配置 Azure 存储防火墙和虚拟网络

Azure 存储提供分层安全模型。 使用此模型可以根据所用网络或资源的类型和子集,来控制应用程序与企业环境所需的存储帐户访问级别。

配置网络规则时,只有通过指定的网络集或指定的 Azure 资源集请求数据的应用程序才能访问存储帐户。 可以仅限来自指定 IP 地址、IP 范围、Azure 虚拟网络中的子网或某些 Azure 服务的资源实例的请求访问存储帐户。

存储帐户具有可通过 Internet 访问的公共终结点。 还可以创建用于存储帐户的专用终结点。 创建专用终结点会将虚拟网络中的专用 IP 地址分配给存储帐户。 它有助于通过专用链接保护虚拟网络和存储帐户之间的流量。

Azure 存储防火墙为存储帐户的公共终结点提供访问控制。 使用专用终结点时,还可以使用防火墙阻止通过公用终结点进行的所有访问。 防火墙配置还允许受信任的 Azure 平台服务访问存储帐户。

在网络规则生效后访问存储帐户的应用程序仍需要在请求中提供适当的授权。 支持授权的方式包括适用于 Blob 和队列的 Microsoft Entra 凭据、表格、文件共享有效的帐户访问密钥或共享访问签名 (SAS) 令牌。 为匿名访问配置 Blob 容器时,读取该容器中的数据的请求不需要获得授权。 防火墙规则仍然有效,会阻止匿名流量。

默认情况下,除非请求源自在 Azure 虚拟网络中运行的服务或者源自允许的公共 IP 地址,否则启用存储帐户的防火墙规则会阻止数据传入请求。 被阻止的请求包括来自其他 Azure 服务、来自 Azure 门户以及来自日志记录和指标服务的请求。

可以通过允许来自托管服务实例的子网的流量,为从虚拟网络内部运行的 Azure 服务授予访问权限。 此外,可以通过本文所述的例外机制,启用有限数量的方案。 若要通过 Azure 门户访问存储帐户中的数据,需要从设置的可信边界(IP 或虚拟网络)内的计算机进行访问。

注意

建议使用 Azure Az PowerShell 模块与 Azure 交互。 请参阅安装 Azure PowerShell 以开始使用。 若要了解如何迁移到 Az PowerShell 模块,请参阅 将 Azure PowerShell 从 AzureRM 迁移到 Az

方案

若要保护存储帐户,应该先配置一个规则,以便在公共终结点上默认拒绝来自所有网络的流量(包括 Internet 流量)进行访问。 然后,应该配置相应的规则,以便为来自特定虚拟网络的流量授予访问权限。 此外,还可以配置规则为来自所选公共 Internet IP 地址范围的流量授予访问权限,以便能够从特定的 Internet 或本地客户端建立连接。 此配置有助于为应用程序生成安全网络边界。

可在同一存储帐户中,将允许从特定虚拟网络以及从公共 IP 地址范围进行访问的防火墙规则组合到一起。 可将存储防火墙规则应用于现有存储帐户,也可在创建新存储帐户时应用存储防火墙规则。

存储防火墙规则适用于存储帐户的公共终结点。 不需要配置任何防火墙访问规则来允许存储帐户的专用终结点的流量。 通过批准专用终结点的创建,可授予对来自托管该专用终结点的子网的流量的隐式访问权限。

重要

Azure 存储防火墙规则仅适用于数据平面操作。 控制平面操作不受防火墙规则中指定的限制的约束。

某些操作(如 Blob 容器操作)可以通过控制平面和数据平面来执行。 因此,如果尝试执行操作(例如从 Azure 门户列出容器),则除非受到其他机制的阻止,否则该操作将会成功。 从应用程序(例如 Azure 存储资源管理器)访问 blob 数据的尝试受防火墙限制控制。

有关数据平面操作的列表,请参阅 Azure 存储 REST API 参考。 有关控制平面操作的列表,请参阅 Azure 存储资源提供程序 REST API 参考

配置对 Azure 存储的网络访问

可以通过网络终结点或通过受信任的服务或资源以任意组合方式来控制对存储帐户中数据的访问,包括:

