Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma

Azure Depolama, katmanlı bir güvenlik modeli sağlar. Bu model, kullanılan ağların veya kaynakların türüne ve alt kümesine bağlı olarak uygulamalarınızın ve kurumsal ortamlarınızın talep ettiğiniz depolama hesaplarınıza erişim düzeyini güvenli bir şekilde denetlemenizi ve korumanızı sağlar. Ağ kuralları yapılandırıldığında, depolama hesabına yalnızca belirtilen ağ kümesi üzerinden veya belirtilen Azure kaynakları kümesi üzerinden veri isteyen uygulamalar erişebilir. Depolama hesabınıza erişimi belirtilen IP adreslerinden, IP aralıklarından, azure Sanal Ağ (VNet) alt ağlarından veya bazı Azure hizmetlerinin kaynak örneklerinden kaynaklanan isteklerle sınırlayabilirsiniz.

Depolama hesaplarının İnternet üzerinden erişilebilen bir genel uç noktası vardır. Ayrıca depolama hesabınız için Özel Uç Noktalar oluşturabilirsiniz. Bu işlem, sanal ağınızdan depolama hesabına özel bir IP adresi atar ve özel bir bağlantı üzerinden sanal ağınızla depolama hesabı arasındaki tüm trafiğin güvenliğini sağlar. Azure depolama güvenlik duvarı, depolama hesabınızın genel uç noktası için erişim denetimi sağlar. Özel uç noktaları kullanırken genel uç nokta üzerinden tüm erişimi engellemek için güvenlik duvarını da kullanabilirsiniz. Depolama güvenlik duvarı yapılandırmanız, belirli güvenilen Azure platform hizmetlerinin depolama hesabına güvenli bir şekilde erişmesini de sağlar.

Ağ kuralları etkin olduğunda depolama hesabına erişen bir uygulama, istek için doğru yetkilendirmeyi gerektirir. Yetkilendirme bloblar ve kuyruklar için Azure Active Directory (Azure AD) kimlik bilgileriyle, geçerli bir hesap erişim anahtarıyla veya SAS belirteci ile desteklenir. Blob kapsayıcısı anonim genel erişim için yapılandırıldığında, söz konusu kapsayıcıdaki verileri okuma isteklerinin yetkilendirilmesi gerekmez, ancak güvenlik duvarı kuralları geçerli kalır ve anonim trafiği engeller.

Önemli

İstekler bir Azure Sanal Ağ (VNet) içinde çalışan bir hizmetten veya izin verilen genel IP adreslerinden gelmediği sürece depolama hesabınız için güvenlik duvarı kurallarının açılması, gelen veri isteklerini varsayılan olarak engeller. Engellenen istekler arasında diğer Azure hizmetlerinden gelenler, Azure portal, günlüğe kaydetme ve ölçüm hizmetleri vb. dahildir.

Hizmet örneğini barındıran alt ağdan gelen trafiğe izin vererek bir sanal ağ içinden çalışan Azure hizmetlerine erişim sağlayabilirsiniz. Aşağıda açıklanan özel durumlar mekanizması aracılığıyla sınırlı sayıda senaryoyu da etkinleştirebilirsiniz. Azure portal aracılığıyla depolama hesabından verilere erişmek için, ayarladığınız güvenilen sınır (IP veya VNet) içindeki bir makinede olmanız gerekir.

Not

Bu makalede, Azure ile etkileşime yönelik önerilen PowerShell modülü olan Azure Az PowerShell modülü kullanılır. Az PowerShell modülünü kullanmaya başlamak için Azure PowerShell’i yükleyin. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Senaryolar

Depolama hesabınızın güvenliğini sağlamak için öncelikle varsayılan olarak genel uç nokta üzerindeki tüm ağlardan (İnternet trafiği dahil) gelen trafiğe erişimi reddedecek bir kural yapılandırmanız gerekir. Ardından, belirli sanal ağlardan gelen trafiğe erişim izni veren kurallar yapılandırmanız gerekir. Ayrıca, belirli İnternet veya şirket içi istemcilerden gelen bağlantıları etkinleştirerek, seçilen genel İnternet IP adresi aralıklarından gelen trafiğe erişim vermek için kurallar yapılandırabilirsiniz. Bu yapılandırma, uygulamalarınız için güvenli bir ağ sınırı oluşturmanıza olanak tanır.

