To grant access to a subnet in a virtual network belonging to another tenant, please use Powershell, CLI or REST APIs.

  5. Bir sanal ağ veya alt ağ kuralını kaldırmak için ... öğesini seçerek sanal ağ veya alt ağ için bağlam menüsünü açın ve Kaldır' ı seçin.To remove a virtual network or subnet rule, select ... to open the context menu for the virtual network or subnet, and select Remove.

  6. Değişikliklerinizi uygulamak için Kaydet ' i seçin.select Save to apply your changes.

İnternet IP aralığından erişim izni vermeGrant access from an internet IP range

IP ağ kuralları oluşturarak, belirli genel İnternet IP adresi aralıklarından erişime izin vermek için IP ağ kurallarını kullanabilirsiniz.You can use IP network rules to allow access from specific public internet IP address ranges by creating IP network rules. Her depolama hesabı en fazla 200 kuralı destekler.Each storage account supports up to 200 rules. Bu kurallar, belirli internet tabanlı hizmetlere ve şirket içi ağlara erişim verir ve genel İnternet trafiğini engeller.These rules grant access to specific internet-based services and on-premises networks and blocks general internet traffic.

Aşağıdaki kısıtlamalar IP adres aralıkları için geçerlidir.The following restrictions apply to IP address ranges.

  • IP ağ kurallarına yalnızca genel İnternet IP adresleri için izin verilir.IP network rules are allowed only for public internet IP addresses.

    Özel ağlar için ayrılan IP adresi aralıklarına ( RFC 1918' de tanımlandığı gıbı) IP kurallarında izin verilmez.IP address ranges reserved for private networks (as defined in RFC 1918) aren't allowed in IP rules. Özel ağlarda, 10. *, 172,16. * - 172,31. * ve 192,168. * ile başlayan adresler bulunur.Private networks include addresses that start with 10.*, 172.16.* - 172.31.*, and 192.168.*.

  • 16.17.18.0/24 biçiminde veya 16.17.18.19 gibi ayrı IP adresleri olarak CIDR gösterimini kullanarak izin verilen internet adres aralıklarını sağlamanız gerekir.You must provide allowed internet address ranges using CIDR notation in the form 16.17.18.0/24 or as individual IP addresses like 16.17.18.19.

  • "/31" veya "/32" önek boyutları kullanılarak küçük adres aralıkları desteklenmez.Small address ranges using "/31" or "/32" prefix sizes are not supported. Bu aralıklar tek tek IP adresi kuralları kullanılarak yapılandırılmalıdır.These ranges should be configured using individual IP address rules.

  • Depolama Güvenlik Duvarı kurallarının yapılandırılması için yalnızca ıPV4 adresleri desteklenir.Only IPV4 addresses are supported for configuration of storage firewall rules.

IP ağ kuralları aşağıdaki durumlarda kullanılamaz:IP network rules can't be used in the following cases:

  • Depolama hesabı ile aynı Azure bölgesindeki istemcilerle erişimi kısıtlamak için.To restrict access to clients in same Azure region as the storage account.

    IP ağ kurallarının, depolama hesabıyla aynı Azure bölgesinden kaynaklanan isteklere etkisi yoktur.IP network rules have no effect on requests originating from the same Azure region as the storage account. Aynı bölge isteklerine izin vermek için sanal ağ kurallarını kullanın.Use Virtual network rules to allow same-region requests.

  • Bir hizmet uç noktası olan VNet 'te bulunan eşleştirilmiş bir bölgedeki istemcilere erişimi kısıtlamak için.To restrict access to clients in a paired region which are in a VNet that has a service endpoint.

  • Depolama hesabıyla aynı bölgede dağıtılan Azure hizmetlerine erişimi kısıtlamak için.To restrict access to Azure services deployed in the same region as the storage account.

    Depolama hesabı ile aynı bölgede dağıtılan hizmetler, iletişim için özel Azure IP adreslerini kullanır.Services deployed in the same region as the storage account use private Azure IP addresses for communication. Bu nedenle, belirli Azure hizmetlerine erişimi, genel giden IP adresi aralığına göre kısıtlayamazsınız.Thus, you can't restrict access to specific Azure services based on their public outbound IP address range.