关于虚拟网络终结点

对于存储帐户,存在两种类型的虚拟网络终结点:

虚拟网络服务终结点是公共的,可通过 Internet 访问。 Azure 存储防火墙提供的功能可通过此类公共终结点控制对存储帐户的访问。 启用对存储帐户的公用网络访问后,默认情况下会阻止所有传入的数据请求。 只有从存储帐户防火墙设置中配置的允许源请求数据的应用程序才能访问数据。 源可以包括客户端的源 IP 地址或虚拟网络子网,或者客户端或服务访问数据时所使用的 Azure 服务或资源实例。 阻止的请求包括来自其他 Azure 服务、Azure 门户以及日志记录和指标服务的请求(除非在防火墙配置中显式允许访问)。

专用终结点可使用虚拟网络中的专用 IP 地址通过 Microsoft 主干网络访问存储帐户。 使用专用终结点时,虚拟网络与存储帐户之间的流量会通过专用链接受到保护。 存储防火墙规则仅适用于存储帐户的公共终结点,而不适用于专用终结点。 通过批准专用终结点的创建,可授予对来自托管该专用终结点的子网的流量的隐式访问权限。 如果要优化访问规则,可以使用网络策略来通过专用终结点控制流量。 如果要独占使用专用终结点,可以使用防火墙阻止通过公共终结点进行的所有访问。

为了帮助你决定何时在环境中使用每种类型的终结点,请参阅比较专用终结点和服务终结点

如何实现存储帐户的网络安全性

要保护存储帐户并为应用程序构建安全网络边界,请执行以下操作:

  1. 首先,在存储帐户防火墙的“公用网络访问”设置下禁用存储帐户的所有公用网络访问。

  2. 如果可能,请从需要数据访问权限的客户端所在虚拟网络子网上的专用终结点配置到存储帐户的专用链接。

  3. 如果客户端应用程序需要通过公共终结点进行访问,请将“公用网络访问”设置更改为“已从所选虚拟网络和 IP 地址启用”。 然后,根据需要:

    1. 指定要允许其进行访问的虚拟网络子网。
    2. 指定要允许其进行访问的客户端公共 IP 地址范围,例如本地网络上的地址范围。
    3. 允许从所选 Azure 资源实例进行访问。
    4. 添加例外,以允许从备份数据等操作所需的受信任服务进行访问。
    5. 为日志记录和指标添加例外。

应用网络规则后,将对所有请求强制实施这些规则。 用于向特定 IP 地址授予访问权限的 SAS 令牌可限制令牌持有者的访问权限,但不会越过已配置的网络规则授予新的访问权限。

限制和注意事项

在实现存储帐户的网络安全之前,请查看本部分中讨论的重要限制和注意事项。

  • Azure 存储防火墙规则仅适用于数据平面操作。 控制平面操作不受防火墙规则中指定的限制的约束。
  • 查看 IP 网络规则的限制
  • 要使用 Azure 门户、Azure 存储资源管理器和 AzCopy 等工具访问数据,必须使用配置网络安全规则时建立的受信任边界内的计算机。
  • 对于面向 Azure 存储的所有网络协议(包括 REST 和 SMB),将强制实施网络规则。
  • 网络规则不会影响虚拟机 (VM) 磁盘流量,包括装载和卸载操作以及磁盘 I/O,但它们确实有助于保护对页 Blob 的 REST 访问。
  • 可通过创建例外,使用应用了网络规则的存储帐户中的非托管磁盘来备份和还原 VM。 防火墙例外不适用于托管磁盘,因为 Azure 已对其进行管理。
  • 经典存储帐户不支持防火墙和虚拟网络。
  • 如果删除虚拟网络规则中包含的子网,系统会从存储帐户的网络规则中将其移除。 如果使用相同的名称创建新子网,其将无法访问存储帐户。 若要允许访问,则必须在存储帐户的网络规则中明确授权新子网。
  • 在客户端应用程序中引用服务终结点时,建议避免依赖于缓存的 IP 地址。 存储帐户 IP 地址可能会更改,因此依赖缓存的 IP 地址可能会导致意外行为。 此外,建议遵循 DNS 记录的生存时间 (TTL),避免重写该时间。 重写 DNS TTL 可能会导致意外行为。
  • 根据设计,从受信任的服务访问存储帐户优先于其他网络访问限制。 如果在将“公共网络访问”设置为“从选定的虚拟网络和 IP 地址启用”之后将其设置为“禁用”,则之前配置的任何资源实例例外(包括允许受信任服务列表中的 Azure 服务访问此存储帐户),都将继续有效。 因此,这些资源和服务可能仍有权访问存储帐户。