Belirli sanal ağlardan ve genel IP adresi aralıklarından erişime izin veren güvenlik duvarı kurallarını aynı depolama hesabında birleştirebilirsiniz. Depolama güvenlik duvarı kuralları mevcut depolama hesaplarına veya yeni depolama hesapları oluşturulurken uygulanabilir.

Depolama güvenlik duvarı kuralları bir depolama hesabının genel uç noktasına uygulanır. Depolama hesabının özel uç noktalarına yönelik trafiğe izin vermek için güvenlik duvarı erişim kurallarına ihtiyacınız yoktur. Özel uç noktanın oluşturulmasını onaylama işlemi, özel uç noktayı barındıran alt ağdan gelen trafiğe örtük erişim verir.

Ağ kuralları REST ve SMB dahil olmak üzere Azure depolama için tüm ağ protokollerinde zorunlu kılındı. Azure portal, Depolama Gezgini ve AzCopy gibi araçları kullanarak verilere erişmek için açık ağ kurallarının yapılandırılması gerekir.

Ağ kuralları uygulandıktan sonra tüm istekler için uygulanır. Belirli bir IP adresine erişim izni veren SAS belirteçleri, belirteç sahibinin erişimini sınırlamaya hizmet eder, ancak yapılandırılmış ağ kurallarının ötesinde yeni erişim vermez.

Sanal makine disk trafiği (bağlama ve çıkarma işlemleri ve disk GÇ dahil) ağ kurallarından etkilenmez. Sayfa bloblarına REST erişimi ağ kuralları tarafından korunur.

Klasik depolama hesapları güvenlik duvarlarını ve sanal ağları desteklemez.

Bir özel durum oluşturarak VM'leri yedeklemek ve geri yüklemek için ağ kuralları uygulanmış depolama hesaplarında yönetilmeyen diskleri kullanabilirsiniz. Bu işlem, bu makalenin Özel Durumları Yönet bölümünde belgelenmiştir. Güvenlik duvarı özel durumları, azure tarafından yönetildikleri için yönetilen disklerde geçerli değildir.

Varsayılan ağ erişim kuralını değiştirme

Varsayılan olarak, depolama hesapları herhangi bir ağ üzerindeki istemcilerden gelen bağlantıları kabul eder. Seçili ağlara erişimi sınırlayabilir veya tüm ağlardan gelen trafiği engelleyebilir ve yalnızca özel bir uç nokta üzerinden erişime izin vekleyebilirsiniz.

Uyarı

Bu ayarı değiştirmek, uygulamanızın Azure Depolama'a bağlanma becerisini etkileyebilir. Bu ayarı değiştirmeden önce izin verilen tüm ağlara erişim izni verdiğinizden veya özel uç nokta üzerinden erişim ayarladığınızdan emin olun.

  1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.

  2. Güvenlik + ağ altında ayarlarını bulun.

  3. İzin vermek istediğiniz genel ağ erişimi türünü seçin.

    • Tüm ağlardan gelen trafiğe izin vermek için Tüm ağlardan etkin'i seçin.

    • Yalnızca belirli sanal ağlardan gelen trafiğe izin vermek için seçili sanal ağlardan ve IP adreslerinden etkin'i seçin.

    • Tüm ağlardan gelen trafiği engellemek için Devre dışı'yı seçin.

  4. Değişikliklerinizi uygulamak için Kaydet’i seçin.

Sanal ağdan erişim izni verme

Depolama hesaplarını yalnızca belirli alt ağlardan erişime izin verecek şekilde yapılandırabilirsiniz. İzin verilen alt ağlar aynı abonelikteki bir sanal ağa veya farklı bir Azure Active Directory kiracısına ait abonelikler de dahil olmak üzere farklı bir aboneliktekilere ait olabilir.

