Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma
Azure Depolama, katmanlı bir güvenlik modeli sağlar. Bu model, kullanılan ağların veya kaynakların türüne ve alt kümesine bağlı olarak uygulama ve kurumsal ortamlar için talep olan depolama hesaplarınıza erişim düzeyinin güvenliğini sağlamanızı ve denetlemenizi sağlar. Ağ kuralları yapılandırıldığında, yalnızca belirtilen ağ kümesi üzerinden veya belirtilen Azure kaynakları kümesi üzerinden veri isteğinde olan uygulamalar bir depolama hesabına erişebilirsiniz. Depolama hesabınıza erişimi, belirli IP adreslerinden, IP aralıklarından, Bir Azure Sanal Ağı'nın (VNet) alt ağlarından veya bazı Azure hizmetlerinin kaynak örneklerinden kaynaklanan istekler ile sınırlandırabilirsiniz.
Depolama hesaplarının İnternet üzerinden erişilebilen genel bir uç noktası vardır. Depolama hesabınız için deÖzel Uç Noktalar oluşturabilirsiniz. Bu, sanal ağınıza sanal ağınız üzerinden özel bir IP adresi atar ve sanal ağınız ile depolama hesabı arasındaki tüm trafiğin güvenliğini özel bir bağlantı üzerinden sağlar. Azure depolama güvenlik duvarı, depolama hesabınıza genel uç nokta için erişim denetimi sağlar. Özel uç noktaları kullanırken genel uç nokta üzerinden tüm erişimi engellemek için de güvenlik duvarını kullanabilirsiniz. Depolama güvenlik duvarı yapılandırmanız, belirli güvenilen Azure platformu hizmetlerinin depolama hesabına güvenli bir şekilde erişmelerini de sağlar.
Ağ kuralları geçerli olduğunda depolama hesabına erişen bir uygulama yine de istek için doğru yetkilendirmeyi gerektirir. Yetkilendirme, bloblar Azure Active Directory kuyruklar için geçerli bir hesap erişim anahtarıyla veya BIR SAS belirteci ile birlikte Azure Active Directory (Azure AD) kimlik bilgileriyle birlikte de geçerlidir.
Önemli
Depolama hesabınız için güvenlik duvarı kurallarının açıklanması, istekler Azure Sanal Ağı (VNet) içinde veya izin verilen genel IP adreslerinden çalışan bir hizmetten kaynaklandığı sürece varsayılan olarak veriler için gelen istekleri engeller. Engellenen istekler, diğer Azure hizmetlerinden, Azure portal hizmetlerinden, günlük ve ölçüm hizmetlerinden gelenleri ve diğer hizmetleri içerir.
Hizmet örneğini barındıran alt ağdan gelen trafiğe izin vererek bir sanal ağdan çalışan Azure hizmetlerine erişim veabilirsiniz. Ayrıca, aşağıda açıklanan özel durum mekanizması aracılığıyla sınırlı sayıda senaryoyu etkinleştirebilirsiniz. Depolama hesabından veriye Azure portal için, ayar aşağıdaki güvenilen sınır (IP veya VNet) içindeki bir makinede yer alasınız.
Not
Bu makalede, Azure ile etkileşim kurmak için önerilen PowerShell modülü olan Azure Az PowerShell modülü kullanılır. Az PowerShell modülünü kullanmaya başlamak için Azure PowerShell’i yükleyin. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.
Senaryolar
Depolama hesabınız güvenliğini sağlamak için, önce genel uç noktadaki tüm ağlardan (İnternet trafiği dahil) varsayılan olarak trafiğe erişimi reddedecek bir kural yapılandırmanız gerekir. Ardından, belirli sanal ağlardan gelen trafiğe erişim izni vermek için kurallar yapılandırmalısiniz. Ayrıca, belirli internet veya şirket içi istemcilerden gelen bağlantıları etkinleştirerek, seçilen genel İnternet IP adresi aralıklarından trafiğe erişim izni vermek için kurallar yapılandırabilirsiniz. Bu yapılandırma, uygulamalarınız için güvenli bir ağ sınırı oluşturmanızı sağlar.
