Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As regras de firewall do Armazenamento do Azure fornecem controle granular sobre o acesso à rede ao endpoint público da sua conta de armazenamento. Por padrão, as contas de armazenamento permitem conexões de qualquer rede, mas você pode restringir o acesso configurando regras de rede que definem quais fontes podem se conectar à sua conta de armazenamento.
Você pode configurar quatro tipos de regras de rede:
- Regras de rede virtual: Permitir tráfego de sub-redes específicas nas Redes Virtuais do Azure
- Regras de rede IP: Permitir tráfego de intervalos de endereços IP públicos específicos
- Regras de instância de recurso: permitem tráfego de instâncias de recursos específicas do Azure que não podem ser isoladas por meio de regras de rede virtual ou IP
- Exceções de serviço confiável: permitir tráfego de serviços específicos do Azure que operam fora do limite da rede
Quando as regras de rede são configuradas, somente o tráfego de fontes explicitamente permitidas pode acessar sua conta de armazenamento por meio de seu ponto de extremidade público. Todos os outros tráfegos são negados.
Nota
Os clientes que fazem solicitações de fontes permitidas também devem atender aos requisitos de autorização da conta de armazenamento. Para saber mais sobre a autorização de conta, consulte Autorizar acesso a dados no Armazenamento do Azure.
Regras de rede virtual
Você pode habilitar o tráfego de sub-redes em qualquer Rede Virtual do Azure. A rede virtual pode ser proveniente de qualquer subscrição dentro de qualquer locatário do Microsoft Entra, em qualquer região do Azure. Para habilitar o tráfego de uma sub-rede, adicione uma regra de rede virtual. Você pode adicionar até 400 regras de rede virtual por conta de armazenamento.
Nas configurações de rede virtual da sub-rede, deve também habilitar um endpoint de serviço de Rede Virtual. Este endpoint foi projetado para fornecer conectividade segura e direta à sua conta de armazenamento.
Quando você cria regras de rede usando o portal do Azure, esses pontos de extremidade de serviço são criados automaticamente à medida que você seleciona cada sub-rede de destino. O PowerShell e a CLI do Azure fornecem comandos que você pode usar para criá-los manualmente. Para saber mais sobre pontos de extremidade de serviço, consulte Pontos de extremidade de serviço de Rede Virtual.
A tabela a seguir descreve cada tipo de ponto de extremidade de serviço que você pode habilitar para o Armazenamento do Azure:
| Ponto final de serviço | Nome do recurso | Descrição |
|---|---|---|
| Ponto de extremidade do Armazenamento do Azure | Microsoft.Storage | Fornece conectividade a contas de armazenamento na mesma região da rede virtual. |
| Endpoint de serviço entre-regiões do Azure Storage | Microsoft.Storage.Global | Fornece conectividade para contas de armazenamento em qualquer região. |
Nota
Você pode associar apenas um desses tipos de ponto de extremidade a uma sub-rede. Se um desses pontos de extremidade já estiver associado à sub-rede, você deverá excluir esse ponto de extremidade antes de adicionar o outro.
Para saber como configurar uma regra de rede virtual e habilitar pontos de extremidade de serviço, consulte Criar uma regra de rede virtual para o Armazenamento do Azure.
Acesso a partir de uma região emparelhada
Os endpoints de serviço também funcionam entre redes virtuais e instâncias de serviço numa região emparelhada.
Configurar pontos de extremidade de serviço entre redes virtuais e instâncias de serviço em uma região emparelhada pode ser uma parte importante do seu plano de recuperação de desastres. Os pontos de extremidade de serviço permitem a continuidade durante um failover regional e fornecem acesso a instâncias de armazenamento geograficamente redundante somente leitura (RA-GRS). As regras de rede virtual que concedem acesso de uma rede virtual a uma conta de armazenamento também concedem acesso a qualquer instância RA-GRS.