Sanal ağ içinde Azure Depolama için hizmet uç noktasını etkinleştirebilirsiniz. Hizmet uç noktası, trafiği en uygun yol aracılığıyla sanal ağdan Azure Depolama hizmetine yönlendirir. Her istekle birlikte alt ağın ve sanal ağın kimlikleri de iletilir. Yöneticiler daha sonra bir sanal ağdaki belirli alt ağlardan isteklerin alınmasına izin veren depolama hesabı için ağ kurallarını yapılandırabilir. Bu ağ kuralları aracılığıyla erişim verilen istemcilerin verilere erişmek için depolama hesabının yetkilendirme gereksinimlerini karşılamaya devam etmesi gerekir.

Her depolama hesabı, IP ağ kurallarıyla birleştirilebilen en fazla 200 sanal ağ kuralını destekler.

Önemli

Bir ağ kuralına eklenmiş bir alt ağı silerseniz, depolama hesabının ağ kurallarından kaldırılır. Aynı ada sahip yeni bir alt ağ oluşturursanız depolama hesabına erişimi olmaz. Erişime izin vermek için, depolama hesabının ağ kurallarında yeni alt ağı açıkça yetkilendirmeniz gerekir.

Gerekli izinler

Depolama hesabına bir sanal ağ kuralı uygulamak için, kullanıcının eklenen alt ağlar üzerinde uygun izinleri olmalıdır. Kural uygulama işlemi, Depolama Hesap Katkıda Bulunanı veya özel bir Azure rolü aracılığıyla Azure kaynak sağlayıcısı işlemineMicrosoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action izin verilmiş bir kullanıcı tarafından gerçekleştirilebilir.

Depolama hesabı ve erişim verilen sanal ağlar, farklı bir Azure AD kiracısının parçası olan abonelikler de dahil olmak üzere farklı aboneliklerde olabilir.

Not

Farklı bir Azure Active Directory kiracısının parçası olan sanal ağlardaki alt ağlara erişim izni veren kuralların yapılandırılması şu anda yalnızca PowerShell, CLI ve REST API'leri aracılığıyla desteklenmektedir. Bu tür kurallar portalda görüntülense de Azure portal aracılığıyla yapılandırılamaz.

Kullanılabilir sanal ağ bölgeleri

Varsayılan olarak, hizmet uç noktaları aynı Azure bölgesindeki sanal ağlar ve hizmet örnekleri arasında çalışır. Azure Depolama ile hizmet uç noktalarını kullanırken, hizmet uç noktaları eşleştirilmiş bir bölgedeki sanal ağlar ve hizmet örnekleri arasında da çalışır. Diğer bölgelerdeki sanal ağlara erişim vermek için bir hizmet uç noktası kullanmak istiyorsanız, özelliği sanal ağın aboneliğine kaydetmeniz AllowGlobalTagsForStorage gerekir. Bu özellik şu anda genel önizlemede.

Hizmet uç noktaları bölgesel yük devretme sırasında süreklilik ve salt okunur coğrafi olarak yedekli depolama (RA-GRS) örneklerine erişim sağlar. Bir sanal ağdan depolama hesabına erişim izni veren ağ kuralları da herhangi bir RA-GRS örneğine erişim verir.

Bölgesel bir kesinti sırasında olağanüstü durum kurtarmayı planlarken, sanal ağları eşleştirilmiş bölgede önceden oluşturmanız gerekir. Bu alternatif sanal ağlardan erişim veren ağ kurallarıyla Azure Depolama için hizmet uç noktalarını etkinleştirin. Ardından bu kuralları coğrafi olarak yedekli depolama hesaplarınıza uygulayın.

Diğer bölgelerdeki sanal ağlara erişimi etkinleştirme (önizleme)

Başka bir bölgede bulunan bir sanal ağdan erişimi etkinleştirmek için özelliği sanal ağın aboneliğine kaydedin AllowGlobalTagsForStorage . Depolama hizmeti uç noktaları olan diğer bölgelerdeki alt ağlar artık depolama hesabıyla iletişim kurmak için genel IP adresi kullanmaz. Tüm trafik özel bir IP adresinden kaynaklanır ve bu alt ağlardan gelen trafiğe izin veren ip ağ kurallarının bir etkisi olmaz.

Önemli

Bu özellik şu anda ÖNİzLEME aşamasındadır.

Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Önizleme sırasında bu özelliği etkinleştirmek için PowerShell veya Azure CLI kullanmanız gerekir.