Aynı depolama hesabı üzerinde belirli sanal ağlardan ve genel IP adresi aralıklarından erişime izin verecek güvenlik duvarı kurallarını birleştirebilirsiniz. Depolama duvarı kuralları mevcut depolama hesaplarına veya yeni depolama hesapları oluşturulurken uygulanabilir.
Depolama duvarı kuralları bir depolama hesabının genel uç noktası için geçerlidir. Depolama hesabının özel uç noktaları için trafiğe izin vermek için güvenlik duvarı erişim kurallarına ihtiyacınız yok. Özel uç noktanın oluşturulmasını onaylama işlemi, özel uç noktayı barındıran alt ağdan gelen trafiğe örtülü erişim verir.
Ağ kuralları, REST ve SMB dahil olmak üzere Azure depolama için tüm ağ protokolleri üzerinde uygulanır. Azure portal, Depolama Gezgini ve AzCopy gibi araçları kullanarak verilere erişmek için açık ağ kurallarının yapılandırılması gerekir.
Ağ kuralları uygulandıktan sonra tüm istekler için uygulanır. Belirli bir IP adresine erişim izni verecek SAS belirteçleri, belirteç sahibinin erişimini sınırlamaya hizmet eder, ancak yapılandırılan ağ kurallarının ötesinde yeni erişim izni vermeyenler.
Sanal makine disk trafiği (bağlama ve bağlama işlemleri ve disk IO dahil) ağ kuralları tarafından etkilenmez. Sayfa bloblarına REST erişimi ağ kurallarıyla korunur.
Klasik depolama hesapları güvenlik duvarlarını ve sanal ağları desteklemez.
Özel durum oluşturarak VM'leri yedeklemek ve geri yüklemek için ağ kuralları uygulanmış depolama hesaplarında, yönetmemiş diskleri kullanabilirsiniz. Bu işlem, bu makalenin Özel Durumları Yönet bölümünde belgelanmıştır. Güvenlik duvarı özel durumları, Azure tarafından yönetilen diskler için geçerli değildir.
Varsayılan ağ erişim kuralını değiştirme
Varsayılan olarak, depolama hesapları herhangi bir ağ üzerindeki istemcilerden gelen bağlantıları kabul eder. Seçili ağlara erişimi sınırlamak için öncelikle varsayılan eylemi değiştirmeniz gerekir.
Uyarı
Ağ kurallarında değişiklikler yapmak uygulamalarınızın Azure Depolamaya bağlanma yeteneğini etkileyebilir. Varsayılan ağ kuralını reddetme olarak ayarlama, erişim izni verilen belirli ağ kuralları da uygulanmadıkça verilere tüm erişimi engeller. Varsayılan kuralı erişimi reddedecek şekilde değiştirmeden önce ağ kurallarını kullanarak izin verilen ağlara erişim verdiğinizden emin olun.
Varsayılan ağ erişim kurallarını yönetme
Depolama hesapları için varsayılan ağ erişim kurallarını Azure portal, PowerShell veya CLIv2 aracılığıyla yönetebilirsiniz.
Güvenli hale getirmek istediğiniz depolama hesabına gidin.
Ağ adlı ayarlar menüsünde öğesini seçin.
Erişimi varsayılan olarak reddetmek için Seçili ağlardan erişime izin ver'i seçin. Tüm ağlardan gelen trafiğe izin vermek için Tüm ağlardan erişime izin vermeyi seçin.
Değişikliklerinizi uygulamak için Kaydet’i seçin.
Sanal ağdan erişim izni ver
Depolama hesaplarını yalnızca belirli alt ağlardan erişime izin verecek şekilde yapılandırabilirsiniz. İzin verilen alt ağlar aynı abonelikte bulunan bir VNet'e veya farklı bir kiracıya ait abonelikler de dahil olmak üzere farklı Azure Active Directory olabilir.
