Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma

Azure Depolama, çok katmanlı bir güvenlik modeline sahiptir. Bu model, kullandığınız ağ veya kaynakların türüne ve alt kümesine dayalı olarak, uygulamalarınızın ve kuruluş ortamlarınızdaki depolama hesaplarınıza erişim düzeyini denetlemenize olanak tanır.

Ağ kurallarını yapılandırdığınızda, yalnızca belirtilen ağ kümesi üzerinden veya belirtilen Azure kaynakları üzerinden veri isteyen uygulamalar bir depolama hesabına erişebilir. Depolama hesabınıza erişimi belirtilen IP adreslerinden, IP aralıklarından, Bir Azure sanal ağındaki alt ağlardan veya bazı Azure hizmetlerinin kaynak örneklerinden gelen isteklerle sınırlayabilirsiniz.

Depolama hesaplarının İnternet üzerinden erişilebilen bir genel uç noktası vardır. Depolama hesabınız için özel uç noktalar da oluşturabilirsiniz. Özel uç noktalar oluşturmak, sanal ağınızdan depolama hesabına bir özel IP adresi atar. Özel bir bağlantı üzerinden sanal ağınızla depolama hesabınız arasındaki trafiğin güvenliğini sağlar.

Azure Depolama güvenlik duvarı, depolama hesabınızın genel uç noktası için erişim denetimi sağlar. Özel uç noktaları kullanırken genel uç nokta üzerinden tüm erişimi engellemek için güvenlik duvarını da kullanabilirsiniz. Güvenlik duvarı yapılandırmanız, güvenilen Azure platform hizmetlerinin depolama hesabına erişmesini de sağlar.

Ağ kuralları etkin olduğunda depolama hesabına erişen bir uygulama, istek için uygun yetkilendirmeyi gerektirir. Yetkilendirme, bloblar, tablolar, dosya paylaşımları ve kuyruklar için Microsoft Entra kimlik bilgileriyle, geçerli bir hesap erişim anahtarıyla veya paylaşılan erişim imzası (SAS) belirteci ile desteklenir. Blob kapsayıcısını anonim erişim için yapılandırdığınızda, bu kapsayıcıdaki verileri okuma isteklerinin yetkilendirilmiş olması gerekmez. Güvenlik duvarı kuralları etkin kalır ve anonim trafiği engeller.

Depolama hesabınız için güvenlik duvarı kurallarının açılması, istekler bir Azure sanal ağı içinde çalışan bir hizmetten veya izin verilen genel IP adreslerinden gelmediği sürece gelen veri isteklerini varsayılan olarak engeller. Engellenen istekler arasında diğer Azure hizmetlerinden, Azure portalından ve günlük ve ölçüm hizmetlerinden gelen istekler bulunur.

Hizmet örneğini barındıran alt ağdan gelen trafiğe izin vererek bir sanal ağ içinden çalışan Azure hizmetlerine erişim vekleyebilirsiniz. Ayrıca, bu makalede açıklanan özel durumlar mekanizması aracılığıyla sınırlı sayıda senaryoyu etkinleştirebilirsiniz. Azure portalı üzerinden depolama hesabından verilere erişmek için, ayarladığınız güvenilen sınır (IP veya sanal ağ) içindeki bir makinede olmanız gerekir.

Senaryolar

Depolama hesabınızın güvenliğini sağlamak için, önce varsayılan olarak genel uç nokta üzerindeki tüm ağlardan (İnternet trafiği dahil) gelen trafiğe erişimi reddedecek bir kural yapılandırmanız gerekir. Ardından, belirli sanal ağlardan gelen trafiğe erişim izni veren kurallar yapılandırmanız gerekir. Ayrıca, belirli genel İnternet IP adresi aralıklarından gelen trafiğe erişim izni vermek için kurallar yapılandırarak belirli İnternet veya şirket içi istemcilerden gelen bağlantıları etkinleştirebilirsiniz. Bu yapılandırma, uygulamalarınız için güvenli bir ağ sınırı oluşturmanıza yardımcı olur.

Belirli sanal ağlardan ve genel IP adresi aralıklarından aynı depolama hesabından erişime izin veren güvenlik duvarı kurallarını birleştirebilirsiniz. Mevcut depolama hesaplarına veya yeni depolama hesapları oluşturduğunuzda depolama güvenlik duvarı kuralları uygulayabilirsiniz.

