Criar e associar políticas de ponto de extremidade de serviço

• Uma conta do Azure com uma assinatura ativa. Você pode criar uma conta gratuitamente.

• Uma conta do Azure com uma assinatura ativa. Você pode criar uma conta gratuitamente.

Azure Cloud Shell

O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que pode ser usado por meio do navegador. É possível usar o bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. É possível usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada no seu ambiente local.

Para iniciar o Azure Cloud Shell:

Opção	Exemplo/Link
Selecione Experimentar no canto superior direito de um bloco de código ou de comando. Selecionar Experimentar não copia automaticamente o código nem o comando para o Cloud Shell.
Acesse https://shell.azure.com ou selecione o botão Iniciar o Cloud Shell para abri-lo no navegador.
Selecione o botão Cloud Shell na barra de menus no canto superior direito do portal do Azure.

Para usar o Azure Cloud Shell:

1. Inicie o Cloud Shell.

2. Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou o comando.

3. Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e no Linux, ou selecionando Cmd+Shift+V no macOS.

4. Selecione Enter para executar o código ou o comando.

Se você optar por instalar e usar o PowerShell localmente, este artigo exigirá o módulo do Azure PowerShell versão 1.0.0 ou posterior. Execute Get-Module -ListAvailable Az para localizar a versão instalada. Se você precisa atualizar, consulte Instalar o módulo do Azure PowerShell. Se você estiver executando o PowerShell localmente, também precisará executar o Connect-AzAccount para criar uma conexão com o Azure.

Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.

• Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.

  

• Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.

  • Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.

  • Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.

  • Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.

• Este artigo exige a versão 2.0.28 ou posterior da CLI do Azure. Se você está usando o Azure Cloud Shell, a versão mais recente já está instalada.

1. Na caixa de pesquisa no portal, insira Redes virtuais. Selecione Redes virtuais nos resultados da pesquisa.

2. Selecione + Criar para criar uma rede virtual.

3. Insira ou selecione as seguintes informações na guia Informações básicas em Criar rede virtual.

   Configuração	Valor
   Detalhes do projeto
   Subscription	Selecione sua assinatura.
   Resource group	Selecione Criar novo. Insira test-rg no Nome. Selecione .
   Nome	Insira vnet-1.
   Region	Selecione Oeste dos EUA 2.

4. Selecione Avançar.

5. Selecione Avançar.

6. Na guia Endereços IP, em Sub-redes, selecione a sub-rede padrão.

7. Insira ou selecione as seguintes informações em Editar sub-rede.

   Configuração	Valor
   Nome	Insira sub-rede-1.
   Pontos de Extremidade de Serviço
   Serviços
   No menu suspenso, selecione Microsoft.Storage.

8. Selecione Salvar.

9. Selecione Examinar + criar.

10. Selecione Criar.

Antes de criar uma rede virtual, será necessário criar um grupo de recursos para a rede virtual e todos os outros recursos criados neste artigo. Crie um grupo de recursos com New-AzResourceGroup. O seguinte exemplo cria um grupo de recursos chamado test-rg:

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}
New-AzResourceGroup @rg

Crie uma rede virtual com New-AzVirtualNetwork. O exemplo a seguir cria uma rede virtual chamada vnet-1 com o prefixo de endereço 10.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Crie uma configuração de sub-rede com New-AzVirtualNetworkSubnetConfig e grave a configuração de sub-rede na rede virtual com Set-AzVirtualNetwork. O exemplo a seguir adiciona uma sub-rede chamada subnet-1 à rede virtual e cria o ponto de extremidade de serviço para Microsoft.Storage.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

Antes de criar uma rede virtual, será necessário criar um grupo de recursos para a rede virtual e todos os outros recursos criados neste artigo. Crie um grupo de recursos com az group create. O exemplo a seguir cria um grupo de recursos chamado test-rg na localização westus2.

az group create \
  --name test-rg \
  --location westus2

Crie uma rede virtual com uma sub-rede com az network vnet create.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefix 10.0.0.0/16 \
  --subnet-name subnet-1 \
  --subnet-prefix 10.0.0.0/24