Sanal ağ içinde Azure sanal Depolama hizmet uç noktasını etkinleştirin. Hizmet uç noktası, sanal ağdan gelen trafiği azure sanal ağı hizmetine en uygun Depolama yönlendirmektedir. Her istekle birlikte alt ağın ve sanal ağın kimlikleri de iletilir. Yöneticiler daha sonra bir sanal ağ içinde belirli alt ağlardan isteklerin alınarak izin verecek depolama hesabı için ağ kurallarını yapılandırabilirsiniz. Bu ağ kuralları aracılığıyla erişim verilen istemciler, verilere erişmek için depolama hesabının yetkilendirme gereksinimlerini karşılamaya devam edecektir.
Her depolama hesabı, IP ağ kurallarıyla birleştirilmiş en fazla 200 sanal ağ kurallarını destekler.
Önemli
Bir ağ kuralına dahil edilen bir alt ağı silersiniz, bu alt ağ depolama hesabının ağ kurallarından kaldırılır. Aynı adla yeni bir alt ağ oluşturmanız depolama hesabına erişimi olmaz. Erişime izin vermek için, depolama hesabının ağ kurallarında yeni alt ağı açıkça yetkilendirmelisiniz.
Kullanılabilir sanal ağ bölgeleri
Genel olarak, hizmet uç noktaları aynı Azure bölgesinde sanal ağlar ve hizmet örnekleri arasında çalışır. Azure Depolama hizmet uç noktalarını kullanırken, bu kapsam eşleştirilmiş bölgeyi içerecek şekilde büyür. Hizmet uç noktaları bölgesel yük devretme sırasında süreklilik sağlar ve salt okunur coğrafi olarak yedekli depolama (RA-GRS) örneklerine erişim sağlar. Bir sanal ağdan depolama hesabına erişim izni olan ağ kuralları, herhangi bir RA-GRS örneğine de erişim verir.
Bölgesel bir kesinti sırasında olağanüstü durum kurtarmayı planlarken, eşleştirilmiş bölgede sanal ağları önceden oluşturmanız gerekir. Bu alternatif sanal ağlardan erişim Depolama kurallarıyla Azure sanal makineleri için hizmet uç noktalarını etkinleştirin. Ardından bu kuralları coğrafi olarak yedekli depolama hesaplarınıza uygulayabilirsiniz.
Not
Hizmet uç noktaları, sanal ağın bölgesi ve belirlenen bölge çifti dışındaki trafik için geçerli değildir. Sanal ağlardan yalnızca bir depolama hesabının birincil bölgesinde veya belirlenen eşleştirilmiş bölgedeki depolama hesaplarına erişim izni vermek için ağ kuralları uygulayabilirsiniz.
Gerekli izinler
Depolama hesabına bir sanal ağ kuralı uygulamak için, kullanıcının eklenen alt ağlar üzerinde uygun izinleri olmalıdır. Bir kural uygulamak, Depolama Hesabı Katkıda Bulunanı veya özel bir Azure rolü aracılığıyla Azure kaynak sağlayıcısı işlemi için izin verilen Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action bir kullanıcı tarafından yapılabilir.
Depolama hesabı ve erişim verilen sanal ağlar, farklı bir Azure AD kiracısına dahil olan abonelikler de dahil olmak üzere farklı aboneliklerde olabilir.
Not
Farklı bir kiracının parçası olan sanal ağlarda alt ağlara erişim izni Azure Active Directory kuralların yapılandırması şu anda yalnızca PowerShell, CLI ve REST API'leri aracılığıyla de destekleniyor. Bu tür kurallar portalda görüntülense Azure portal, bu kurallar uygulama aracılığıyla yapılandırılamaz.
Sanal ağ kurallarını yönetme
Depolama hesapları için sanal ağ kurallarını Azure portal, PowerShell veya CLIv2 aracılığıyla yönetebilirsiniz.
