Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As regras de firewall do Armazenamento do Azure fornecem controle granular sobre o acesso à rede ao endpoint público da sua conta de armazenamento. Por padrão, as contas de armazenamento permitem conexões de qualquer rede, mas você pode restringir o acesso configurando regras de rede que definem quais fontes podem se conectar à sua conta de armazenamento.
Você pode configurar quatro tipos de regras de rede:
- Regras de rede virtual: Permitir tráfego de sub-redes específicas nas Redes Virtuais do Azure
- Regras de rede IP: Permitir tráfego de intervalos de endereços IP públicos específicos
- Regras de instância de recurso: permitem tráfego de instâncias de recursos específicas do Azure que não podem ser isoladas por meio de regras de rede virtual ou IP
- Exceções de serviço confiável: permitir tráfego de serviços específicos do Azure que operam fora do limite da rede
Quando configura regras de rede, apenas o tráfego proveniente de fontes explicitamente permitidas pode aceder à sua conta de armazenamento através do seu endpoint público. Todos os outros tráfegos são negados.
Nota
Os clientes que fazem solicitações de fontes permitidas também devem atender aos requisitos de autorização da conta de armazenamento. Para saber mais sobre a autorização de conta, consulte Autorizar acesso a dados no Armazenamento do Azure.
Regras de rede virtual
Você pode habilitar o tráfego de sub-redes em qualquer Rede Virtual do Azure. A rede virtual pode ser proveniente de qualquer subscrição dentro de qualquer locatário do Microsoft Entra, em qualquer região do Azure. Para habilitar o tráfego de uma sub-rede, adicione uma regra de rede virtual. Você pode adicionar até 400 regras de rede virtual por conta de armazenamento.
Importante
Por defeito, o tráfego para todas as sub-redes é bloqueado. Pedidos a recursos numa sub-rede recebem um erro 403 até adicionar uma regra que permita tráfego para essa subrede.
Nas configurações de rede virtual da sub-rede, deve também habilitar um endpoint de serviço de Rede Virtual. Este endpoint fornece conectividade segura e direta à sua conta de armazenamento.
Quando crias regras de rede usando o portal do Azure, cria-se automaticamente estes endpoints de serviço à medida que selecionas cada sub-rede de destino. O PowerShell e a CLI do Azure fornecem comandos que você pode usar para criá-los manualmente. Para saber mais sobre pontos de extremidade de serviço, consulte Pontos de extremidade de serviço de Rede Virtual.
A tabela a seguir descreve cada tipo de ponto de extremidade de serviço que você pode habilitar para o Armazenamento do Azure:
| Ponto final de serviço | Nome do recurso | Descrição |
|---|---|---|
| Ponto final do Armazenamento do Azure | Microsoft.Storage | Fornece conectividade a contas de armazenamento na mesma região da rede virtual. |
| Endpoint de serviço entre-regiões do Armazenamento do Azure | Microsoft.Storage.Global | Fornece conectividade para contas de armazenamento em qualquer região. |
Nota
Você pode associar apenas um desses tipos de ponto de extremidade a uma sub-rede. Se um desses pontos de extremidade já estiver associado à sub-rede, você deverá excluir esse ponto de extremidade antes de adicionar o outro.
Para saber como configurar uma regra de rede virtual e habilitar pontos de extremidade de serviço, consulte Criar uma regra de rede virtual para o Armazenamento do Azure.
Acesso a partir de uma região emparelhada
A configuração de pontos finais de serviço entre redes virtuais e instâncias de serviço numa região emparelhada (a região de cópia de segurança designada pela Azure para recuperação após desastre) pode ser uma parte importante do seu plano de recuperação após desastre. Os pontos de extremidade de serviço permitem a continuidade durante um failover regional e fornecem acesso a instâncias de armazenamento geograficamente redundante somente leitura (RA-GRS). As regras de rede virtual que concedem acesso de uma rede virtual a uma conta de armazenamento também concedem acesso a qualquer instância RA-GRS.