Neste exemplo, um ponto de extremidade de serviço para Microsoft.Storage é criado para a sub-rede subnet-1:

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24 \
  --service-endpoints Microsoft.Storage

1. Na caixa de pesquisa no portal, insira Grupos de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.

2. Selecione + Criar para criar um grupo de segurança de rede.

3. Na guia Informações básicas de Criar grupo de segurança de rede, insira ou selecione as seguintes informações.

   Configuração	Valor
   Detalhes do projeto
   Subscription	Selecione sua assinatura.
   Resource group	Selecione test-rg.
   Nome	Insira nsg-1.
   Region	Selecione Oeste dos EUA 2.

4. Selecione Examinar + criar.

5. Selecione Criar.

Criar regras do grupo de segurança de rede

1. Na caixa de pesquisa no portal, insira Grupos de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.

2. Selecione nsg-1.

3. Expanda Configurações. Selecione Regras de segurança de saída.

4. Selecione + Adicionar para adicionar uma nova regra de segurança de saída.

5. Em Adicionar regra de segurança de saída, insira ou selecione as informações a seguir.

   Configuração	Valor
   Fonte	selecione Marca de Serviço.
   Marca de serviço de origem	Selecione VirtualNetwork.
   Intervalos de portas de origem	Digite *.
   Destino	selecione Marca de Serviço.
   Marca de serviço de destino	Selecione Armazenamento.
   Serviço	selecione Personalizado.
   Intervalos de portas de destino	Digite *.
   Protocolo	Selecione Qualquer.
   Ação	selecione Permitir.
   Prioridade	Insira 100.
   Nome	Insira allow-storage-all.

6. Selecione Adicionar.

7. Selecione + Adicionar para adicionar outra regra de segurança de saída.

8. Em Adicionar regra de segurança de saída, insira ou selecione as informações a seguir.

   Configuração	Valor
   Fonte	selecione Marca de Serviço.
   Marca de serviço de origem	Selecione VirtualNetwork.
   Intervalos de portas de origem	Digite *.
   Destino	selecione Marca de Serviço.
   Marca de serviço de destino	selecione Internet.
   Serviço	selecione Personalizado.
   Intervalos de portas de destino	Digite *.
   Protocolo	Selecione Qualquer.
   Ação	Selecione Negar.
   Prioridade	Insira 110.
   Nome	Insira deny-internet-all.

9. Selecione Adicionar.

10. Expanda Configurações. Selecione sub-redes.

11. Selecione Associar.

12. Em Associar sub-rede, insira ou selecione as seguintes informações.

    Configuração	Valor
    Rede virtual	Selecione vnet-1 (test-rg).
    Sub-rede	Selecione sub-rede-1.

13. Selecione OK.

Crie regras de segurança de grupo de segurança de rede com New-AzNetworkSecurityRuleConfig. A seguinte regra permite o acesso de saída para os endereços IP públicos atribuídos ao serviço de Armazenamento do Microsoft Azure:

$r1 = @{
    Name = "Allow-Storage-All"
    Access = "Allow"
    DestinationAddressPrefix = "Storage"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 100
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule1 = New-AzNetworkSecurityRuleConfig @r1

A regra a seguir nega acesso a todos os endereços IP públicos. A regra anterior substitui essa regra, devido à sua prioridade mais alta, o que permite acesso aos endereços IP públicos do Armazenamento do Microsoft Azure.

$r2 = @{
    Name = "Deny-Internet-All"
    Access = "Deny"
    DestinationAddressPrefix = "Internet"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 110
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule2 = New-AzNetworkSecurityRuleConfig @r2

Crie um grupo de segurança de rede com New-AzNetworkSecurityGroup. O exemplo a seguir cria um grupo de segurança de rede chamado nsg-1.

