Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Storage-Firewallregeln bieten eine präzise Kontrolle über den Netzwerkzugriff auf den öffentlichen Endpunkt Ihres Speicherkontos. Standardmäßig lassen Speicherkonten Verbindungen aus jedem Netzwerk zu, aber Sie können den Zugriff einschränken, indem Sie Netzwerkregeln konfigurieren, die definieren, welche Quellen eine Verbindung mit Ihrem Speicherkonto herstellen können.
Sie können vier Arten von Netzwerkregeln konfigurieren:
- Regeln für virtuelle Netzwerke: Zulassen von Datenverkehr aus bestimmten Subnetzen in virtuellen Azure-Netzwerken
- IP-Netzwerkregeln: Datenverkehr aus bestimmten öffentlichen IP-Adressbereichen zulassen
- Ressourceninstanzregeln: Zulassen von Datenverkehr aus bestimmten Azure-Ressourceninstanzen, die nicht über virtuelle Netzwerke oder IP-Regeln isoliert werden können
- Vertrauenswürdige Dienstausnahmen: Erlauben Sie Datenverkehr von bestimmten Azure-Diensten, die außerhalb Ihrer Netzwerkgrenze arbeiten.
Wenn Netzwerkregeln konfiguriert sind, können nur Datenverkehr von explizit zulässigen Quellen über seinen öffentlichen Endpunkt auf Ihr Speicherkonto zugreifen. Sämtlicher anderer Datenverkehr wird verweigert.
Hinweis
Clients, die Anforderungen aus zulässigen Quellen stellen, müssen auch die Autorisierungsanforderungen des Speicherkontos erfüllen. Weitere Informationen zur Kontoautorisierung finden Sie unter Autorisieren des Zugriffs auf Daten in Azure Storage.
VNET-Regeln
Sie können datenverkehr von Subnetzen in jedem virtuellen Azure-Netzwerk aktivieren. Das virtuelle Netzwerk kann aus einem beliebigen Abonnement innerhalb eines beliebigen Microsoft Entra-Mandanten in einer beliebigen Azure-Region stammen. Um den Datenverkehr von einem Subnetz zu aktivieren, fügen Sie eine virtuelle Netzwerkregel hinzu. Sie können pro Speicherkonto bis zu 400 Regeln für virtuelle Netzwerke hinzufügen.
In den Einstellungen des virtuellen Netzwerks des Subnetzes müssen Sie auch einen Endpunkt für den virtuellen Netzwerkdienst aktivieren. Dieser Endpunkt wurde entwickelt, um eine sichere und direkte Verbindung mit Ihrem Speicherkonto bereitzustellen.
Wenn Sie Netzwerkregeln mithilfe des Azure-Portals erstellen, werden diese Dienstendpunkte automatisch erstellt, während Sie jedes Zielsubnetz auswählen. PowerShell und Azure CLI stellen Befehle bereit, die Sie zum manuellen Erstellen verwenden können. Weitere Informationen zu Dienstendpunkten finden Sie unter Virtual Network-Dienstendpunkte.
In der folgenden Tabelle werden die einzelnen Arten von Dienstendpunkten beschrieben, die Sie für Azure Storage aktivieren können:
| Dienstendpunkt | Ressourcenname | BESCHREIBUNG |
|---|---|---|
| Azure Storage Endpunkt | Microsoft.Storage | Stellt verbindungen mit Speicherkonten in derselben Region wie das virtuelle Netzwerk bereit. |
| Azure Storage-Dienstendpunkt für regionsübergreifenden Zugriff | Microsoft.Storage.Global | Stellt Verbindungen mit Speicherkonten in einer beliebigen Region bereit. |
Hinweis
Sie können nur einen dieser Endpunkttypen einem Subnetz zuordnen. Wenn einem dieser Endpunkte bereits das Subnetz zugeordnet ist, müssen Sie diesen Endpunkt löschen, bevor Sie den anderen hinzufügen.
Informationen zum Konfigurieren einer virtuellen Netzwerkregel und zum Aktivieren von Dienstendpunkten finden Sie unter Erstellen einer virtuellen Netzwerkregel für Azure Storage.
Zugriff aus einem gekoppelten Bereich
Dienstendpunkte funktionieren auch zwischen virtuellen Netzwerken und Dienstinstanzen in einer gekoppelten Region.
Das Konfigurieren von Dienstendpunkten zwischen virtuellen Netzwerken und Dienstinstanzen in einem Regionspaar kann ein wichtiger Bestandteil Ihres Notfallwiederherstellungsplans sein. Dienstendpunkte ermöglichen die Kontinuität während eines regionalen Failovers und ermöglichen den Zugriff auf schreibgeschützte georedundante Speicherinstanzen (RA-GRS). Virtuelle Netzwerkregeln, die Zugriff von einem virtuellen Netzwerk auf ein Speicherkonto gewähren, gewähren auch Zugriff auf jede RA-GRS Instanz.
Erstellen Sie bei der Planung der Notfallwiederherstellung während eines regionalen Ausfalls die virtuellen Netzwerke in der gekoppelten Region im Voraus. Aktivieren Sie Dienstendpunkte für Azure Storage mit Netzwerkregeln, die Zugriff von diesen alternativen virtuellen Netzwerken gewähren. Wenden Sie diese Regeln dann auf Ihre georedundanten Speicherkonten an.