Şirket içi ağlardan erişimi yapılandırmaConfiguring access from on-premises networks

Şirket içi ağlarınızdan bir IP ağ kuralıyla depolama hesabınıza erişim izni vermek için ağınız tarafından kullanılan internet 'e yönelik IP adreslerini belirlemeniz gerekir.To grant access from your on-premises networks to your storage account with an IP network rule, you must identify the internet facing IP addresses used by your network. Yardım için ağ yöneticinize başvurun.Contact your network administrator for help.

Şirket içinde genel eşleme veya Microsoft eşlemesi için ExpressRoute kullanıyorsanız, kullanılan NAT IP adreslerini belirlemeniz gerekir.If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Ortak eşleme için, her bir ExpressRoute varsayılan olarak bağlantı hattında trafik Microsoft Azure omurga ağına girdiğinde Azure hizmet trafiğine uygulanan iki NAT IP adresi kullanılır.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Microsoft eşlemesi için, kullanılan NAT IP adresleri müşteri tarafından sağlanmış veya hizmet sağlayıcısı tarafından sağlanır.For Microsoft peering, the NAT IP addresses used are either customer provided or are provided by the service provider. Hizmet kaynaklarınıza erişime izin vermek için, bu genel IP adreslerine kaynak IP güvenlik duvarı ayarında izin vermeniz gerekir.To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Ortak eşleme ExpressRoute bağlantı hattı IP adreslerinizi bulmak için Azure portalında ExpressRoute ile bir destek bileti açın.To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. ExpressRoute genel ve Microsoft eşlemesi için NAT hakkında daha fazla bilgi edinin.Learn more about NAT for ExpressRoute public and Microsoft peering.

IP ağ kurallarını yönetmeManaging IP network rules

Azure portal, PowerShell veya CLIv2 aracılığıyla depolama hesapları için IP ağ kurallarını yönetebilirsiniz.You can manage IP network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

  1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.Go to the storage account you want to secure.

  2. Ağ iletişimi adlı ayarlar menüsünde öğesini seçin.Select on the settings menu called Networking.

  3. Seçili ağlardan erişime izin vermeyi seçtiğinizden emin olun.Check that you've selected to allow access from Selected networks.

  4. Bir internet IP aralığına erişim vermek için, güvenlik duvarı > adres aralığı altına IP adresini veya adres aralığını (CIDR biçiminde) girin.To grant access to an internet IP range, enter the IP address or address range (in CIDR format) under Firewall > Address Range.

  5. Bir IP ağ kuralını kaldırmak için, adres aralığının yanındaki çöp kutusu simgesini seçin.To remove an IP network rule, select the trash can icon next to the address range.

  6. Değişikliklerinizi uygulamak için Kaydet’i seçin.Select Save to apply your changes.

Azure Kaynak örneklerinden (Önizleme) erişim izni vermeGrant access from Azure resource instances (preview)

Bazı durumlarda, bir uygulama bir sanal ağ veya bir IP adresi kuralıyla yalıtıtılmamış Azure kaynaklarına bağlı olabilir.In some cases, an application might depend on Azure resources that cannot be isolated through a virtual network or an IP address rule. Ancak, hala yalnızca uygulamanızın Azure kaynaklarına yönelik depolama hesabı erişimini güvenli hale getirmek ve kısıtlamak istersiniz.However, you'd still like to secure and restrict storage account access to only your application's Azure resources. Depolama hesaplarını, bir kaynak örneği kuralı oluşturarak bazı Azure hizmetlerinin belirli kaynak örneklerine erişime izin verecek şekilde yapılandırabilirsiniz.You can configure storage accounts to allow access to specific resource instances of some Azure services by creating a resource instance rule.

Kaynak örneğinin depolama hesabı verilerinde gerçekleştirebileceği işlem türleri, kaynak örneğinin Azure rol atamaları tarafından belirlenir.The types of operations that a resource instance can perform on storage account data is determined by the Azure role assignments of the resource instance. Kaynak örnekleri, depolama hesabınızla aynı kiracıdan olmalıdır, ancak Kiracıdaki herhangi bir aboneliğe ait olabilir.Resource instances must be from the same tenant as your storage account, but they can belong to any subscription in the tenant.

Not

Bu özellik genel önizleme aşamasındadır ve tüm genel bulut bölgelerinde kullanılabilir.This feature is in public preview and is available in all public cloud regions.

Not

Kaynak örneği kuralları şu anda yalnızca Azure SYNAPSE için desteklenmektedir.Resource instance rules are currently only supported for Azure Synapse. Bu makalenin sistem tarafından atanan yönetilen kimlik ' i temel alan güvenilir erişim bölümünde listelenen diğer Azure hizmetleri için destek, önümüzdeki haftalarda kullanıma sunulacaktır.Support for other Azure services listed in the Trusted access based on system-assigned managed identity section of this article will be available in the coming weeks.