Sanal ağ kurallarını yönetme

Depolama hesapları için sanal ağ kurallarını Azure portal, PowerShell veya CLIv2 aracılığıyla yönetebilirsiniz.

Not

Özelliği kaydettiyseniz AllowGlobalTagsForStorage ve depolama hesabınıza başka bir Azure AD kiracıdaki bir sanal ağdan/alt ağdan ya da depolama hesabının bölgesi veya eşleştirilmiş bölgesi dışında bir bölgeden erişimi etkinleştirmek istiyorsanız PowerShell veya Azure CLI kullanmanız gerekir. Azure portal, diğer Azure AD kiracılarında veya depolama hesabının veya eşleştirilmiş bölgesinin bölgesi dışındaki bölgelerde alt ağları göstermez ve bu nedenle diğer bölgelerdeki sanal ağlara yönelik erişim kurallarını yapılandırmak için kullanılamaz.

  1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.

  2. Ağ adı verilen ayarlar menüsünden öğesini seçin.

  3. Seçili ağlardan erişime izin vermek için seçtiğinizi denetleyin.

  4. Yeni bir ağ kuralıyla bir sanal ağa erişim izni vermek için Sanal ağlar'ın altında Var olan sanal ağı ekle'yi, Sanal ağlar ve Alt ağlar seçenekleri'ni ve ardından Ekle'yi seçin. Yeni bir sanal ağ oluşturup erişim vermek için Yeni sanal ağ ekle'yi seçin. Yeni sanal ağı oluşturmak için gereken bilgileri sağlayın ve oluştur'u seçin.

    Not

    Azure Depolama için bir hizmet uç noktası daha önce seçili sanal ağ ve alt ağlar için yapılandırılmadıysa, bu işlemin bir parçası olarak yapılandırabilirsiniz.

    Şu anda kural oluşturma sırasında yalnızca aynı Azure Active Directory kiracısına ait sanal ağlar seçiliyor. Başka bir kiracıya ait sanal ağdaki bir alt ağa erişim vermek için lütfen , PowerShell, CLI veya REST API'lerini kullanın.

    Özelliği kaydetmiş AllowGlobalTagsForStorageOnly olsanız bile, depolama hesabının bölgesi veya eşleştirilmiş bölgesi dışındaki bölgelerdeki alt ağlar seçim için gösterilmez. Depolama hesabınıza erişimi farklı bir bölgedeki bir sanal ağdan/alt ağdan etkinleştirmek istiyorsanız PowerShell veya Azure CLI sekmelerindeki yönergeleri kullanın.

  5. Bir sanal ağı veya alt ağ kuralını kaldırmak için ... öğesini seçerek sanal ağın veya alt ağın bağlam menüsünü açın ve Kaldır'ı seçin.

  6. Değişikliklerinizi uygulamak için Kaydet'i seçin.

İnternet IP aralığından erişim izni verme

IP ağ kuralları oluşturarak belirli genel İnternet IP adresi aralıklarından erişime izin vermek için IP ağ kurallarını kullanabilirsiniz. Her depolama hesabı en fazla 200 kuralı destekler. Bu kurallar belirli internet tabanlı hizmetlere ve şirket içi ağlara erişim verir ve genel İnternet trafiğini engeller.

IP adresi aralıkları için aşağıdaki kısıtlamalar geçerlidir.

  • IP ağ kurallarına yalnızca genel İnternet IP adresleri için izin verilir.

    IP kurallarında özel ağlar için ayrılmış IP adresi aralıklarına ( RFC 1918'de tanımlandığı gibi) izin verilmez. Özel ağlar 10.**, 172.16 ile başlayan adresleri içerir. - *172.31. ve *192.168..

  • İzin verilen İnternet adresi aralıklarını 16.17.18.0/24 biçiminde veya 16.17.18.19 gibi tek tek IP adresleri olarak CIDR gösterimi kullanarak sağlamanız gerekir.

  • "/31" veya "/32" ön ek boyutlarını kullanan küçük adres aralıkları desteklenmez. Bu aralıklar tek tek IP adresi kuralları kullanılarak yapılandırılmalıdır.