Depolama güvenlik duvarı kuralları, depolama hesabının genel uç noktasına uygulanır. Depolama hesabının özel uç noktaları için trafiğe izin vermek için herhangi bir güvenlik duvarı erişim kuralına ihtiyacınız yoktur. Özel uç noktanın oluşturulmasını onaylama işlemi, özel uç noktayı barındıran alt ağdan gelen trafiğe örtük erişim verir.

Azure Depolama'ya ağ erişimini yapılandırma

Depolama hesabınızdaki verilere erişimi ağ uç noktaları üzerinden veya aşağıdakiler dahil olmak üzere herhangi bir birleşimde güvenilen hizmetler veya kaynaklar aracılığıyla denetleyebilirsiniz:

• Özel uç noktalarını kullanarak seçili sanal ağ alt ağlarından erişime izin verin.
• Hizmet uç noktalarını kullanarak seçili sanal ağ alt ağlarından erişime izin verin.
• Belirli genel IP adreslerinden veya aralıklarından erişime izin verin.
• Seçili Azure kaynak örneklerinden erişime izin verin.
• Güvenilen Azure hizmetlerinden erişime izin verin (Özel durumları yönet'i kullanarak).
• Günlük ve ölçüm hizmetleri için özel durumları yapılandırın.

Sanal ağ uç noktaları hakkında

Depolama hesapları için iki tür sanal ağ uç noktası vardır:

• Sanal ağ hizmet uç noktaları
• Özel uç noktalar

Sanal ağ hizmet uç noktaları geneldir ve İnternet üzerinden erişilebilir. Azure Depolama güvenlik duvarı, bu tür genel uç noktalar üzerinden depolama hesabınıza erişimi denetleme olanağı sağlar. Depolama hesabınıza genel ağ erişimini etkinleştirdiğinizde, tüm gelen veri istekleri varsayılan olarak engellenir. Yalnızca depolama hesabı güvenlik duvarı ayarlarınızda yapılandırdığınız izin verilen kaynaklardan veri isteyen uygulamalar verilerinize erişebilir. Kaynaklar, bir istemcinin kaynak IP adresini veya sanal ağ alt ağını ya da istemcilerin veya hizmetlerin verilerinize erişebildiği bir Azure hizmetini veya kaynak örneğini içerebilir. Engellenen istekler, güvenlik duvarı yapılandırmanızda erişime açıkça izin vermediğiniz sürece diğer Azure hizmetlerinden, Azure portalından ve günlük ve ölçüm hizmetlerinden gelen istekleri içerir.

Özel uç nokta, Microsoft omurga ağı üzerinden bir depolama hesabına erişmek için sanal ağınızdan bir özel IP adresi kullanır. Özel uç nokta ile sanal ağınız ile depolama hesabınız arasındaki trafik özel bir bağlantı üzerinden güvenli hale getirilir. Depolama güvenlik duvarı kuralları, özel uç noktalara değil yalnızca depolama hesabının genel uç noktalarına uygulanır. Özel uç noktanın oluşturulmasını onaylama işlemi, özel uç noktayı barındıran alt ağdan gelen trafiğe örtük erişim verir. Erişim kurallarını daraltmak istiyorsanız özel uç noktalar üzerindeki trafiği denetlemek için Ağ İlkeleri'ni kullanabilirsiniz. Özel uç noktaları özel olarak kullanmak istiyorsanız, genel uç nokta üzerinden tüm erişimi engellemek için güvenlik duvarını kullanabilirsiniz.

Ortamınızdaki her uç nokta türünü ne zaman kullanacağınıza karar vermenize yardımcı olması için bkz . Özel Uç Noktaları ve Hizmet Uç Noktalarını Karşılaştırma.

Depolama hesabınız için ağ güvenliğine yaklaşma

Depolama hesabınızın güvenliğini sağlamak ve uygulamalarınız için güvenli bir ağ sınırı oluşturmak için:

1. Depolama hesabı güvenlik duvarındaki Genel ağ erişimi ayarı altında depolama hesabı için tüm genel ağ erişimini devre dışı bırakarak başlayın.

2. Mümkün olduğunda, istemcilerin bulunduğu ve verilerinize erişim gerektiren sanal ağ alt ağlarında özel uç noktalardan depolama hesabınıza özel bağlantılar yapılandırın.