Azure portal kaynak ağ kuralları ekleyebilir veya kaldırabilirsiniz.You can add or remove resource network rules in the Azure portal.

  1. Başlamak için Azure Portal oturum açın.Sign in to the Azure portal to get started.

  2. Depolama hesabınızı bulun ve hesaba genel bakış ' ı görüntüleyin.Locate your storage account and display the account overview.

  3. Ağ iletişimi için yapılandırma sayfasını göstermek üzere ' ı seçin.Select Networking to display the configuration page for networking.

  4. Kaynak türü aşağı açılan listesinde, kaynak örneğinizin kaynak türünü seçin.In the Resource type drop-down list, choose the resource type of your resource instance.

  5. Örnek adı aşağı açılan listesinden kaynak örneğini seçin.In the Instance name drop-down list, choose the resource instance. Ayrıca, tüm kaynak örneklerini etkin kiracı, abonelik veya kaynak grubuna dahil etme seçeneğini de belirleyebilirsiniz.You can also choose to include all resource instances in the active tenant, subscription, or resource group.

  6. Değişikliklerinizi uygulamak için Kaydet’i seçin.Select Save to apply your changes. Kaynak örneği, ağ ayarları sayfasının kaynak örnekleri bölümünde görünür.The resource instance appears in the Resource instances section of the network settings page.

Kaynak örneğini kaldırmak için kaynak örneğinin yanındaki Sil simgesini () seçin.

Güvenilen Azure hizmetlerine erişim izni vermeGrant access to trusted Azure services

Bazı Azure Hizmetleri, ağ kurallarınıza dahil olmayan ağlardan çalışır.Some Azure services operate from networks that can't be included in your network rules. Diğer uygulamalar için ağ kurallarını koruyarak, bu tür güvenilir Azure hizmetlerinin depolama hesabına erişimine izin verebilirsiniz.You can grant a subset of such trusted Azure services access to the storage account, while maintaining network rules for other apps. Bu güvenilen hizmetler, depolama hesabınıza güvenli bir şekilde bağlanmak için güçlü kimlik doğrulama kullanır.These trusted services will then use strong authentication to securely connect to your storage account.

Ağ kuralı özel durumu oluşturarak güvenilir Azure hizmetlerine erişim izni verebilirsiniz.You can grant access to trusted Azure services by creating a network rule exception. Adım adım yönergeler için, bu makalenin özel durumları yönetme bölümüne bakın.For step-by-step guidance, see the Manage exceptions section of this article.

Güvenilen Azure hizmetlerine erişim izni verdiğinizde, aşağıdaki erişim türlerini verirsiniz:When you grant access to trusted Azure services, you grant the following types of access:

  • Aboneliğinizde kayıtlı kaynaklara yönelik seçme işlemlerine yönelik güvenilen erişim.Trusted access for select operations to resources that are registered in your subscription.
  • Sistem tarafından atanan yönetilen kimliğe göre kaynaklara güvenilir erişim.Trusted access to resources based on system-assigned managed identity.

Aboneliğinizde kayıtlı kaynaklar için güvenilir erişimTrusted access for resources registered in your subscription

Aboneliğinizde kayıtlı olan bazı hizmetlerin kaynakları, günlük veya yedekleme yazma gibi seçim işlemleri için aynı abonelikte depolama hesabınıza erişebilir.Resources of some services, when registered in your subscription, can access your storage account in the same subscription for select operations, such as writing logs or backup. Aşağıdaki tabloda, her bir hizmet ve izin verilen işlemler açıklanmaktadır.The following table describes each service and the operations allowed.