Güvenli hale getirmek istediğiniz depolama hesabına gidin.
Ağ adlı ayarlar menüsünde öğesini seçin.
Seçili ağlardan erişime izin vermek için seçtiğinizi kontrol edin.
Yeni ağ kuralına sahip bir sanal ağa erişim izni vermek için, Sanal ağlar altında Var olan sanal ağ ekle'yi seçin, Sanal ağlar ve Alt Ağlar seçenekleri'ne tıklayın ve ardından Ekle'yi seçin. Yeni bir sanal ağ oluşturmak ve erişim vermek için Yeni sanal ağ ekle'yi seçin. Yeni sanal ağı oluşturmak için gereken bilgileri sağ ardından Oluştur'a seçin.
Not
Azure Depolama hizmet uç noktası daha önce seçili sanal ağ ve alt ağlar için yapılandırılmamışsa, bu işlem kapsamında yapılandırabilirsiniz.
Şu anda kural oluşturma sırasında yalnızca aynı kiracıya Azure Active Directory sanal ağlar seç için gösterilir. Başka bir kiracıya ait bir sanal ağda bulunan bir alt ağa erişim izni vermek için lütfen PowerShell, CLI veya REST API'leri kullanın.
Bir sanal ağı veya alt ağ kuralını kaldırmak için ... öğesini seçerek sanal ağın veya alt ağın bağlam menüsünü açın ve Kaldır'ı seçin.
Değişikliklerinizi uygulamak için Kaydet'i seçin.
İnternet IP aralığından erişim izni ver
IP ağ kuralları oluşturarak belirli genel İnternet IP adresi aralıklarından erişime izin vermek için IP ağ kurallarını kullanabilirsiniz. Her depolama hesabı en fazla 200 kuralı destekler. Bu kurallar, belirli İnternet tabanlı hizmetlere ve şirket içi ağlara erişim verir ve genel İnternet trafiğini engeller.
IP adresi aralıkları için aşağıdaki kısıtlamalar geçerlidir.
IP ağ kurallarına yalnızca genel İnternet IP adresleri için izin verilir.
Özel ağlar için ayrılmış IP adresi aralıklarına (RFC 1918'detanımlandığı gibi) IP kurallarında izin verilmez. Özel ağlar 10.**, 172.16 ile başlar. - 172.31.* ve *192.168.**.
İzin verilen İnternet adresi aralıklarını CIDR 16.17.18.0/24 şeklinde veya 16.17.18.19 gibi tek tek IP adresleri olarak kullanarak sağlayabilirsiniz.
"/31" veya "/32" ön ek boyutlarını kullanan küçük adres aralıkları desteklenmiyor. Bu aralıklar tek tek IP adresi kuralları kullanılarak yapılandırıldı.
Depolama güvenlik duvarı kurallarının yapılandırması için yalnızca IPV4 adresleri de kullanılabilir.
IP ağ kuralları aşağıdaki durumlarda kullanılamaz:
Depolama hesabıyla aynı Azure bölgesinde istemcilere erişimi kısıtlamak için.
IP ağ kurallarının, depolama hesabıyla aynı Azure bölgesinden kaynaklanan istekler üzerinde hiçbir etkisi yoktur. Aynı bölge isteklerine izin vermek için Sanal ağ kurallarını kullanın.
Hizmet uç noktası olan bir sanal ağ içinde bulunan eşleştirilmiş bir bölgedeki istemcilere erişimi kısıtlamak için.
Depolama hesabıyla aynı bölgede dağıtılan Azure hizmetlerine erişimi kısıtlamak için.
Depolama hesabıyla aynı bölgede dağıtılan hizmetler, iletişim için özel Azure IP adreslerini kullanır. Bu nedenle, belirli Azure hizmetleri için erişimi genel giden IP adresi aralığına göre kısıtlayazabilirsiniz.