3. İstemci uygulamaları genel uç noktalar üzerinden erişim gerektiriyorsa, Genel ağ erişimi ayarını Seçili sanal ağlardan ve IP adreslerinden etkin olarak değiştirin. Ardından, gerektiği gibi:

   1. Erişime izin vermek istediğiniz sanal ağ alt ağlarını belirtin.
   2. Şirket içi ağlar gibi erişime izin vermek istediğiniz istemcilerin genel IP adresi aralıklarını belirtin.
   3. Seçili Azure kaynak örneklerinden erişime izin verin.
   4. Verileri yedekleme gibi işlemler için gereken güvenilen hizmetlerden erişime izin vermek için özel durumlar ekleyin.
   5. Günlüğe kaydetme ve ölçümler için özel durumlar ekleyin.

Ağ kurallarını uyguladıktan sonra, bunlar tüm istekler için zorlanır. Belirli bir IP adresine erişim veren SAS belirteçleri, belirteç sahibinin erişimini sınırlamaya hizmet eder, ancak yapılandırılmış ağ kurallarının ötesinde yeni erişim vermez.

ağ güvenlik çevresi (önizleme)

ağ güvenlik çevresi (önizleme), kuruluşların sanal ağlarının dışına dağıtılan PaaS kaynakları (örneğin, Azure Blob Depolama ve SQL Veritabanı) için bir mantıksal ağ yalıtım sınırı tanımlamasına olanak tanır. Bu özellik, çevre dışındaki PaaS kaynaklarına genel ağ erişimini kısıtlar. Ancak, genel gelen ve giden trafik için açık erişim kurallarını kullanarak erişimi muaf tutabilirsiniz. Tasarım gereği, bir ağ güvenlik çevresinin içinden bir depolama hesabına erişim, diğer ağ erişim kısıtlamalarına göre en yüksek önceliği alır.

Şu anda ağ güvenlik çevresi Azure Blobları, Azure Dosyalar (REST), Azure Tabloları ve Azure Kuyrukları için genel önizleme aşamasındadır. Bkz. Ağ güvenlik çevresine geçiş.

Ağ güvenlik çevresine eklenen hizmetlerin listesi burada bulunabilir.

Henüz ağ güvenlik çevresine eklenmediği için bu listede olmayan hizmetler için erişime izin vermek istiyorsanız, ağ güvenlik çevresinde abonelik tabanlı bir kural kullanabilirsiniz. Bu abonelik içindeki tüm kaynaklara bu ağ güvenlik çevresine erişim verilir. Abonelik tabanlı erişim kuralı ekleme hakkında daha fazla bilgi için buraya bakın.

Sınırlamalar

Bu önizleme, bir depolama hesabında aşağıdaki hizmetleri, işlemleri ve protokolleri desteklemez:

• Azure Blob Depolama için nesne çoğaltma
• Azure Blob Depolama için yaşam döngüsü yönetimi
• Azure Blob Depolama üzerinden SSH Dosya aktarım protokolü (SFTP)
• Azure Blob Depolama ve Azure Dosyalar ile ağ dosya sistemi (NFS) protokolü.
• Azure Dosyalar içeren sunucu ileti bloğu (SMB) protokolü şu anda yalnızca IP izin verilenler listesi aracılığıyla gerçekleştirilebilir.
• Azure Blob Envanteri

Bu hizmetlerden, işlemlerden veya protokollerden herhangi birini kullanmanız gerekiyorsa ağ güvenlik çevresini etkinleştirmenizi öneririz. Bu, olası veri kaybını veya veri sızdırma riskini önlemektir.

Ağ güvenlik çevresini depolama hesabıyla ilişkilendirme

Bir ağ güvenlik çevresini bir depolama hesabıyla ilişkilendirmek için, tüm PaaS kaynakları için bu yaygın yönergeleri izleyin.

Kısıtlamalar ve dikkat edilmesi gerekenler

Depolama hesaplarınız için ağ güvenliğini uygulamadan önce, bu bölümde ele alınan önemli kısıtlamaları ve dikkat edilmesi gerekenleri gözden geçirin.

Yetkilendirme

Ağ kuralları aracılığıyla erişim verilen istemcilerin verilere erişmek için depolama hesabının yetkilendirme gereksinimlerini karşılamaya devam etmesi gerekir. Yetkilendirme, bloblar ve kuyruklar için Microsoft Entra kimlik bilgileriyle, geçerli bir hesap erişim anahtarıyla veya paylaşılan erişim imzası (SAS) belirteci ile desteklenir.

Anonim genel erişim için bir blob kapsayıcısı yapılandırdığınızda, bu kapsayıcıdaki verileri okuma isteklerinin yetkilendirilmesine gerek yoktur, ancak güvenlik duvarı kuralları geçerli kalır ve anonim trafiği engeller.