Ao planejar a recuperação de desastres durante uma interrupção regional, crie as redes virtuais na região emparelhada com antecedência. Habilite pontos de extremidade de serviço para o Armazenamento do Azure com regras de rede que concedem acesso dessas redes virtuais alternativas. Em seguida, aplique essas regras às suas contas de armazenamento com redundância geográfica.
Regras de rede IP
Para clientes e serviços que não estão localizados em uma rede virtual, você pode habilitar o tráfego criando regras de rede IP. Cada regra de rede IP permite o tráfego de um intervalo de endereços IP público específico. Por exemplo, se um cliente de uma rede local precisar acessar dados de armazenamento, você poderá criar uma regra que inclua o endereço IP público desse cliente. Cada conta de armazenamento suporta até 400 regras de rede IP.
Para saber como criar regras de rede IP, consulte Criar uma regra de rede IP para o Armazenamento do Azure.
Se você habilitar um ponto de extremidade de serviço para uma sub-rede, o tráfego dessa sub-rede não usará um endereço IP público para se comunicar com uma conta de armazenamento. Em vez disso, todo o tráfego usa um endereço IP privado como IP de origem. Como resultado, as regras de rede IP que permitem o tráfego dessas sub-redes não têm mais efeito.
Os tokens SAS que concedem acesso a um endereço IP específico servem para limitar o acesso do detentor do token, mas não concedem novo acesso além das regras de rede configuradas.
Importante
Algumas restrições aplicam-se a intervalos de endereços IP. Para obter uma lista de restrições, consulte Restrições para regras de rede IP.
Acesso a partir de uma rede local
Você pode habilitar o tráfego de uma rede local usando uma regra de rede IP. Primeiro, você deve identificar os endereços IP voltados para a Internet que sua rede usa. Entre em contato com o administrador da rede para obter assistência.
Se estiver a utilizar o Azure ExpressRoute a partir das suas instalações, tem de identificar os endereços IP NAT utilizados para o emparelhamento da Microsoft. O provedor de serviços ou o cliente fornece os endereços IP NAT.
Para permitir o acesso aos recursos de serviço, você deve permitir esses endereços IP públicos na configuração de firewall para IPs de recursos.
Regras de instância de recurso do Azure
Alguns recursos do Azure não podem ser isolados por meio de uma rede virtual ou regra de endereço IP. Você pode habilitar o tráfego desses recursos criando uma regra de rede de instância de recurso. As atribuições de função do Azure da instância de recurso determinam os tipos de operações que a instância de recurso pode executar nos dados da conta de armazenamento. As instâncias de recursos devem ser do mesmo locatário que sua conta de armazenamento, mas podem pertencer a qualquer assinatura dentro do locatário.
Para saber como configurar uma regra de instância de recurso, consulte Criar uma regra de rede de instância de recurso para o Armazenamento do Azure.
Exceções para serviços confiáveis do Azure
Se você precisar habilitar o tráfego de um serviço do Azure fora do limite da rede, poderá adicionar uma exceção de segurança de rede. Isso pode ser útil quando um serviço do Azure opera a partir de uma rede que você não pode incluir em sua rede virtual ou regras de rede IP. Por exemplo, alguns serviços podem precisar ler logs de recursos e métricas em sua conta. Você pode permitir o acesso de leitura para os arquivos de log, tabelas de métricas ou ambos criando uma exceção de regra de rede. Esses serviços se conectam à sua conta de armazenamento usando autenticação forte.
Para saber mais sobre como adicionar uma exceção de segurança de rede, consulte Gerenciar exceções de segurança de rede.
Para obter uma lista completa dos serviços do Azure para os quais você pode habilitar o tráfego, consulte Serviços confiáveis do Azure.
Restrições e considerações
Antes de implementar a segurança de rede para suas contas de armazenamento, verifique todas as restrições e considerações. Para obter uma lista completa, consulte Restrições e limitações para firewall do Armazenamento do Azure e configuração de rede virtual.