  • Depolama güvenlik duvarı kurallarının yapılandırılması için yalnızca IPV4 adresleri desteklenir.

IP ağ kuralları aşağıdaki durumlarda kullanılamaz:

  • Depolama hesabıyla aynı Azure bölgesindeki istemcilere erişimi kısıtlamak için.

    IP ağ kurallarının depolama hesabıyla aynı Azure bölgesinden gelen istekler üzerinde hiçbir etkisi yoktur. Aynı bölge isteklerine izin vermek için Sanal ağ kurallarını kullanın.

  • Hizmet uç noktası olan bir sanal ağda bulunan eşleştirilmiş bir bölgedeki istemcilere erişimi kısıtlamak için.

  • Depolama hesabıyla aynı bölgede dağıtılan Azure hizmetlerine erişimi kısıtlamak için.

    Depolama hesabıyla aynı bölgede dağıtılan hizmetler, iletişim için özel Azure IP adreslerini kullanır. Bu nedenle, belirli Azure hizmetlerine erişimi genel giden IP adresi aralığına göre kısıtlayamazsınız.

Şirket içi ağlardan erişimi yapılandırma

Şirket içi ağlarınızdan depolama hesabınıza bir IP ağ kuralıyla erişim vermek için ağınız tarafından kullanılan İnternet'e yönelik IP adreslerini tanımlamanız gerekir. Yardım için ağ yöneticinize başvurun.

Şirket içinden ExpressRoute kullanıyorsanız, genel eşleme veya Microsoft eşlemesi için kullanılan NAT IP adreslerini tanımlamanız gerekir. Ortak eşleme için, her bir ExpressRoute varsayılan olarak bağlantı hattında trafik Microsoft Azure omurga ağına girdiğinde Azure hizmet trafiğine uygulanan iki NAT IP adresi kullanılır. Microsoft eşlemesi için kullanılan NAT IP adresleri müşteri tarafından sağlanır veya hizmet sağlayıcısı tarafından sağlanır. Hizmet kaynaklarınıza erişime izin vermek için, bu genel IP adreslerine kaynak IP güvenlik duvarı ayarında izin vermeniz gerekir. Ortak eşleme ExpressRoute bağlantı hattı IP adreslerinizi bulmak için Azure portalında ExpressRoute ile bir destek bileti açın. ExpressRoute genel ve Microsoft eşlemesi için NAT hakkında daha fazla bilgi edinin.

IP ağ kurallarını yönetme

Depolama hesapları için IP ağ kurallarını Azure portal, PowerShell veya CLIv2 aracılığıyla yönetebilirsiniz.

  1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.

  2. Ağ adı verilen ayarlar menüsünden öğesini seçin.

  3. Seçili ağlardan erişime izin vermek için seçtiğinizi denetleyin.

  4. İnternet IP aralığına erişim vermek için FirewallAddress> Aralığı altına IP adresini veya adres aralığını (CIDR biçiminde) girin.

  5. IP ağ kuralını kaldırmak için adres aralığının yanındaki çöp kutusu simgesini seçin.

  6. Değişikliklerinizi uygulamak için Kaydet’i seçin.

Azure kaynak örneklerinden erişim izni verme (önizleme)

Bazı durumlarda, bir uygulama sanal ağ veya IP adresi kuralı aracılığıyla yalıtılamayan Azure kaynaklarına bağımlı olabilir. Ancak, depolama hesabı erişimini yalnızca uygulamanızın Azure kaynaklarıyla sınırlamak ve güvenliğini sağlamak istiyorsunuz. Bir kaynak örneği kuralı oluşturarak depolama hesaplarını bazı Azure hizmetlerinin belirli kaynak örneklerine erişime izin verecek şekilde yapılandırabilirsiniz.

Bir kaynak örneğinin depolama hesabı verilerinde gerçekleştirebileceği işlem türleri, kaynak örneğinin Azure rol atamaları tarafından belirlenir. Kaynak örnekleri depolama hesabınızla aynı kiracıdan olmalıdır, ancak kiracıdaki herhangi bir aboneliğe ait olabilir.

Not

Bu özellik genel önizleme aşamasındadır ve tüm genel bulut bölgelerinde kullanılabilir.