授权

通过网络规则获得访问权限的客户端必须继续满足存储帐户的授权要求,才能访问数据。 支持授权的方式包括适用于 Blob 和队列的 Microsoft Entra 凭据、有效的帐户访问密钥或共享访问签名 (SAS) 令牌。

如果针对匿名公共访问配置了 Blob 容器,则不需要对读取该容器中数据的请求进行授权,但防火墙规则仍保持有效,并会阻止匿名流量。

更改默认网络访问规则

默认情况下,存储帐户接受来自任何网络上客户端的连接。 你可以限制对所选网络的访问,或阻止来自所有网络的流量,仅允许通过专用终结点进行访问。

必须将默认规则设置为“拒绝”,否则网络规则不会有任何效果。 但是,更改此设置可能会影响应用程序的连接到 Azure 存储的功能。 在更改此设置之前,请确保向任何允许的网络授予访问权限,或设置通过专用终结点进行的访问。

注意

建议使用 Azure Az PowerShell 模块与 Azure 交互。 请参阅安装 Azure PowerShell 以开始使用。 若要了解如何迁移到 Az PowerShell 模块,请参阅 将 Azure PowerShell 从 AzureRM 迁移到 Az

  1. 转到要保护的存储帐户。

  2. 在“安全和网络”下找到“网络”设置。

  3. 选择要允许的公共网络访问类型:

    • 要允许来自所有网络的流量,请选择“允许从所有网络”。

    • 若要仅允许来自特定虚拟网络的流量,请选择“允许从选定的虚拟网络和 IP 地址”。

    • 若要阻止来自所有网络的流量,请选择“已禁用”。

  4. 单击“保存”应用所做的更改。

注意

根据设计,从受信任的服务访问存储帐户优先于其他网络访问限制。 如果在将“公共网络访问”设置为“从选定的虚拟网络和 IP 地址启用”之后将其设置为“禁用”,则之前配置的任何资源实例例外(包括允许受信任服务列表中的 Azure 服务访问此存储帐户),都将继续有效。 因此,这些资源和服务可能仍有权访问存储帐户。

允许从虚拟网络进行访问

可将存储帐户配置为仅允许从特定子网进行访问。 允许的子网可以属于同一订阅中的虚拟网络,也可以属于不同订阅(包括属于不同 Microsoft Entra 租户的订阅)。 使用跨区域服务终结点时,允许的子网也可以位于存储帐户所在区域以外的区域。

可以在虚拟网络内为 Azure 存储启用服务终结点。 服务终结点通过最优路径将流量从虚拟网络路由到 Azure 存储服务。 子网和虚拟网络的标识也随每个请求进行传输。 管理员随后可以配置存储帐户的网络规则,允许从虚拟网络中的特定子网接收请求。 通过这些网络规则获得访问权限的客户端必须继续满足存储帐户的授权要求,才能访问数据。

每个存储帐户最多支持 400 个虚拟网络规则。 可以将这些规则与 IP 网络规则结合使用。

重要

在客户端应用程序中引用服务终结点时,建议避免依赖于缓存的 IP 地址。 存储帐户 IP 地址可能会更改,因此依赖缓存的 IP 地址可能会导致意外行为。

此外,建议遵循 DNS 记录的生存时间 (TTL),避免重写该时间。 重写 DNS TTL 可能会导致意外行为。

所需的权限

若要向存储帐户应用虚拟网络规则,用户必须对要添加的子网拥有相应的权限。 存储帐户参与者或有权执行 Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Azure 资源提供程序操作的用户可以使用自定义 Azure 角色来应用规则。