Şirket içi ağlardan erişimi yapılandırma
Bir IP ağ kuralıyla şirket içi ağlarından depolama hesabınıza erişim vermek için ağınız tarafından kullanılan İnternet'e yönelik IP adreslerini tanımlamanız gerekir. Yardım için ağ yöneticinize başvurun.
Şirket içi, genel eşleme veya Microsoft eşlemesi için ExpressRoute kullanıyorsanız, kullanılan NAT IP adreslerini tanımlamanız gerekir. Ortak eşleme için, her bir ExpressRoute varsayılan olarak bağlantı hattında trafik Microsoft Azure omurga ağına girdiğinde Azure hizmet trafiğine uygulanan iki NAT IP adresi kullanılır. Microsoft eşlemesi için kullanılan NAT IP adresleri müşteri tarafından sağlanır veya hizmet sağlayıcısı tarafından sağlanır. Hizmet kaynaklarınıza erişime izin vermek için, bu genel IP adreslerine kaynak IP güvenlik duvarı ayarında izin vermeniz gerekir. Ortak eşleme ExpressRoute bağlantı hattı IP adreslerinizi bulmak için Azure portalında ExpressRoute ile bir destek bileti açın. ExpressRoute genel ve Microsoft eşlemesi için NAT hakkında daha fazla bilgi edinin.
IP ağ kurallarını yönetme
Depolama hesapları için IP ağ kurallarını Azure portal, PowerShell veya CLIv2 aracılığıyla yönetebilirsiniz.
Güvenli hale getirmek istediğiniz depolama hesabına gidin.
Ağ adlı ayarlar menüsünde öğesini seçin.
Seçili ağlardan erişime izin vermek için seçtiğinizi kontrol edin.
İnternet IP aralığına erişim vermek için Güvenlik Duvarı Adres Aralığı altına IP adresini veya adres aralığını (CIDR > biçiminde) girin.
Bir IP ağ kuralını kaldırmak için adres aralığının yanındaki çöp kutusu simgesini seçin.
Değişikliklerinizi uygulamak için Kaydet’i seçin.
Azure kaynak örneklerinden erişim izni ver (önizleme)
Bazı durumlarda, bir uygulama bir sanal ağ veya IP adresi kuralı aracılığıyla yalıtılmış olamaz Azure kaynaklarına bağımlı olabilir. Ancak yine de depolama hesabı erişimini yalnızca uygulamanın Azure kaynaklarıyla sınırlamak ve güvenlik altına almak için kullanabilirsiniz. Kaynak örneği kuralı oluşturarak depolama hesaplarını bazı Azure hizmetlerinin belirli kaynak örneklerine erişime izin verecek şekilde yapılandırabilirsiniz.
Bir kaynak örneğinin depolama hesabı verileri üzerinde gerçekleştirebilirsiniz işlemlerin türleri kaynak örneğinin Azure rol atamaları tarafından belirlenir. Kaynak örneklerinin depolama hesabınızla aynı kiracıdan olması gerekir, ancak bunlar kiracının herhangi bir aboneliğine ait olabilir.
Not
Bu özellik genel önizlemededir ve tüm genel bulut bölgelerinde kullanılabilir.
Kaynak ağı kuralları eklemek veya kaldırmak için Azure portal.
Çalışmaya başlamanız için Azure portal oturum açma.
Depolama hesabınıza bakın ve hesaba genel bakışı görüntüleniyor.
Ağ yapılandırması sayfasını görüntülemek için Ağ'ı seçin.
Kaynak türü açılan listesinde kaynak örneğinizin kaynak türünü seçin.
Örnek adı açılan listesinde kaynak örneğini seçin. Ayrıca tüm kaynak örneklerini etkin kiracıya, aboneliğe veya kaynak grubuna dahil edebilirsiniz.
Değişikliklerinizi uygulamak için Kaydet’i seçin. Kaynak örneği, ağ ayarları sayfasının Kaynak örnekleri bölümünde görünür.