Ao planejar a recuperação de desastres durante uma interrupção regional, crie as redes virtuais na região emparelhada com antecedência. Habilite pontos de extremidade de serviço para o Armazenamento do Azure com regras de rede que concedem acesso dessas redes virtuais alternativas. Em seguida, aplique essas regras às suas contas de armazenamento com redundância geográfica.
Regras de rede IP
Para clientes e serviços que não estão localizados em uma rede virtual, você pode habilitar o tráfego criando regras de rede IP. Cada regra de rede IP permite o tráfego de um intervalo de endereços IP público específico. Por exemplo, se um cliente de uma rede local precisar acessar dados de armazenamento, você poderá criar uma regra que inclua o endereço IP público desse cliente. Cada conta de armazenamento suporta até 400 regras de rede IP.
Para saber como criar regras de rede IP, consulte Criar uma regra de rede IP para o Armazenamento do Azure.
Se você habilitar um ponto de extremidade de serviço para uma sub-rede, o tráfego dessa sub-rede não usará um endereço IP público para se comunicar com uma conta de armazenamento. Em vez disso, todo o tráfego usa um endereço IP privado como IP de origem. Como resultado, as regras de rede IP que permitem o tráfego dessas sub-redes não têm mais efeito.
Os tokens SAS que concedem acesso a um endereço IP específico limitam o acesso do titular do token, mas não concedem novos acessos para além das regras de rede configuradas.
Importante
Algumas restrições aplicam-se a intervalos de endereços IP. Para obter uma lista de restrições, consulte Restrições para regras de rede IP.
Acesso a partir de uma rede local
Você pode habilitar o tráfego de uma rede local usando uma regra de rede IP. Primeiro, identifique os endereços IP virados para a internet que a sua rede utiliza. Entre em contato com o administrador da rede para obter assistência.
Se estiver a usar Azure ExpressRoute a partir das suas instalações, precisa de identificar os endereços IP NAT (tradução de endereços de rede) utilizados para o peering da Microsoft. O provedor de serviços ou o cliente fornece os endereços IP NAT.
Para permitir o acesso aos recursos de serviço, você deve permitir esses endereços IP públicos na configuração de firewall para IPs de recursos.
Regras de instância de recurso do Azure
Alguns recursos do Azure não podem ser isolados por meio de uma rede virtual ou regra de endereço IP. Você pode habilitar o tráfego desses recursos criando uma regra de rede de instância de recurso. As atribuições de função do Azure da instância de recurso determinam os tipos de operações que a instância de recurso pode executar nos dados da conta de armazenamento. As instâncias de recursos devem ser do mesmo locatário que sua conta de armazenamento, mas podem pertencer a qualquer assinatura dentro do locatário.
Para saber como configurar uma regra de instância de recurso, consulte Criar uma regra de rede de instância de recurso para o Armazenamento do Azure.
Exceções para serviços Azure de confiança e segurança de rede
Se precisares de ativar o tráfego de um serviço Azure fora do limite da rede, adiciona uma exceção de segurança de rede. Esta exceção é útil quando um serviço Azure opera a partir de uma rede que não pode incluir nas suas regras de rede virtual ou de rede IP. Por exemplo, alguns serviços podem precisar ler logs de recursos e métricas em sua conta. Pode permitir o acesso de leitura para os ficheiros de log, tabelas de métricas, ou ambos, criando uma exceção de segurança de rede. Estes serviços ligam-se à sua conta de armazenamento através de autenticação forte.
Para saber mais sobre como adicionar uma exceção de segurança de rede, consulte Gerenciar exceções de segurança de rede.
Para obter uma lista completa dos serviços do Azure para os quais você pode habilitar o tráfego, consulte Serviços confiáveis do Azure.
Restrições e considerações para o firewall do Armazenamento do Azure
Antes de implementar segurança de rede para as suas contas de armazenamento, reveja todas as restrições e considerações. Para obter uma lista completa, consulte Restrições e limitações para firewall do Armazenamento do Azure e configuração de rede virtual.