Varsayılan ağ erişim kuralını değiştirme

Varsayılan olarak, depolama hesapları herhangi bir ağ üzerindeki istemcilerden gelen bağlantıları kabul eder. Seçili ağlara erişimi sınırlayabilir veya tüm ağlardan gelen trafiği engelleyebilir ve yalnızca özel bir uç nokta üzerinden erişime izin vekleyebilirsiniz.

Varsayılan kuralı reddetmek için ayarlamanız gerekir, aksi zaman ağ kurallarının hiçbir etkisi yoktur. Ancak bu ayarı değiştirmek, uygulamanızın Azure Depolama'ya bağlanma becerisini etkileyebilir. Bu ayarı değiştirmeden önce izin verilen tüm ağlara erişim izni verdiğinizden veya özel uç nokta üzerinden erişim ayarladığınızdan emin olun.

Sanal ağdan erişim izni verin

Depolama hesaplarını yalnızca belirli alt ağlardan erişime izin verecek şekilde yapılandırabilirsiniz. İzin verilen alt ağlar, farklı bir Microsoft Entra kiracısına ait olanlar da dahil olmak üzere aynı abonelikteki veya farklı bir abonelikteki bir sanal ağa ait olabilir. Bölgeler arası hizmet uç noktalarıyla, izin verilen alt ağlar depolama hesabından farklı bölgelerde de olabilir.

Sanal ağ içinde Azure Depolama için bir hizmet uç noktasını etkinleştirebilirsiniz. Hizmet uç noktası, trafiği sanal ağdan Azure Depolama hizmetine en uygun yol üzerinden yönlendirir. Her istekle birlikte alt ağın ve sanal ağın kimlikleri de iletilir. Yöneticiler daha sonra bir sanal ağdaki belirli alt ağlardan isteklerin alınmasına izin veren depolama hesabı için ağ kurallarını yapılandırabilir. Bu ağ kuralları aracılığıyla erişim verilen istemcilerin verilere erişmek için depolama hesabının yetkilendirme gereksinimlerini karşılamaya devam etmesi gerekir.

Her depolama hesabı en fazla 400 sanal ağ kuralını destekler. Bu kuralları IP ağ kurallarıyla birleştirebilirsiniz.

Gerekli izinler

Depolama hesabına sanal ağ kuralı uygulamak için, kullanıcının eklenen alt ağlar için uygun izinlere sahip olması gerekir. Depolama Hesabı Katkıda Bulunanı veya Azure kaynak sağlayıcısı işlemine Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action izni olan bir kullanıcı, özel bir Azure rolü kullanarak bir kural uygulayabilir.

Depolama hesabı ve erişim elde eden sanal ağlar, farklı bir Microsoft Entra kiracısının parçası olan abonelikler de dahil olmak üzere farklı aboneliklerde olabilir.

Farklı bir Microsoft Entra kiracısının parçası olan sanal ağlardaki alt ağlara erişim izni veren kuralların yapılandırılması şu anda yalnızca PowerShell, Azure CLI ve REST API'leri aracılığıyla desteklenmektedir. Bu tür kuralları Azure portalı üzerinden yapılandıramazsınız, ancak bunları portalda görüntüleyebilirsiniz.

Azure Depolama bölgeler arası hizmet uç noktaları

Azure Depolama için bölgeler arası hizmet uç noktaları Nisan 2023'te genel kullanıma sunuldu. Sanal ağlar ve herhangi bir bölgedeki depolama hizmeti örnekleri arasında çalışır. Bölgeler arası hizmet uç noktalarıyla alt ağlar artık başka bir bölgedekiler de dahil olmak üzere herhangi bir depolama hesabıyla iletişim kurmak için genel IP adresi kullanmaz. Bunun yerine, alt ağlardan depolama hesaplarına gelen tüm trafik, kaynak IP olarak özel bir IP adresi kullanır. Sonuç olarak, bu alt ağlardan gelen trafiğe izin vermek için IP ağ kurallarını kullanan depolama hesaplarının artık bir etkisi olmaz.

Sanal ağlar ve hizmet örnekleri arasında hizmet uç noktalarının eşleştirilmiş bir bölgede yapılandırılması olağanüstü durum kurtarma planınızın önemli bir parçası olabilir. Hizmet uç noktaları bölgesel yük devretme sırasında sürekliliğe ve salt okunur coğrafi olarak yedekli depolama (RA-GRS) örneklerine erişim sağlar. Bir sanal ağdan depolama hesabına erişim izni veren ağ kuralları da herhangi bir RA-GRS örneğine erişim verir.