存储帐户和获得访问权限的虚拟网络可以位于不同的订阅中,包括属于不同 Microsoft Entra 租户的订阅。

当前仅通过 PowerShell、Azure CLI 和 REST API 支持配置向属于其他 Microsoft Entra 租户的虚拟网络中的子网授予访问权限的规则。 无法通过 Azure 门户配置此类规则,但可以在门户中查看它们。

Azure 存储跨区域服务终结点

Azure 存储的跨区域服务终结点于 2023 年 4 月正式发布。 它们适用于任何区域中的虚拟网络和存储服务实例。 使用跨区域服务终结点时,子网不再使用公共 IP 地址与任何存储帐户(包括其他区域中的存储帐户)通信。 从子网到存储帐户的所有流量都改为使用专用 IP 地址作为源 IP。 因此,任何使用 IP 网络规则来允许来自这些子网的流量的存储帐户都不再有效。

配对区域中的虚拟网络和服务实例之间配置服务终结点可能是灾难恢复计划的重要组成部分。 服务终结点可以在区域性故障转移期间提供连续性,并允许访问读取访问权限异地冗余存储 (RA-GRS) 实例。 允许从虚拟网络访问存储帐户的网络规则同样允许访问所有 RA-GRS 实例。

在区域中断期间计划灾难恢复时,应在配对区域中提前创建虚拟网络。 为 Azure 存储启用服务终结点,并提供允许从这些备用虚拟网络进行访问的网络规则。 然后将这些规则应用于异地冗余存储帐户。

本地和跨区域服务终结点不能在同一子网上共存。 若要将现有服务终结点替换为跨区域终结点,请删除现有的 Microsoft.Storage 终结点,将其重新创建为跨区域终结点 (Microsoft.Storage.Global)。

管理虚拟网络规则

可以通过 Azure 门户、PowerShell 或 Azure CLI v2 管理存储帐户的虚拟网络规则。

若要启用从其他 Microsoft Entra 租户中的虚拟网络或子网访问存储帐户,必须使用 PowerShell 或 Azure CLI。 Azure 门户不显示其他 Microsoft Entra 租户中的子网。

  1. 转到要保护的存储帐户。

  2. 选择“网络”。

  3. 检查是否已选择允许从所选网络进行访问。

  4. 若要使用新的网络规则向虚拟网络授予访问权限,请在“虚拟网络”下,选择“添加现有虚拟网络”。 选择“虚拟网络”和“子网”选项,然后选择“添加”。

    若要创建新的虚拟网络并向其授予访问权限,请选择“添加新的虚拟网络”。 提供创建新的虚拟网络所需的信息,然后选择“创建”。

    如果之前没有为所选的虚拟网络和子网配置 Azure 存储的服务终结点,则可在执行此操作时进行配置。

    目前,在规则创建期间,仅显示属于同一 Microsoft Entra 租户的虚拟网络以供选择。 若要向属于其他租户的虚拟网络中的子网授予访问权限,请使用 PowerShell、Azure CLI 或 REST API。

  5. 若要删除虚拟网络或子网规则,请选择省略号 (...) 来打开虚拟网络或子网的上下文菜单,然后选择“删除”。

  6. 单击“保存”应用所做的更改。

重要

如果你删除网络规则中包含的子网,系统会从存储帐户的网络规则中删除该子网。 如果使用相同的名称创建新子网,其将无法访问存储帐户。 若要允许访问,则必须在存储帐户的网络规则中明确授权新子网。

允许从 Internet IP 范围进行访问

可以通过创建 IP 网络规则来使用 IP 网络规则允许从特定的公共 Internet IP 地址范围进行访问。 每个存储帐户最多支持 400 个规则。 这些规则向基于 Internet 的特定服务和本地网络授予访问权限,阻止一般 Internet 流量。

IP 网络规则的限制

以下限制适用于 IP 地址范围:

  • IP 网络规则仅适用于公共 Internet IP 地址。

    IP 规则不允许使用为专用网络保留的 IP 地址范围(如 RFC 1918 中所定义)。 专用网络包括以 10、172.16 到 172.31 以及 192.168 开头的地址。