$securityRules = @($rule1, $rule2)

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
    SecurityRules = $securityRules
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Associe o grupo de segurança de rede para a sub-rede subnet-1 com Set-AzVirtualNetworkSubnetConfig e grave a configuração da sub-rede para a rede virtual. O exemplo a seguir associa o grupo de segurança de rede nsg-1 à sub-rede subnet-1:

$subnetConfig = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
    NetworkSecurityGroup = $nsg
}
Set-AzVirtualNetworkSubnetConfig @subnetConfig

$virtualNetwork | Set-AzVirtualNetwork

Crie um grupo de segurança de rede com az network nsg create. O exemplo a seguir cria um grupo de segurança de rede chamado nsg-1.

az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Associe o grupo de segurança de rede à sub-rede subnet-1 com az network vnet subnet update. O exemplo a seguir associa o grupo de segurança de rede nsg-1 à sub-rede subnet-1:

az network vnet subnet update \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --resource-group test-rg \
  --network-security-group nsg-1

Crie regras de segurança com az network nsg rule create. A regra que segue permite o acesso de saída para os endereços IP públicos atribuídos ao serviço de Armazenamento do Microsoft Azure:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Storage-All \
  --access Allow \
  --protocol "*" \
  --direction Outbound \
  --priority 100 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Storage" \
  --destination-port-range "*"

Cada grupo de segurança de rede contém várias regras de segurança padrão. A regra a seguir substitui uma regra de segurança padrão que permite o acesso de saída a todos os endereços IP públicos. A opção destination-address-prefix "Internet" nega o acesso de saída a todos os endereços IP públicos. A regra anterior substitui essa regra, devido à sua prioridade mais alta, o que permite acesso aos endereços IP públicos do Armazenamento do Microsoft Azure.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Deny-Internet-All \
  --access Deny \
  --protocol "*" \
  --direction Outbound \
  --priority 110 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Internet" \
  --destination-port-range "*"

1. Na caixa de pesquisa no portal, insira Contas de armazenamento. Selecione Contas de Armazenamento nos resultados da pesquisa.

2. Selecione + Criar para criar uma conta de armazenamento.

3. Em Criar uma conta de armazenamento, insira ou selecione as seguintes informações.

   Configuração	Valor
   Detalhes do projeto
   Subscription	Selecione sua assinatura.
   Resource group	Selecione test-rg.
   Detalhes da instância
   Nome da conta de armazenamento	Insira allowedaccount(número-aleatório). Observação: o nome da conta de armazenamento deve ser exclusivo. Adicione um número aleatório ao final do nome allowedaccount.
   Region	Selecione Oeste dos EUA 2.
   Desempenho	Selecione Padrão.
   Redundância	Selecione LRS (armazenamento com redundância local).

4. Clique em Avançar até alcançar a guia Proteção de dados.

5. Em Recuperação, desmarque todas as opções.

6. Selecione Examinar + criar.

7. Selecione Criar.

8. Repita as etapas anteriores para criar outra conta de armazenamento com as seguintes informações.

   Configuração	Valor
   Nome da conta de armazenamento	Insira deniedaccount(número-aleatório).

Crie a conta de armazenamento do Azure permitida com New-AzStorageAccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'allowedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Use o mesmo comando para criar a conta de armazenamento do Azure negada, mas altere o nome para deniedaccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'deniedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Crie duas contas de armazenamento do Azure com az storage account create.

storageAcctName1="allowedaccount"

az storage account create \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Use o mesmo comando para criar a conta de armazenamento do Azure negada, mas altere o nome para deniedaccount.

storageAcctName2="deniedaccount"

az storage account create \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

1. Na caixa de pesquisa no portal, insira Contas de armazenamento. Selecione Contas de Armazenamento nos resultados da pesquisa.

2. Selecione allowedaccount(número-aleatório).

3. Expanda a seção Armazenamento de dados e selecione Compartilhamentos de arquivos.

4. Selecione +Compartilhamento de arquivos.

5. Em Novo compartilhamento de arquivo, insira ou selecione as informações a seguir.

   Configuração	Valor
   Nome	Insira compartilhamento de arquivo.

