Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As regras de firewall do Armazenamento do Azure fornecem controle granular sobre o acesso à rede ao endereço público da sua conta de armazenamento. Por padrão, as contas de armazenamento permitem conexões de qualquer rede, mas você pode restringir o acesso configurando regras de rede que definem quais fontes podem se conectar à sua conta de armazenamento.
Você pode configurar quatro tipos de regras de rede:
- Regras de rede virtual: permitir o tráfego de sub-redes específicas nas Redes Virtuais do Azure
- Regras de rede IP: permitir o tráfego de intervalos de endereços IP públicos específicos
- Regras de instância de recurso: permitir o tráfego de instâncias de recursos específicas do Azure que não podem ser isoladas por meio de regras de IP ou rede virtual
- Exceções de serviço confiáveis: permitir o tráfego de serviços específicos do Azure que operam fora do limite de rede
Quando as regras de rede são configuradas, somente o tráfego de fontes explicitamente permitidas pode acessar sua conta de armazenamento por meio de seu ponto de extremidade público. Qualquer outro tráfego será negado.
Observação
Os clientes que fazem solicitações de fontes permitidas também devem atender aos requisitos de autorização da conta de armazenamento. Para saber mais sobre a autorização da conta, consulte Autorizar o acesso aos dados no Armazenamento do Azure.
Regras de rede virtual
Você pode habilitar o tráfego de sub-redes em qualquer Rede Virtual do Azure. A rede virtual pode ser de qualquer assinatura em qualquer locatário do Microsoft Entra, em qualquer região do Azure. Para habilitar o tráfego de uma sub-rede, adicione uma regra de rede virtual. Você pode adicionar até 400 regras de rede virtual por conta de armazenamento.
Nas configurações de rede virtual da sub-rede, você também deve habilitar um ponto de extremidade de serviço de Rede Virtual. Este endpoint foi projetado para fornecer conectividade segura e direta à sua conta de armazenamento de dados.
Quando você cria regras de rede usando o portal do Azure, esses pontos de extremidade de serviço são criados automaticamente à medida que você seleciona cada sub-rede de destino. O PowerShell e a CLI do Azure fornecem comandos que você pode usar para criá-los manualmente. Para saber mais sobre pontos de extremidade de serviço, consulte pontos de extremidade de serviço de Rede Virtual.
A tabela a seguir descreve cada tipo de ponto de extremidade de serviço que você pode habilitar para o Armazenamento do Azure:
| Ponto de extremidade de serviço | Nome do recurso | Descrição |
|---|---|---|
| Ponto de extremidade do Armazenamento do Azure | Microsoft.Storage | Fornece conectividade com contas de armazenamento na mesma região que a rede virtual. |
| Ponto de extremidade de serviço entre regiões do Armazenamento do Azure | Microsoft.Storage.Global | Fornece conectividade com contas de armazenamento em qualquer região. |
Observação
Você pode associar apenas um desses tipos de ponto de extremidade a uma sub-rede. Se um desses pontos de extremidade já estiver associado à sub-rede, você deverá excluir esse ponto de extremidade antes de adicionar o outro.
Para saber como configurar uma regra de rede virtual e habilitar pontos de extremidade de serviço, consulte Criar uma regra de rede virtual para o Armazenamento do Azure.
Acesso de uma região emparelhada
Os pontos de extremidade de serviço também funcionam entre redes virtuais e instâncias de serviço em uma região emparelhada.
Configurar pontos de extremidade de serviço entre redes virtuais e instâncias de serviço em uma região emparelhada pode ser uma parte importante do seu plano de recuperação de desastre. Os pontos de extremidade de serviço permitem a continuidade durante um failover regional e fornecem acesso a instâncias de RA-GRS (armazenamento com redundância geográfica com acesso de leitura). As regras de rede virtual que concedem acesso de uma rede virtual a uma conta de armazenamento também concedem acesso a qualquer instância RA-GRS.