HizmetService Kaynak sağlayıcısı adıResource Provider Name İzin verilen işlemlerOperations allowed
Azure BackupAzure Backup Microsoft. RecoveryServicesMicrosoft.RecoveryServices IAAS sanal makinelerinde yedeklemeleri çalıştırın ve yönetilmeyen diskleri geri yükler.Run backups and restores of unmanaged disks in IAAS virtual machines. (yönetilen diskler için gerekli değildir).(not required for managed disks). Daha fazla bilgi edinin.Learn more.
Azure Data BoxAzure Data Box Microsoft. DataBoxMicrosoft.DataBox Data Box kullanarak Azure 'a veri aktarmayı sağlar.Enables import of data to Azure using Data Box. Daha fazla bilgi edinin.Learn more.
Azure DevTest LabsAzure DevTest Labs Microsoft. DevTestLabMicrosoft.DevTestLab Özel görüntü oluşturma ve yapıt yüklemesi.Custom image creation and artifact installation. Daha fazla bilgi edinin.Learn more.
Azure Event GridAzure Event Grid Microsoft. EventGridMicrosoft.EventGrid Blob Storage olay yayımlamayı etkinleştirin ve Event Grid depolama sıralarında yayımlamaya izin verin.Enable Blob Storage event publishing and allow Event Grid to publish to storage queues. BLOB depolama olayları ve kuyruklarda yayımlamahakkında bilgi edinin.Learn about blob storage events and publishing to queues.
Azure Event HubsAzure Event Hubs Microsoft. EventHubMicrosoft.EventHub Event Hubs yakalama ile verileri arşivleme.Archive data with Event Hubs Capture. Daha Fazla Bilgi Edinin.Learn More.
Azure Dosya EşitlemeAzure File Sync Microsoft. StoragessyncMicrosoft.StorageSync Şirket içi dosya sunucunuzu Azure dosya paylaşımları için bir önbelleğe dönüştürmenizi sağlar.Enables you to transform your on-prem file server to a cache for Azure File shares. Çok siteli eşitleme, hızlı olağanüstü durum kurtarma ve bulut tarafı yedekleme için izin verme.Allowing for multi-site sync, fast disaster-recovery, and cloud-side backup. Daha fazla bilgi edininLearn more
Azure HDInsightAzure HDInsight Microsoft. HDInsightMicrosoft.HDInsight Yeni bir HDInsight kümesi için varsayılan dosya sisteminin başlangıçtaki içeriğini sağlayın.Provision the initial contents of the default file system for a new HDInsight cluster. Daha fazla bilgi edinin.Learn more.
Azure Içeri aktarma dışarı aktarmaAzure Import Export Microsoft. ımportexportMicrosoft.ImportExport Azure Storage Içeri/dışarı aktarma hizmeti kullanılarak verilerin Azure depolama 'ya aktarılmasını veya Azure Storage 'dan dışarı aktarılmasını sağlar.Enables import of data to Azure Storage or export of data from Azure Storage using the Azure Storage Import/Export service. Daha fazla bilgi edinin.Learn more.
Azure İzleyiciAzure Monitor Microsoft.InsightsMicrosoft.Insights Kaynak günlükleri, Azure Active Directory oturum açma ve denetim günlükleri ve Microsoft Intune Günlükler dahil olmak üzere, izleme verilerinin güvenli bir depolama hesabına yazılmasına izin verir.Allows writing of monitoring data to a secured storage account, including resource logs, Azure Active Directory sign-in and audit logs, and Microsoft Intune logs. Daha fazla bilgi edinin.Learn more.
Azure ağıAzure Networking Microsoft.NetworkMicrosoft.Network Ağ Izleyicisi ve Trafik Analizi hizmetleri dahil olmak üzere ağ trafiği günlüklerini depolayın ve çözümleyin.Store and analyze network traffic logs, including through the Network Watcher and Traffic Analytics services. Daha fazla bilgi edinin.Learn more.
Azure Site RecoveryAzure Site Recovery Microsoft. SıterecoveryMicrosoft.SiteRecovery Güvenlik Duvarı özellikli önbellek, kaynak veya hedef depolama hesapları kullanırken Azure IaaS sanal makinelerinin olağanüstü durum kurtarma için çoğaltmayı etkinleştirin.Enable replication for disaster-recovery of Azure IaaS virtual machines when using firewall-enabled cache, source, or target storage accounts. Daha fazla bilgi edinin.Learn more.

Sistem tarafından atanan yönetilen kimliğe dayalı güvenilen erişimTrusted access based on system-assigned managed identity

Aşağıdaki tabloda, bu hizmetlerin kaynak örneklerine uygun izin verilirse, depolama hesabı verilerinize erişebilen hizmetler listelenmektedir.The following table lists services that can have access to your storage account data if the resource instances of those services are given the appropriate permission. İzin vermek için, her kaynak örneği için sistem tarafından atanan yönetilen kimliğe açık bir şekilde Azure rolü atamanız gerekir.To grant permission, you must explicitly assign an Azure role to the system-assigned managed identity for each resource instance. Bu durumda, örnek için erişim kapsamı yönetilen kimliğe atanan Azure rolüne karşılık gelir.In this case, the scope of access for the instance corresponds to the Azure role assigned to the managed identity.