Azure portal kaynak ağ kuralları ekleyebilir veya kaldırabilirsiniz.

  1. Başlamak için Azure portal oturum açın.

  2. Depolama hesabınızı bulun ve hesaba genel bakışı görüntüleyin.

  3. Ağ için yapılandırma sayfasını görüntülemek için Ağ'ı seçin.

  4. Güvenlik duvarları ve sanal ağlar'ın altında Seçili ağlar için erişime izin ver'i seçin.

  5. Kaynak örneklerini bulmak için ekranı aşağı kaydırın ve Kaynak türü açılan listesinde kaynak örneğinizin kaynak türünü seçin.

  6. Örnek adı açılan listesinde kaynak örneğini seçin. Tüm kaynak örneklerini etkin kiracıya, aboneliğe veya kaynak grubuna eklemeyi de seçebilirsiniz.

  7. Değişikliklerinizi uygulamak için Kaydet’i seçin. Kaynak örneği, ağ ayarları sayfasının Kaynak örnekleri bölümünde görünür.

Kaynak örneğini kaldırmak için kaynak örneğinin yanındaki sil simgesini ( ) seçin.

Güvenilen Azure hizmetlerine erişim izni verme

Bazı Azure hizmetleri, ağ kurallarınıza eklenmeyecek ağlardan çalışır. Bu tür güvenilen Azure hizmetlerinin bir alt kümesine depolama hesabına erişim izni verirken, diğer uygulamalar için ağ kurallarını koruyabilirsiniz. Bu güvenilen hizmetler daha sonra depolama hesabınıza güvenli bir şekilde bağlanmak için güçlü kimlik doğrulaması kullanır.

Bir ağ kuralı özel durumu oluşturarak güvenilen Azure hizmetlerine erişim vekleyebilirsiniz. Adım adım yönergeler için bu makalenin Özel durumları yönetme bölümüne bakın.

Güvenilen Azure hizmetlerine erişim izni verdiğinizde, aşağıdaki erişim türlerini verirsiniz:

  • Aboneliğinizde kayıtlı olan kaynaklara belirli işlemler için güvenilir erişim.
  • Yönetilen kimliğe göre kaynaklara güvenilir erişim.

Aboneliğinizde kayıtlı kaynaklar için güvenilir erişim

Aboneliğinize kaydolduğunda bazı hizmetlerin kaynakları, günlük yazma veya yedekleme gibi belirli işlemler için aynı abonelikteki depolama hesabınıza erişebilir. Aşağıdaki tabloda her hizmet ve izin verilen işlemler açıklanmaktadır.

Hizmet Kaynak Sağlayıcısı Adı İzin verilen işlemler
Azure Backup Microsoft.RecoveryServices IAAS sanal makinelerinde yönetilmeyen disklerin yedeklemelerini ve geri yüklemelerini çalıştırın. (yönetilen diskler için gerekli değildir). Daha fazla bilgi edinin.
Azure Data Box Microsoft.DataBox Data Box kullanarak Verilerin Azure'a aktarılmasını sağlar. Daha fazla bilgi edinin.
Azure DevTest Labs Microsoft.DevTestLab Özel görüntü oluşturma ve yapıt yükleme. Daha fazla bilgi edinin.
Azure Event Grid Microsoft.EventGrid Blob Depolama olay yayımlamayı etkinleştirin ve Event Grid'in depolama kuyruklarında yayımlamasına izin verin. Blob depolama olayları ve kuyruklarda yayımlama hakkında bilgi edinin.
Azure Event Hubs Microsoft.EventHub Event Hubs Capture ile verileri arşivle. Daha Fazla Bilgi Edinin.
Azure Dosya Eşitleme Microsoft.StorageSync Şirket içi dosya sunucunuzu Azure Dosya paylaşımları için bir önbelleğe dönüştürmenizi sağlar. Çok siteli eşitleme, hızlı olağanüstü durum kurtarma ve bulut tarafı yedeklemeye olanak sağlar. Daha fazla bilgi edinin
Azure HDInsight Microsoft.HDInsight Yeni bir HDInsight kümesi için varsayılan dosya sisteminin ilk içeriğini sağlayın. Daha fazla bilgi edinin.
Azure İçeri Aktarma dışarı aktarma Microsoft.ImportExport Azure Depolama İçeri/Dışarı Aktarma hizmetini kullanarak Verilerin Azure'a aktarılmasını Depolama veya Azure Depolama'dan dışarı aktarılmasını sağlar. Daha fazla bilgi edinin.
Azure İzleyici Microsoft.Insights Kaynak günlükleri, Azure Active Directory oturum açma ve denetim günlükleri ve Microsoft Intune günlükleri dahil olmak üzere izleme verilerinin güvenli bir depolama hesabına yazılmasına olanak tanır. Daha fazla bilgi edinin.
Azure Ağı Microsoft.Network Ağ İzleyicisi ve Trafik Analizi hizmetleri de dahil olmak üzere ağ trafik günlüklerini depolayın ve analiz edin. Daha fazla bilgi edinin.
Azure Site Recovery Microsoft.SiteRecovery Güvenlik duvarı etkin önbellek, kaynak veya hedef depolama hesaplarını kullanırken Azure IaaS sanal makinelerinde olağanüstü durum kurtarma için çoğaltmayı etkinleştirin. Daha fazla bilgi edinin.