Bölgesel bir kesinti sırasında olağanüstü durum kurtarmayı planlarken, eşleştirilmiş bölgede önceden sanal ağları oluşturun. Bu alternatif sanal ağlardan erişim veren ağ kurallarıyla Azure Depolama için hizmet uç noktalarını etkinleştirin. Ardından bu kuralları coğrafi olarak yedekli depolama hesaplarınıza uygulayın.

Yerel ve bölgeler arası hizmet uç noktaları aynı alt ağda bir arada olamaz. Mevcut hizmet uç noktalarını bölgeler arası uç noktalarla değiştirmek için mevcut Microsoft.Storage uç noktaları silin ve bölgeler arası uç noktalar (Microsoft.Storage.Global olarak) yeniden oluşturun.

Sanal ağ ve erişim kurallarını yönetme

Azure portalı, PowerShell veya Azure CLI v2 aracılığıyla depolama hesapları için sanal ağı ve erişim kurallarını yönetebilirsiniz.

Depolama hesabınıza başka bir Microsoft Entra kiracısında bulunan bir sanal ağdan veya alt ağdan erişimi etkinleştirmek istiyorsanız PowerShell veya Azure CLI kullanmanız gerekir. Azure portalı diğer Microsoft Entra kiracılarında alt ağları göstermez.

İnternet IP aralığından erişim izni verme

IP ağ kuralları oluşturarak belirli genel İnternet IP adresi aralıklarından erişime izin vermek için IP ağ kurallarını kullanabilirsiniz. Her depolama hesabı en fazla 400 kuralı destekler. Bu kurallar belirli İnternet tabanlı hizmetlere ve şirket içi ağlara erişim verir ve genel İnternet trafiğini engeller.

IP ağ kuralları için kısıtlamalar

IP adresi aralıkları için aşağıdaki kısıtlamalar geçerlidir:

• IP ağ kurallarına yalnızca genel İnternet IP adresleri için izin verilir.

  IP kurallarında özel ağlar için ayrılmış IP adresi aralıklarına (RFC 1918'de tanımlandığı gibi) izin verilmez. Özel ağlar 10, 172.16 ile 172.31 ve 192.168 arasında başlayan adresleri içerir.

• İzin verilen internet adresi aralıklarını, 16.17.18.0/24 biçiminde CIDR gösterimini kullanarak veya 16.17.18.19 gibi tek tek IP adresleri olarak sağlamanız gerekir.

• /31 veya /32 ön ek boyutlarını kullanan küçük adres aralıkları desteklenmez. Bu aralıkları tek tek IP adresi kurallarını kullanarak yapılandırın.

• Depolama güvenlik duvarı kurallarının yapılandırılması için yalnızca IPv4 adresleri desteklenir.

Şirket içi ağlardan erişimi yapılandırma

Bir IP ağ kuralı kullanarak şirket içi ağlarınızdan depolama hesabınıza erişim vermek için, ağınızın kullandığı İnternet'e yönelik IP adreslerini tanımlamanız gerekir. Yardım için ağ yöneticinize başvurun.

Azure ExpressRoute'u şirket içinden kullanıyorsanız Microsoft eşlemesi için kullanılan NAT IP adreslerini tanımlamanız gerekir. NAT IP adreslerini hizmet sağlayıcısı veya müşteri sağlar.

Hizmet kaynaklarınıza erişime izin vermek için, kaynak IP'leri için güvenlik duvarı ayarında bu genel IP adreslerine izin vermelisiniz.

IP ağ kurallarını yönetme

Depolama hesapları için IP ağ kurallarını Azure portalı, PowerShell veya Azure CLI v2 aracılığıyla yönetebilirsiniz.

Azure kaynak örneklerinden erişim verme

Bazı durumlarda, bir uygulama sanal ağ veya IP adresi kuralı aracılığıyla yalıtılabilen Azure kaynaklarına bağımlı olabilir. Ancak yine de depolama hesabı erişiminin güvenliğini sağlamak ve yalnızca uygulamanızın Azure kaynaklarıyla kısıtlamak istiyorsunuz. Bir kaynak örneği kuralı oluşturarak depolama hesaplarını güvenilen Azure hizmetlerinin belirli kaynak örneklerine erişime izin verecek şekilde yapılandırabilirsiniz.

Kaynak örneğinin Azure rol atamaları, bir kaynak örneğinin depolama hesabı verilerinde gerçekleştirebileceği işlem türlerini belirler. Kaynak örnekleri depolama hesabınızla aynı kiracıdan olmalıdır, ancak kiracıdaki herhangi bir aboneliğe ait olabilir.