  • 必须使用 CIDR 表示法以 16.17.18.0/24 形式提供允许的 Internet 地址范围,或使用单独的 IP 地址(如 16.17.18.19)来这样做。

  • 不支持使用 /31 或 /32 前缀大小的小型地址范围。 请使用单独的 IP 地址规则配置这些范围。

  • 仅支持使用 IPv4 地址配置存储防火墙规则。

重要

在以下情况下,不能使用 IP 网络规则:

  • 限制对与存储帐户位于同一 Azure 区域中的客户端的访问。 IP 网络规则对源自与存储帐户相同的 Azure 区域的请求不起作用。 请使用虚拟网络规则来允许相同区域的请求。
  • 限制对配对区域中的客户端(在具有服务终结点的虚拟网络中)的访问。
  • 限制对与存储帐户部署在同一区域中的 Azure 服务的访问。 与存储帐户部署在同一区域中的服务使用专用的 Azure IP 地址进行通信。 因此,不能基于特定的 Azure 服务的公共出站 IP 地址范围来限制对其的访问。

配置从本地网络的访问

若要使用 IP 网络规则授予本地网络访问存储帐户的权限,则必须标识网络所用的面向 Internet 的 IP 地址。 若要获得帮助,请联系网络管理员。

如果要在本地使用 Azure ExpressRoute,则需要标识用于 Microsoft 对等互连的 NAT IP 地址。 服务提供商或客户将提供 NAT IP 地址。

若要允许访问服务资源,必须在资源 IP 的防火墙设置中允许这些公共 IP 地址。

管理 IP 网络规则

可以通过 Azure 门户、PowerShell 或 Azure CLI v2 管理存储帐户的 IP 网络规则。

  1. 转到要保护的存储帐户。

  2. 选择“网络”。

  3. 检查是否已选择允许从所选网络进行访问。

  4. 若要向 Internet IP 范围授予访问权限,请在“防火墙”>“地址范围”下输入 IP 地址或地址范围(采用 CIDR 格式) 。

  5. 若要删除某个 IP 网络规则,请选择地址范围旁边的删除图标 ()。

  6. 单击“保存”应用所做的更改。

允许从 Azure 资源实例进行访问

在某些情况下,应用程序可能依赖于无法通过虚拟网络或 IP 地址规则隔离的 Azure 资源。 但是,你仍希望存储帐户仅访问你的应用程序的 Azure 资源并且访问方式是安全的。 可创建资源实例规则来配置存储帐户,使其可访问受信任 Azure 服务的特定资源实例。

资源实例的 Azure 角色分配决定了资源实例可以对存储帐户数据执行的操作的类型。 资源实例必须来自存储帐户所在的租户,但可以属于租户中的任何订阅。

可在 Azure 门户中添加或移除资源网络规则:

  1. 登录 Azure 门户

  2. 找到存储帐户并显示帐户概览。

  3. 选择“网络”。

  4. 在“防火墙和虚拟网络”下,为“选定的网络”选择允许访问的选项。

  5. 向下滚动以查找“资源实例”。 在“资源类型”下拉列表中,选择资源实例的资源类型。

  6. 在“实例名称”下拉列表中,选择资源实例。 还可以选择包括活动租户、订阅或资源组中的所有资源实例。

  7. 单击“保存”应用所做的更改。 资源实例会出现在网络设置页的“资源实例”部分。

若要删除资源实例,请选择资源实例旁边的删除图标 ()。

授予对受信任的 Azure 服务的访问权限

某些 Azure 服务通过无法包含在网络规则中的网络运行。 可向其中的一部分受信任 Azure 服务授予对存储帐户的访问权限,同时对其他应用保持使用网络规则。 然后,这些受信任的服务将使用强身份验证连接到存储帐户。

可以通过创建网络规则例外来授予对受信任的 Azure 服务的访问权限。 本文的管理例外部分提供分步指南。

在 Microsoft Entra 租户中注册的资源的受信任访问

某些服务的资源可以访问存储帐户以执行选定的操作,例如写入日志或运行备份。 这些服务必须在与存储帐户位于同一 Microsoft Entra 租户的订阅中注册。 下表描述了每项服务和允许的操作。