Yönetilen kimliğe dayalı güvenilir erişim

Aşağıdaki tabloda, söz konusu hizmetlerin kaynak örneklerine uygun izin verildiğinde depolama hesabı verilerinize erişebilen hizmetler listelenmektedir.

Hesabınızda hiyerarşik ad alanı özelliği etkin değilse, her kaynak örneği için yönetilen kimliğe açıkça bir Azure rolü atayarak izin vekleyebilirsiniz. Bu durumda, örneğin erişim kapsamı yönetilen kimliğe atanan Azure rolüne karşılık gelir.

Hiyerarşik ad alanı özelliğini etkinleştiren bir hesap için aynı tekniği kullanabilirsiniz. Ancak, yönetilen kimliği depolama hesabında bulunan herhangi bir dizin veya blobun erişim denetimi listesine (ACL) eklerseniz bir Azure rolü atamanız gerekmez. Bu durumda, örneğin erişim kapsamı yönetilen kimliğe erişim verilen dizine veya dosyaya karşılık gelir. Ayrıca Azure rollerini ve ACL'leri birlikte birleştirebilirsiniz. Erişim vermek için bunları birlikte birleştirme hakkında daha fazla bilgi edinmek için bkz. Azure Data Lake Storage 2. Nesil'de erişim denetimi modeli.

İpucu

Belirli kaynaklara erişim vermenin önerilen yolu, kaynak örneği kurallarını kullanmaktır. Belirli kaynak örneklerine erişim izni vermek için bu makalenin Azure kaynak örneklerinden erişim izni verme (önizleme) bölümüne bakın.