İpucu

Belirli kaynaklara erişim izni vermek için önerilen yol, kaynak örneği kurallarını kullanmaktır.The recommended way to grant access to specific resources is to use resource instance rules. Belirli kaynak örneklerine erişim vermek için, bu makalenin Azure Kaynak örnekleri 'nden (Önizleme) erişim Izni verme bölümüne bakın.To grant access to specific resource instances, see the Grant access from Azure resource instances (preview) section of this article.

HizmetService Kaynak sağlayıcısı adıResource Provider Name AmaçPurpose
Azure API ManagementAzure API Management Microsoft.ApiManagement/serviceMicrosoft.ApiManagement/service İlkeler kullanılarak güvenlik duvarının arkasındaki depolama hesaplarına API Yönetimi hizmeti erişimi sağlar.Enables Api Management service access to storage accounts behind firewall using policies. Daha fazla bilgi edinin.Learn more.
Azure Bilişsel AramaAzure Cognitive Search Microsoft. Search/searchServicesMicrosoft.Search/searchServices Bilişsel Arama hizmetlerinin dizin oluşturma, işleme ve sorgulama için depolama hesaplarına erişmesine olanak sağlar.Enables Cognitive Search services to access storage accounts for indexing, processing and querying.
Azure Bilişsel HizmetlerAzure Cognitive Services Microsoft. Biliveservıce/hesaplarıMicrosoft.CognitiveService/accounts Bilişsel hizmetler 'in depolama hesaplarına erişmesine olanak sağlar.Enables Cognitive Services to access storage accounts.
Azure Container Registry GörevleriAzure Container Registry Tasks Microsoft. ContainerRegistry/kayıt defterleriMicrosoft.ContainerRegistry/registries ACR görevleri, kapsayıcı görüntüleri oluştururken depolama hesaplarına erişebilir.ACR Tasks can access storage accounts when building container images.
Azure Data FactoryAzure Data Factory Microsoft. DataFactory/FactoryMicrosoft.DataFactory/factories ADF çalışma zamanı aracılığıyla depolama hesaplarına erişime izin verir.Allows access to storage accounts through the ADF runtime.
Azure Veri PaylaşımıAzure Data Share Microsoft. DataShare/hesaplarıMicrosoft.DataShare/accounts Veri paylaşımından depolama hesaplarına erişime izin verir.Allows access to storage accounts through Data Share.
Azure DevTest LabsAzure DevTest Labs Microsoft. DevTestLab/LabsMicrosoft.DevTestLab/labs DevTest Labs aracılığıyla depolama hesaplarına erişime izin verir.Allows access to storage accounts through DevTest Labs.
Azure IoT HubAzure IoT Hub Microsoft. Devices/IotHubsMicrosoft.Devices/IotHubs IoT Hub 'ından gelen verilerin blob depolamaya yazılmasına izin verir.Allows data from an IoT hub to be written to Blob storage. Daha fazla bilgi edininLearn more
Azure Logic AppsAzure Logic Apps Microsoft. Logic/iş akışlarıMicrosoft.Logic/workflows Mantıksal uygulamaların depolama hesaplarına erişmesini sağlar.Enables logic apps to access storage accounts. Daha fazla bilgi edinin.Learn more.
Azure Machine Learning HizmetiAzure Machine Learning Service Microsoft.MachineLearningServicesMicrosoft.MachineLearningServices Yetkili Azure Machine Learning çalışma alanları BLOB depolama alanına deneme çıkış, model ve Günlükler yazar ve verileri okur.Authorized Azure Machine Learning workspaces write experiment output, models, and logs to Blob storage and read the data. Daha fazla bilgi edinin.Learn more.
Azure Media ServicesAzure Media Services Microsoft. Media/mediaservicesMicrosoft.Media/mediaservices Media Services aracılığıyla depolama hesaplarına erişime izin verir.Allows access to storage accounts through Media Services.
Azure GeçişiAzure Migrate Microsoft. Migrate/migrateprojectsMicrosoft.Migrate/migrateprojects Azure geçişi aracılığıyla depolama hesaplarına erişime izin verir.Allows access to storage accounts through Azure Migrate.
Azure PurviewAzure Purview Microsoft. purview/hesaplarıMicrosoft.Purview/accounts Takiview 'ın depolama hesaplarına erişmesine izin verir.Allows Purview to access storage accounts.
Azure Remote RenderingAzure Remote Rendering Microsoft. MixedReality/remoteRenderingAccountsMicrosoft.MixedReality/remoteRenderingAccounts Uzaktan Işleme aracılığıyla depolama hesaplarına erişime izin verir.Allows access to storage accounts through Remote Rendering.
Azure Site RecoveryAzure Site Recovery Microsoft. RecoveryServices/kasaMicrosoft.RecoveryServices/vaults Site Recovery aracılığıyla depolama hesaplarına erişime izin verir.Allows access to storage accounts through Site Recovery.
Azure SQL VeritabanıAzure SQL Database Microsoft.SqlMicrosoft.Sql Güvenlik duvarının arkasındaki depolama hesaplarına denetim verileri yazılmasına izin verir.Allows writing audit data to storage accounts behind firewall.
Azure Synapse AnalyticsAzure Synapse Analytics Microsoft.SqlMicrosoft.Sql COPY ifadesini veya PolyBase 'i (adanmış havuzda) veya openrowset sunucusuz havuzdaki işlev ve dış tabloları kullanarak belırlı SQL veritabanlarından verilerin içeri ve dışarı aktarılmasını sağlar.Allows import and export of data from specific SQL databases using the COPY statement or PolyBase (in dedicated pool), or the openrowset function and external tables in serverless pool. Daha fazla bilgi edinin.Learn more.
Azure Stream AnalyticsAzure Stream Analytics Microsoft. StreamAnalyticsMicrosoft.StreamAnalytics Akış işindeki verilerin blob depolamaya yazılmasına izin verir.Allows data from a streaming job to be written to Blob storage. Daha fazla bilgi edinin.Learn more.
Azure Synapse AnalyticsAzure Synapse Analytics Microsoft. SYNAPSE/çalışma alanlarıMicrosoft.Synapse/workspaces Azure SYNAPSE Analytics 'ten Azure Storage verilerine erişim sağlar.Enables access to data in Azure Storage from Azure Synapse Analytics.