Kaynak örneğini kaldırmak için kaynak örneğinin yanındaki sil simgesini ( 
) seçin.
Güvenilen Azure hizmetlerine erişim izni verme
Bazı Azure Hizmetleri, ağ kurallarınıza dahil olmayan ağlardan çalışır. Diğer uygulamalar için ağ kurallarını koruyarak, bu tür güvenilir Azure hizmetlerinin depolama hesabına erişimine izin verebilirsiniz. Bu güvenilen hizmetler, depolama hesabınıza güvenli bir şekilde bağlanmak için güçlü kimlik doğrulama kullanır.
Ağ kuralı özel durumu oluşturarak güvenilir Azure hizmetlerine erişim izni verebilirsiniz. Adım adım yönergeler için, bu makalenin özel durumları yönetme bölümüne bakın.
Güvenilen Azure hizmetlerine erişim izni verdiğinizde, aşağıdaki erişim türlerini verirsiniz:
- Aboneliğinizde kayıtlı kaynaklara yönelik seçme işlemlerine yönelik güvenilen erişim.
- Sistem tarafından atanan yönetilen kimliğe göre kaynaklara güvenilir erişim.
Aboneliğinizde kayıtlı kaynaklar için güvenilir erişim
Aboneliğinizde kayıtlı olan bazı hizmetlerin kaynakları, günlük veya yedekleme yazma gibi seçim işlemleri için aynı abonelikte depolama hesabınıza erişebilir. Aşağıdaki tabloda, her bir hizmet ve izin verilen işlemler açıklanmaktadır.
| Hizmet | Kaynak sağlayıcısı adı | İzin verilen işlemler |
|---|---|---|
| Azure Backup | Microsoft. RecoveryServices | IAAS sanal makinelerinde yedeklemeleri çalıştırın ve yönetilmeyen diskleri geri yükler. (yönetilen diskler için gerekli değildir). Daha fazla bilgi edinin. |
| Azure Data Box | Microsoft. DataBox | Data Box kullanarak Azure 'a veri aktarmayı sağlar. Daha fazla bilgi edinin. |
| Azure DevTest Labs | Microsoft. DevTestLab | Özel görüntü oluşturma ve yapıt yüklemesi. Daha fazla bilgi edinin. |
| Azure Event Grid | Microsoft. EventGrid | Blob Depolama olay yayımlamayı etkinleştirin ve Event Grid depolama sıralarında yayımlamaya izin verin. BLOB depolama olayları ve kuyruklarda yayımlamahakkında bilgi edinin. |
| Azure Event Hubs | Microsoft. EventHub | Event Hubs yakalama ile verileri arşivleme. Daha Fazla Bilgi Edinin. |
| Azure Dosya Eşitleme | Microsoft. Storagessync | Şirket içi dosya sunucunuzu Azure dosya paylaşımları için bir önbelleğe dönüştürmenizi sağlar. Çok siteli eşitleme, hızlı olağanüstü durum kurtarma ve bulut tarafı yedekleme için izin verme. Daha fazla bilgi edinin |
| Azure HDInsight | Microsoft. HDInsight | Yeni bir HDInsight kümesi için varsayılan dosya sisteminin başlangıçtaki içeriğini sağlayın. Daha fazla bilgi edinin. |
| Azure Içeri aktarma dışarı aktarma | Microsoft. ımportexport | azure Depolama İçeri/Dışarı Aktarma hizmetini kullanarak azure Depolama veya azure Depolama verileri dışarı aktarmaya olanak sağlar. Daha fazla bilgi edinin. |
| Azure İzleyici | Microsoft.Insights | kaynak günlükleri, Azure Active Directory oturum açma ve denetim günlükleri ve Microsoft Intune günlükler dahil olmak üzere, izleme verilerinin güvenli bir depolama hesabına yazılmasına izin verir. Daha fazla bilgi edinin. |
| Azure ağı | Microsoft.Network | Ağ Izleyicisi ve Trafik Analizi hizmetleri dahil olmak üzere ağ trafiği günlüklerini depolayın ve çözümleyin. Daha fazla bilgi edinin. |
| Azure Site Recovery | Microsoft. Sıterecovery | Güvenlik Duvarı özellikli önbellek, kaynak veya hedef depolama hesapları kullanırken Azure IaaS sanal makinelerinin olağanüstü durum kurtarma için çoğaltmayı etkinleştirin. Daha fazla bilgi edinin. |
Sistem tarafından atanan yönetilen kimliğe dayalı güvenilen erişim
Aşağıdaki tabloda, bu hizmetlerin kaynak örneklerine uygun izin verilirse, depolama hesabı verilerinize erişebilen hizmetler listelenmektedir.