IP-Netzwerkregeln
Für Clients und Dienste, die sich nicht in einem virtuellen Netzwerk befinden, können Sie den Datenverkehr aktivieren, indem Sie IP-Netzwerkregeln erstellen. Jede IP-Netzwerkregel ermöglicht Datenverkehr aus einem bestimmten öffentlichen IP-Adressbereich. Wenn beispielsweise ein Client aus einem lokalen Netzwerk auf Speicherdaten zugreifen muss, können Sie eine Regel erstellen, die die öffentliche IP-Adresse dieses Clients enthält. Jedes Speicherkonto unterstützt bis zu 400 IP-Netzwerkregeln.
Informationen zum Erstellen von IP-Netzwerkregeln finden Sie unter Erstellen einer IP-Netzwerkregel für Azure Storage.
Wenn Sie einen Dienstendpunkt für ein Subnetz aktivieren, verwendet der Datenverkehr von diesem Subnetz keine öffentliche IP-Adresse, um mit einem Speicherkonto zu kommunizieren. Stattdessen verwendet der gesamte Datenverkehr eine private IP-Adresse als Quell-IP. Daher haben IP-Netzwerkregeln, die Datenverkehr von diesen Subnetzen zulassen, keine Auswirkungen mehr.
SAS-Token, die Zugriff auf eine bestimmte IP-Adresse gewähren, beschränken den Zugriff des Tokeninhabers, gewähren jedoch keinen neuen Zugriff außerhalb der konfigurierten Netzwerkregeln.
Wichtig
Einige Einschränkungen gelten für IP-Adressbereiche. Eine Liste der Einschränkungen finden Sie unter Einschränkungen für IP-Netzwerkregeln.
Zugriff über ein lokales Netzwerk
Sie können den Datenverkehr aus einem lokalen Netzwerk mithilfe einer IP-Netzwerkregel aktivieren. Zunächst müssen Sie die internetorientierten IP-Adressen identifizieren, die Ihr Netzwerk verwendet. Wenden Sie sich an Ihren Netzwerkadministrator, um Hilfe zu erhalten.
Wenn Sie Azure ExpressRoute in Ihrer lokalen Umgebung verwenden, müssen Sie die NAT-IP-Adressen für das Microsoft-Peering identifizieren. Die NAT-IP-Adressen wird entweder vom Dienstanbieter oder den Kund:innen bereitgestellt.
Um den Zugriff auf Ihre Dienstressourcen zuzulassen, müssen Sie diese öffentlichen IP-Adressen in der Firewall-Einstellung für IP-Ressourcen zulassen.
Azure-Ressourceninstanzregeln
Einige Azure-Ressourcen können nicht über ein virtuelles Netzwerk oder eine IP-Adressregel isoliert werden. Sie können den Datenverkehr aus diesen Ressourcen aktivieren, indem Sie eine Netzwerkregel für Ressourceninstanzen erstellen. Die Azure-Rollenzuweisungen der Ressourceninstanz bestimmen die Arten von Vorgängen, die die Ressourceninstanz für Speicherkontodaten ausführen kann. Ressourceninstanzen müssen aus demselben Mandanten wie Ihr Speicherkonto stammen, können aber zu einem beliebigen Abonnement innerhalb des Mandanten gehören.
Informationen zum Konfigurieren einer Ressourceninstanzregel finden Sie unter Erstellen einer Ressourceninstanz-Netzwerkregel für Azure Storage.
Ausnahmen für vertrauenswürdige Azure-Dienste
Wenn Sie den Datenverkehr von einem Azure-Dienst außerhalb der Netzwerkgrenze aktivieren müssen, können Sie eine Netzwerksicherheits ausnahme hinzufügen. Dies kann nützlich sein, wenn ein Azure-Dienst über ein Netzwerk arbeitet, das Sie nicht in Ihr virtuelles Netzwerk oder ip-Netzwerkregeln einschließen können. Einige Dienste müssen beispielsweise Ressourcenprotokolle und Metriken in Ihrem Konto lesen. Sie können den Lesezugriff für die Protokolldateien, Metriktabellen oder beides zulassen, indem Sie eine Netzwerkregel-Ausnahme erstellen. Diese Dienste stellen mithilfe einer starken Authentifizierung eine Verbindung mit Ihrem Speicherkonto her.
Weitere Informationen zum Hinzufügen einer Netzwerksicherheitsausnahme finden Sie unter Verwalten von Netzwerksicherheitsausnahmen.
Eine vollständige Liste der Azure-Dienste, für die Sie Datenverkehr aktivieren können, finden Sie unter "Vertrauenswürdige Azure-Dienste".
Einschränkungen und Überlegungen
Bevor Sie die Netzwerksicherheit für Ihre Speicherkonten implementieren, sollten Sie alle Einschränkungen und Überlegungen überprüfen. Eine vollständige Liste finden Sie unter Einschränkungen und Einschränkungen für die Azure Storage-Firewall und die Konfiguration virtueller Netzwerke.