Hizmet Kaynak Sağlayıcısı Adı Amaç
Azure API Management Microsoft.ApiManagement/service İlkeleri kullanarak güvenlik duvarının arkasındaki depolama hesaplarına Api Management hizmeti erişimini etkinleştirir. Daha fazla bilgi edinin.
Redis için Azure Cache Microsoft.Cache/Redis Redis için Azure Cache aracılığıyla depolama hesaplarına erişime izin verir. Daha fazla bilgi edinin
Azure Bilişsel Arama Microsoft.Search/searchServices Bilişsel Arama hizmetlerinin dizin oluşturma, işleme ve sorgulama için depolama hesaplarına erişmesini sağlar.
Azure Bilişsel Hizmetler Microsoft.CognitiveService/accounts Bilişsel Hizmetler'in depolama hesaplarına erişmesini sağlar. Daha fazla bilgi edinin.
Azure Container Registry Görevleri Microsoft.ContainerRegistry/kayıt defterleri ACR Görevleri, kapsayıcı görüntüleri oluştururken depolama hesaplarına erişebilir.
Azure Data Factory Microsoft.DataFactory/factory ADF çalışma zamanı aracılığıyla depolama hesaplarına erişime izin verir.
Azure Veri Paylaşımı Microsoft.DataShare/accounts Veri Paylaşımı aracılığıyla depolama hesaplarına erişime izin verir.
Azure DevTest Labs Microsoft.DevTestLab/labs DevTest Labs aracılığıyla depolama hesaplarına erişime izin verir.
Azure Event Grid Microsoft.EventGrid/topics Azure Event Grid aracılığıyla depolama hesaplarına erişime izin verir.
Azure Healthcare APIs Microsoft.HealthcareApis/services Azure Healthcare API'leri aracılığıyla depolama hesaplarına erişime izin verir.
Azure IoT Central Uygulamaları Microsoft.IoTCentral/IoTApps Azure IoT Central Uygulamaları aracılığıyla depolama hesaplarına erişime izin verir.
Azure IoT Hub Microsoft.Devices/IotHubs IoT hub'ından alınan verilerin Blob depolamaya yazılmasına izin verir. Daha fazla bilgi edinin
Azure Logic Apps Microsoft.Logic/iş akışları Mantıksal uygulamaların depolama hesaplarına erişmesini sağlar. Daha fazla bilgi edinin.
Azure Machine Learning Hizmeti Microsoft.MachineLearningServices Yetkili Azure Machine Learning çalışma alanları Blob depolamaya deneme çıkışı, modeller ve günlükler yazıp verileri okur. Daha fazla bilgi edinin.
Azure Media Services Microsoft.Media/mediaservices Media Services aracılığıyla depolama hesaplarına erişime izin verir.
Azure Geçişi Microsoft.Migrate/migrateprojects Azure Geçişi aracılığıyla depolama hesaplarına erişime izin verir.
Microsoft Purview Microsoft.Purview/accounts Microsoft Purview'un depolama hesaplarına erişmesine izin verir.
Azure Remote Rendering Microsoft.MixedReality/remoteRenderingAccounts Remote Rendering aracılığıyla depolama hesaplarına erişime izin verir.
Azure Site Recovery Microsoft.RecoveryServices/vaults Site Recovery aracılığıyla depolama hesaplarına erişime izin verir.
Azure SQL Veritabanı Microsoft.Sql Güvenlik duvarının arkasındaki depolama hesaplarına denetim verileri yazmaya izin verir.
Azure Synapse Analytics Microsoft.Sql COPY deyimini veya PolyBase'i (ayrılmış havuzda) ya da sunucusuz havuzdaki işlev ve dış tabloları kullanarak belirli SQL veritabanlarından verilerin içeri ve dışarı aktarılmasına openrowset izin verir. Daha fazla bilgi edinin.
Azure Stream Analytics Microsoft.StreamAnalytics Akış işinden alınan verilerin Blob depolamaya yazılmasına izin verir. Daha fazla bilgi edinin.
Azure Synapse Analytics Microsoft.Synapse/workspaces Azure Synapse Analytics'ten Azure Depolama'daki verilere erişimi etkinleştirir.

Depolama analizine erişim izni verme

Bazı durumlarda, ağ sınırının dışından okuma kaynak günlüklerine ve ölçümlerine erişim gerekir. Depolama hesabına güvenilen hizmetler erişimini yapılandırırken, ağ kuralı özel durumu oluşturarak günlük dosyaları, ölçüm tabloları veya her ikisi için de okuma erişimine izin vekleyebilirsiniz. Adım adım yönergeler için aşağıdaki Özel durumları yönetme bölümüne bakın. Depolama analiziyle çalışma hakkında daha fazla bilgi edinmek için bkz. Günlükleri ve ölçüm verilerini toplamak için Azure Depolama analizini kullanma.

Özel durumları yönetme

Ağ kuralı özel durumlarını Azure portal, PowerShell veya Azure CLI v2 aracılığıyla yönetebilirsiniz.

  1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.

  2. Ağ adı verilen ayarlar menüsünden öğesini seçin.

  3. Seçili ağlardan erişime izin vermek için seçtiğinizi denetleyin.

  4. Özel Durumlar'ın altında, vermek istediğiniz özel durumları seçin.

  5. Değişikliklerinizi uygulamak için Kaydet’i seçin.

Sonraki adımlar

Hizmet uç noktalarındaki Azure Ağ hizmet uç noktaları hakkında daha fazla bilgi edinin.

Azure Depolama güvenlik kılavuzunda Azure Depolama güvenliğine daha ayrıntılı bir şekilde bakın.