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

$resourceId1 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$resourceId2 = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Sql/servers/mySQLServer"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule (@{ResourceId=$resourceId1;TenantId=$tenantId},@{ResourceId=$resourceId2;TenantId=$tenantId}) 

$resourceId = "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.DataFactory/factories/myDataFactory"
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Remove-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId  

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

Update-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName -ResourceAccessRule @()  

$resourceGroupName = "myResourceGroup"
$accountName = "mystorageaccount"

$rule = Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName
$rule.ResourceAccessRules 

az storage account network-rule add \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

az storage account network-rule remove \
    --resource-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.Synapse/workspaces/testworkspace \
    --tenant-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \
    -g myResourceGroup \
    --account-name mystorageaccount

az storage account network-rule list \
    -g myResourceGroup \
    --account-name mystorageaccount

Güvenilen Azure hizmetlerine erişim izni verme

Bazı Azure hizmetleri, ağ kurallarınıza ekleyemezsiniz ağlardan çalışır. Bu tür güvenilen Azure hizmetlerinin bir alt kümesine depolama hesabına erişim izni verirken, diğer uygulamalar için ağ kurallarını koruyabilirsiniz. Bu güvenilir hizmetler daha sonra depolama hesabınıza bağlanmak için güçlü kimlik doğrulaması kullanır.

Bir ağ kuralı özel durumu oluşturarak güvenilen Azure hizmetlerine erişim vekleyebilirsiniz. Bu makalenin Özel durumları yönet bölümünde adım adım yönergeler sağlanır.

Microsoft Entra kiracınızda kayıtlı kaynaklar için güvenilir erişim

Bazı hizmetlerin kaynakları, günlük yazma veya yedekleme çalıştırma gibi seçili işlemler için depolama hesabınıza erişebilir. Bu hizmetlerin depolama hesabınızla aynı Microsoft Entra kiracısında bulunan bir aboneliğe kaydedilmesi gerekir. Aşağıdaki tabloda her hizmet ve izin verilen işlemler açıklanmaktadır.

Yönetilen kimliğe dayalı güvenilir erişim

Aşağıdaki tabloda, söz konusu hizmetlerin kaynak örnekleri uygun izne sahipse depolama hesabı verilerinize erişebilen hizmetler listelenmektedir.

Hesabınızda hiyerarşik ad alanı özelliği etkinleştirilmediyse, her kaynak örneği için yönetilen kimliğe açıkça bir Azure rolü atayarak izin vekleyebilirsiniz. Bu durumda, örneğin erişim kapsamı yönetilen kimliğe atanan Azure rolüne karşılık gelir.

Hiyerarşik ad alanı özelliğinin etkinleştirildiği bir hesap için aynı tekniği kullanabilirsiniz. Ancak, yönetilen kimliği depolama hesabının içerdiği herhangi bir dizin veya blobun erişim denetimi listesine (ACL) eklerseniz Azure rolü atamanız gerekmez. Bu durumda, örneğin erişim kapsamı yönetilen kimliğin erişime sahip olduğu dizine veya dosyaya karşılık gelir.

Erişim vermek için Azure rollerini ve ACL'leri birlikte de birleştirebilirsiniz. Daha fazla bilgi edinmek için bkz . Azure Data Lake Storage'da erişim denetimi modeli.

Belirli kaynaklara erişim vermek için kaynak örneği kurallarını kullanmanızı öneririz.

Özel durumları yönetme

Depolama analizi gibi bazı durumlarda, ağ sınırının dışından okuma kaynak günlüklerine ve ölçümlere erişim gerekir. Depolama hesabına erişmek için güvenilen hizmetleri yapılandırdığınızda, ağ kuralı özel durumu oluşturarak günlük dosyaları, ölçüm tabloları veya her ikisi için okuma erişimine izin vekleyebilirsiniz. Ağ kuralı özel durumlarını Azure portalı, PowerShell veya Azure CLI v2 aracılığıyla yönetebilirsiniz.

Depolama analiziyle çalışma hakkında daha fazla bilgi edinmek için bkz . Günlükleri ve ölçüm verilerini toplamak için Azure Depolama analizini kullanma.

Sonraki adımlar

• Azure ağ hizmeti uç noktaları hakkında daha fazla bilgi edinin.
• Azure Blob depolama için güvenlik önerilerini daha ayrıntılı olarak inceler.