Hesabınızda hiyerarşik ad alanı özelliği etkinleştirilmemişse, her kaynak örneği için sistem tarafından atanan yönetilen kimliğe açıkça bir Azure rolü atayarak izin verebilirsiniz. Bu durumda, örnek için erişim kapsamı yönetilen kimliğe atanan Azure rolüne karşılık gelir.
Hiyerarşik ad alanı özelliği etkin olan bir hesap için aynı tekniği kullanabilirsiniz. Bununla birlikte, sistem tarafından atanan yönetilen kimliği, depolama hesabında bulunan herhangi bir dizin veya Blobun erişim denetim listesine (ACL) eklerseniz bir Azure rolü atamanız gerekmez. Bu durumda, örnek için erişim kapsamı, sistem tarafından atanan yönetilen kimliğin erişim izni verilen dizine veya dosyaya karşılık gelir. Ayrıca, Azure rollerini ve ACL 'Leri birlikte birleştirebilirsiniz. erişim sağlamak için bunları birlikte birleştirme hakkında daha fazla bilgi edinmek için Azure Data Lake Storage 2. erişim denetimi modeli' ne bakın.
İpucu
Belirli kaynaklara erişim izni vermek için önerilen yol, kaynak örneği kurallarını kullanmaktır. Belirli kaynak örneklerine erişim vermek için, bu makalenin Azure Kaynak örnekleri 'nden (Önizleme) erişim Izni verme bölümüne bakın.
| Hizmet | Kaynak sağlayıcısı adı | Amaç |
|---|---|---|
| Azure API Management | Microsoft.ApiManagement/service | Api Management hizmetinin ilkeleri kullanarak güvenlik duvarının arkasındaki depolama hesaplarına erişmesini sağlar. Daha fazla bilgi edinin. |
| Redis için Azure Cache | Microsoft.Cache/Redis | Depolama hesaplarına ağ üzerinden erişim Redis için Azure Cache. |
| Azure Bilişsel Arama | Microsoft.Search/searchServices | Bilişsel Arama hizmetlerinin dizin oluşturma, işleme ve sorgulama için depolama hesaplarına erişmelerini sağlar. |
| Azure Bilişsel Hizmetler | Microsoft.CognitiveService/accounts | Bilişsel Hizmetler'in depolama hesaplarına erişmelerini sağlar. Daha fazla bilgi edinin. |
| Azure Container Registry Görevleri | Microsoft.ContainerRegistry/kayıt defterleri | ACR Görevleri, kapsayıcı görüntülerinin nasıl ekli olduğunu ve depolama hesaplarına erişebilirsiniz. |
| Azure Data Factory | Microsoft.DataFactory/fabrikalar | ADF çalışma zamanı aracılığıyla depolama hesaplarına erişime izin verir. |
| Azure Veri Paylaşımı | Microsoft.DataShare/accounts | Veri Paylaşımı aracılığıyla depolama hesaplarına erişime izin verir. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs | DevTest Labs aracılığıyla depolama hesaplarına erişime izin verir. |
| Azure Event Grid | Microsoft.EventGrid/topics | Depolama hesaplarına depolama hesabı üzerinden erişim izni Azure Event Grid. |
| Azure Healthcare APIs | Microsoft.HealthcareApis/services | Azure Healthcare API'leri aracılığıyla depolama hesaplarına erişime izin verir. |
| Azure IoT Central Uygulamaları | Microsoft.IoTCentral/IoTApps | Azure IoT Central Applications aracılığıyla depolama hesaplarına erişime izin verir. |