Ao planejar a recuperação de desastres durante uma interrupção regional, crie as redes virtuais na região emparelhada com antecedência. Habilite terminais de serviço para o Armazenamento do Azure com regras de rede que permitam acesso a partir dessas redes virtuais alternativas. Em seguida, aplica essas regras às contas de armazenamento com redundância geográfica.
Regras de rede IP
Para clientes e serviços que não estão localizados em uma rede virtual, você pode habilitar o tráfego criando regras de rede IP. Cada regra de rede IP permite o tráfego de um intervalo de endereços IP público específico. Por exemplo, se um cliente de uma rede local precisar acessar dados de armazenamento, você poderá criar uma regra que inclua o endereço IP público desse cliente. Cada conta de armazenamento dá suporte a até 400 regras de rede IP.
Para saber como criar regras de rede IP, consulte Criar uma regra de rede IP para o Armazenamento do Azure.
Se você habilitar um ponto de extremidade de serviço para uma sub-rede, o tráfego dessa sub-rede não usará um endereço IP público para se comunicar com uma conta de armazenamento. Em vez disso, todo o tráfego usa um endereço IP privado como o IP de origem. Como resultado, as regras de rede IP que permitem o tráfego dessas sub-redes não têm mais efeito.
Os tokens SAS que concedem acesso a um serviço de endereço IP específico limitam o acesso do proprietário do token, mas não concedem um novo acesso além das regras de rede configuradas.
Importante
Algumas restrições se aplicam a intervalos de endereços IP. Para obter uma lista de restrições, consulte Restrições para regras de rede IP.
Acesso de uma rede local
Você pode habilitar o tráfego de uma rede local usando uma regra de rede IP. Primeiro, você deve identificar os endereços IP voltados para a Internet que sua rede usa. Entre em contato com o administrador da rede para obter assistência.
Se você estiver usando o Azure ExpressRoute do seu local, será necessário identificar os endereços IP da NAT usados para emparelhamento da Microsoft. O provedor de serviços ou o cliente fornece os endereços IP NAT.
Para permitir o acesso aos recursos do serviço, você deve permitir estes endereços IP públicos na configuração do firewall de IPs do recurso.
Regras de instância de recurso do Azure
Alguns recursos do Azure não podem ser isolados por meio de uma rede virtual ou regra de endereço IP. Você pode habilitar o tráfego desses recursos criando uma regra de rede de instância de recurso. As atribuições de função do Azure da instância de recurso determinam os tipos de operações que a instância de recurso pode executar nos dados da conta de armazenamento. As instâncias de recurso devem ser do mesmo locatário que a conta de armazenamento, mas podem pertencer a qualquer assinatura no locatário.
Para saber como configurar uma regra de instância de recurso, consulte Criar uma regra de rede de instância de recurso para o Armazenamento do Azure.
Exceções para serviços confiáveis do Azure
Se você precisar habilitar o tráfego de um serviço do Azure fora do limite de rede, poderá adicionar uma exceção de segurança de rede. Isso pode ser útil quando um serviço do Azure opera de uma rede que você não pode incluir em sua rede virtual ou regras de rede IP. Por exemplo, alguns serviços podem precisar ler logs de recursos e métricas em sua conta. Você pode permitir o acesso de leitura para os arquivos de log, tabelas de métricas ou ambos criando uma exceção de regra de rede. Esses serviços se conectam à sua conta de armazenamento usando autenticação forte.
Para saber mais sobre como adicionar uma exceção de segurança de rede, consulte Gerenciar exceções de segurança de rede.
Para obter uma lista completa dos serviços do Azure para os quais você pode habilitar o tráfego, consulte serviços confiáveis do Azure.
Restrições e considerações
Antes de implementar a segurança de rede para suas contas de armazenamento, examine todas as restrições e considerações. Para obter uma lista completa, consulte Restrições e limitações para o firewall do Armazenamento do Azure e a configuração de rede virtual.