服务 资源提供程序名称 允许的操作
Azure 备份 Microsoft.RecoveryServices 在基础结构即服务 (IaaS) 虚拟机中运行非托管磁盘的备份和还原(不需要对托管磁盘这样做)。 了解详细信息
Azure Data Box Microsoft.DataBox 将数据导入 Azure。 了解详细信息
Azure 事件网格 Microsoft.EventGrid 启用 Azure Blob 存储事件发布并允许发布到存储队列
Azure 事件中心 Microsoft.EventHub 使用事件中心捕获来存档数据。 了解详细信息
Azure 文件同步 Microsoft.StorageSync 将本地文件服务器转换为 Azure 文件共享的缓存。 此功能允许多站点同步、快速灾难恢复和云备份。 了解详细信息
Azure HDInsight Microsoft.HDInsight 为新的 HDInsight 群集预配默认文件系统的初始内容。 了解详细信息
Azure 导入/导出 Microsoft.ImportExport 将数据导入 Azure 存储或从 Azure 存储导出数据。 了解详细信息
Azure Monitor Microsoft.Insights 将监视数据写入安全存储帐户,包括资源日志、Microsoft Defender for Endpoint 数据、Microsoft Entra 登录和审核日志,以及 Microsoft Intune 日志。 了解详细信息
Azure 网络服务 Microsoft.Network 以多种方式(包括使用 Azure 网络观察程序和 Azure 流量管理器服务)存储和分析网络流量日志。 了解详细信息
Azure Site Recovery Microsoft.SiteRecovery 使用启用了防火墙的缓存、源或目标存储帐户时,请启用复制,以实现 Azure IaaS 虚拟机的灾难恢复。 了解详细信息