| Azure IoT Hub | Microsoft.Devices/IotHubs | IoT hub'larından gelen verilerin Blob depolamaya yazıldığına izin verir. Daha fazla bilgi edinin |
| Azure Logic Apps | Microsoft.Logic/workflows | Mantıksal uygulamaların depolama hesaplarına erişmelerini sağlar. Daha fazla bilgi edinin. |
| Azure Machine Learning Hizmeti | Microsoft.MachineLearningServices | Yetkili Azure Machine Learning çalışma alanları blob depolamaya deneme çıktısı, modelleri ve günlükleri yazar ve verileri okur. Daha fazla bilgi edinin. |
| Azure Media Services | Microsoft.Media/mediaservices | Depolama hesaplarına depolama hesabı üzerinden erişim Media Services. |
| Azure Geçişi | Microsoft.Migrate/migrateprojects | Depolama hesaplarına depolama hesabı üzerinden erişim Azure Geçişi. |
| Azure Purview | Microsoft.Purview/accounts | Purview'ın depolama hesaplarına erişmesi için izin verir. |
| Azure Remote Rendering | Microsoft.MixedReality/remoteRenderingAccounts | Depolama hesaplarına ağ üzerinden erişim Remote Rendering. |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults | Depolama hesaplarına ağ üzerinden erişim Site Recovery. |
| Azure SQL Veritabanı | Microsoft.Sql | Güvenlik duvarının arkasındaki depolama hesaplarına denetim verileri yazmaya izin verir. |
| Azure Synapse Analytics | Microsoft.Sql | COPY deyimini veya PolyBase'i (ayrılmış havuzda) veya sunucusuz havuzdaki işlev ve dış tabloları kullanarak belirli SQL veritabanlarından verilerin içeri ve dışarı openrowset aktarmaya izin verir. Daha fazla bilgi edinin. |
| Azure Stream Analytics | Microsoft.StreamAnalytics | Bir akış işinin verilerini Blob depolamaya yazma izni verir. Daha fazla bilgi edinin. |
| Azure Synapse Analytics | Microsoft.Synapse/çalışma alanları | Azure hizmetlerinden Azure Depolama verilere Azure Synapse Analytics. |
Depolama analizine erişim izni ver
Bazı durumlarda, kaynak günlüklerini ve ölçümlerini okumak için ağ sınırının dışından erişim gerekir. Depolama hesabına güvenilen hizmetler erişimini yapılandırarak, ağ kuralı özel durumu oluşturarak günlük dosyaları, ölçüm tabloları veya her ikisi için okuma erişimine izin veebilirsiniz. Adım adım kılavuz için aşağıdaki Özel durumları yönetme bölümüne bakın. Depolama analizi ile çalışma hakkında daha fazla bilgi edinmek için bkz. Azure Depolama analizlerinikullanarak günlük ve ölçüm verilerini toplama.
Özel durumları yönetme
Ağ kuralı özel durumlarını Azure portal, PowerShell veya Azure CLI v2 aracılığıyla yönetebilirsiniz.
Güvenli hale getirmek istediğiniz depolama hesabına gidin.
Ağ adlı ayarlar menüsünde öğesini seçin.
Seçili ağlardan erişime izin vermek için seçtiğinizi kontrol edin.
Özel Durumlar'ın altında, vermek istediğiniz özel durumları seçin.
Değişikliklerinizi uygulamak için Kaydet’i seçin.
Sonraki adımlar
Hizmet uç noktaları'nın Azure Ağ hizmet uç noktaları hakkında daha fazla bilgi edinin.
Azure güvenlik kılavuzunda Azure Depolama daha fazla Depolama öğrenin.