6. Deixe o restante das configurações como padrão e selecione Revisar + criar.

7. Selecione Criar.

8. Repita as etapas anteriores para criar um compartilhamento de arquivo em deniedaccount(número-aleatório).

Crie um compartilhamento de arquivo da conta de armazenamento permitida

Use Get-AzStorageAccountKey para obter a chave da conta de armazenamento permitida. Você usará essa chave na próxima etapa para criar um compartilhamento de arquivo na conta de armazenamento permitida.

$storageAcctName1 = "allowedaccount"
$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName1
}
$storageAcctKey1 = (Get-AzStorageAccountKey @storageAcctParams1).Value[0]

Crie um contexto para sua conta de armazenamento e chave com New-AzStorageContext. O contexto encapsula a conta de armazenamento e a chave da conta.

$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1

Crie um compartilhamento de arquivo com New-AzStorageShare.

$share1 = New-AzStorageShare file-share -Context $storageContext1

Crie um compartilhamento de arquivo da conta de armazenamento negada

Use Get-AzStorageAccountKey para obter a chave da conta de armazenamento permitida. Você usará essa chave na próxima etapa para criar um compartilhamento de arquivo na conta de armazenamento negada.

$storageAcctName2 = "deniedaccount"
$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName2
}
$storageAcctKey2 = (Get-AzStorageAccountKey @storageAcctParams2).Value[0]

Crie um contexto para sua conta de armazenamento e chave com New-AzStorageContext. O contexto encapsula a conta de armazenamento e a chave da conta.

$storageContext2= New-AzStorageContext $storageAcctName2 $storageAcctKey2

Crie um compartilhamento de arquivo com New-AzStorageShare.

$share2 = New-AzStorageShare file-share -Context $storageContext2

Crie um compartilhamento de arquivo da conta de armazenamento permitida

Recupere a cadeia de conexão para as contas de armazenamento em uma variável com az storage account show-connection-string. A cadeia de conexão é usada para criar um compartilhamento de arquivos em uma etapa posterior.

saConnectionString1=$(az storage account show-connection-string \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Crie um compartilhamento de arquivos na conta de armazenamento com az storage share create. Em uma etapa posterior, esse compartilhamento de arquivos é montado para confirmar o acesso à rede para ele.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString1 > /dev/null

Crie um compartilhamento de arquivo da conta de armazenamento negada

Recupere a cadeia de conexão para as contas de armazenamento em uma variável com az storage account show-connection-string. A cadeia de conexão é usada para criar um compartilhamento de arquivos em uma etapa posterior.

saConnectionString2=$(az storage account show-connection-string \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Crie um compartilhamento de arquivos na conta de armazenamento com az storage share create. Em uma etapa posterior, esse compartilhamento de arquivos é montado para confirmar o acesso à rede para ele.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString2 > /dev/null

1. Na caixa de pesquisa no portal, insira Contas de armazenamento. Selecione Contas de Armazenamento nos resultados da pesquisa.

2. Selecione allowedaccount(número-aleatório).

3. Expanda Segurança + rede e selecione Rede.

4. Em Firewalls e redes virtuais, em Acesso à rede pública, selecione Habilitado em redes virtuais e endereços IP selecionados.

5. Em Redes virtuais, selecione + Adicionar rede virtual existente.

6. Em Adicionar redes, insira ou selecione as informações a seguir.

   Configuração	Valor
   Subscription	Selecione sua assinatura.
   Redes virtuais	Selecione vnet-1.
   Sub-redes	Selecione sub-rede-1.

7. Selecione Adicionar.

8. Clique em Salvar.

9. Repita as etapas anteriores para negar o acesso à rede para deniedaccount(número-aleatório).

Use Update-AzStorageAccountNetworkRuleSet para negar o acesso às contas de armazenamento, exceto pela sub-rede e rede virtual que você criou anteriormente. Depois que o acesso à rede for negado, a conta de armazenamento não estará acessível em nenhuma rede.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams1

$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams2

Habilitar o acesso à rede somente da sub-rede da rede virtual

Recupere a rede virtual criada com Get-AzVirtualNetwork e recupere o objeto da sub-rede privada em uma variável com Get-AzVirtualNetworkSubnetConfig:

$privateSubnetParams = @{
    ResourceGroupName = "test-rg"
    Name = "vnet-1"
}
$privateSubnet = Get-AzVirtualNetwork @privateSubnetParams | Get-AzVirtualNetworkSubnetConfig -Name "subnet-1"

Permita o acesso à rede para a conta de armazenamento pela sub-rede subnet-1 com Add-AzStorageAccountNetworkRule.

$networkRuleParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams1

$networkRuleParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams2

Por padrão, as contas de armazenamento aceitam conexões de clientes em qualquer rede. Para limitar o acesso às redes selecionadas, altere a ação padrão para Negar com az storage account update. Depois que o acesso à rede for negado, a conta de armazenamento não estará acessível em nenhuma rede.

az storage account update \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --default-action Deny

az storage account update \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --default-action Deny

Habilitar o acesso à rede somente da sub-rede da rede virtual

Permita o acesso à rede para a conta de armazenamento da sub-rede subnet-1 com az storage account network-rule add.

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName1 \
  --vnet-name vnet-1 \
  --subnet subnet-1

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName2 \
  --vnet-name vnet-1 \
  --subnet subnet-1

1. Na caixa de pesquisa no portal, insira Política de ponto de extremidade de serviço. Selecione Políticas de ponto de extremidade de serviço nos resultados da pesquisa.

2. Selecione + Criar para criar uma política de ponto de extremidade de serviço.

3. Insira ou selecione as seguintes informações na guia Informações básicas de Criar uma política de ponto de extremidade de serviço.

   Configuração	Valor
   Detalhes do projeto
   Subscription	Selecione sua assinatura.
   Resource group	Selecione test-rg.
   Detalhes da instância
   Nome	Insira service-endpoint-policy.
   Localidade	Selecione Oeste dos EUA 2.

4. Selecione Avançar: definições de política.

5. Selecione + Adicionar um recurso em Recursos.

6. Em Adicionar um recurso, Insira ou selecione as informações a seguir:

   Configuração	Valor
   Serviço	Selecione Microsoft.Storage.
   Escopo	Selecione Conta única
   Assinatura	Selecione sua assinatura.
   Resource group	Selecione test-rg.
   Recurso	Selecione allowedaccount(número-aleatório)

7. Selecione Adicionar.

8. Selecione Examinar + criar.

9. Selecione Criar.

Para recuperar a ID do recurso para a primeira conta de armazenamento (permitida), use Get-AzStorageAccount.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
}
$resourceId = (Get-AzStorageAccount @storageAcctParams1).id

Para criar a definição de política para permitir o recurso anterior, use New-AzServiceEndpointPolicyDefinition.

$policyDefinitionParams = @{
    Name = "policy-definition"
    Description = "Service Endpoint Policy Definition"
    Service = "Microsoft.Storage"
    ServiceResource = $resourceId
}
$policyDefinition = New-AzServiceEndpointPolicyDefinition @policyDefinitionParams

Use New-AzServiceEndpointPolicy para criar a política de ponto de extremidade de serviço com a definição de política.

$sepolicyParams = @{
    ResourceGroupName = "test-rg"
    Name = "service-endpoint-policy"
    Location = "westus2"
    ServiceEndpointPolicyDefinition = $policyDefinition
}
$sepolicy = New-AzServiceEndpointPolicy @sepolicyParams

As políticas de ponto de extremidade de serviço são aplicadas em pontos de extremidades de serviço. Comece criando uma política de ponto de extremidade de serviço. Em seguida, crie as definições de política nessa política para que as contas do Armazenamento do Azure sejam aprovadas para essa sub-rede

Use az storage account show para recuperar o ID do recurso da conta de armazenamento que é permitida.

serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)

Criar uma política de ponto de extremidade de serviço

az network service-endpoint policy create \
  --resource-group test-rg \
  --name service-endpoint-policy \
  --location westus2

Crie e adicione uma definição de política para permitir a conta do Armazenamento do Azure anterior na política de ponto de extremidade de serviço

az network service-endpoint policy-definition create \
  --resource-group test-rg \
  --policy-name service-endpoint-policy \
  --name policy-definition \
  --service "Microsoft.Storage" \
  --service-resources $serviceResourceId

1. Na caixa de pesquisa no portal, insira Política de ponto de extremidade de serviço. Selecione Políticas de ponto de extremidade de serviço nos resultados da pesquisa.