Depolama analizlere erişim izni vermeGrant access to storage analytics

Bazı durumlarda, ağ sınırının dışında kaynak günlüklerine ve ölçümlere erişimi de gereklidir.In some cases, access to read resource logs and metrics is required from outside the network boundary. Depolama hesabına güvenilen hizmetler erişimi yapılandırılırken, bir ağ kuralı özel durumu oluşturarak günlük dosyaları, ölçüm tabloları veya her ikisi için okuma erişimine izin verebilirsiniz.When configuring trusted services access to the storage account, you can allow read-access for the log files, metrics tables, or both by creating a network rule exception. Adım adım yönergeler için aşağıdaki özel durumları Yönet bölümüne bakın.For step-by-step guidance, see the Manage exceptions section below. Depolama analiziyle çalışma hakkında daha fazla bilgi edinmek için bkz. Azure Storage Analytics 'ı kullanarak günlükleri ve ölçüm verilerini toplama.To learn more about working with storage analytics, see Use Azure Storage analytics to collect logs and metrics data.

Özel durumları yönetmeManage exceptions

Ağ kuralı özel durumlarını Azure portal, PowerShell veya Azure CLı v2 aracılığıyla yönetebilirsiniz.You can manage network rule exceptions through the Azure portal, PowerShell, or Azure CLI v2.

  1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.Go to the storage account you want to secure.

  2. Ağ iletişimi adlı ayarlar menüsünde öğesini seçin.Select on the settings menu called Networking.

  3. Seçili ağlardan erişime izin vermeyi seçtiğinizden emin olun.Check that you've selected to allow access from Selected networks.

  4. Özel durumlar' ın altında, vermek istediğiniz özel durumları seçin.Under Exceptions, select the exceptions you wish to grant.

  5. Değişikliklerinizi uygulamak için Kaydet’i seçin.Select Save to apply your changes.

Sonraki adımlarNext steps

Hizmet uç noktalarındaAzure ağ hizmeti uç noktaları hakkında daha fazla bilgi edinin.Learn more about Azure Network service endpoints in Service endpoints.

Azure Storage Güvenlik Kılavuzu'Nda Azure Storage Security 'de daha ayrıntılı bilgi edinin.Dig deeper into Azure Storage security in Azure Storage security guide.