U kunt alle openbare toegang tot uw opslagaccount weigeren en vervolgens Azure-netwerkinstellingen configureren om aanvragen te accepteren die afkomstig zijn van specifieke subnetten van virtuele netwerken. Zie subnetten voor virtuele netwerken voor meer informatie.
Als u een regel voor een virtueel netwerk wilt toepassen op een opslagaccount, moet de gebruiker over de juiste machtigingen beschikken voor de subnetten die worden toegevoegd. Een inzender voor opslagaccounts of een gebruiker die gemachtigd is voor de bewerking van de Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure-resourceprovider , kan een regel toepassen met behulp van een aangepaste Azure-rol.
Een regel voor een virtueel netwerk maken
Opmerking
Als u toegang wilt inschakelen vanuit een virtueel netwerk in een andere Microsoft Entra-tenant, moet u PowerShell of de Azure CLI gebruiken. In Azure Portal worden geen subnetten weergegeven in andere Microsoft Entra-tenants.
Ga naar het opslagaccount waarvoor u regels voor virtueel netwerk en toegang wilt configureren.
Selecteer In het servicemenu onder Beveiliging en netwerken de optie Netwerken en selecteer vervolgens onder Resource-instellingen: Virtuele netwerken, IP-adressen en uitzonderingen de optie Weergeven.
Selecteer Onder Virtuele netwerken de optie Bestaand virtueel netwerk toevoegen.
Het deelvenster Netwerken toevoegen wordt weergegeven.
Selecteer een virtueel netwerk in de vervolgkeuzelijst Virtuele netwerken .
Selecteer in de vervolgkeuzelijst Subnetten de gewenste subnetten en selecteer vervolgens Toevoegen.
Als u een nieuw virtueel netwerk wilt maken, selecteert u Nieuw virtueel netwerk toevoegen. Geef de benodigde informatie op om het nieuwe virtuele netwerk te maken en selecteer vervolgens Maken. Alleen virtuele netwerken die deel uitmaken van dezelfde Microsoft Entra-tenant worden weergegeven voor selectie tijdens het maken van regels. Als u toegang wilt verlenen tot een subnet in een virtueel netwerk dat deel uitmaakt van een andere tenant, gebruikt u PowerShell, de Azure CLI of de REST API.
Als u een regel voor een virtueel netwerk of subnet wilt verwijderen, selecteert u het beletselteken (...) om het contextmenu voor het virtuele netwerk of subnet te openen en selecteert u Verwijderen.
Selecteer Opslaan om uw wijzigingen toe te passen.
Belangrijk
Als u een subnet verwijdert dat is opgenomen in een netwerkregel, wordt het verwijderd uit de netwerkregels voor het opslagaccount. Als u een nieuw subnet met dezelfde naam maakt, heeft het geen toegang tot het opslagaccount. Als u toegang wilt toestaan, moet u het nieuwe subnet expliciet autoriseren in de netwerkregels voor het opslagaccount.
Installeer Azure PowerShell en meld u aan.
Als u alleen verkeer van specifieke virtuele netwerken wilt toestaan, gebruikt u de Update-AzStorageAccountNetworkRuleSet opdracht en stelt u de -DefaultAction parameter in op Deny:
Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
Belangrijk
Netwerkregels hebben geen effect tenzij u de -DefaultAction parameter instelt op Deny. Het wijzigen van deze instelling kan echter van invloed zijn op de mogelijkheid van uw toepassing om verbinding te maken met Azure Storage. Zorg ervoor dat u toegang verleent tot alle toegestane netwerken of toegang instelt via een privé-eindpunt voordat u deze instelling wijzigt.
Lijst met regels voor virtuele netwerken:
(Get-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -AccountName "mystorageaccount").VirtualNetworkRules
Schakel een service-eindpunt in voor Azure Storage in een bestaand virtueel netwerk en subnet:
Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.0.0.0/24" -ServiceEndpoint "Microsoft.Storage.Global" | Set-AzVirtualNetwork
Voeg een netwerkregel toe voor een virtueel netwerk en subnet:
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Add-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
Als u een netwerkregel wilt toevoegen voor een subnet in een virtueel netwerk dat deel uitmaakt van een andere Microsoft Entra-tenant, gebruikt u een volledig gekwalificeerde VirtualNetworkResourceId parameter in het formulier /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.
Verwijder een netwerkregel voor een virtueel netwerk en subnet:
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Remove-AzStorageAccountNetworkRule -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -VirtualNetworkResourceId $subnet.Id
Installeer de Azure CLI en meld u aan.
Als u alleen verkeer van specifieke virtuele netwerken wilt toestaan, gebruikt u de az storage account update opdracht en stelt u de --default-action parameter in op Deny:
az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
Belangrijk
Netwerkregels hebben geen effect tenzij u de --default-action parameter instelt op Deny. Het wijzigen van deze instelling kan echter van invloed zijn op de mogelijkheid van uw toepassing om verbinding te maken met Azure Storage. Zorg ervoor dat u toegang verleent tot alle toegestane netwerken of toegang instelt via een privé-eindpunt voordat u deze instelling wijzigt.
Lijst met regels voor virtuele netwerken:
az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
Schakel een service-eindpunt in voor Azure Storage in een bestaand virtueel netwerk en subnet:
az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.Storage.Global"
Voeg een netwerkregel toe voor een virtueel netwerk en subnet:
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
Als u een regel wilt toevoegen voor een subnet in een virtueel netwerk dat deel uitmaakt van een andere Microsoft Entra-tenant, gebruikt u een volledig gekwalificeerde subnet-id in het formulier /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>. U kunt de subscription parameter gebruiken om de subnet-id op te halen voor een virtueel netwerk dat deel uitmaakt van een andere Microsoft Entra-tenant.
Verwijder een netwerkregel voor een virtueel netwerk en subnet:
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
Zie ook