基于托管标识的受信任访问权限

下表列出了可访问你的存储帐户数据的服务(如果这些服务的资源实例有相应的权限)。

服务 资源提供程序名称 目的
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats 支持访问存储帐户。
Azure API 管理 Microsoft.ApiManagement/service 允许通过策略访问防火墙后面的存储帐户。 了解详细信息
Microsoft 自治系统 Microsoft.AutonomousSystems/workspaces 支持访问存储帐户。
用于 Redis 的 Azure 缓存 Microsoft.Cache/Redis 支持访问存储帐户。 了解详细信息
Azure AI 搜索 Microsoft.Search/searchServices 允许访问存储帐户,以进行索引编制、处理和查询。
Azure AI 服务 Microsoft.CognitiveService/accounts 支持访问存储帐户。 了解详细信息
Azure 容器注册表 Microsoft.ContainerRegistry/registries 允许使用 ACR 任务功能套件在生成容器映像时访问存储帐户。
Microsoft 成本管理 Microsoft.CostManagementExports 允许导出到防火墙后面的存储帐户。 了解详细信息
Azure Databricks Microsoft.Databricks/accessConnectors 支持访问存储帐户。
Azure 数据工厂 Microsoft.DataFactory/factories 允许通过数据工厂运行时访问存储帐户。
Azure 备份保管库 Microsoft.DataProtection/BackupVaults 支持访问存储帐户。
Azure Data Share Microsoft.DataShare/accounts 支持访问存储帐户。
Azure Database for PostgreSQL Microsoft.DBForPostgreSQL 支持访问存储帐户。
Azure IoT 中心 Microsoft.Devices/IotHubs 允许将 IoT 中心的数据写入 Blob 存储。 了解详细信息
Azure 开发测试实验室 Microsoft.DevTestLab/labs 支持访问存储帐户。
Azure 事件网格 Microsoft.EventGrid/domains 支持访问存储帐户。
Azure 事件网格 Microsoft.EventGrid/partnerTopics 支持访问存储帐户。
Azure 事件网格 Microsoft.EventGrid/systemTopics 支持访问存储帐户。
Azure 事件网格 Microsoft.EventGrid/topics 支持访问存储帐户。
Microsoft Fabric Microsoft.Fabric 支持访问存储帐户。
Azure Healthcare APIs Microsoft.HealthcareApis/services 支持访问存储帐户。
Azure Healthcare APIs Microsoft.HealthcareApis/workspaces 支持访问存储帐户。
Azure IoT Central Microsoft.IoTCentral/IoTApps 支持访问存储帐户。
Azure 逻辑应用 Microsoft.Logic/integrationAccounts 使逻辑应用能够访问存储帐户。 了解详细信息
Azure 逻辑应用 Microsoft.Logic/workflows 使逻辑应用能够访问存储帐户。 了解详细信息
Azure 机器学习 Microsoft.MachineLearningServices 支持经过授权的 Azure 机器学习工作区将试验输出、模型和日志写入 Blob 存储并读取数据。 了解详细信息
Azure 机器学习 Microsoft.MachineLearningServices/workspaces 支持经过授权的 Azure 机器学习工作区将试验输出、模型和日志写入 Blob 存储并读取数据。 了解详细信息
Azure 媒体服务 Microsoft.Media/mediaservices 支持访问存储帐户。
Azure Migrate Microsoft.Migrate/migrateprojects 支持访问存储帐户。
Azure 空间定位点 Microsoft.MixedReality/remoteRenderingAccounts 支持访问存储帐户。
Azure ExpressRoute Microsoft.Network/expressRoutePorts 支持访问存储帐户。
Microsoft Power 平台 Microsoft.PowerPlatform/enterprisePolicies 支持访问存储帐户。
Microsoft Project Arcadia Microsoft.ProjectArcadia/workspaces 支持访问存储帐户。
Azure 数据目录 Microsoft.ProjectBabylon/accounts 支持访问存储帐户。
Microsoft Purview Microsoft.Purview/accounts 支持访问存储帐户。
Azure Site Recovery Microsoft.RecoveryServices/vaults 支持访问存储帐户。
安全中心 Microsoft.Security/dataScanners 支持访问存储帐户。
Singularity Microsoft.Singularity/accounts 支持访问存储帐户。
Azure SQL 数据库 Microsoft.Sql 允许将审核数据写入防火墙后的存储帐户
Azure SQL Server Microsoft.Sql/servers 允许将审核数据写入防火墙后的存储帐户
Azure Synapse Analytics Microsoft.Sql 允许将 COPY 语句、PolyBase(在专用池中)或 openrowset 函数与无服务器池中的外部表结合使用来将数据导入和导出特定 SQL 数据库。 了解详细信息
Azure 流分析 Microsoft.StreamAnalytics 用于将流式处理作业中的数据写入 Blob 存储。 了解详细信息
Azure 流分析 Microsoft.StreamAnalytics/streamingjobs 用于将流式处理作业中的数据写入 Blob 存储。 了解详细信息
Azure Synapse Analytics Microsoft.Synapse/workspaces 允许访问 Azure 存储中的数据。

如果帐户未启用分层命名空间功能,可以通过将 Azure 角色显式分配给每个资源实例的托管标识来授予权限。 在这种情况下,实例的访问范围对应于分配给托管标识的 Azure 角色。

对于已启用分层命名空间功能的帐户,可以使用相同的技术。 但是,如果将托管标识添加到存储帐户包含的任何目录或 Blob 的访问控制列表 (ACL),则不必分配 Azure 角色。 在这种情况下,实例的访问范围对应于托管标识有权访问的目录或文件。

还可以将 Azure 角色和 ACL 组合在一起来授予访问权限。 若要详细了解,请参阅 Azure Data Lake Storage 中的访问控制模型

建议使用资源实例规则向特定资源授予访问权限

管理异常

在某些情况下(例如在进行存储分析时),需要从网络边界外访问来读取资源日志和指标。 配置受信任的服务来访问存储帐户时,可以通过创建网络规则例外来允许对日志文件和/或指标表进行读取访问。 可以通过 Azure 门户、PowerShell 或 Azure CLI v2 管理网络规则例外。

若要详细了解如何使用存储分析,请参阅使用 Azure 存储分析收集日志和指标数据

  1. 转到要保护的存储帐户。

  2. 选择“网络”。

  3. 检查是否已选择允许从所选网络进行访问。

  4. 在“例外”下,选择要允许的例外。

  5. 单击“保存”应用所做的更改。

后续步骤

详细了解 Azure 网络服务终结点。 更深入地了解 Azure 存储安全性