2. Selecione service-endpoint-policy.

3. Expanda Configurações e selecione Sub-redes associadas.

4. Selecione + Editar associação de sub-rede.

5. Em Editar associação de sub-rede, selecione vnet-1 e subnet-1.

6. Escolha Aplicar.

Use Set-AzVirtualNetworkSubnetConfig para associar a política de ponto de extremidade de serviço à sub-rede.

$subnetConfigParams = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    NetworkSecurityGroup = $nsg
    ServiceEndpoint = "Microsoft.Storage"
    ServiceEndpointPolicy = $sepolicy
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

$virtualNetwork | Set-AzVirtualNetwork

Use az network vnet subnet update para associar a política de ponto de extremidade de serviço à sub-rede.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --service-endpoints Microsoft.Storage \
  --service-endpoint-policy service-endpoint-policy

1. Na caixa de pesquisa no portal, insira Máquinas Virtuais. Selecione Máquinas virtuais nos resultados da pesquisa.

2. Na guia Informações Básicas em Criar uma máquina virtual, insira ou selecione as seguintes informações:

   Configuração	Valor
   Detalhes do projeto
   Subscription	Selecione sua assinatura.
   Resource group	Selecione test-rg.
   Detalhes da instância
   Nome da máquina virtual	Insira vm-1.
   Região	Selecione (EUA) Oeste dos EUA 2.
   Opções de disponibilidade	Selecione Nenhuma redundância de infraestrutura necessária.
   Tipo de segurança	Selecione Padrão.
   Imagem	Selecione Windows Server 2022 Datacenter – x64 Gen2.
   Tamanho	Selecione um tamanho.
   Conta de administrador
   Nome de Usuário	Digite um nome de usuário.
   Senha	Digite uma senha.
   Confirmar senha	Digite a senha novamente.
   Regras de porta de entrada

3. Selecione Avançar: Discos e Avançar: Rede.

4. Na guia Rede, insira ou selecione as seguintes informações.

   Configuração	Valor
   Interface de rede
   Rede virtual	Selecione vnet-1.
   Sub-rede	Selecione sub-rede-1 (10.0.0.0/24).
   IP público	Selecione Nenhum.
   Grupo de segurança de rede da NIC	Selecione Nenhum.

5. Deixe o restante das configurações como padrão e selecione Revisar + Criar.

6. Selecione Criar.

Crie uma máquina virtual na sub-rede subnet-1 com New-AzVM. Ao executar o comando a seguir, as credenciais serão solicitadas. Os valores que você inseriu são configurados como o nome de usuário e senha para a VM.

$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    Name = "vm-1"
}
New-AzVm @vmParams

Crie uma VM na sub-rede subnet-1 com az vm create.

az vm create \
  --resource-group test-rg \
  --name vm-1 \
  --image Win2022Datacenter \
  --admin-username azureuser \
  --vnet-name vnet-1 \
  --subnet subnet-1

Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.

1. No portal do Azure, procure por Grupos de recursos e selecione essa opção.

2. Na página Grupos de recursos, selecione o grupo de recursos test-rg.

3. Na página test-rg, selecione Excluir grupo de recursos .

4. Insira test-rg em Inserir o nome do grupo de recursos para confirmar a exclusão e, em seguida, selecione Excluir.

Quando não for mais necessário, você poderá usar Remove-AzResourceGroup para remover o grupo de recursos e todos os recursos que ele contém:

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

Quando não for mais necessário, use az group delete para remover o grupo de recursos e todos os recursos que ele contém.

az group delete \
    --name test-rg \
    --yes \
    --no-wait